Vage probleem met smtp

Lijkt op een virus, mail uit naar verschillende smtp servers..

Draai je nou zelf al een mail (SMTP) server of niet? Dat maak ik nog niet echt op uit je post/titel..

hmm ik zou toch eens een virusscanner installeren/updaten of ad aware erover heen halen.

En een FIREWALL!!! Volgens mij worden er via jouw PC contacten uitgezet naar een heleboel andere sites, maw je wordt gehackt. Je kunt tegenwoordig helaas NIET meer zonder firewall.

Ja een firewall zal ook wel helpen, maar je kan in ieder geval het beste de oorzaak aanpakken.

[ Voor 4% gewijzigd door genosis op 22-09-2003 14:43 ]

Draai jij toevallig IIS ? en staat je relay van je Virtual SMTP server open?

meer informatie zou in deze thread meer dan welkom zijn want het is erg mager

Ik ben voor 99% zeker dat het een virus is..
Scan eens met een up to date Kaspersky of McAfee.

Volgens mij heb ik laatst deze lijst aan servers gezien bij een virus omschrijving, weet alleen niet meer welke..

BMW_M3 schreef op 22 September 2003 @ 19:09:
Nou jongens, heb Ad Aware en norton gedraaid maar heeft niet geholpen. weet iemand mischien meer hoe je dit kan stoppen zonder een firewall in te schakelen.

Waarom is het zo'n probleem om een firewall te nemen dan?

Glacier schreef op 22 September 2003 @ 19:19:
[...]

Waarom is het zo'n probleem om een firewall te nemen dan?

Een firewall verhelpt het gevolg, niet de oorzaak..

Verwijderd schreef op 22 September 2003 @ 19:20:
[...]

Een firewall verhelpt het gevolg, niet de oorzaak..

dat klopt, maar als je toevallig zoiets aan de hand hebt, beperk je iig de gevolgen
Of zie ik dat nu verkeerd?

Je bent idd goed aan het spammen
Welke windows versie gebruik je?
(Heb je norton wel eerst een update gegeven voordat je scande, vroeg hij of je opnieuw op wou starten voor het laden van de nieuwe data?)

Glacier schreef op 22 September 2003 @ 19:32:
[...]

dat klopt, maar als je toevallig zoiets aan de hand hebt, beperk je iig de gevolgen
Of zie ik dat nu verkeerd?

Je hebt wel een punt

Heeft de topicstarter al gekeken of er vage processen draaien btw?
Kijk anders met zo'n monitoring prog welk prog die upload veroorzaakt..

Stuur die file dan eventueel naar mij, dan kijk ik of het al een bekend ding is en anders regel ik detectie

Laat de output hiervan eens zien? http://www.sysinternals.com/ntw2k/source/tcpview.shtml

Code injecting trojan waarschijnlijk
Sinds wanneer heb je dit?
De nieuwe beastdoor(met gefixte bug) is pas 3 dagen oud..NAV zal die nog wel niet vinden, hopen dat die het is..
McAfee vindt de nieuwe versie ook nog niet, KAV downen dus eigenlijk.

Als het niets bekend is, dan wordt het nog feest.

BMW_M3 schreef op 22 September 2003 @ 20:52:
- ik draai geen IIS (wat het ook mag zijn )

Hoe weet je dan of je het draait of niet

Mapson stuurt ook mails rond..
Maar niet via explorer.exe als je het mij vraagt, eens even nakijken..

Edit:
Btw, hoe kan McAfee W32.Mapson.Worm vinden, als de McAfee benaming W32/Mapson@MM is?

[ Voor 32% gewijzigd door Verwijderd op 22-09-2003 22:12 ]

even google, dan vind je:

W32.Mapson.Worm sends itself to all the contacts in the MSN messenger contact list. The Subject line, Message body, and attachment vary. The attachment will have a .com, .exe, or .pif file extension. Also, the email may have spoofed the From field.

This worm also attempts to spread itself through the KaZaA, KaZaA Lite, eDonkey2000, Gnucleus, Limewire, Morpheus, Grokster file-sharing networks and ICQ.
Damage : Large scale e-mailing: Sends itself to all the email addresses in the MSN Messenger contact lists.

