|
Hi! Ich habe heute gemerkt, dass ich mit einem Trojaner infiziert worden war. Leider habe ich heute auch gemerkt, dass ich eine Internetrechnung von 1000 (schweizer) Franken erhalten habe, das sind ungefähr 500 Euro. Ich befürchte, dass es für diesen Monat noch mehr werden. Die Meldung der Firewall lautet so: Virus: 'Troj/Cloner-U' gefunden in C:\WINNT\system32\spool\drivers\a103\Isass.exe Es handelt sich beim Scanner um den Sophos. Der Scanner hat nun dutzendemal versucht die Datei zu verschieben aber es nicht geschafft. Wahrscheinlich hat er es nicht geschafft, weil der Trojaner noch am laufen war. Da habe ich den Prozess beendet und siehe da er konnte ihn verschieben und zwar nach: C:\Programme\Sphos Sweep for NT\Enfected Da habe ich auch nachgeschaut und den gefunden und diesen dann sofort auf Diskette gesichert. Nun leider wurde die Datei jetzt irgendwie vom Virenscanner verändert. Ich habe dann die Diskette genommen und habe sie auf einem andern PC reingesteckt und die Datei mit Kaspersky gescannt und der hat die Datei nicht mehr als Virus erkannt. Nun meine Frage: 1. Wie kann ich die Datei wieder in den Originalzustand zurückwandeln? 2. Könnte ich hier jemand der wirklich drauskommt die Datei schicken, damit dieser mir den Namen der Person rauslesen kann, damit ich diese Anzeigen kann? Ich möchte bevor ich zur Polizei gehe den Namen der Person wissen. Übrigens: Ich bin an einen Server angeschlossen. Der Server steht in einem Geschäft (das meinen Eltern gehört). Und der Server geht über einen Router ins I Net. Wir wohnen gleich über dem Geschäft und die PC's sind eben über ein Netzwerk miteinander verbunden. Der Trojaner war auf dem Server. Meine Mutter hat wahrscheinlich wieder irgendein Mail oder so was einfach geöffnet. Also bitte hellft mir. Interessant ist auch noch, dass in letzter Zeit plötzlich auf dem Bildschirm so anrüchige Sachen erschienen sind.... Ich kann mir aber nicht erklären warum die Rechnung so hoch war. Ein Dialer ist glaube ich nicht drauf, denn bei der Rechnung stand nix bei den 0900er Nummern. Und wir haben immer noch ISDN und da kann der Andere ja nur reinkommen, wenn ich gerade online bin. Aber ich habe da mal auf den Routerg eschaut und gemerkt, dass wir die ganze Zeit im Internet sind. Help please PS: Der Server ist Tag und nach an. |
www.yaw.at runterladen und scannen lassen. (Mit Heuristik). 1) Ich bin mir nicht sicher, aber das ist normalerweise der Trojaner. Denn die Datei liegt definitiv nicht im Spooler Verzeichniss, also brauchst du die nicht in den Original Zustand zurück versetzen. 2) Kannste vergessen Habt ihr einen Windows Server? Alles Sicherheitsupdates drauf? [ 27. April 2003, 18:59: Beitrag editiert von: Lucky ] |
Es muss nicht unbedingt ein Dialer sein, ich weiss ja nicht, ob er sich automatisch mit dem Internet verbinden kann, lass den Rechner mal 24h/7 Tage die Woche im Internet sein, da kommt schon eine groessere Summe heraus. Das was mich mehr "beunruhigt", ist das der Virus laut Vgrep ein IRC Trojaner sein soll. Ihr last auf eurem Server einen (M)irc Client laufen??? Ihr solltet euer Sicherheitskonzept ueberdenken! Es wird wohl sehr schwer nachzuweisen sein, wer euch die Malware untergeschoben hat. Diese information steht bestimmt nicht in dem Trojaner selber. Vieleicht kann jemand aus dem Board dir ja sagen, ob der Trojaner eine art Konfig oder Log Datei anlegt, wo er protokoliert, wohin er was geschickt hat. [Edit] Habe den Vgrep Link vergessen: http://www.virusbtn.com/resources/vg...oner&product=0 [ 27. April 2003, 19:12: Beitrag editiert von: raman ] |
Sophos hat vermutlich die Datei im Quarantäneordner leicht verschlüsselt, sodass keine Gefahr mehr von ihr ausgeht. Deswegen konnte wohl KAV auch nichts erkennen. Ich wüßte jetzt auch nichts warum die Rchnung so hoch ist, ich vermute auch was mit Dailern, kann ja sein das sie vom Angreifer extra bei dir instaliert worden sind. zu 2) also wenn die von der Polizei erfahren sollten dass du auch im RB unterwegs warst und dnoch bist, dann wird es mehr ein Eigentor. |
lloooooooooooooooooooooooooooooooooooll entschuldige gunner, aber das musste sein.... :D ps:ich hoffe wirklich, daß du nicht zahlen musst... |
Du mußt bloß einen neuen Minotor (sic) kaufen, dann hat der Spuk ein Ende. DFTT Cobra |
Schadenfreude finde ich einfach zum kotzen, Gunner hat schon genug am Hals, da musst du ihn nicht noch auslachen. Vor allem sollten Leute, die offen zugeben mit Trojaner rumzuhantieren sich nicht zu früh freuen, denn der Schuss kann schnell nach hinten losgehen. Von daher wäre doch mal etwas konstruktives angebracht ;) @ Gunner: Du kannst ja auch noch Ad-aware 6 installieren und updaten, sollte vielleicht auch was bringen. |
