T-Online sendet permanent

[andyz74]

Hallo, bin neu hier und möchte gleich mal mit einer Frage einsteigen, die mich seit einigen Tagen beschäftigt.
Ich habe neulich von AOL-DSL zu T-Online-DSL gewechselt, welches ich mittels einer normalen DFÜ starte, also wohlgemerkt nicht mit diesem riesen Startcenter-Paket.
Auf jeden Fall habe ich das Problem, dass wenn die T-Online-Leitung geöffnet ist, werden nach wenigen Minuten permanent Daten gesendet, obwohl ich kein Programm geöffnet habe, das so etwas tun würde, E-Mail-Client, Browser o.ä.
Hört sich verdächtig nach Wurm oder Trojaner an, das weiß ich, aber ich möchte freiweg behaupten, dass ich ein recht versierter User bin, hab auch schon mit allen möglichen Tools nach so etwas gesucht, komme aber auf kein Ergebnis. Sysinternals Autorun zeigt keine Fremdstarts, ProcessExplorerNT zeigt keine fremdartigen Prozesse im Hintergrund, ListDll zeigt keine virulenten Dll's, die zu so etwas fähig sein würden, und TCPView zeigt zu allem Überfluss nicht mal Ports an, die Daten senden oder empfangen.
Lediglich beim Öffnen und Schließen der Leitung wird Aktivität bei den Ports 3452 und 3451 angezeigt, aber ob das etwas zu sagen hat, weiß ich nicht.
Erstaunlicherweise tritt dieses Phänomen bei der AOL-Leitung nicht auf.
Auch meine Firewall von Zonealarm zeigt eigentlich nur beim "Generic Host Process for Win32" Aktivität an. Router hab ich keinen, und die Win-Firewall ist deaktiviert.

Weiß da jemand Rat?

 

[Valkysas]

wie viele daten werden denn gesendet? kann es einfach ein keep alive Signal sein?

 

[andyz74]

Nein, für keep alive ist es definitiv zu viel. Ich kann keine super genauen Angaben machen, aber tendenziell dürfte es in der Größenordnung von 10 MB pro Viertelstunde sein.
(Und das ist nicht hochgerechnet, sondern laut Verbindungseigenschaften sidn da wirklich 10 MB "gewandert"!)

 

[lxch]

10 MB pro Viertelstunde ist definitiv zu hoch und auch interessant, dass bei AOL das Senden nicht auftritt. Ich würde Dir eine Firewall empfehlen, die die ausgehenden Datenpakete logt. So kannst Du anhand der IPs und Daten vielleicht Schlüsse ziehen. Würde mich sehr interessieren, was Du rausgefunden hast !

Der Port - ich habs fast überlesen - nutzt Du vielleicht Overnet, Kazaa und Co? Schließe die beiden von Dir genannten Ports und schau, was passiert...

 

[markus1234]

Auch meine Firewall von Zonealarm zeigt eigentlich nur beim "Generic Host Process for Win32" Aktivität an.

"Windows nach Hause telefonieren".
Windows-Update deaktiviert?
Wenn ja blockiere mal die Systemprozesse.

Und noch was am Rande: Die neue Virengeneration lässt sich nicht einfach "auffinden", sondern verkriecht sich in Rootkits. Auch können Systemdateien überschrieben werden.
Da du ein bisschen von der Materie verstehst, brauch ich dir ja nicht zu sagen, dass kein Antivirenprogramm dieser Welt "alles" erkennt. Im besten Fall etwa 60%.

 

[andyz74]

Ich würde Dir eine Firewall empfehlen, die die ausgehenden Datenpakete logt. So kannst Du anhand der IPs und Daten vielleicht Schlüsse ziehen. Würde mich sehr interessieren, was Du rausgefunden hast !

Wie gesagt, ich benutze Zonealarm, kenne mich aber bei der KOnkurrenz nciht so aus, welche Möglichkeiten es beim Loggen gäbe.

Der Port - ich habs fast überlesen - nutzt Du vielleicht Overnet, Kazaa und Co? Schließe die beiden von Dir genannten Ports und schau, was passiert...

Nutze ich teilweise auch, aber bei dem besagten Moment war absolut kein Programm geöffnet.
Gegenfrage: Wie schließe ich Ports?

"Windows nach Hause telefonieren".
Windows-Update deaktiviert?
Wenn ja blockiere mal die Systemprozesse.

XP-Antispy sagt "nein". :-) Außerdem wären da 10 MB auch etwas viel, oder?

Und noch was am Rande: Die neue Virengeneration lässt sich nicht einfach "auffinden", sondern verkriecht sich in Rootkits. Auch können Systemdateien überschrieben werden.
Da du ein bisschen von der Materie verstehst, brauch ich dir ja nicht zu sagen, dass kein Antivirenprogramm dieser Welt "alles" erkennt. Im besten Fall etwa 60%.

Aber müsste dann das Problem nicht gleichermaßen unter AOL auch auftreten?

 

[The Prophet]

Aber müsste dann das Problem nicht gleichermaßen unter AOL auch auftreten?

Müsste es ja, es sei denn es ist ein spezifisches Problem welches nur über eine T-Online Verbindung funktioniert (warum sei dahingestellt). Ich denke da an Spamversand etc.

