|
Plagegeister aller Art und deren Bekämpfung: Hillfe bin infiziert worden - 500 Euro Rechnung!!!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.04.2003, 17:29 | #1 |
Gast | Hillfe bin infiziert worden - 500 Euro Rechnung!!!! Hi! Ich habe heute gemerkt, dass ich mit einem Trojaner infiziert worden war. Leider habe ich heute auch gemerkt, dass ich eine Internetrechnung von 1000 (schweizer) Franken erhalten habe, das sind ungefähr 500 Euro. Ich befürchte, dass es für diesen Monat noch mehr werden. Die Meldung der Firewall lautet so: Virus: 'Troj/Cloner-U' gefunden in C:\WINNT\system32\spool\drivers\a103\Isass.exe Es handelt sich beim Scanner um den Sophos. Der Scanner hat nun dutzendemal versucht die Datei zu verschieben aber es nicht geschafft. Wahrscheinlich hat er es nicht geschafft, weil der Trojaner noch am laufen war. Da habe ich den Prozess beendet und siehe da er konnte ihn verschieben und zwar nach: C:\Programme\Sphos Sweep for NT\Enfected Da habe ich auch nachgeschaut und den gefunden und diesen dann sofort auf Diskette gesichert. Nun leider wurde die Datei jetzt irgendwie vom Virenscanner verändert. Ich habe dann die Diskette genommen und habe sie auf einem andern PC reingesteckt und die Datei mit Kaspersky gescannt und der hat die Datei nicht mehr als Virus erkannt. Nun meine Frage: 1. Wie kann ich die Datei wieder in den Originalzustand zurückwandeln? 2. Könnte ich hier jemand der wirklich drauskommt die Datei schicken, damit dieser mir den Namen der Person rauslesen kann, damit ich diese Anzeigen kann? Ich möchte bevor ich zur Polizei gehe den Namen der Person wissen. Übrigens: Ich bin an einen Server angeschlossen. Der Server steht in einem Geschäft (das meinen Eltern gehört). Und der Server geht über einen Router ins I Net. Wir wohnen gleich über dem Geschäft und die PC's sind eben über ein Netzwerk miteinander verbunden. Der Trojaner war auf dem Server. Meine Mutter hat wahrscheinlich wieder irgendein Mail oder so was einfach geöffnet. Also bitte hellft mir. Interessant ist auch noch, dass in letzter Zeit plötzlich auf dem Bildschirm so anrüchige Sachen erschienen sind.... Ich kann mir aber nicht erklären warum die Rechnung so hoch war. Ein Dialer ist glaube ich nicht drauf, denn bei der Rechnung stand nix bei den 0900er Nummern. Und wir haben immer noch ISDN und da kann der Andere ja nur reinkommen, wenn ich gerade online bin. Aber ich habe da mal auf den Routerg eschaut und gemerkt, dass wir die ganze Zeit im Internet sind. Help please PS: Der Server ist Tag und nach an. |
27.04.2003, 17:40 | #2 |
/// Helfer-Team | Hillfe bin infiziert worden - 500 Euro Rechnung!!!! www.yaw.at runterladen und scannen lassen. (Mit Heuristik).
__________________1) Ich bin mir nicht sicher, aber das ist normalerweise der Trojaner. Denn die Datei liegt definitiv nicht im Spooler Verzeichniss, also brauchst du die nicht in den Original Zustand zurück versetzen. 2) Kannste vergessen Habt ihr einen Windows Server? Alles Sicherheitsupdates drauf? [ 27. April 2003, 18:59: Beitrag editiert von: Lucky ]
__________________ |
27.04.2003, 18:00 | #3 |
| Hillfe bin infiziert worden - 500 Euro Rechnung!!!! Es muss nicht unbedingt ein Dialer sein, ich weiss ja nicht, ob er sich automatisch mit dem Internet verbinden kann, lass den Rechner mal 24h/7 Tage die Woche im Internet sein, da kommt schon eine groessere Summe heraus.