</font><blockquote>Zitat:</font><hr />Original erstellt von I_wanna_know: Von daher wäre doch mal etwas konstruktives angebracht ;) </font>[/QUOTE]Ich vergolde dieses Statement und halte auch weiterhin die Eselssteige offen. Cobra |
hehehe@cobra... :cool: @i_wanna_know, ich hab doch gesagt was ich für ihn hoffe, das ist durchaus ernst gemeint... gunni lies mal die assasin hilfe, ich weiss du bist begeistert... ;) |
Hi Leute! @Lucky </font><blockquote>Zitat:</font><hr /> 1) Ich bin mir nicht sicher, aber das ist normalerweise der Trojaner. Denn die Datei liegt definitiv nicht im Spooler Verzeichniss, also brauchst du die nicht in den Original Zustand zurück versetzen. </font>[/QUOTE]Wie meinst du das? Die Datei liegt im Spooler Verzeichnis. C:\WINNT\system32\spool\drivers\a103\Isass.exe Da steht doch spool!!!! Ich will ja nur den Originalzustand damit ich mir den Client von diesem Trojaner saugen kann und so die Daten auslesen kann. Wie soll ich sonst die Daten auslesen? Kann denn so ein Trojaner so hohe Kosten verursachen oder habe ich noch etwas Anderes drauf? </font><blockquote>Zitat:</font><hr /> Habt ihr einen Windows Server? Alles Sicherheitsupdates drauf? </font>[/QUOTE]Windows 2000 Server glaube ich, aber ob alle Sicherheitsupdates, ka. @raman Ja meine ich auch. Kennst du denn den Cloner-U Trojaner? </font><blockquote>Zitat:</font><hr /> Das was mich mehr "beunruhigt", ist das der Virus laut Vgrep ein IRC Trojaner sein soll. Ihr last auf eurem Server einen (M)irc Client laufen??? Ihr solltet euer Sicherheitskonzept ueberdenken! </font>[/QUOTE]Was ist das schlimme an einem IRC Trojaner? und wie sieht man ob man einen irc Client hat? </font><blockquote>Zitat:</font><hr /> Vieleicht kann jemand aus dem Board dir ja sagen, ob der Trojaner eine art Konfig oder Log Datei anlegt, wo er protokoliert, wohin er was geschickt hat. </font>[/QUOTE]Weiss das jemand? Bei den meisten Trojanern kann man den Trojaner ja einfach in den Client einlesen und dann sieht man was eingestellt ist. @JoJo </font><blockquote>Zitat:</font><hr /> Sophos hat vermutlich die Datei im Quarantäneordner leicht verschlüsselt, sodass keine Gefahr mehr von ihr ausgeht. Deswegen konnte wohl KAV auch nichts erkennen. </font>[/QUOTE]Vermute ich auch, denn jetzt ist sie keine ausführbare Datei mehr. Wie kann man sie denn Entschlüsseln, damit man sie in den Client einlesen kann? Weiss denn jemand wo man sich den Cloner-U Trojaner runterladen kann bzw. den Client, damit ich den einlesen kann? </font><blockquote>Zitat:</font><hr /> Ich wüßte jetzt auch nichts warum die Rchnung so hoch ist, ich vermute auch was mit Dailern, kann ja sein das sie vom Angreifer extra bei dir instaliert worden sind. </font>[/QUOTE]Was soll ich denn machen? Internet mal vorläufig abstellen? Wie finde ich den Dialer? Nur mit YAW? </font><blockquote>Zitat:</font><hr /> zu 2) also wenn die von der Polizei erfahren sollten dass du auch im RB unterwegs warst und dnoch bist, dann wird es mehr ein Eigentor. </font>[/QUOTE]Vom Server aus bin ich ja nie ins RB gegangen, nur immer vom Home PC. @I_wanna_know Danke. @vampire? </font><blockquote>Zitat:</font><hr /> gunni lies mal die assasin hilfe, ich weiss du bist begeistert... </font>[/QUOTE]Was soll diese Anspielung? @Cobra </font><blockquote>Zitat:</font><hr /> Du mußt bloß einen neuen Minotor (sic) kaufen, dann hat der Spuk ein Ende. DFTT </font>[/QUOTE]Was soll das? Und was zum Teufel ist ein Minotor (sic)? |
</font><blockquote>Zitat:</font><hr />Original erstellt von The Gunner: @vampire? </font><blockquote>Zitat:</font><hr /> gunni lies mal die assasin hilfe, ich weiss du bist begeistert... </font>[/QUOTE]</font>[/QUOTE]mach's einfach mal, hol dir assasin 2.0, du kommst auch drin vor... [img]graemlins/lach.gif[/img] hier darf ich den link dahin nicht posten (ich weiss du hast ihn vergessen) sonst wäre ich dir gern behilflich... |
Willst du denn Trojaner garnicht weg haben? Und ausserdem ist mir kein Trojaner bekannt, der Telefonrechnung in die Höhe treibt. [ 27. April 2003, 21:18: Beitrag editiert von: Lucky ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von The Gunner: Wie soll ich sonst die Daten auslesen? Kann denn so ein Trojaner so hohe Kosten verursachen oder habe ich noch etwas Anderes drauf? </font>[/QUOTE]Man kann schlecht sagen, was der Trojaner angerichtet hat, da wir ja niocht genau wissen, wie euer System aufgebaut/konfiguriert ist. Es kann durchaus sein, das der Trojaner nur ein "Hallo ich bin hier, connectet mich" ausgesand hat, aber aufgrund eures Routers niemand von ausserhalb in der lage war, kontakt zu dem Trojaner aufzunehmen. Was deine Dialer Befuerchtung angeht, rechne doch einfach. Ich weiss ja nicht, was ihr fuer einen Internettarif bezahlt( Keine Flaterate, oder?), aber wenn der Trojaner 20 Tage auf dem Rechner ist und ihr dadurch 24 Std. taeglich online gewesen seit, kaeme ungefaehr ein Minutenpreis von 1,5 Cent heraus. Das koennte realistisch sein. Nutzt ihr denn eine Internet Chat Software? Kann deine Mutter was dazu sagen? Unbekannte Email oder aehnlich? |
