StefanWe 14 Geschrieben 16. Juli 2009 Autor Melden Geschrieben 16. Juli 2009 mh wirklich merkwürdiges ist dort nicht zu finden... aber wie kann es sein, das wenn ich den Postman, also der dienst der auf port 25 lauscht, das immernoch mails versucht werden zu senden, bzw. im ausgangsbuch auftauchen ?
Stephan Betken 43 Geschrieben 16. Juli 2009 Melden Geschrieben 16. Juli 2009 Bei David ist es doch so, dass man trotzdem die Mails verfassen kann, er die entgegen nimmt und sie dann verschickt, wenn der Postman gestartet ist. Vielleicht irgendeine Schadsoftware, die über den Standardmailclient versendet? Geht das Problem denn definitiv vom Server aus? Wie verhält es sich, wenn der Server vom Netzwerk getrennt ist? Kommen dann auch Mails im Ausgang dazu? Aber so im Ganzen hört es sich an, als würde der Server für Nachrichten, die er bekommt, das Relay spielen.
StefanWe 14 Geschrieben 17. Juli 2009 Autor Melden Geschrieben 17. Juli 2009 Hi, also habe mal eben den Lanstecker vom Server rausgezogen, und trotzdem landeten Mails im Versand Ordner, nur die Mail konnte nicht verschickt werden,weil eben keine Lanverbindung. Ich habe auch schon daran gedacht, das das irgendwie über den standard mailclient. Ich lösche jetzt mal mein Dvid Infocenter am Server und mache Outlook als Standard Mailclient. Ja ich bin sicher das es der Server ist, da das die ganze Nacht weiter durchlief und alle anderen PCs hier im Netz aus sind.
StefanWe 14 Geschrieben 17. Juli 2009 Autor Melden Geschrieben 17. Juli 2009 ok, also auch nach deinstallation des david info centers auf dem server tauchen die mails trotzdem noch im versand ordner auf. gibt es eine möglichkeit einen Paketsniffer wie Wiresharp auf dem Loopback Interface lauschen zu lassen?
Gulp 290 Geschrieben 17. Juli 2009 Melden Geschrieben 17. Juli 2009 Schau doch mal mit TCPView welcher Prozess den Port 25 in Beschlag hat oder dorthin Verbindungen aufbaut .... vielleicht wird man da ja schon schlauer. Sniffen kann man dann anschliessend ja immer noch. TCPView für Windows v2.54 Grüsse Gulp
StefanWe 14 Geschrieben 17. Juli 2009 Autor Melden Geschrieben 17. Juli 2009 also die sache wird mir immer suspekter, ich glaube langsam eher das david das problem ist. ich finde mit tcp view keine verbindungen auf port 25 tcp. habe auch mal eine mail an tobit geschickt, ob die eventuell ne idee haben. kann man tcp view filtern, das er nur tcp port 25 überwacht ?
StefanWe 14 Geschrieben 20. Juli 2009 Autor Melden Geschrieben 20. Juli 2009 Haben das Problem gefunden. Es war wirklich ein Trojaner in der CTFMon.exe im Windows\System32 Verzeichniss. Haben ihn mittels A-Squared gefunden und damit die ctfmon.exe blockiert und seitdem ist ende mit den mails. Komisch das kein anderes programm oder eben tcpviewer oder der Wireshark irgendetwas in der richtung gefunden hat. würd mich doch glatt interessieren, wie der trojaner programmiert ist, das der so gearbeitet hat, aber das bekommt man nicht raus, oder?
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden