Trojaner-Board
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hillfe bin infiziert worden - 500 Euro Rechnung!!!! (https://www.trojaner-board.de/2063-hillfe-infiziert-worden-500-euro-rechnung.html)

The Gunner 27.04.2003 17:29
Hi!

Ich habe heute gemerkt, dass ich mit einem Trojaner infiziert worden war. Leider habe ich heute auch gemerkt, dass ich eine Internetrechnung von 1000 (schweizer) Franken erhalten habe, das sind ungefähr 500 Euro. Ich befürchte, dass es für diesen Monat noch mehr werden.

Die Meldung der Firewall lautet so:

Virus: 'Troj/Cloner-U' gefunden in C:\WINNT\system32\spool\drivers\a103\Isass.exe

Es handelt sich beim Scanner um den Sophos.

Der Scanner hat nun dutzendemal versucht die Datei zu verschieben aber es nicht geschafft. Wahrscheinlich hat er es nicht geschafft, weil der Trojaner noch am laufen war. Da habe ich den Prozess beendet und siehe da er konnte ihn verschieben und zwar nach: C:\Programme\Sphos Sweep for NT\Enfected

Da habe ich auch nachgeschaut und den gefunden und diesen dann sofort auf Diskette gesichert. Nun leider wurde die Datei jetzt irgendwie vom Virenscanner verändert. Ich habe dann die Diskette genommen und habe sie auf einem andern PC reingesteckt und die Datei mit Kaspersky gescannt und der hat die Datei nicht mehr als Virus erkannt.

Nun meine Frage:

1. Wie kann ich die Datei wieder in den Originalzustand zurückwandeln?

2. Könnte ich hier jemand der wirklich drauskommt die Datei schicken, damit dieser mir den Namen der Person rauslesen kann, damit ich diese Anzeigen kann? Ich möchte bevor ich zur Polizei gehe den Namen der Person wissen.

Übrigens: Ich bin an einen Server angeschlossen. Der Server steht in einem Geschäft (das meinen Eltern gehört). Und der Server geht über einen Router ins I Net. Wir wohnen gleich über dem Geschäft und die PC's sind eben über ein Netzwerk miteinander verbunden. Der Trojaner war auf dem Server. Meine Mutter hat wahrscheinlich wieder irgendein Mail oder so was einfach geöffnet.

Also bitte hellft mir.

Interessant ist auch noch, dass in letzter Zeit plötzlich auf dem Bildschirm so anrüchige Sachen erschienen sind....

Ich kann mir aber nicht erklären warum die Rechnung so hoch war. Ein Dialer ist glaube ich nicht drauf, denn bei der Rechnung stand nix bei den 0900er Nummern. Und wir haben immer noch ISDN und da kann der Andere ja nur reinkommen, wenn ich gerade online bin. Aber ich habe da mal auf den Routerg eschaut und gemerkt, dass wir die ganze Zeit im Internet sind.

Help please

PS: Der Server ist Tag und nach an.

Lucky 27.04.2003 17:40
www.yaw.at runterladen und scannen lassen. (Mit Heuristik).

1) Ich bin mir nicht sicher, aber das ist normalerweise der Trojaner. Denn die Datei liegt definitiv nicht im Spooler Verzeichniss, also brauchst du die nicht in den Original Zustand zurück versetzen.
2) Kannste vergessen

Habt ihr einen Windows Server? Alles Sicherheitsupdates drauf?

[ 27. April 2003, 18:59: Beitrag editiert von: Lucky ]

raman 27.04.2003 18:00
Es muss nicht unbedingt ein Dialer sein, ich weiss ja nicht, ob er sich automatisch mit dem Internet verbinden kann, lass den Rechner mal 24h/7 Tage die Woche im Internet sein, da kommt schon eine groessere Summe heraus.
Das was mich mehr "beunruhigt", ist das der Virus laut Vgrep ein IRC Trojaner sein soll. Ihr last auf eurem Server einen (M)irc Client laufen??? Ihr solltet euer Sicherheitskonzept ueberdenken!

Es wird wohl sehr schwer nachzuweisen sein, wer euch die Malware untergeschoben hat. Diese information steht bestimmt nicht in dem Trojaner selber. Vieleicht kann jemand aus dem Board dir ja sagen, ob der Trojaner eine art Konfig oder Log Datei anlegt, wo er protokoliert, wohin er was geschickt hat.
[Edit] Habe den Vgrep Link vergessen: http://www.virusbtn.com/resources/vg...oner&product=0

[ 27. April 2003, 19:12: Beitrag editiert von: raman ]

JoJo 27.04.2003 18:11
Sophos hat vermutlich die Datei im Quarantäneordner leicht verschlüsselt, sodass keine Gefahr mehr von ihr ausgeht. Deswegen konnte wohl KAV auch nichts erkennen.