Gunner, mein Rat an Dich: Zahl den Scheiß, wenn Du mußt. UND DANN (bevor Du wieder Postings im RB und TB machst, über die alle nur den Kopf schütteln,) kauf Dir mal ein paar anständige Bücher (für 1000 Franken hättest Du bestimmt eine ansehnliche Sammlung gehabt), klemm Dich ein 1/2 Jahr hinter eben diese, damit Du wenigstens mal ein paar Grundbegriffe kennst ("Woran erkenne ich, ob ich einen Irc-Client habe?") und dann komm wieder... Sicherlich ist sowas nicht schön und ich wünsche das niemanden (auch nicht Dir), aber wenn jemand wie Du, mit 0,000000000 Peilung von irgendeiner Materie, mit RATs rumspielst, dann muss das zwangsläufig so kommen. Ich weiß das Dich das jetzt nicht weiter bringt. Und ich wünsche Dir, daß sich der Schaden in Ordnung bringen läßt. Aber ansonsten mußt Du es wohl als "Lehrgeld" sehen. Leider glaube ich aber, daß es wahrscheinlicher ist, daß Du resistent gegen gut gemeinte Ratschläge und Bücher bist und wieder so weitermachst wie gehabt... [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] |
@vampire, aber wir beide würden Gunner doch die Hilfe-Datei senden, oder? Er muß sie doch auch für die Enkel aufheben, er ist doch in die Geschichte der Fernwartungsprogramme eingegangen. :D @all, gunner ist in der Hilfe nur ein Name, der zufällig gewählt wurde und mit keiner Person in Verbindung gebracht werden sollte. |
</font><blockquote>Zitat:</font><hr />Original erstellt von The Gunner: Der Trojaner war auf dem Server. Meine Mutter hat wahrscheinlich wieder irgendein Mail oder so was einfach geöffnet.</font>[/QUOTE]Typischer Fall von "selbst schuld". Auf einem Server arbeitet man nicht. </font><blockquote>Zitat:</font><hr />Also bitte hellft mir.</font>[/QUOTE]Forensik bei einem gehackten Server? Du kennst die üblichen Stundensätze? ;) </font><blockquote>Zitat:</font><hr />Ich kann mir aber nicht erklären warum die Rechnung so hoch war.</font>[/QUOTE]Ich nehme an, bei eurem ISDN bezahlt ihr pro Minute und ihr habt keine Flatrate. Vermutlich war euer Server die ganze zeit mit dem Internet verbunden, weil der Trojaner Daten versendet oder empfangen hat. Vielleicht hat sogar jemand einen DDOS-Zombie plaziert... ciao |
</font><blockquote>Zitat:</font><hr />Original erstellt von Heike: @vampire, aber wir beide würden Gunner doch die Hilfe-Datei senden, oder? Er muß sie doch auch für die Enkel aufheben, er ist doch in die Geschichte der Fernwartungsprogramme eingegangen. :D @all, gunner ist in der Hilfe nur ein Name, der zufällig gewählt wurde und mit keiner Person in Verbindung gebracht werden sollte. </font>[/QUOTE]@Heike natürlich würden wir das tun, alles andere wäre eine unterlassungssünde... ;) |
</font><blockquote>Zitat:</font><hr />Original erstellt von Cobra: Du mußt bloß einen neuen Minotor (sic) kaufen, dann hat der Spuk ein Ende. DFTT Cobra </font>[/QUOTE]LOL das wäre mit der Grafikkarte _mit_ PRO nicht passiert :D *scnr* </font><blockquote>Zitat:</font><hr />Gunni: Interessant ist auch noch, dass in letzter Zeit plötzlich auf dem Bildschirm so anrüchige Sachen erschienen sind.... </font>[/QUOTE]jetzt mal im Ernst: Anrüchige Sachen wären mit neuem Monitor noch schöner gewesen :D |
@The Gunner bist Du sicher, dass es sich um die Datei Isass.exe handelt und nicht um die Datei Lsass.exe? Die Datei Lsass.exe gehört nämlich zu den Systemdateien. <zitat> Windows NT4/2000/XP only. LSASS is the Local Security Authentication Server. It verifies the validity of user logons to your PC/Server (in technical jargon : it generates the process that is responsible for authenticating users for the Winlogon service). <Zitat ende> Gruß T_R_G |
Trotz des Hohn und Spotts den du hier erntest, versuche ich mal eine erste Analyse: Es könnte sicherlich ein Trojanersein und du solltest überlegen, ob du zB im Rahmen deiner regelmäßigen Besuche auf einem Forum etwas heruntergeladen hast, was einen Trojaner darstellen könnte. Du könntest einen fertigen Trojaner erhalten haben, als auch dir selber einen isntaliert haben, den nun ein anderer ausnutzt. Dafür empehle ich die Nutzung von KAV, das du über alle angeschlossenen Computer laufen lassen solltest. So liesen sich auch Viren entdecken! Auf dem Server sollte schnellstmöglich ein Update gemacht werden! Gerade Win Server haben dies regelmäßig nötig! Wenn der Server von einem Virus befallen ist, kann es sein, dass er ununterbrochen Viren versendet!(windowsupdate.com) Weiterhin sollten alle angeschlossenen Computer auf Spyware mit Aadaware oder Spybot Search and Destroy untersucht werden. Da du, wie üblich, kaum etwas über euer System gesagt hast, wäre es auch möglich, das du spyware auf dem Rechner hast, die permantent irgendetwas gesendet hat und deswegen die Internetverbindung offen gehalten hat! Für weiteres solltet ihr euch jemanden besorgen, der sich damit auskennt! Es gibt Arbeiten, die man dir nicht unbedingt zutrauen wird und die dir auch keine erklären wird, da das Grundwissen bei dir einfach fehlt! PAra |
