Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)
-   -   Hilfe Shark (https://www.trojaner-board.de/45582-hilfe-shark.html)

Lupius 07.11.2007 17:55
Hilfe Shark
 
Hilfe...Shark...

Ich habe gestern bei einem verwandten gesehen, wie er leute durch shark ausspioniert bzw. pentriert.

Meine Frage..ich glaube er macht es bei mir auch!!!

Was kann ich tun?

Firewall oder virusprogramm kann man schnell abschalten ;(

es wäre toll, wenn ihr mir helfen könnt..

liebe grüße

cosinus 07.11.2007 20:43
Hi.

Zitat:
Ich habe gestern bei einem verwandten gesehen, wie er leute durch shark ausspioniert bzw. pentriert.
Sag ihm mal, dass das strafbar ist und durch einen äußerst unglücklichen Zufall die Polizei davon Wind bekommen könnte.... ;)

Zitat:
Meine Frage..ich glaube er macht es bei mir auch!!!
Dann sammel Beweise. Wenn er schon Zugriff auf deine Kiste hatte => sag ihm nichts, besorg dir eine Imaging Software wie z.B. Acronis TrueImage und erstell umgehnd ein Image der Systempartition. Das Image extern sichern, z.B. auf DVDs. So hast du im Zweifel was in der Hand. Die im System aktiven Schädlinge werden definitiv mit ins Image gesichert, können aber den Sicherungsvorgang selbst nicht beeinflussen, das dies zumeist von einem anderen OS geschieht. Im Falle von Acronis bootest du m.W. von der Acronis-CD (so ist es bei meiner Version).

Zitat:
Firewall oder virusprogramm kann man schnell abschalten ;(
Richtig...

Zitat:
es wäre toll, wenn ihr mir helfen könnt..
Du könntest - bevor hier durch falsche Vermutungen noch Schlimmeres passiert - erstmal zur Grobübersicht deines System ein Hijackthis-Logfile erstellen und hier posten. Dann sehen wir weiter.
Hast du denn überhaupt schon konkrete Anhaltspunkte dafür, dass er deinen PC unter Kontrolle hat?

Heike 07.11.2007 20:58
Zitat:
Zitat von cosinus (Beitrag 303855)
Dann sammel Beweise. Wenn er schon Zugriff auf deine Kiste hatte => sag ihm nichts, .................
braucht Lupius ja auch nicht, er weiß es dann ja eh :rolleyes:

er könnte hier mitlesen, geowned wäre eben geowned :rolleyes:

Lupius 07.11.2007 21:03
ja das ist ja das schlimme...er konnte sogar die desktops der user sehen... das ist echt ein sauhund..

danke für eure antworten..geholfen ist mir aber nicht so wirklich ;(

Lupius 07.11.2007 21:06
ich weiß es .. das er drin war..denn mein antivir hat sich immer deaktiviert! werde mal ne log file hier rein sende..

Lupius 07.11.2007 21:08
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:06:37, on 07.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Neda & Patrick\Desktop\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Live Search:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Live Search:
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [shdef] cleared - Anti-sharK by s33k
O4 - HKLM\..\Run: [scvhost] cleared - Anti-sharK by s33k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?4283262c1d5e450ca5d200b99a11e5da
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?4283262c1d5e450ca5d200b99a11e5da
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 5275 bytes

cosinus 07.11.2007 21:22
Code:
O4 - HKLM\..\Run: [shdef] cleared - Anti-sharK by s33k
O4 - HKLM\..\Run: [scvhost] cleared - Anti-sharK by s33k
Da ist der Beweis - schon im HJT-Logfile ersichtlich. Das Neuaufsetzen des Systems ist unerlässlich, denn durch die Backdoor konnten auch mit großer Wahrscheinlichkeit andere Vollzugriff auf deinen Rechner erlangt haben.

Wie du dann in Zukunft die zwischenmenschlichen Beziehungen mit deinem "Freund" pflegst sei dir überlassen... :heilig:

Lupius 07.11.2007 21:27
und wenn ich diese einträge lösche?

