phpBB.de

Es hat sich soeben jemand bei mir registriert, der eine virenbehaftete Datei gepostet hat, die bei rapidshare hochgeladen wurde.

- mein Virenscanner wurde deaktivert. (konnte ich nach Neustart aktivieren)
- meine Firewall wurde deaktiviert. (kann ich nicht mehr aktivieren)

Die Datei heißt Sexy.scr

Wurden evtl. bei anderen Leuten ebenfalls solche Beiträge verfasst? Weil ich kann mir bisher nicht vorstellen, dass es ein persönlicher Angriff gegen meine Person sein soll. Sie sollte ja offensichtlich alle User schädigen.

Gruß


EDIT:
Es wird immer besser.. ich kann nicht auf den Taskmanager zugreifen. Der Virenscanner bricht nach X Sekunden ab. Wunderbar

EDIT2:
regedit geht auch nicht.. werde gleich mal in den abgesichertem Modus wechseln.

EDIT3:
TrendMicro und Antivir haben beide nichts gefunden

ich wünsche dir viel glück bei der behebung...

Hi"

mgutt hat geschrieben:Die Datei heißt Sexy.scr

Hmmm, böse, böse.

Evtl. hilft dir dieser Link:

http://www.symantec.com/avcenter/venc/d ... indor.html

Bye/2

Den hatte ich auch gefunden. Ich bin gerade mit der Bereinigung fertig geworden.

Es kopierten sich durch den Virus diverse Dateien in system32:
C:\WINDOWS\system32\lollol.sys
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\FmS137q14n.ini (hat immer einen anderen Namen)
C:\WINDOWS\system32\scvhost.exe (Achtung die richtige von Windows heißt: svchost.exe und darf nicht gelöscht werden)

Das hat mir geholfen:
http://virus-protect.org/artikel/dienst ... 32sys.html

Kann ich gegen den User jetzt Strafanzeige erstatten? Ich habe zwar schnell reagiert, aber 2-3 User haben sich schon bei mir gemeldet wegen dem wsock Angriff.

Weiterhin ist mir ein finanzieller Schaden dadurch entstanden, den ich erstattet haben will, mal abgesehen von der Rufschädigung unserer Plattform.

Gruß

Es gehört zwar nicht zum Thema PHP-Probleme, aber einen Zusatz möchte ich gerne loswerden:

Wenn der Taskmanager nicht mehr geht, installiert und nutzt man (läuft bei mir sowieso immer anstelle des Taskmanagers) Process Explorer (Downloadlinks ganz unten auf der Seite).

Wenn RegEdit sich nicht öffnen lässt, versucht es zuerst mit regedt32.exe (Einfach bei START - Ausführen eingeben). Wenn sich das auch nicht starten lässt, nehmt zum Beispiel Registry Workshop. Das ist zwar Shareware und somit nur begrenzte Zeit lauffähig, aber für Euer Problem braucht ihr ja hoffentlich auch keine Wochen und Monate.

Viele Grüße,
Tekin

Hi,

damit ich den Taskmanager wieder zum laufen bringen konnte habe ich "Security Administrator" genutzt.

Damit konnte man auch wieder die regedit aktivieren. Und regedt32.exe ging leider auch nicht mehr. Auch kopieren und umbennen in .com ging nicht (wie ich auch einer anderen Seite als Tipp fand).

Mich interessiert jetzt eher am meisten, was ich rechtlich gegen diese Person machen kann?

Hast Du die PosterIP geprüft? Wenn er nicht gerade in Deutschland ansässig ist, oder gar einen Proxy verwendet hat, wird es mühselig mit der Anzeige.

Seine Emailadresse ist bei gmx. So viel ich weiß muss man da ja mittlerweile ein paar persönliche Daten hinterlegen.

Weiterhin hat er sich registriert über den Host "e178070***.adsl.alicedsl.de". Der Beitrag selbst wurde verfasst von einer IP der Ewe Tel. In wie er da eine Shared Adresse genutzt hat weiß ich nicht. Verdächtig ist, dass der gleiche Username auf einem themenverwandten Board eingesetzt wird, aber es nie eine Feindschaft gab.

Egal, ich möchte gerne Anzeige erstatten. Denn ich denke die Polizei hat da bessere Mittel. Aber was für einen Art Anzeige kann ich da stellen

Da frag am Besten Deinen Anwalt, bevor Du von uns halbwissende Antworten bekommst die wertlos sind.

Das Problem bei der Anzeige, auch wenn er keinen Proxy verwendet hat, ist:

Es muss erwiesen sein, dass der "Bösewicht" wirklich auch derjenige war, der am PC saß und dieses Posting schrieb. Denn es kann auch sein, dass sein PC auch "nur" gehackt und für diesen "Angriff" als Zwischenstation missbraucht wurde.

Ohne Strafanzeige gibt der Provider jedenfalls nicht den Namen des Anwenders heraus, der zu dem bestimmten Zeitpunkt die IP hatte.

Also, der User hat sich bei mir gemeldet.

Und zwar ist seine Aussage die, dass ein Backdoortrojaner (wahrscheinlich derjenige welche ) auf seinem Rechner war und eine fremde Person seinen Rechner kontrolliert hat.

Er hat heute seinen kompletten Rechner neu installieren müssen wie er mir sagte.

Das komische ist nur, dass der Beitrag nur in unserem Forum verfasst wurde. Der seinen Rechner kontrolliert hat muss auch der deutschen Sprache mächtig gewesen sein (denke ich).

Also alles etwas komisch würde ich sagen.

Gruß