Hi Leute! @vampire </font><blockquote>Zitat:</font><hr /> mach's einfach mal, hol dir assasin 2.0, du kommst auch drin vor... hier darf ich den link dahin nicht posten (ich weiss du hast ihn vergessen) sonst wäre ich dir gern behilflich... </font>[/QUOTE]Du kannst ja hier einfach den Text hinschreiben. @Lucky </font><blockquote>Zitat:</font><hr /> Willst du denn Trojaner garnicht weg haben? Und ausserdem ist mir kein Trojaner bekannt, der Telefonrechnung in die Höhe treibt. </font>[/QUOTE]Klar will ich ihn weg haben und habe ihn bereits weg, aber ich bin nicht sicher ob der Trojaner die hohen Kosten verursacht hat. Gibt es denn einen Trojaner der die ganze Zeit die Leitung offen hällt, also man die ganze Zeit online ist? Komisch ist nur, dass ich am meisten beim Moonlight surf ausgegeben habe, aber um diese Zeit war ich gar nie drin und zu dieser Zeit sind die Tarife ja am günstigsten. Wie kann ich nun kontrollieren ob wieder alles Ok ist mit der Verbindung, also ob ich immer noch so hoche Rechnungen habe, ohne auf die Rechnung warten zu müssen? @raman </font><blockquote>Zitat:</font><hr /> Man kann schlecht sagen, was der Trojaner angerichtet hat, da wir ja niocht genau wissen, wie euer System aufgebaut/konfiguriert ist. Es kann durchaus sein, das der Trojaner nur ein "Hallo ich bin hier, connectet mich" ausgesand hat, aber aufgrund eures Routers niemand von ausserhalb in der lage war, kontakt zu dem Trojaner aufzunehmen. </font>[/QUOTE]Ja. Eben es ist ein Windows 2000 Server mit Router. Wenn niemand in der Lage war Kontakt aufzunehmen, warum dann die hohe Rechnung? </font><blockquote>Zitat:</font><hr /> ( Keine Flaterate, oder?), </font>[/QUOTE]Nein keine Flatrate. </font><blockquote>Zitat:</font><hr /> aber wenn der Trojaner 20 Tage auf dem Rechner ist und ihr dadurch 24 Std. taeglich online gewesen seit, </font>[/QUOTE]Trojaner war wahrscheinlich mehr als 20 Tage drauf. Die hohe Rechnung die wir gekriegt haben ist ja noch vom letzten Monat. Die Rechnung dieses Monates folgt erst noch. Ich weiss nicht wann der Trojaner letzten Monat draufgekommen ist. </font><blockquote>Zitat:</font><hr /> Nutzt ihr denn eine Internet Chat Software? Kann deine Mutter was dazu sagen? Unbekannte Email oder aehnlich? </font>[/QUOTE]Nein keine Internet Chat Software. Unbekannt Email, glaube schon. Also es kam ja plötzlich so ein blödes Fenster auf dem Bildschirm. Und bei meiner Mutter kam mal bei einem Email ne Meldung das da irgendein unbekannter Virus gefunden wurde, aber es war ja eigentlich nur ein Word Dok. und bei Word Doks können ja keine Viren drin sein. </font><blockquote>Zitat:</font><hr /> ("Woran erkenne ich, ob ich einen Irc-Client habe?") </font>[/QUOTE]Kommt schon, sagt es mir. Was ist denn das schlimme an IRC Trojanern? </font><blockquote>Zitat:</font><hr /> Sicherlich ist sowas nicht schön und ich wünsche das niemanden (auch nicht Dir), aber wenn jemand wie Du, mit 0,000000000 Peilung von irgendeiner Materie, mit RATs rumspielst, dann muss das zwangsläufig so kommen. </font>[/QUOTE]Es war nicht meine Schuld. Ich bin nie am Server und habe da auch nichts ausgeführt. @Heike </font><blockquote>Zitat:</font><hr /> aber wir beide würden Gunner doch die Hilfe-Datei senden, oder? </font>[/QUOTE]Welche Hilfe Datei? </font><blockquote>Zitat:</font><hr /> Forensik bei einem gehackten Server? Du kennst die üblichen Stundensätze? </font>[/QUOTE]Wie? </font><blockquote>Zitat:</font><hr /> Vielleicht hat sogar jemand einen DDOS-Zombie plaziert... </font>[/QUOTE]Was ist ein DDOS-Zombie? </font><blockquote>Zitat:</font><hr /> bist Du sicher, dass es sich um die Datei Isass.exe handelt und nicht um die Datei Lsass.exe? </font>[/QUOTE]Ich denke schon es war die Isass.exe. Sie wurde ja auch vom Virenprogramm erkannt und entfernt. Und befindet sich die Lsass.exe im selben Verzeichnis? </font><blockquote>Zitat:</font><hr /> Da du, wie üblich, kaum etwas über euer System gesagt hast, wäre es auch möglich, das du spyware auf dem Rechner hast, die permantent irgendetwas gesendet hat und deswegen die Internetverbindung offen gehalten hat! </font>[/QUOTE]Was soll ich denn übers System sagen? Wie kriege ich die Spyware vom Rechner? Also ich die Rechnung gesehen habe und gemerkt habe, dass so ein Trojaner drauf ist, habe ich mal auf den Router geschaut und gesehen, dass eine Leitung (der zwei ISDN Leitungen) dauernd besetzt war. Als ich dann den Trojaner weg gemacht habe waren beide Leitungen wieder frei. Als ich dann aber in I Net ging war die Leitung wieder besetzt und als ich raus ging war sie immer noch besetzt, aber nach ca. 5 min. erlosch das Licht. Braucht ein Router immer so lange um das zu merken? Komisch ist nur, dass die Virensoftware erst so spät Alarm geschlagen hat. Ich meine sie macht ja jeden Tag einen check. Wie kann ich das anstellen, dass wir die Rechnung (und die folgende) nicht zahlen müssen? Kennt jemand den Trojaner der mich befallen hat? [ 28. April 2003, 12:48: Beitrag editiert von: The Gunner ] |