Heike 07.11.2007 21:28
Zitat:
O4 - HKLM\..\Run: [shdef] cleared - Anti-sharK by s33k
cosinus, soweit ich mich erinnere gab es mal ein sharK-Entfernungstool von s33k, wie gut es war/ist habe ich nie getestet.

nichts desto trotz, format C: wäre hier wohl der richtige Weg. Passwörter danach ändern nicht vergessen.

cosinus 07.11.2007 21:33
Zitat:
Zitat von Heike
cosinus, soweit ich mich erinnere gab es mal ein sharK-Entfernungstool von s33k, wie gut es war/ist habe ich nie getestet.
Wenn ich den Eintrag richtig gedeutet habe, war der shark aber schonmal sehr sichtbar im System. shdef und scvhost bereiten bei mir Magenschmerzen... :balla:
Und dass der Status "cleared" vom angeblichen Entfernungstool definitiv nicht bedeutet, dass das System wieder sauber ist, müsste ich ja eigentlich nicht erwähnen oder? ;)

Danke für deinen Hinweis mit dem Passwortwechsel, ich vergesse es hin und wieder zu erwähnen! :daumenhoc

Lupius 07.11.2007 21:34
snief ;( dann danke ich euch ... für eure mühe ;)

Lupius 07.11.2007 22:02
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:58, on 07.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Neda & Patrick\Desktop\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Live Search:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Live Search:
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?4283262c1d5e450ca5d200b99a11e5da
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?4283262c1d5e450ca5d200b99a11e5da
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 5786 bytes



habe alles gelöscht in der registry.-- bei ccleaner... wie schaut denn der logfile aus?

wäre dankbar über eine antwort ;)

Heike 07.11.2007 22:45
mit ccleaner kriegst Du einen shark-server nicht weg, das kann ich Dir versichern. Er wäre auch in dem Log nicht unbedingt zu erkennen.

Domino 07.11.2007 23:20
System neu aufsetzen und Strafanzeige stellen.


Domino

Heike 07.11.2007 23:26
Zitat:
Zitat von Domino (Beitrag 303882)
System neu aufsetzen und Strafanzeige stellen.


Domino
ohne gerichtsfeste Beweismittel? :aplaus:

Ein Server wäre kein Beweis, das sollte doch klar sein, den kann sich ja schließlich jeder mal eben schnell selber machen. :rolleyes:

Vielleicht sind auch ein paar gecrackte Programme auf dem Server-PC? dann wäre ne Anzeige ein schönes Eigentor, oder?

Einfach unter Erfahrung abbuchen,
Heike, :teufel3:

Domino 07.11.2007 23:27
Strafanzeige stellen wirkt Wunder. :daumenhoc




Domino

Heike 07.11.2007 23:40
sicherlich :rolleyes:

