Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Verfolgung starten Optionen

Hilfe!!! Irgendwer ist in meinem System! Dringend

lumpilinchen / 30 Antworten / Flachansicht Nickles

Hallo!

Ich weiß nicht mehr weiter... Habe öfter das Problem, daß mein Mauszeiger sich selbstständig macht. Das ist ja nicht weiter schlimm... Dachte mir nichts dabei. Aber gestern war ich mal ne halbe Stunde nicht am Pc und als ich wiederkam war da grad was am installieren und mein Mauszeiger klickte munter auf Ok-Tasten rum. Konnte nur noch ein Reset machen.

Habe dann heute meinen Pc nach Vieren durchsucht und fand auch 138 vom W32.pinfi befallene Dateien. Den hab ich jetzt zum Glück weg. Bin dann in ein Forum um mal nach Beiträgen des Wurms zu suchen, da fängt mein Mauszeiger an zu zucken und eine kleine Nachricht erschien.
Hab mir jetzt leider so schnell nichts genaues merken können, was drin stand. so in etwa: kleiner tip, such mal nach ..? und dahinter kam :D :D :D

Was ist bloß bei mir los???
Bitte bitte helft mir!!!

bei Antwort benachrichtigen
bin kein Fachmann, aber könnte ein Trojaner sein. Trenne sofort deine ... Hausmeister Krause
Hab in meiner Registry was gefunden, das heißt ctfmon.exe. Die ist auch in ... lumpilinchen
04/20/03 20:03:42 -- Run -- 04/20/03 20:03:42 XP Workstation build 2600 ... lumpilinchen
Doch, du hast eine eMail gesendet. Und zwar mit deiner jeweils aktuellen IP, ... Rika
hab das Problem noch net lange... so seit 2-3 Tagen. Aber hab jetzt mal die ... lumpilinchen
Hallo Na wie wär es denn mit einer gescheiten Firewall. Die XP eigene ist ... 515515
So... habe jetzt durch die Suche das Programm gefunden, von der diese ... lumpilinchen
ich hoffe, du kannst Englisch Zu den ganzen Firewall installieren Tipps: ... Tyrfing
in der registry ist da nichts zu finden. über die normale suche habe ich ... lumpilinchen
Firewalls werden von Trojanern als erstes deaktiviert So, NIS läuft als ... Rika
Zum Thema beenden: Jede Software, die auf dem Hostsystem installiert ist, ... Tyrfing
Hallo, da bin ich wieder! Als erstes hab ich das Virus entfernt und noch mal ... lumpilinchen
Zum Thema beenden: Jede Software, die auf dem Hostsystem installiert ist, ... Rika
Du schreibst allen ernstes, das DTFs besser sein sollen, als z.B. eine ... basil
Kapierts du das denn nicht? NIS läuft auf Admin-Level, und wenn der User ... Tyrfing
Was zu C2 gesagt werden muss, hat Basil ja nun schon gesagt Hast du dir ... Rika
So, ich hab jetz endlich die Zeit für einen weiteren Marathon-Post ... Tyrfing
1. Ein System ist nicht C2-konform, diese tolle Zertifizierung sagt nur ... Rika
Man kann ziemlich eindeutig aus deinen Postings herauslesen, daß Du noch ... basil
punkt 1: schau dir nt-rootkits, sechole.exe, admin.dll, DCOM-exploits, ... xafford
Wie kommst du darauf? Ist mir absolut rätselhaft in der neuen c t 9/2003 ... Grossadministrator
LOL. Also zumindest ZoneAlarm ist kein Problem. Mittels ... Rika
zur ctfmon.exe Der Infektionsweg dürfte auch klar sein: Filesharing oder ... Tyrfing
@Tyrfing: in der Registry sind autostarteinträge relativ leicht zu finden. ... Hausmeister Krause
es gibt ein halbes dutzend offizieller Autostarts allein in der Registry, ... Tyrfing
Man habt Ihr Probleme ! REPI
chef warum machst du es dir so schwer dreh einfach das spiel herum informier ... dsl-man
a Das sind keine Hacker, nur irgendwelche ach so tolen Scriptkiddies b Mit ... Tyrfing
Dojando lumpilinchen „Hilfe!!! Irgendwer ist in meinem System! Dringend“
Optionen

Das Problem liegt bei einem völlig legalen Fernwartungsprogramm. Der Name ist "Remote-Anything"
Irgend einer hat dir das auf deinem PC installiert bevor er aus der Ferne drauf zugreifen konnte.

In der Slave.exe welche die Serverdatei ist hat derjenige seine E-Mail Adresse hinterlassen und bekommt sofort wenn du Online gehst eine E-Mail die dann so aussieht:

IP Address: xx.xxx.xxx.xxx
User Name: Max Mustermann
PC Name: Hans Mustermann
Active for: 00:03:29

Du kannst das Programm nicht einfach abschalten und es ist bei jedem Neustart auch wieder deaktiviert.

Du kannst mich gerne anschreiben per E-mail Adresse ( dojandodo@t-online.de ) Ich schicke dir dann die Deinstallations Datei für dieses Programm.

Wenn du aber schlau bist erstattest du gegen diesen User Anzeige. Den Logfile scheint er ja vergessen zu haben abzustellen.Darin ist die IP Adresse des Users enthalten, Zudem bekommt er ja eine Mail jedesmal an seine Adresse die in der Slave.exe gespeichert ist. Ich habe mich leider mit dem Fernwartungstool noch nicht so extrem befasst weil ich selber NetOP verwende um meine Rechner aus der Ferne in Ordnung zu halten oder um die Server neu zu starten.

Fakt ist aber das es kein Trojaner ist sonder es sich hierbei um ein völlig legales Programm handelt. Über diesem Programm schickt dir dieser User scheinbar dann Viren und WÜrmer um deinen PC ausser Gefecht zu setzen oder dafür zu sorgen das du die Festplatte neuinstalliertst . Bei einem Format Befehl kann der Verursacher nehmlich sichergehen das er seine Spuren die er definitiv da hinterlassen hat dann weg sind. Also tuh ihm nicht diesen Gefallen und pack deinen PC ein und geh damit zur Polizei. Da wird sich dann ein Techniker drum kümmern.

Wenn du noch Fragen hast kannst du dich ansonsten an meine E-Mail Adresse schreiben



JAN

bei Antwort benachrichtigen
Kriese Dojando