__________________Das was mich mehr "beunruhigt", ist das der Virus laut Vgrep ein IRC Trojaner sein soll. Ihr last auf eurem Server einen (M)irc Client laufen??? Ihr solltet euer Sicherheitskonzept ueberdenken! Es wird wohl sehr schwer nachzuweisen sein, wer euch die Malware untergeschoben hat. Diese information steht bestimmt nicht in dem Trojaner selber. Vieleicht kann jemand aus dem Board dir ja sagen, ob der Trojaner eine art Konfig oder Log Datei anlegt, wo er protokoliert, wohin er was geschickt hat. [Edit] Habe den Vgrep Link vergessen: http://www.virusbtn.com/resources/vg...oner&product=0 [ 27. April 2003, 19:12: Beitrag editiert von: raman ]
__________________ |
27.04.2003, 18:11 | #4 |
| Hillfe bin infiziert worden - 500 Euro Rechnung!!!! Sophos hat vermutlich die Datei im Quarantäneordner leicht verschlüsselt, sodass keine Gefahr mehr von ihr ausgeht. Deswegen konnte wohl KAV auch nichts erkennen. Ich wüßte jetzt auch nichts warum die Rchnung so hoch ist, ich vermute auch was mit Dailern, kann ja sein das sie vom Angreifer extra bei dir instaliert worden sind. zu 2) also wenn die von der Polizei erfahren sollten dass du auch im RB unterwegs warst und dnoch bist, dann wird es mehr ein Eigentor. |
27.04.2003, 18:22 | #5 |
Gast | Hillfe bin infiziert worden - 500 Euro Rechnung!!!! lloooooooooooooooooooooooooooooooooooll entschuldige gunner, aber das musste sein.... ps:ich hoffe wirklich, daß du nicht zahlen musst... |
27.04.2003, 18:32 | #6 |
| Hillfe bin infiziert worden - 500 Euro Rechnung!!!! Du mußt bloß einen neuen Minotor (sic) kaufen, dann hat der Spuk ein Ende. DFTT Cobra |
27.04.2003, 18:35 | #7 |
| Hillfe bin infiziert worden - 500 Euro Rechnung!!!! Schadenfreude finde ich einfach zum kotzen, Gunner hat schon genug am Hals, da musst du ihn nicht noch auslachen. Vor allem sollten Leute, die offen zugeben mit Trojaner rumzuhantieren sich nicht zu früh freuen, denn der Schuss kann schnell nach hinten losgehen. Von daher wäre doch mal etwas konstruktives angebracht @ Gunner: Du kannst ja auch noch Ad-aware 6 installieren und updaten, sollte vielleicht auch was bringen. |
27.04.2003, 18:45 | #8 |
| Hillfe bin infiziert worden - 500 Euro Rechnung!!!! </font><blockquote>Zitat:</font><hr />Original erstellt von I_wanna_know: Von daher wäre doch mal etwas konstruktives angebracht </font>[/QUOTE]Ich vergolde dieses Statement und halte auch weiterhin die Eselssteige offen. Cobra |
27.04.2003, 19:10 | #9 |
Gast | Hillfe bin infiziert worden - 500 Euro Rechnung!!!! hehehe@cobra... @i_wanna_know, ich hab doch gesagt was ich für ihn hoffe, das ist durchaus ernst gemeint... gunni lies mal die assasin hilfe, ich weiss du bist begeistert... |
27.04.2003, 19:43 | #10 |
Gast | Hillfe bin infiziert worden - 500 Euro Rechnung!!!! Hi Leute! @Lucky </font><blockquote>Zitat:</font><hr /> 1) Ich bin mir nicht sicher, aber das ist normalerweise der Trojaner. Denn die Datei liegt definitiv nicht im Spooler Verzeichniss, also brauchst du die nicht in den Original Zustand zurück versetzen. </font>[/QUOTE]Wie meinst du das? Die Datei liegt im Spooler Verzeichnis. C:\WINNT\system32\spool\drivers\a103\Isass.exe Da steht doch spool!!!! Ich will ja nur den Originalzustand damit