Gebruik je toevallig een van die programma's dan zou het dus goed kunnen dat je toch die worm hebt

BMW_M3 schreef op 22 September 2003 @ 22:27:
LoL die worm had Norton gevonden sorry!
maar heb die weggehaald na overnieuw opstarten is het weer zelfde verhaal.
ik snap er geen flikker meer. plzz help wordt er gek van!

Net even mapson op testbak gegooid, hij deed geen mails verzenden, moet je msn messenger voor geïnstalleerd hebben, zo'n hekel heb ik nog net niet aan de mensen die ik m'n contactlist heb staan..

a: toch maar eerst eens firewall installen want zo maak je je populair bij je kennissen waarschijnlijk
b: kav installen, updaten, scannen, kijken wat daar uit komt
-als ook kav zegt dat hij clean is, mja, dan wordt het interessant .
Off-topic: Hoe goed is je Engels?

Dan probeer ik wat te regelen met Kaspersky analyst of met Magnus (maker van Trojan Hunter)..
Die hebben een betere werkwijze om te achterhalen hoe en wat als het goed is..

Laat aub de pics even staan totdat ik een reply heb van KAV(en eventueel TH).

Heb replies gekregen van KAV en TH..

TrojanHunter:

TrojanHunter would have to recognize the injected DLL as a trojan to be
able to clean it automatically. He could use the Process Viewer in
TrojanHunter to right-click the module and select "Unload" to unload the
trojan manually. I think it might be best if he downloads TrojanHunter and
uses the Process Viewer to expand the "Explorer.exe" process and view all
its loaded modules. If he can get a screenshot of that, I might be able to
spot the trojan module, if there is in fact one loaded into Explorer.exe. A
copy of his StartupList output would also help.

Kaspersky:

What messages are sent? Could you provide an example?

Mja, als je natuurlijk zo'n e-mail kan bemachtigen, mits hij zich zo verspreidt, zou natuurlijk erg handig zijn..Dan hoeven ze maar een sig te maken en dan kun je je sys cleanen.

Hebben er nog geen mensen geklaagd over je e-mail stortvloed?

Jongens, hoe moeilijk kan dit nou zijn.. rechtsKlik op je internetverbing (Lan of inbel of whatever) en dan eigenschappen, kies geavanceerd en schakel de firewall in. Niet het meest geavanceerde, maar wel effectief.

Een firewall werkt wel degelijk voorkomend. Zie Blaster.

[ Voor 4% gewijzigd door Marlibica op 23-09-2003 15:21 ]

Marlibica schreef op 23 september 2003 @ 15:18:
Jongens, hoe moeilijk kan dit nou zijn.. rechtsKlik op je internetverbing (Lan of inbel of whatever) en dan eigenschappen, kies geavanceerd en schakel de firewall in. Niet het meest geavanceerde, maar wel effectief.

...tegen inkomend verkeer, en hier hebben we het over uitgaand verkeer richting SMTP poorten van verschillende mailservers. Oftewel: aan de standaard firewall heb je niets aangezien deze alleen inkomend verkeer blokkeert.

Een firewall werkt wel degelijk voorkomend. Zie Blaster.

Voorkomend is wat anders dan oorzaak/gevolg.

Heb je ook nog start up lijstje voor me? (Misschien hadden we hier nog eerder aan moeten denken eigenlijk)..

BMW_M3 schreef op 23 september 2003 @ 17:18:
Hier is die dan Opstartlijst
http://home.kabelfoon.nl/~admir/OpstartL.jpg

Die updreg.exe is nogal populair @ anti spyware sites enzo..
Zou je die kunnen e-mailen? Misschien is het nu wel het desbetreffende virus..

Zou dus ook nog eens even Spybot S&D eroverheen halen, imo beter dan ad-aware..

BMW_M3 schreef op 23 September 2003 @ 17:08:
Ik heb van niemand gehoord over dat ik te veel emails stuur. Ik we nie hoe ik ze zou kunnen bemachtigen.

Ja, en stel nou dat er gewoon een of andere lijst met mailadressen wordt verstuurd of hard coded in het programma zit, en jij dus onbekenden zit te spammen?

Ja die firewall is leuk en aardig maar ik gebruik het liever niet. geeft veel problemen met msn messenger. Ik gebruik het egt als laaste keuze misschien is er iemand die het kan verhelpen.

