der sub7 könnte mit einem webdownloader auf dem rechner installiert worden sein...eingefangen von einer präparierten seite...

Mr. Evil == Mr.Evil3000?

Crossposten ohne Ankündigung ist böse, gerade in solch einem Fall.

@ Mr. Evil:
Du persönlich solltest an dem Rechner gar nichts mehr machen, auch keine (guten) Ratschläge aus diesem Forum befolgen. Deine Anwältin soll sich jemanden suchen, der ein fundiertes Gutachten erstellen kann. Je mehr jetzt daran rumgepfuscht wird, desto weniger aussagekräftig kann so ein Gutachten sein.

Gruß :daumenhoc
Yopie

mmh,glaube ich kaum,also SubSeven ansich exestiert seit 1999 glaube ich in etwa,weiss nich mehr genau,daher wäre S7 eigentlich relativ uneffektiv,oder findest du nicht?

Mag zwar sein,das deine Vermutung zutrifft,aber da gibts mittlerweile "zuverlässigere"Tools sozusagen,...würde ich mal behaupten...

Sagte ich ja schon in meinem Eingangsposting,da Freiheitsstrafe recht hoch sein könnte... Finger weg von dem PC!!!!

Ich habe ebenfalls nichts anderes dazu gesagt. In dem Link stand ja, dass er den am besten in ruhe lassen sollte wegen beweissicherung.
@mr. evil wie schon meine vorredner gesagt haben; nichts mehr am pc verändern.

@kautz:
Ja, hast recht, wurde schon gesagt. Dürfte aber wahrscheinlich eh schon ziemlich vermurkst sein, wenn ich mir den Thread im anderen Forum so ansehe...

Was ich mich nur frage: Wie kann man auf die Telefonnummer des OPs schließen, wenn der OP nicht vor Ort war, und der Rechner aus / nicht online war, was ich jetzt mal annehme? Das kommt mir alles ziemlich seltsam / unglaubwürdig vor...

Gruß :daumenhoc
Yopie

nein, finde ich nicht !
subseven ist genau das richtige tool für so eine aktion. version 1.0 wurde zwar 1999 released, ist dann aber ständig weiterentwickelt worden...

1.0?!

Weiterentwickelt?

Ja,mit einigen Bugs,pracktisch unbrauchbar....!

Ist nun auch egal s7 als RAT zu nutzen ist in meinen Augen fahrlässig!


Gruss

JA, ich habe im Board-protecus gepostet, aber das war vor der Anklage/Akteneinsicht.
Die Antworten da waren auch nicht so toll und außerdem dauerte es immer ewig bis zu einer Antwort, da komme ich mir hier besser aufgehoben vor.
Also mein Virenscanner hat wohl mal was erkannt, das war im APRIL 2004, so geht es aus meinen LOG-Daten hervor. Da habe ich mir dann aber wohl nichts weiter bei gedacht.
Der Server ändert ständig seinen Namen (hab ihn mal auf nen anderen -offline PC- gezogen), denn wenn ich ihn lösche (abgesicherter Modus) kommt er unter anderem Namen einfach wieder.
Mein Norton-AV scheint ziemlich machtlos zu sein, entweder erkennt er gar nichts oder er kann den Trojaner nicht löschen und meldet sich dann auch nicht mehr.

Was die Beweissicherung angeht:
Seit dem Finden des Trojans ist der Rechner off.
Die Feststellungen (Auslesen der ICQ-Notification) die ich im Protecus-Forum erwähnt habe, habe ich auf dem Off-PC gemacht.

Zu der Sache, dass man mir die IPs zugeordnet hätte, obwohl ich off war:
War ein Bluff der Polizei :schrei: , die Aktenlage (Auskunft von T-Online) sagt was anderes.

Es sind lt. T-Online merkwürdigerweise zu gewissen Zeitpunkten IPs vergeben worden, die aber an keine Session bzw. keinen User gekoppelt waren.


Also verstehe ich das richtig:

Der Trojaner mit gewisser Ähnlichkeit zu Sub7 ist dafür verantwortlich, dass über meine IP ein Online-Fax gelaufen ist?

ja, weiterentwickelt,
sub7 existiert in 12 versionen. davon funktionieren mindestens 6 sehr zufriedenstellend...
nur version 2.2 ist so buggy, daß sie praktisch unbrauchbar ist...

Es sollte eigentlich egal sein,wieviel Versionen es gibt von SubSeven!

Als RAT kann man auch bedenkenlos VNC oder Radmin nutzen!

Ist nun auch ein anderes Thema der TE hat eben ein ernsthaftes Problem!Wahrscheinlich durch s7!


Gruss

ja, das verstehst richtig.
was du schilderst, passt auch genau zu subseven.
der trojaner verfügt über die option ihn ständig mit einem zufälligen namen neu starten zu lassen.
du hättest lediglich den eintrag "winloader" in der reg löschen müssen, und der spuk wäre vorbei gewesen...

Habe ich auf dem Off-PC gemacht.
Dann kommt das Ding wieder zurück, nur nicht unter [WinLoader] sondern unter [WinStarter].

Als T-Online-Nutzer mit Modemzugang hast Du vermutlich sowieso wechselnde IPs. Wenn also eine IP zu einem Zeitpunkt Dir zugeordnet wird, dann liegt das an den verwendeten Login-Daten, also Benutzername und Passwort. Nehme ich jedenfalls an, ich habe mit T-Online allerdings keine Erfahrung. Wenn Dein Rechner zu diesem Zeitpunkt nicht am Netz war, dann hat sich jemand an einem anderen Rechner mit Deinen Daten angemeldet, wie Bolivar schon meinte. Dann wäre aber dafür S7 nicht verantwortlich.

Wenn Du doch online warst, dann kommt S7 ins Spiel. Was der wie kann, und was nicht, weiß ich nicht, ich habe damit keine Erfahrung.

An die Netzwerkexperten: Sehe ich das so richtig?

Gruß :daumenhoc
Yopie

@ yopie,

ja, das siehst du völlig richtig :daumenhoc