Installier dir mal Wireshark und log den Traffic auf dem Interface mit. Sollte sich relativ schnell rausfinden lassen was da vor sich geht.

 

[andyz74]

Du kriegst die Motten!

Mit dem WireShark (das Tool ist mal echt genial, Danke für den Tipp!) hab ich den Verkehr beobachtet (alter Spanner...) und dabei Erstaunliches entdeckt: Es wurden sehr viele SMTP-Pakete hin und her geschickt, auf gut deutsch, Mails versandt!
Und darunter fand sich bei mindestens einem der Betreff

"Request parameter: FROM: <phishing@pchd.com>"

Ist ja wohl der Hass, oder?

Auf jeden Fall werd ich jetzt mit Wireshark weiter testen, ob das Problem bei AOL auch da ist, oder ob es T-Online-spezifisch ist. Und dann geht die Trojaner-Suche los!

Danke nochmal für den Tipp mit WireShark, das Programm ist echt super für so was!

Greetz, Andy

 

[The Prophet]

Bist nicht der erste Fall, hab schon ein paar Rechner gesehen welche über svchost.exe etc Spam versendet haben. Wenn du Pech hast rückt dir auch die Telekom auf die Pelle wegen Spamversand. Hatten hier im Forum schon einen Fall wenn ich mich recht erinnere.

 

[andyz74]

Naja, das mit dem Spam-Versenden ist ja ein alter Hut, aber für gewöhnlich wird das ja von einer handelsüblichen DLL gesteuert, die sich irgendwie ins System geschleust hat und sich irgendwie autostartet. Nur find ich die im Moment nicht.
Hab jetzt mal sämtliche unnötigen Windows-Dienste abgeschaltet und dann wird man weitersehen. Wenn interne Dienste missbraucht werden um die Daten zu versenden, dann hat das möglicherweise jetzt schon ein Ende.

 

[nedim89]

ich kenn mich zwar net so aus damit, aber bin evtl. auch betroffen, weil ich auch unzufriedener t-online Kunde bin. Hab jetzt so nen Norton 2007 Antivirenkit von t-online, aber ich denk mal da kommt t-online trotzdem durch? soll ich mal WireShark durchlaufen lassen, oder was gibt ihr mir da für tipps?

 

[Leon]

hoppala, über svchost.exe wird was versendet? Das Laptop meiner Frau ist seit ein paar Tagen total lahm, obwohl, bis auf das neue Royal-Theme nix dazu gekommen ist.

In den Diensten wird ständig eine 98%ig Auslastung der svchost, angezeigt, wenn ich die dann manuell entferne, geht alles einwandfrei.

Da ich das heute zum ersten mal höre, bitte ich mal um ein paar Infos darüber und mit welchen Programmen ich da ran komme.

Vielen Dank schonmal.

 

[The Prophet]

Für den Anfang empfehle ich diesen Artikel:
http://www.heise.de/security/artikel/80369

 

[China]

Preiset den Propheten

Das Tool ist ja mal geil!
Jetzt kann ich endlich "ungewöhnlichen" Traffic auf die Spuren kommen!

Thx man!

 

[andyz74]

Moin Moin!

Ich möchte abschließend noch kurz meine Erfahrungen berichten:
Hab also mittels Wireshark tatsächlich festgestellt, dass "illegaler Datenverkehr" stattfindet, da in den aufgezeichneten Paketen SMTP (Simple Mail Transfer Protocol) dabei war, also versandte E-Mails, obwohl keiner meiner E-Mail-Clienten aktiv war.
Ich habe mich dann im Internet schlau gemacht, welche Systemdienste deaktiviert werden können, ohne das System zu beeinträchtigen. Gesagt getan, und jetzt im Moment teste ich mit den neuen Einstellungen nach wie vor mit Wireshark im Hintergrund. Aber es sieht so aus, als sei die Maschine jetzt clean, oder zumindest kein ungewünschter Datenverkehr mehr herrscht. Übrigens hat sich mein Verdacht NICHT bestätigt, dass das Problem direkt mit T-Online zusammen hängt. Auch unter AOL wurde gesendet!

Ich möchte noch sagen, obige Vorgehensweise ist scheinbar ganz OK, wer also ähnliche Probleme hat, kann sich vllt. daran orientieren.

Greetz, Andy

 

[The Prophet]

Eventuell wäre es hilfreich die auffälligen Systemdienste hier noch zu nennen andyz74. Unerfahrene User werden sich über die geleistete Hilfestellung zur Lösung des Problems freuen.

 

[andyz74]

Eventuell wäre es hilfreich die auffälligen Systemdienste hier noch zu nennen andyz74. Unerfahrene User werden sich über die geleistete Hilfestellung zur Lösung des Problems freuen.

Ich kann leider nicht sagen, was genau da ausschlaggebend ist, sonst hätte ich das gern getan.
Auch die Einstellungsliste für die Systemdienste ist in ihrer Struktur so unübersichtlich, dass ich sie hier nicht posten will, aber wenn man nach "nicht benötigte Systemdienste" oder etwas in der Art googelt, dann findet man die benötigten Informationen relativ leicht.

 

[CHESSBOARDER]

Installier dir mal Wireshark...

Ich kann zwar ganz gut englisch, aber gibt es davon auch eine deutsche Version
bzw. dafür ein Sprachpaket?