Het lijkt mij verstandiger om of:
1) die bak offline te halen totdat het probleem is opgelost
2) een firewall te installeren die uitgaand verkeer op poort 25, wat niet door jouw mailapplicatie wordt gegenereerd, tegen te houden.

Ik heb geen idee wat voor mail je verstuurd, maar het zal niet goed zijn.

ps. als het je hotmail is die zooi verstuurd, heb je geluk. ken je er toch maar 200 versturen per dag. Maar, heb je al verder wat gevonden?

Ok, heb reply terug van TH meneer..

Could you have the user send me "tgfteqg.dll" (4th file in Pview2.jpg)? It
looks kind of suspicious to me. This file is also started by rundll32 in
his startup screenshot, so I'm pretty sure something's not right with it.

Hmm, ik dacht dat dat iets van TH was, gebruikt ook random file name voor protectie..
Kun je de file aub naar mij sturen, ik wil natuurlijk ook zeker zijn dat KAV detectie krijgt

BMW_M3 schreef op 23 September 2003 @ 17:44:
Maar ik denk dat het van me provider wordt verstuurd. hoop van niet.

Als je WXS hebt wel ja. Zie eerste screenie.

BMW_M3 schreef op 23 September 2003 @ 17:53:
Schouw, hij kan hem niet vinden hij staat niet in sys32 want er staat : inplaats van /
C:\WINDOWS\System32:tgfteqg.dll en niet C:\WINDOWS\System32\tgfteqg.dll

Ook niet ergens anders?
Die dll zal niet uit een of andere hoed worden getoverd lijkt me..

Je hebt toch wel hidden en system files aangeschakeld om deze ook te zien, anders vind je hem waarschijnlijk niet (als ik een virusmaker zou zijn).

Windows Toets + F en dan filename invullen. Kijken of ie hem vindt.

BMW_M3 schreef op 23 september 2003 @ 18:29:
Het rare ik kan die tgfteqg.dll niet uit me opstartlijst verwijderen, ik verwijder hem maar na opnieuw opstarten is die er weer.

Er is een tooltje die in de gaten houdt wat er in de startup komt, misschien kan die vertellen wie 'm erin zet iedere keer.
Zie hier: http://www.mlin.net/StartupMonitor.shtml

[ Voor 9% gewijzigd door Verwijderd op 23-09-2003 18:31 ]

BMW_M3, heb je gedaan wat barto018 zei?

BMW_M3 schreef op 23 September 2003 @ 18:29:
Het rare ik kan die tgfteqg.dll niet uit me opstartlijst verwijderen, ik verwijder hem maar na opnieuw opstarten is die er weer.

Dan draait er nog een proces die jouw wijziging weer corrigeert. (of hetzelfde proces als je die nog niet gekilled had)

Hmz,

ok ik lees net pas dit topic,

Maar first:
http://download.zonelabs....l/zapSetup_40_146_029.exe

Daar vind je ZA Pro, werkt 30 dagen volgens mij zonder geldig serial.
En anders moet je maar naar www.zonelabs.com gaan en daar een gratis ZA downen, maar mijn advies install deze nu meteen
Als die opstart detect hij je IP die je van je ISP hebt gekregen, die doe je in INTERNET ZONE. Mocht je nog een lokaal netwerk hebben dan moet die in TRUSTED.

Je zal dan snel genoeg meldingen krijgen van apps oid die naar buiten willen connecten. Wat niet Windhoos gerelateerd is of geen apps die jij direct kent/vertrouwd. Gewoon NIET ALLOWEN.

Daarna ff al je Windows Updates draaien
MCafee VirusScan laten scannen op ALL FILE en HEURISTIC aan op MAX modus. dit staat standaard niet zo aan.

Lavasoft Adaware draaien (laatste versie) www.lavasoft.de met de laatste defs.

Daarna deze nog downen: http://www.anti-trojan.net/en/
en de laatste defs binnen halen en ook ALLES scannen.