ich mir den Client von diesem Trojaner saugen kann und so die Daten auslesen kann. Wie soll ich sonst die Daten auslesen? Kann denn so ein Trojaner so hohe Kosten verursachen oder habe ich noch etwas Anderes drauf? </font><blockquote>Zitat:</font><hr /> Habt ihr einen Windows Server? Alles Sicherheitsupdates drauf? </font>[/QUOTE]Windows 2000 Server glaube ich, aber ob alle Sicherheitsupdates, ka. @raman Ja meine ich auch. Kennst du denn den Cloner-U Trojaner? </font><blockquote>Zitat:</font><hr /> Das was mich mehr "beunruhigt", ist das der Virus laut Vgrep ein IRC Trojaner sein soll. Ihr last auf eurem Server einen (M)irc Client laufen??? Ihr solltet euer Sicherheitskonzept ueberdenken! </font>[/QUOTE]Was ist das schlimme an einem IRC Trojaner? und wie sieht man ob man einen irc Client hat? </font><blockquote>Zitat:</font><hr /> Vieleicht kann jemand aus dem Board dir ja sagen, ob der Trojaner eine art Konfig oder Log Datei anlegt, wo er protokoliert, wohin er was geschickt hat. </font>[/QUOTE]Weiss das jemand? Bei den meisten Trojanern kann man den Trojaner ja einfach in den Client einlesen und dann sieht man was eingestellt ist. @JoJo </font><blockquote>Zitat:</font><hr /> Sophos hat vermutlich die Datei im Quarantäneordner leicht verschlüsselt, sodass keine Gefahr mehr von ihr ausgeht. Deswegen konnte wohl KAV auch nichts erkennen. </font>[/QUOTE]Vermute ich auch, denn jetzt ist sie keine ausführbare Datei mehr. Wie kann man sie denn Entschlüsseln, damit man sie in den Client einlesen kann? Weiss denn jemand wo man sich den Cloner-U Trojaner runterladen kann bzw. den Client, damit ich den einlesen kann? </font><blockquote>Zitat:</font><hr /> Ich wüßte jetzt auch nichts warum die Rchnung so hoch ist, ich vermute auch was mit Dailern, kann ja sein das sie vom Angreifer extra bei dir instaliert worden sind. </font>[/QUOTE]Was soll ich denn machen? Internet mal vorläufig abstellen? Wie finde ich den Dialer? Nur mit YAW? </font><blockquote>Zitat:</font><hr /> zu 2) also wenn die von der Polizei erfahren sollten dass du auch im RB unterwegs warst und dnoch bist, dann wird es mehr ein Eigentor. </font>[/QUOTE]Vom Server aus bin ich ja nie ins RB gegangen, nur immer vom Home PC. @I_wanna_know Danke. @vampire? </font><blockquote>Zitat:</font><hr /> gunni lies mal die assasin hilfe, ich weiss du bist begeistert... </font>[/QUOTE]Was soll diese Anspielung? @Cobra </font><blockquote>Zitat:</font><hr /> Du mußt bloß einen neuen Minotor (sic) kaufen, dann hat der Spuk ein Ende. DFTT </font>[/QUOTE]Was soll das? Und was zum Teufel ist ein Minotor (sic)? |
27.04.2003, 19:52 | #11 |
Gast | Hillfe bin infiziert worden - 500 Euro Rechnung!!!! </font><blockquote>Zitat:</font><hr />Original erstellt von The Gunner: @vampire? </font><blockquote>Zitat:</font><hr /> gunni lies mal die assasin hilfe, ich weiss du bist begeistert... </font>[/QUOTE]</font>[/QUOTE]mach's einfach mal, hol dir assasin 2.0, du kommst auch drin vor... [img]graemlins/lach.gif[/img] hier darf ich den link dahin nicht posten (ich weiss du hast ihn vergessen) sonst wäre ich dir gern behilflich... |
27.04.2003, 20:05 | #12 |