"Ja. Eben es ist ein Windows 2000 Server mit Router. Wenn niemand in der Lage war Kontakt aufzunehmen, warum dann die hohe Rechnung?" Ganz einfach, der Trojaner koennte ja andauernt Pings in richtung Internet gesendet haben und durch diesen Traffic wird die Verbindung halt aufrecht erhalten. Dann kommt schon schnell mal 500 Euro zusammen, nur durch die Gebuehr an euren Provider. Greif doch mal den Vorschlag von "Paranoia" auf und hol dir jemanden, der mehr Wissen in Bezug auf Malware oder Computer im allgemeinen hat. Wer hat euch denn den Router und die Rechner eingerichtet. Die Person wird euch mehr verraten koennen, zum Beispiel, wie ihr den Router so einstellt, das er nicht erst nach fuenf Minuten den "Hoerer" auflegt. ;) Ich muss nochmal eben "Nachtreten", selbstverstaendlich koenne Word Dokumente Viren enthalten, und je nachdem wie Outlook/Windows eingestellt ist, muss eine doc-Endung noch lange keine Word Dokument sein. Ansonsten, beherzige, was "Paranoia" dir zu erklaeren versucht. [ 28. April 2003, 13:15: Beitrag editiert von: raman ] |
</font><blockquote>Zitat:</font><hr /> Was soll ich denn übers System sagen? Wie kriege ich die Spyware vom Rechner? </font>[/QUOTE]A. Wieviele Computer mit welchen BetriebsSystemen an was für einem Router? B. Lesen sollte helfen! Ich habe zwei Programme zum entdecken von Spyware genannt und das du mit diesen (Aadaware und Spybot Search&Destroy) jeden angeschlossenen Computer scannen sollst)! </font><blockquote>Zitat:</font><hr /> Wie kann ich das anstellen, dass wir die Rechnung (und die folgende) nicht zahlen müssen? </font>[/QUOTE]Wahrscheinlich gar nicht! Im Moment sieht es für mich so aus, als wäre aus bis jetzt nicht bekanntem Grund die Internetverbindung offen gehalten. Dies zu überwachen ist eure Verantwortung! Die Internetverbindung stand und somit müßt ihr sie bezahlen. Ihr könntet höchsten im Falle einer Trojanerinfektion, falls ihr denjenigen erwischt, der euch diesen Trojaner untergeschoben hat, versuchen diesen zu verklagen. Die Wahrscheinlichkeit ihn zu kriegen und auch noch zu erfolgreich zu verklagen halte ich für geringer als 6 richtige beim Lotto (1 zu 14 Millionen!). Hohlt euch einen Fachmann und lasst die Systemsicherheit kontrolieren und den Router konfigurieren. Danach sollte sich jemand bei euch darüber kundig machen. Das beginnt mit lesen und verstehen(nicht mit fragen) und wird mindestens 6 Monate dauern! Zuerst die Bedienunganleitungen der Software und dann Bücher über Sicherheit am Computer und deren Administration. Danach Internetseiten zum Thema. Ein langer und steiniger Weg, aber wenn ihr ein Netzwerk mit einem Server im Haus habt, sollte wohl einer ihn gehen. Para [ 28. April 2003, 16:50: Beitrag editiert von: Paranoia ] |
@Para: Ist nicht was dran an dem satz: "Wer mit dem feuer spielt, verbrennt sich irgendwann die Finger"? Der Gunner hat laut seinen Postings auf dem RB mit Sachen gespielt, die er in keinster Weise versteht, die er aber "1337" findet. Er ist selbst schuld und dass er dafür Spott erntet ist denke ich mehr als legitim. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Jason: @Para: Ist nicht was dran an dem satz: "Wer mit dem feuer spielt, verbrennt sich irgendwann die Finger"? Der Gunner hat laut seinen Postings auf dem RB mit Sachen gespielt, die er in keinster Weise versteht, die er aber "1337" findet. Er ist selbst schuld und dass er dafür Spott erntet ist denke ich mehr als legitim. </font>[/QUOTE]Sicherlich, nur zahlen müssen wohl seine Eltern... Deswegen denke ich halt: Genug des Spottes, helfen wir ihm mal... Para |
Helfen ist so ne Sache, er hat keine Chance. Er hat den trojaner aktiv ausgeführt und hat seinen router eben so konfiguriert, dass outbound traffic alleine schon ausreicht, um die verbindung aufrecht zu halten. Selbst wenn er den Trojanerursprung finden _sollte_ - wie soll er beweisen, dass die verbindung nur durch den Trojaner aufrecht erhalten wurde? |