Ook nog naar www.jv16.org en powertools downen, kijk daarmee wat in je registry startup staat, rare dingen wegvinken en verwijderen (wordt auto. backup gemaakt dus wees niet bang dat je iets verkeerds weghaald)


Als je dit al hebt gedaan laat het dan maar weten

[ Voor 10% gewijzigd door n00bs op 23-09-2003 18:57 ]

Zeker dat die 'show files' e.d. settings goedstaan, en ook goed blijven staan?
Wat als je je explorer.exe eens kilt en dan nog eens zoekt op die file.

Edit:

@ n00bs..

TS heeft met NAV, McAfee en KAV gescand..
Daarnaast is TH (ver) superieur aan de door jou voorgestelde oplossing..

Het enige wat nu nog overblijft is de file te pakken krijgen..
Daarna wordt het een 'race' tussen TH en KAV wie het eerste een sig uitheeft

[ Voor 51% gewijzigd door Verwijderd op 23-09-2003 19:00 ]

@BMW_M3
Doe eens: Start -> Uitvoeren
- cmd [enter]
- c: [enter]
- cd\ [enter]
- dir *eqg.dll /s > c:\eqg.txt [enter]
en dan ff de inhoud van c:\eqg.txt hier posten

BMW_M3 schreef op 23 September 2003 @ 19:05:
Ik doe dat allemaal wel vanavond alleen nog ff heb ik portblocker geinstalleerd en dit is wat ik krijg:
http://home.kabelfoon.nl/~admir/portblocker.jpg

haal ff je IP weg uit dat plaatje, iedereen ziet nu waar jouw PC te bereiken!!

Je wordt als een of andere mailrelay gebruikt , zijn toch incoming connecties?

[ Voor 12% gewijzigd door Verwijderd op 23-09-2003 19:08 ]

Verwijderd schreef op 23 September 2003 @ 18:58:
@ n00bs..

TS heeft met NAV, McAfee en KAV gescand..
Daarnaast is TH (ver) superieur aan de door jou voorgestelde oplossing..

Het enige wat nu nog overblijft is de file te pakken krijgen..
Daarna wordt het een 'race' tussen TH en KAV wie het eerste een sig uitheeft

Hij mag wel gescand hebben, maar wat ik al zeg... als je alles standaard laat staan bereik je niet alles. Dus je hoeft niet gelijk mijn hele post naar beneden te halen.

Het lijkt mij voor de Topic Starter superhandig om de stappen die ik neergezet heb uit te voeren om het probleem te isoleren ipv allemaal kunstgrepen uit te halen die voorgesteld worden.


Maar als de TS idd niet deze stappen wil uitvoeren, wens ik hem nog veel succes met alle screenshots e.d. (ik probeer namelijk alleen maar te helpen en heb vaak genoeg dit soort probs gezien en opgelost)

[ Voor 14% gewijzigd door n00bs op 23-09-2003 19:08 ]

Verwijderd schreef op 23 september 2003 @ 19:06:
[...]


haal ff je IP weg uit dat plaatje, iedereen ziet nu waar jouw PC te bereiken!!

Je wordt als een of andere mailrelay gebruikt , zijn toch incoming connecties?

Volgens mij ook ja...... Lijkt me evend e IP's opschrijven en dan abuse mailtje naar je provider sturen en die kan weer de provider van de "misbruiker" aanspreken

n00bs schreef op 23 September 2003 @ 19:07:
[...]


Hij mag wel gescand hebben, maar wat ik al zeg... als je alles standaard laat staan bereik je niet alles. Dus je hoeft niet gelijk mijn hele post naar beneden te halen.

Het lijkt mij voor de Topic Starter superhandig om de stappen die ik neergezet heb uit te voeren om het probleem te isoleren ipv allemaal kunstgrepen uit te halen die voorgesteld worden.

Het was niet m'n bedoeling je post naar beneden te halen, maar het lijkt me het beste dat we de koers varen die de maker van TH voorstelt. Lijkt me dat die weet waar hij het over heeft..

@bmw
Maui heeft een typo @ zijn 'write-up', zeker dat je die niet hebt overgenomen?

TS mag dan wel een mailserver zijn, die ene dll doet dingen die niet normaal zijn..

Verwijderd schreef op 23 September 2003 @ 19:15:
[...]
@bmw
Maui heeft een typo @ zijn 'write-up', zeker dat je die niet hebt overgenomen?

Misschien handig om die typo ff te melden, ik zie 'm niet ?