/// Helfer-Team | Hillfe bin infiziert worden - 500 Euro Rechnung!!!! Willst du denn Trojaner garnicht weg haben? Und ausserdem ist mir kein Trojaner bekannt, der Telefonrechnung in die Höhe treibt. [ 27. April 2003, 21:18: Beitrag editiert von: Lucky ]
__________________ Kein Support per PM! |
27.04.2003, 20:19 | #13 |
| Hillfe bin infiziert worden - 500 Euro Rechnung!!!! </font><blockquote>Zitat:</font><hr />Original erstellt von The Gunner: Wie soll ich sonst die Daten auslesen? Kann denn so ein Trojaner so hohe Kosten verursachen oder habe ich noch etwas Anderes drauf? </font>[/QUOTE]Man kann schlecht sagen, was der Trojaner angerichtet hat, da wir ja niocht genau wissen, wie euer System aufgebaut/konfiguriert ist. Es kann durchaus sein, das der Trojaner nur ein "Hallo ich bin hier, connectet mich" ausgesand hat, aber aufgrund eures Routers niemand von ausserhalb in der lage war, kontakt zu dem Trojaner aufzunehmen. Was deine Dialer Befuerchtung angeht, rechne doch einfach. Ich weiss ja nicht, was ihr fuer einen Internettarif bezahlt( Keine Flaterate, oder?), aber wenn der Trojaner 20 Tage auf dem Rechner ist und ihr dadurch 24 Std. taeglich online gewesen seit, kaeme ungefaehr ein Minutenpreis von 1,5 Cent heraus. Das koennte realistisch sein. Nutzt ihr denn eine Internet Chat Software? Kann deine Mutter was dazu sagen? Unbekannte Email oder aehnlich?
__________________ MfG Ralf |
27.04.2003, 20:21 | #14 |
| Hillfe bin infiziert worden - 500 Euro Rechnung!!!! Gunner, mein Rat an Dich: Zahl den Scheiß, wenn Du mußt. UND DANN (bevor Du wieder Postings im RB und TB machst, über die alle nur den Kopf schütteln,) kauf Dir mal ein paar anständige Bücher (für 1000 Franken hättest Du bestimmt eine ansehnliche Sammlung gehabt), klemm Dich ein 1/2 Jahr hinter eben diese, damit Du wenigstens mal ein paar Grundbegriffe kennst ("Woran erkenne ich, ob ich einen Irc-Client habe?") und dann komm wieder... Sicherlich ist sowas nicht schön und ich wünsche das niemanden (auch nicht Dir), aber wenn jemand wie Du, mit 0,000000000 Peilung von irgendeiner Materie, mit RATs rumspielst, dann muss das zwangsläufig so kommen. Ich weiß das Dich das jetzt nicht weiter bringt. Und ich wünsche Dir, daß sich der Schaden in Ordnung bringen läßt. Aber ansonsten mußt Du es wohl als "Lehrgeld" sehen. Leider glaube ich aber, daß es wahrscheinlicher ist, daß Du resistent gegen gut gemeinte Ratschläge und Bücher bist und wieder so weitermachst wie gehabt... [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] |
27.04.2003, 20:24 | #15 |
| Hillfe bin infiziert worden - 500 Euro Rechnung!!!! @vampire, aber wir beide würden Gunner doch die Hilfe-Datei senden, oder? Er muß sie doch auch für die Enkel aufheben, er ist doch in die Geschichte der Fernwartungsprogramme eingegangen. @all, gunner ist in der Hilfe nur ein Name, der zufällig gewählt wurde und mit keiner Person in Verbindung gebracht werden sollte.
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
Themen zu Hillfe bin infiziert worden - 500 Euro Rechnung!!!! |
anzeige, anzeigen, beendet, bildschirm, datei, dialer, drivers, firewall, frage, handel, infiziert, kaspersky, mail, namen, netzwerk, nicht, nicht mehr, online, programme, prozess, rechnung, router, scan, server, system, system32, trojaner, virenscanner, warum |