Sollten wir nicht den Eltern helfen? ;) In einem anderen Forum stand mal, dass jemand mit gewissen Dingen nicht mehr arbeiten konnte, weil der Vater den Router entsprechend konfiguriert hat. Das wäre doch auch eine Lösung, die dem Vater/Mutter von Gunner bestimmt gefallen könnte. :D :D |
Sagte ja selber, das ich die Hilfe nur soweit realistisch sehe, das der Trojaner entfernt wird...(wobei ich mir immer noch nicht sicher bin, das es ein solcher war...trotz der Anzeichen) Eine sicher Routerconfig für Gunner wäre sicher gut! Para |
@The Gunner nur mal aus Interesse: für welchen Zeitraum sind denn die 500,-- Euronen angefallen (müsste sich doch aus der Rechnung ergeben). Die "Gesprächsdauer" wird doch normalerweise angegeben. Wenn Du z.B. 1 Woche online warst macht das 10.080 Minuten. Bei 500,-- Euro sind das ein Preis von 4,96 ct pro Minute. Bei welchem Provider bist Du denn? Gruß T_R_G |
</font><blockquote>Zitat:</font><hr />(...)Danach sollte sich jemand bei euch darüber kundig machen. Das beginnt mit lesen und verstehen(nicht mit fragen) und wird mindestens 6 Monate dauern! Zuerst die Bedienunganleitungen der Software und dann Bücher über Sicherheit am Vomputer und deren Administration. Danach Internetseiten zum Thema. Ein langer und steiniger Weg, aber wenn ihr ein Netzwerk mit einem Server im Haus habt, sollte wohl einer ihn gehen. Para [/QB]</font>[/QUOTE]Ich sag´s ja... Aber Gunner meint wohl mit Fragen allein das goldene Ziel erreichen zu können. So kommen dann auch die Postings von ihm zustande, bei denen man immer nur kopfschüttelnd vorm Monitor sitzt [img]tongue.gif[/img] . Übrigens, und das möcht ich schon nochmal anmerken, weil das in einem Posting so klang, hat sich Gunner sicherlich nichts durch den "Besuch auf entsprechenden Foren" eingefangen. Solltest Du damit das RB gemeint haben, fällt diese Theorie schonmal weg, da sowas da net gemacht wird [img]graemlins/kloppen.gif[/img] . Meiner Meinung nach war´s sicherlich kein Dialer, sondern die "Unaufmerksamkeit", daß niemand kontrolliert hat, ob die Inet-Verbindung auch wirklich unterbrochen wird (und das über mehrere Wochen). Ich mein, ich könnte es auch böse formulieren, wenn man dann noch in Betracht zieht, daß man halbwegs von den Dingen Ahnung haben sollte, wenn man schon einen Server betreibt (vorallem beruflich)... [img]graemlins/teufel3.gif[/img] |
</font><blockquote>Zitat:</font><hr />lloooooooooooooooooooooooooooooooooooll entschuldige gunner, aber das musste sein.... ps:ich hoffe wirklich, daß du nicht zahlen musst... -------------------- </font>[/QUOTE]sorry aber ich kan mich nur anschließen! Ich denke mal Du warst zu oft im " Ratboard" [img]graemlins/kloppen.gif[/img] |
Hi Leute! </font><blockquote>Zitat:</font><hr /> sorry aber ich kan mich nur anschließen! Ich denke mal Du warst zu oft im " Ratboard" </font>[/QUOTE]Ja. Werde es ändern. Übrigens Wenn es ein Dialer gewesen wäre, hätte er ja immer zu einer 0900er Nummer connected oder? Dann hätte ich das auf der Rechnung gesehen, aber bei den 0900er Nummern waren fast keine Kosten. Danke nochmal an DIE, DIE MIR GEHOLLFEN HABEN, für die Hillfe. |
Ja wie? Das Ding schon weg, oder was? Was habt ihr denn noch so für Mehrwertnummern in der Schweiz? Habt ihr nur 0900 Nummern? |
@Lucky Der Trojaner ist weg. Also jetzt im infected Ordner des AV Proggis. KA was wir alle für Nummern haben. |
Hattest du YAW, mit Heuristik, mal scannen lassen? Und wegen der Nummern solltest du dich mal informieren. Ich weiß aber leider nicht, wo du in der Schweiz herausfinden kannst, welche Nummern ihr da so habt. Björn [img]graemlins/dummguck.gif[/img] |
@Lucky </font><blockquote>Zitat:</font><hr /> Hattest du YAW, mit Heuristik, mal scannen lassen? </font>[/QUOTE]Mach ich noch. </font><blockquote>Zitat:</font><hr /> Und wegen der Nummern solltest du dich mal informieren. Ich weiß aber leider nicht, wo du in der Schweiz herausfinden kannst, welche Nummern ihr da so habt. </font>[/QUOTE]Ich aber, bei der Swisscom, mach ich aber net. |
</font><blockquote>Zitat:</font><hr />Original erstellt von The Gunner: Ich aber, bei der Swisscom, mach ich aber net. </font>[/QUOTE]hmm :confused: Ich habe nur von den Vorwahlen geredet. Welche bei euch was kosten, das meinte ich. In Deutschland können Dialer z.B: 0190 und neuerdings auch 0900 Nummern haben. Sowas meinte ich... Ich dachte vielleicht hast du einen Dialer drauf... Aber nun ja, so wie es aussieht, bist du ja nicht sehr dran interessiert das Problem zu lösen, oder? Denn ich habe den Tipp mit YAW schon direkt am Anfang gegeben. Auch die Leute im RATBoard hatten dich auf meinen Tipp mit YAW hingewiesen... Wenn du mit YAW scanst, dann am besten mit Heuristik. Und(!) vor allem keine unbekannten Dateien löschen. Björn [img]graemlins/balla.gif[/img] :confused: [ 29. April 2003, 20:01: Beitrag editiert von: Lucky ] |