@Bmw anders laatste regel:
dir *.dll /s > c:\mydlls.txt en die ff weer op je webspace planten.

[ Voor 37% gewijzigd door Verwijderd op 23-09-2003 19:23 ]

-

[ Voor 100% gewijzigd door Verwijderd op 23-09-2003 19:54 ]

Trojan Hunter:

Ah... sounds like the file is embedded in an NTFS alternate data stream.
First time I've seen that happen "in the wild" if this is really the case.
I've created a small application that can be used to extract the file from
the NTFS stream. The program is available at
http://www.misec.net/Extract.exe - have you friend download that and save
the dll file form the stream anywhere. Hopefully that will give us the file
so that it can be examined.

You should be able to delete the stream by doing

cd C:\Windows
echo anything>System32:tgfteqg.dll

in a DOS prompt, but please don't do that until you've managed to extract
the file.

Heb er laatst wat over gelezen, zou niet echt leuk zijn als dit mainstream gaat worden

Dit zou dan idd een primeur zijn, eerste ADS virus ITW..

[ Voor 3% gewijzigd door Verwijderd op 23-09-2003 20:06 ]

Verwijderd schreef op 23 September 2003 @ 20:06:
Trojan Hunter:

[...]

Heb er laatst wat over gelezen, zou niet echt leuk zijn als dit mainstream gaat worden

Dit zou dan idd een primeur zijn, eerste ADS virus ITW..

hm wordt leuk, als je oa dit:
http://www.cknow.com/vtutor/vtntfsads.htm
en
http://www.storageadmin.c...Index.cfm?ArticleID=19878

leest, je kan blijkbaar standaard niet eens zien of er wat met een bestand gebeurd is.

En geen van de populaire AVs ondersteunt dit, Kaspersky wel dus het is iig een onbekend ding als het via ADS is gegaan..

Lijkt me dat deze hieraan gerelateerd is :
http://www.sophos.com/virusinfo/analyses/w32dumarua.html

@bmw_m3:
Heb je zo'n zgn. mailtje van microsoft geopend gehad?

En dat zou door NAV, McAfee en KAV worden gemist?
KAV doet aan ADS scanning...en Dumaru zou ineens een dll injector zijn..

Edit:
Daarnaast zegt Magnus natuurlijk niet voor niets dat dit dan de eerste keer zou zijn dat hij een ADS virus ITW ziet.

[ Voor 35% gewijzigd door Verwijderd op 23-09-2003 20:30 ]

Verwijderd schreef op 23 september 2003 @ 20:29:
En dat zou door NAV, McAfee en KAV worden gemist?
KAV doet aan ADS scanning...en Dumaru zou ineens een dll injector zijn..

Edit:
Daarnaast zegt Magnus natuurlijk niet voor niets dat dit dan de eerste keer zou zijn dat hij een ADS virus ITW ziet.

ik beweer niks, maar als ik de info bij die link lees, gaat het over ADS (ik had er nog nooit van gehoord). Het zou een variant hier op kunnen zijn. Staat ook dat het in de october release komt.

Zoals Magnus ook al zei: NIET de file deleten eerdat ik heb bevestigd dat ik de file ook heb..
Heb het zweet bijna in m'n handen staan.. (Ja, ik vind dit ontzettend spannend)

Verwijderd schreef op 23 September 2003 @ 20:41:
Zoals Magnus ook al zei: NIET de file deleten eerdat ik heb bevestigd dat ik de file ook heb..
Heb het zweet bijna in m'n handen staan.. (Ja, ik vind dit ontzettend spannend)

Maak je niet druk Schouw, anders kan je het nog van mij krijgen, ik heb het ook :-) Ik heb net de pagina's hier doorgelezen en weet zeker dat ik hetzelfde heb. Ga zo jullie oplossingen proberen. Ik vind het heel raar aangezien ik vorige week mijn hele windows opnieuw heb geinstalleerd en geen rare programma's of mailtjes heb gehad. Zou het niet handmatig gedaan kunnen zijn? (hacker?) Of lijkt dat jullie erg onwaarschijnlijk? In ieder geval bedankt voor jullie ideeen, ik ga ze zo proberen.