möglichst viel davon mitnehmen


Zitat:
In einer Anlage zur Strafanzeige sollten dann die wesentlichen Determinanten des Vorfalles beschrieben werden.
  • Art und zeitlicher Rahmen des sicherheitskritischen Vorfalles.
  • Der Tatverdacht bezüglich eines potentiellen Täters sollte konkretisiert werden.
  • Alle Erkenntnisse über die Vorgehensweise des Täters. Eventuell ein Verweis auf die Nutzung von bereits vorhandener und bekannter Angriffssoftware, z.B. das bekannte MScan oder die neue Version SScan.
  • Darstellung der prinzipiellen Angriffsvariante (DoS-Attack, TCP/IP-Sniffer etc.) oder der Kombination der Angriffsvarianten.
  • Alle Erkenntnisse über den Weg des Täters. Welche IP-Adressen wurden genutzt. Ergeben sich aus den Logdaten Hinweise auf eine bestimmte Rufnummer. Gab es bereits einen direkten Kontakt (E-Mail, Chat etc.) ?
  • Über welches Know-How verfügt der Angreifer? Werden nur bekannte Sicherheitslücken ausgenutzt oder sind es bislang unbekannte Mechanismen über die der Täter Zugriff auf das kompromittierte EDV-System erlangt hat?
  • Gibt es, nach Erkenntnisstand des Systemadministrators, bereits Dokumentationen, Advisory's oder Sicherheitsbulletins zu dieser Angriffsvariante? Existieren eventuell schon Postings in den relevanten Newsgroups oder Mailing-Listen (WinSec, Bugtraq-Listen etc.)?
  • Welche Komponenten des Netzwerkes sind betroffen (Namserver, FTP-Server etc.)? Unter welchen Betriebssystemen arbeiten diese Einzelkomponenten? Eine grundsätzliche Darstellung der Netzwerkstruktur, gerade bei heterogenen Netzen, ist sinnvoll.
  • Welche Accounts wurden kompromittiert bzw. vom Täter genutzt? Welche Privilegien hatte er somit auf dem kompromittierten System?
  • Geben die Logdaten Hinweise auf mögliche E-mail Accounts? Gibt es Hinweise auf die Nutzung von Re-Mailern (eventuell durch eine vorangegangene Kontaktaufnahme)?
  • Jegliche Erkenntnisse über das System des Angreifers. Wenn möglich ist dieses sehr detailliert anzugeben (verwendetes Betriebssystem, Kernel Version, eventuelle Indizien für die Verwendung kryptographischer Applikationen etc.).
  • Indizien für die Manipulation von Logdatenbeständen. In welchem Umfang ist hiervon, soweit verifizierbar, auszugehen?
  • Gibt es Hinweise darauf, daß der Angreifer das eigene System nur als Medium nutzt, um andere Systeme anzugreifen und seine Aktivitäten zu anonymisieren? Falls dies verifizierbar ist, welche Erkenntnisse bestehen dann bezüglich dieser geschädigten Unternehmen bzw. Institutionen? Gab es bereits eine Verbindungsaufnahme zu anderen Geschädigten?
  • Welches Schadensausmaß wurde bislang bei der geschädigten Institution bzw. dem geschädigtem Unternehmen bekannt?
  • Die Intention des Täters. Welche - möglicherweise besonders sensiblen - Datenbestände erregen seine besondere Aufmerksamkeit?
  • Welche Maßnahmen wurden, im Kontext dieses Vorfalles, bislang von der geschädigten Instituiton bzw. von dem geschädigten Unternehmen veranlaßt?
  • Sind aus Sicht des geschädigten Unternehmens bzw. der geschädigten Institution Sofortmaßnahmen seitens der Ermittlungsbehörden notwendig? Dies sollte begründet und möglichst deutlich hervorgehoben werden.
DFN-CERT: Computerkriminalität aus Sicht von Ermittlungsbehörden

und

Zitat:
Der Begriff Computer-Forensik, IT-Forensik oder auch Digitale Forensik (engl. Computer Forensics, Digital Forensics, IT-Forensics) hat sich in den letzten Jahren für den Nachweis und die Ermittlung von Straftaten aus dem Bereich der Computerkriminalität durchgesetzt. In Anlehnung an die allgemeine Erklärung des lateinischen Wortes Forensik, ist die Computer Forensik ein Teilgebiet, das sich mit dem Nachweis und der Aufklärung von strafbaren Handlungen z.B. durch Analyse von digitalen Spuren beschäftigt. Themen wie Aufklärung nach Attacken durch Hacker oder Cracker sind ebenso relevant wie das Aufspüren von kinderpornografischem oder anderweitig illegalem Datenmaterial.
Was ist Computer-Forensik? - computer-forensik.org

Das Buch ist Übrigens sehr interessant :)

Domino 07.11.2007 23:50
Heike versucht gerade die Aufklärung einer Straftat zu vereiteln.
Sollte sie den Straftäter kennen ist alle Mühe vergebens. Davon ist aber nicht zwingend auszugehen, wir wissen es nicht.
Lasse dich nicht durch die Verharmlosung seitens Heike beeinflussen. Die Polizei hat durchaus Mittel den Straftäter zu identifizieren.
Wie du vorgehst ist vollkommen dir überlassen, (das Neuaufsetzen deines Rechners meine ich nicht, das ist ohnehin bedauerliche Pflicht.)

Aber lasse dir nicht einreden das Straftaten im Internet "einfach so dazugehören".


Domino

Heike 08.11.2007 00:00
Zitat:
Zitat von Domino (Beitrag 303887)
Heike versucht gerade die Aufklärung einer Straftat zu vereiteln.
Sollte sie den Straftäter kennen ist alle Mühe vergebens. Davon ist aber nicht zwingend auszugehen, wir wissen es nicht.
Lasse dich nicht durch die Verharmlosung seitens Heike beeinflussen. Die Polizei hat durchaus Mittel den Straftäter zu identifizieren.
Wie du vorgehst ist vollkommen dir überlassen, (das Neuaufsetzen deines Rechners meine ich nicht, das ist ohnehin bedauerliche Pflicht.)