</font><blockquote>Zitat:</font><hr />Ich denke mal Du warst zu oft im " Ratboard"</font>[/QUOTE]Na komm, daran wirds nu nicht gelegen haben ;) . Um auf Gunners Fall zurück zu kommen: Ich weiß, es ist immer eine radikale Lösung und eigentlich nicht unbedingt zu empfehlen, aber ich würde alle wichtigen Daten sichern und die Rechner von Grund auf neu konfigurieren. Damit meine ich auch zunächst formatieren. Wenn dann alles neu konfiguriert wird, dann gleich richtig. Das würde bedeutet, Gunner sollte sich einmal über eine sichere Router-Konfiguration informieren und all seine Programme etc. ordentlich einstellen, sodass in Zukunft sowas nicht mehr passiert. Outlook würde ich in diesem Falle zum Beispiel sogar ganz abschaffen (als Beispiel) - falls es überhaupt verwendet wurde. Wie gesagt, es ist ne radikale Lösung und evt. auch in diesem Falle nicht unbedingt angebracht, aber wer weiß, wie "verhunzt" die ganzen Einstellungen sind :rolleyes: ... Bye, JayseeTK. [ 29. April 2003, 23:14: Beitrag editiert von: JayseeTK ] |
Hi Leute! Wollte nur noch mal kurz sagen, dass wir uns keinen Dialer eingefangen haben, denn wir haben die genaue Auflistung der Rechnung verlangt und dort sind keine Dialer - Nummern (0900er - Nummern) drauf, sondern nur die ganze Zeit die Nummmern von unserem Provider. Wisst ihr wie viele Blätter ich bekommen habe? Boah, echt viel. Ich habe schon mal eine genau Auflistung verlangt, wegen einem Verdacht (war dann aber nichts) da kamen nur ca. 10 Blätter. Und jetzt kamen über 100 Bläter. Mann oh mann. Ich habe gesehen, dass ich eigentlich die ganze Zeit im Internet war. Also eigentlich nicht die ganze Zeit. Bei der Auflistung stand einfach, dass wir z.B. von 7 Uhr bis morgens um 1 Uhr permanent im I Net waren und dann wieder von 9 Uhr bis 10 etc. Also nicht konstant. Vorallem am Abend waren wir fast immer im Internet. Darum sind wohl auch die hohen Kosten entstanden. Seit ich den Trojaner entfernt habe, ist das Problem glaube ich gelöst. Denn beim Router leuchtet das Licht nicht immer auf. Als er noch drauf war, hat ja das Lich immer geleuchtet) (Ist übrigens ein Router von Xycel oder wie man das schreibt.) Kann ein Trojaner sowas verursachen (oder eben gerade dieser Cloner-U Trojaner)? Oder kann es auch sein, dass das ein Fehler des Router war? Hab da nämlich mal was gelesen. 2. Noch ne Frage: Welches ist der beste Dialer - Scanner und das Beste Dialer - Schutzprogramm (also dass die ganze Zeit im Hintergrund läuft, den PC aber nicht langsam macht)? 3. Was ist ein (M)IRC - Client und was können solche (M)IRC - Trojaner oder Viren anrichten? Und wie erkenne ich ob ich einen solchen Client habe? |
Sofern der Trojaner die Verbindung aufhält, durch ständige Pings oder so. Ist es theoretisch möglich. Und da wir nun mal nicht wissen, welchen du hattest... Kann man das so auch nicht genau sagen. 2)Es gibt, soviel ich weiß nur einen Dialer Scanner... YAW www.yaw.at Dialer Schutzprogramme gibt es mehrere unter anderem auch YAW... Das bleibt auch die ganze Zeit im Hintergrund. 3) Google doch einfach mal... was hälst du denn davon? Björn [img]smile.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von JayseeTK: Ich weiß, es ist immer eine radikale Lösung und eigentlich nicht unbedingt zu empfehlen, aber ich würde alle wichtigen Daten sichern und die Rechner von Grund auf neu konfigurieren.</font>[/QUOTE]Selbstverständlich ist diese radikale Lösung immer zu empfehlen. Wenn der Server kompromittiert wurde, läßt sich unmöglich sagen, was noch verändert wurde. Daher muß ein befallenes System *immer* neu aufgesetzt werden. docprantl |
@Lucky </font><blockquote>Zitat:</font><hr /> Sofern der Trojaner die Verbindung aufhält, durch ständige Pings oder so. Ist es theoretisch möglich. Und da wir nun mal nicht wissen, welchen du hattest... Kann man das so auch nicht genau sagen. </font>[/QUOTE]Aber ich habe doch geschrieben, dass das AV Proggi gesagt hat, dass es sich um einen Cloner-U Trojaner gehandelt hat. Kennt den denn niemanden? Oder wie kann ich sonst nachschauen welchen ich hatte? </font><blockquote>Zitat:</font><hr /> 2)Es gibt, soviel ich weiß nur einen Dialer Scanner... YAW www.yaw.at Dialer Schutzprogramme gibt es mehrere unter anderem auch YAW... Das bleibt auch die ganze Zeit im Hintergrund. </font>[/QUOTE]Ich will ja nicht wissen wie viele es gibt, sondern welcher der Beste ist. Und Übrigens waren die Internetabschnitte nur ca. 5 - 10 s lang manchmal auch 20 Sekunden. Also war ich nicht dauern im Internet, wenn ich das richtig aus der Rechnung rausgelesen habe. Allerdings wiederholte sich das alle 5 - 10 s. Also war ich eigentlich doch wieder fast die ganze Zeit im I Net. |