Salvador

Het 'leuke' van ADS is dat je dus iemand een tekst bestand kan laten openen, en daarmee direct ook een exe in ADS .
Zou echt wat zijn als dus meerdere mensen hiermee besmet zouden zijn..

BMW_M3 schreef op 23 September 2003 @ 20:57:
Schouw?

Mja, sorry, je hebt dat bericht geplaatst toen ik bezig was met mijn andere bericht..

Ik zal hem erover mailen, aangezien ik dat bestand niet heb en verder ook onervaren ben met ADS zou ik niet echt weten verder hoe en wat..

Edit:

Coreblood.dll zegt dat iets?
McAfee vondt en zei is coreblood.dll als virus naam maar kan hem niet deleten of wat dan ook

Mja zegt me wel iets, maar kan het niet meer plaatsen.. maar klinkt niet echt vrolijk..

Kun je de file ook niet kopiëren? Anders moet je take ownership eens proberen en dan nogmaals proberen..

[ Voor 35% gewijzigd door Verwijderd op 23-09-2003 21:04 ]

BMW_M3 schreef op 23 september 2003 @ 21:06:
nope ik kan nix doen ik vind hem zelfs en mcafee kan er nix mee doen alleen dan vermelden.

Wat is de filename van de file die McAfee flagt?
Coreblood.dll? Of is dat de naam het virus?
Geef even de naam van beide aub.

BMW_M3 schreef op 23 September 2003 @ 21:13:
hij pakt hem als tgfteqg.dll maar geeft als virus naam coreblood.dll

Wat geeft McAfee aan als locatie?

BMW_M3 schreef op 23 September 2003 @ 21:18:
C:\WINDOWS\System32:tgfteqg.dll

En je hebt de file nu ook zelf gevonden?
Je kan hem dus zien?
Welke versie van McAfee gebruik je?

Als je hem kan zien, dan is het dus geen ADS virus, of die tool van Magnus moet wat hebben gedaan..

Mischien is het wel een waardeloos idee (dat laat ik wel aan Schouw over ), maar toch:

Pak anders de complete "C:\Windows" directory in met WinRAR (laatste versie), en zet in WinRAR de optie "Save file streams" aan... (als dat is wat ik over dat file-stream heb begrepen). Heb je toch nog een "backup" van dat (geinfecteerde?) bestand, en mischien dat hij dan wat makkelijker terug te vinden is? (en later desnoods even uploaden naar Schouw ofzo?)

Uit de WinRAR help:
--8<--
"Save file streams" option

This option has meaning only for NTFS file system and allows to save alternative data streams associated with a file. It is especially important under Windows 2000 and XP, which use streams to keep some file dependent information such as file descriptions. If you use WinRAR to backup your NTFS disks, it is recommended to enable this option.
This option is supported only for RAR archives.
--8<--

Mja, het is het proberen waard lijkt me.
Nog niets gehoord van Trojan Hunter, als we morgen na m'n schoolgedoe nog niet veel verder zijn haal ik er Eugene (Kaspersky) bij, die zal zeker geïnteresseerd zijn in het eerste ITW ADS virus..

Ik vroeg hem of ie niet toevallig een foutje had gemaakt met coden:P

Yea, I messed up the code, it should have been a save dialog. Doesn't
matter though, as long as he types a file name and clicks "Open" the stream
should be extracted and saved to the filename he specified.

Dus probeer even aan te prutsen en te kijken of er wat gebeurt

Heb een tooltje gevonden dat hele schijven afzoekt naar ADS-bestanden.
Mischien kun je zo het preciese bestand vinden, inpakken met WinRAR (met Safe Data Stream optie aan natuurlijk ), en naar Schouw mailen...
Crucial ADS (110K).

Voorbeeldje:

Crucial ADS:
!!! ADS FOUND !!! Name=:teststream.txt:$DATA File=E:\zooi\testbestand.txt

Inpakken met WinRAR:
E:\zooi\testbestand.txt

Ik hoop dat het lukt! (ben nu toch ook wel rete-nieuwsgierig )

En ik net zoeken met google maar kon niets met een GUI vinden..
Was nét begonnen maar met de mail naar Eugene, die kan dus wachten.

Thanks voor het betere zoekwerk ironx

Argh to the second power..
Nog maar eens e-mailen dan naar TH..