Ich wüßte jetzt auch nichts warum die Rchnung so hoch ist, ich vermute auch was mit Dailern, kann ja sein das sie vom Angreifer extra bei dir instaliert worden sind.

zu 2) also wenn die von der Polizei erfahren sollten dass du auch im RB unterwegs warst und dnoch bist, dann wird es mehr ein Eigentor.

vampire 27.04.2003 18:22
lloooooooooooooooooooooooooooooooooooll

entschuldige gunner, aber das musste sein.... :D

ps:ich hoffe wirklich, daß du nicht zahlen musst...

Cobra 27.04.2003 18:32
Du mußt bloß einen neuen Minotor (sic) kaufen, dann hat der Spuk ein Ende.

DFTT

Cobra

I_wanna_know 27.04.2003 18:35
Schadenfreude finde ich einfach zum kotzen, Gunner hat schon genug am Hals, da musst du ihn nicht noch auslachen.
Vor allem sollten Leute, die offen zugeben mit Trojaner rumzuhantieren sich nicht zu früh freuen, denn der Schuss kann schnell nach hinten losgehen.
Von daher wäre doch mal etwas konstruktives angebracht ;)
@ Gunner: Du kannst ja auch noch Ad-aware 6 installieren und updaten, sollte vielleicht auch was bringen.

Cobra 27.04.2003 18:45
</font><blockquote>Zitat:</font><hr />Original erstellt von I_wanna_know:
Von daher wäre doch mal etwas konstruktives angebracht ;) </font>[/QUOTE]Ich vergolde dieses Statement und halte auch weiterhin die Eselssteige offen.

Cobra

vampire 27.04.2003 19:10
hehehe@cobra... :cool:

@i_wanna_know,

ich hab doch gesagt was ich für ihn hoffe, das ist durchaus ernst gemeint...

gunni lies mal die assasin hilfe, ich weiss du bist begeistert... ;)

The Gunner 27.04.2003 19:43
Hi Leute!

@Lucky

</font><blockquote>Zitat:</font><hr /> 1) Ich bin mir nicht sicher, aber das ist normalerweise der Trojaner. Denn die Datei liegt definitiv nicht im Spooler Verzeichniss, also brauchst du die nicht in den Original Zustand zurück versetzen. </font>[/QUOTE]Wie meinst du das? Die Datei liegt im Spooler Verzeichnis. C:\WINNT\system32\spool\drivers\a103\Isass.exe
Da steht doch spool!!!!

Ich will ja nur den Originalzustand damit ich mir den Client von diesem Trojaner saugen kann und so die Daten auslesen kann.

Wie soll ich sonst die Daten auslesen?

Kann denn so ein Trojaner so hohe Kosten verursachen oder habe ich noch etwas Anderes drauf?

</font><blockquote>Zitat:</font><hr /> Habt ihr einen Windows Server? Alles Sicherheitsupdates drauf?
</font>[/QUOTE]Windows 2000 Server glaube ich, aber ob alle Sicherheitsupdates, ka.

@raman

Ja meine ich auch.

Kennst du denn den Cloner-U Trojaner?

</font><blockquote>Zitat:</font><hr /> Das was mich mehr "beunruhigt", ist das der Virus laut Vgrep ein IRC Trojaner sein soll. Ihr last auf eurem Server einen (M)irc Client laufen??? Ihr solltet euer Sicherheitskonzept ueberdenken! </font>[/QUOTE]Was ist das schlimme an einem IRC Trojaner? und wie sieht man ob man einen irc Client hat?

</font><blockquote>Zitat:</font><hr /> Vieleicht kann jemand aus dem Board dir ja sagen, ob der Trojaner eine art Konfig oder Log Datei anlegt, wo er protokoliert, wohin er was geschickt hat. </font>[/QUOTE]Weiss das jemand?

Bei den meisten Trojanern kann man den Trojaner ja einfach in den Client einlesen und dann sieht man was eingestellt ist.

@JoJo

</font><blockquote>Zitat:</font><hr /> Sophos hat vermutlich die Datei im Quarantäneordner leicht verschlüsselt, sodass keine Gefahr mehr von ihr ausgeht. Deswegen konnte wohl KAV auch nichts erkennen. </font>[/QUOTE]Vermute ich auch, denn jetzt ist sie keine ausführbare Datei mehr. Wie kann man sie denn Entschlüsseln, damit man sie in den Client einlesen kann?

Weiss denn jemand wo man sich den Cloner-U Trojaner runterladen kann bzw. den Client, damit ich den einlesen kann?

</font><blockquote>Zitat:</font><hr /> Ich wüßte jetzt auch nichts warum die Rchnung so hoch ist, ich vermute auch was mit Dailern, kann ja sein das sie vom Angreifer extra bei dir instaliert worden sind. </font>[/QUOTE]Was soll ich denn machen? Internet mal vorläufig abstellen? Wie finde ich den Dialer? Nur mit YAW?