</font><blockquote>Zitat:</font><hr />Original erstellt von The Gunner: Ich will ja nicht wissen wie viele es gibt, sondern welcher der Beste ist. </font>[/QUOTE]Wenn es nur einen Dialerscanner gibt, welcher ist wohl der beste...... |
</font><blockquote>Zitat:</font><hr /> Der Trojaner war auf dem Server. Meine Mutter hat wahrscheinlich wieder irgendein Mail oder so was einfach geöffnet </font>[/QUOTE]Eigentlich sollte man auf einem Server keine "nebensächlichen"Programme ausführen, bzw. Mails empfangen. Dafür hat man ja seinen PC. </font><blockquote>Zitat:</font><hr /> Ich will ja nur den Originalzustand damit ich mir den Client von diesem Trojaner saugen kann und so die Daten auslesen kann. </font>[/QUOTE]Was??? Damit ihn wahrscheinlich auch noch an deine "Freunde" schicken kannst... Tip: Öffne die Datei doch mal mit einem Hex-Editor,in jedem guten AV-Programm gibt es irgendwo eine Funktion um die Quarantäne Objekte an den Ursprungsort zurückzuscieben. </font><blockquote>Zitat:</font><hr />Weiss denn jemand wo man sich den Cloner-U Trojaner runterladen kann bzw. den Client, damit ich den einlesen kann </font>[/QUOTE]Wenn die DAtei verschlüsselt ist bringt dir auch ein Client nichts mehr... </font><blockquote>Zitat:</font><hr /> und bei Word Doks können ja keine Viren drin sein </font>[/QUOTE]Nein Gunni, überhaupt nicht... :cool: Sama, kuckst du Nahrichten ??? Hast du ma was von Makroviren gehört??? Also,wenn du glaubst,dass in Word-Doks keine Viren sein können irrst du gewaltig !!!!! |
wieso dreht sich denn hier alles um den/die rechner und keiner spricht das prob router an....der router macht in der regel dial on demand und reagiert auf dns anfragen....wird keine inet aktivität festgestellt sollte/trennt der router die verbindung.... bei einer einwahlverbindung die nach zeit abgerechnet wird ist die einstellung schon mehr als tötlich....egal welche anwendung im hintergrund eine dns anfrage stellt löst somit eine inetverbindung aus....das kann ein trojaner sein, aber auch zb der realplayer der gerade heimweh hat oder sonst ein prog welches nach hause telefonieren will....bei schlechter config des systems kann es schon sein das der router aufmacht wenn im lan ein rechner gesucht wird und dieser nicht eindeutig zu finden ist... 5 minuten inaktivität bis zum auflegen ist auch zu lang...hier sind 1-2 min ausreichend.... also mal mit verstand, handbuchlesen kann auch hier von vorteil sein, in die config des routers einsteigen und wenn es die möglichkeit gibt dial on demand abschalten....lieber den etwas unkonvortablen weg wählen und den router von hand bei bedarf connecten.... hier könnte man die routerconfigseite als startseite im browser hinterlegen....dann connect klicken und weiter surfen...sollte auch einer mutter zu erklären sein.... so long maverik |
maverik, das Problem mit dem Router hatten wir hier auch angesprochen z.B. auf Seite 2 Beitrag vom raman: </font><blockquote>Zitat:</font><hr /> [...]Ganz einfach, der Trojaner koennte ja andauernt Pings in richtung Internet gesendet haben und durch diesen Traffic wird die Verbindung halt aufrecht erhalten. Dann kommt schon schnell mal 500 Euro zusammen, nur durch die Gebuehr an euren Provider. Greif doch mal den Vorschlag von "Paranoia" auf und hol dir jemanden, der mehr Wissen in Bezug auf Malware oder Computer im allgemeinen hat. Wer hat euch denn den Router und die Rechner eingerichtet. Die Person wird euch mehr verraten koennen, zum Beispiel, wie ihr den Router so einstellt, das er nicht erst nach fuenf Minuten den "Hoerer" auflegt.[...] </font>[/QUOTE]Seite 2 Beitrag vom Paranoia: </font><blockquote>Zitat:</font><hr /> [...]Eine sicher Routerconfig für Gunner wäre sicher gut![...] </font>[/QUOTE] |
</font><blockquote>Zitat:</font><hr />Original erstellt von The Gunner: Ich habe heute gemerkt, dass ich mit einem Trojaner infiziert worden war. Leider habe ich heute auch gemerkt, dass ich eine Internetrechnung von 1000 (schweizer) Franken erhalten habe, das sind ungefähr 500 Euro. Ich befürchte, dass es für diesen Monat noch mehr werden. </font>[/QUOTE]Leider sehe ich diesen lustigen Thread erst heute. Da ich nahe der Schweiz wohne und täglich dorthin gependelt bin, kann ich Dir, Gunner, bedauerlicherweise versichern, dass 1000 SFR mehr als 500 Euro sind. Um genau zu sein aktuell 661 Euro. Für zukünftige Fragen dieser Art kann ich Dir folgende Website empfehlen: http://www.oanda.com/convert/classic |
|
Tja, hier jammert The Gunner noch darüber,dass er sich mit seinen kleinen Spielzeugen die Finger verbrannt hat (das war klar,dass das irgendwann mal passieren musste) und in einem anderen Thread schwärmt er schon wieder von irgendwelchen tollen "Toolz"...... Da sag ich doch: "Selbst Schuld gehabt; PP=Persönliches Pech |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:48 Uhr. |
Copyright ©2000-2024, Trojaner-Board