Aber lasse dir nicht einreden das Straftaten im Internet "einfach so dazugehören".


Domino
wie bitte?
ich versuche die Aufklärung zu vereiteln, wenn ich sage, welche Beweismittel erforderlich sind?
Überlege Dir mal lieber, was Du hier von Dir gibst.
Ist das Rufmord? ist sowas nicht strafbar? Denke mal nach.

Have fun,
Heike :teufel3:

Domino 08.11.2007 00:11
Dann gib doch mal Tipps wie er sich wehren kann, anstatt ihn von einer Anzeige abzuhalten !
Wir sind hier auf einem Hilfeboard, nicht auf einem Hackerboard !

Wenn du dich wirklich so gut auskennst, dann hilf ihm/ihr doch mal.
Anstatt zu verharmlosen "geowned ist geowned".:heilig:

Das ist kein Spiel.


Domino

Heike 08.11.2007 01:07
"geowned ist geowned" ist eine Feststellung, sein PC ist nicht mehr sein PC, der Ratschlag zu formatieren wurde doch schon gegeben.

Wie kann man sich wehren?
System vernünftig konfigurieren, nicht alles anklicken und mißtrauisch sein. Dabei hilft vielleicht diese Erfahrung, vielleicht auch nicht, einige sind ja hier auch so was wie Stammgäste.

Das Internet ist eben doch keine Blümchenwiese geworden, aber es fliegt auch nichts auf einen PC, das liegt am Benutzer, bis auf sehr wenige Ausnahmen. Wehren kann man sich zukünftig in diesem Bereich (Wissen), und nicht hinterher, zumindestens nicht mit nicht unerheblichem Aufwand (gerichtsfeste Beweise).

Nach meiner Einschätzung erfolgen die meisten Infizierungen durch cracks und Sex-Angebote, und da gilt: wer sich in Gefahr begibt, dem kann eben sowas mal passieren. Und zu diesem Zeitpunkt fängt das Spiel an, mit dem Risiko was man selber, oft bewußt, eingeht.

mit Infizierungen durch "Freunde" rechnet man vielleicht nicht so, aber auch da muß man eben mißtrauisch sein. Das ist auch gelernt.

Also könnte die Chance recht hoch sein, dass so etwas nicht noch einmal passiert. Ist das kein Erfolg? Ich denke doch. :)

Beweise lassen sich nicht einfach erbringen, der PC muß weiter mit dem Server laufen, der dann auch illegal benutzt werden muß, weil man ja Beweise haben will. Und alles muß für den Attacker unbemerkbar geloggt werden, das ist nicht einfach. Beim ISP geloggte IPs? Die könnten von allem sein: Chat mit Direkt-Verbindung, privates File-Sharing, oder was anderes. Die sind erst mal gar kein kein Beweis.

Domino 08.11.2007 07:19
Einverstanden.

Ich würde den Beweis jedoch nicht auf seinem Rechner suchen. :D



Domino

Heike 08.11.2007 08:33
Domino, so einfach ist das doch alles nicht.

denke mal an folgendes:
ich infiziere mich mit einem Keylogger und lasse die Logs an Deine Mail-Adresse senden. Dann gehe ich zur Polizei und mache ne Anzeige. Du hättest die Logs wahrscheinlich als Spam entsorgt, weil Du nicht mal wüßtest was es ist, weil die Anlage verschlüsselt ist.

Wenn man Deiner Argumentation folgt hättest Du dann ein Problem. So kann es doch nicht sein, denn ohne Beweise ließe sich jeder sehr einfach zum Opfer machen, auch Du.

*Christian* 09.11.2007 20:26
Schon wahnsinn, wenn man solche Beiträge des Threaderstellers liest.
Ich würde auch Strafanzeige erstatten - wer weiss, wieviele Leute er dadurch noch infiziert hat. :pfui:

Sorry, aber ich kann's mir nicht verkneifen:
Vielleicht solltest du dir künftig deine Bekannte besser heraussuchen. ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:40 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129