</font><blockquote>Zitat:</font><hr /> zu 2) also wenn die von der Polizei erfahren sollten dass du auch im RB unterwegs warst und dnoch bist, dann wird es mehr ein Eigentor. </font>[/QUOTE]Vom Server aus bin ich ja nie ins RB gegangen, nur immer vom Home PC.

@I_wanna_know

Danke.

@vampire?

</font><blockquote>Zitat:</font><hr /> gunni lies mal die assasin hilfe, ich weiss du bist begeistert... </font>[/QUOTE]Was soll diese Anspielung?

@Cobra

</font><blockquote>Zitat:</font><hr /> Du mußt bloß einen neuen Minotor (sic) kaufen, dann hat der Spuk ein Ende.

DFTT
</font>[/QUOTE]Was soll das? Und was zum Teufel ist ein Minotor (sic)?

vampire 27.04.2003 19:52
</font><blockquote>Zitat:</font><hr />Original erstellt von The Gunner:

@vampire?

</font><blockquote>Zitat:</font><hr /> gunni lies mal die assasin hilfe, ich weiss du bist begeistert... </font>[/QUOTE]</font>[/QUOTE]mach's einfach mal, hol dir assasin 2.0, du kommst auch drin vor... [img]graemlins/lach.gif[/img]

hier darf ich den link dahin nicht posten (ich weiss du hast ihn vergessen) sonst wäre ich dir gern behilflich...

Lucky 27.04.2003 20:05
Willst du denn Trojaner garnicht weg haben?
Und ausserdem ist mir kein Trojaner bekannt, der Telefonrechnung in die Höhe treibt.

[ 27. April 2003, 21:18: Beitrag editiert von: Lucky ]

raman 27.04.2003 20:19
</font><blockquote>Zitat:</font><hr />Original erstellt von The Gunner:

Wie soll ich sonst die Daten auslesen?
Kann denn so ein Trojaner so hohe Kosten verursachen oder habe ich noch etwas Anderes drauf?
</font>[/QUOTE]Man kann schlecht sagen, was der Trojaner angerichtet hat, da wir ja niocht genau wissen, wie euer System aufgebaut/konfiguriert ist. Es kann durchaus sein, das der Trojaner nur ein "Hallo ich bin hier, connectet mich" ausgesand hat, aber aufgrund eures Routers niemand von ausserhalb in der lage war, kontakt zu dem Trojaner aufzunehmen.
Was deine Dialer Befuerchtung angeht, rechne doch einfach. Ich weiss ja nicht, was ihr fuer einen Internettarif bezahlt( Keine Flaterate, oder?), aber wenn der Trojaner 20 Tage auf dem Rechner ist und ihr dadurch 24 Std. taeglich online gewesen seit, kaeme ungefaehr ein Minutenpreis von 1,5 Cent heraus. Das koennte realistisch sein.

Nutzt ihr denn eine Internet Chat Software? Kann deine Mutter was dazu sagen? Unbekannte Email oder aehnlich?

backdoor2 27.04.2003 20:21
Gunner, mein Rat an Dich:

Zahl den Scheiß, wenn Du mußt. UND DANN (bevor Du wieder Postings im RB und TB machst, über die alle nur den Kopf schütteln,) kauf Dir mal ein paar anständige Bücher (für 1000 Franken hättest Du bestimmt eine ansehnliche Sammlung gehabt), klemm Dich ein 1/2 Jahr hinter eben diese, damit Du wenigstens mal ein paar Grundbegriffe kennst ("Woran erkenne ich, ob ich einen Irc-Client habe?") und dann komm wieder...

Sicherlich ist sowas nicht schön und ich wünsche das niemanden (auch nicht Dir), aber wenn jemand wie Du, mit 0,000000000 Peilung von irgendeiner Materie, mit RATs rumspielst, dann muss das zwangsläufig so kommen.

Ich weiß das Dich das jetzt nicht weiter bringt. Und ich wünsche Dir, daß sich der Schaden in Ordnung bringen läßt. Aber ansonsten mußt Du es wohl als "Lehrgeld" sehen.

Leider glaube ich aber, daß es wahrscheinlicher ist, daß Du resistent gegen gut gemeinte Ratschläge und Bücher bist und wieder so weitermachst wie gehabt...

[img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img]

Heike 27.04.2003 20:24
@vampire,
aber wir beide würden Gunner doch die Hilfe-Datei senden, oder?
Er muß sie doch auch für die Enkel aufheben, er ist doch in die Geschichte der Fernwartungsprogramme eingegangen. :D

@all,
gunner ist in der Hilfe nur ein Name, der zufällig gewählt wurde und mit keiner Person in Verbindung gebracht werden sollte.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:46 Uhr.
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28