Internet antivir scanner Mail trojaner Firewall Hacker

Hilfe! Hacker

Von: , Frage gestellt am Do, 23. Sep 1999

Hallo Leute,

ich habe mir den Netbus Virus eingefangen und ein Hacker versucht auf meinen PC zu kommen.
Ich verwende LockDown 2000 und erhielt flg.Meldung:

[22.09.99 18:53:03] Incoming hack attempt from IP Address: 62.157.82.7
[22.09.99 18:53:03] Hacker is attempting to gain access using the Netbus trojan.
[22.09.99 18:53:03] Hacker's connection was terminated by Lockdown 2000.
[22.09.99 18:53:03] Log auto-saved to: 09221999.LOG
[22.09.99 18:53:03] Attempting trace route... Please stand by...
[22.09.99 18:53:03] Attempting to trace hacker's connection... Please stand by...
[22.09.99 18:53:03] 22.09.99 18:53:03-[From 62.157.82.7]-
[22.09.99 18:53:19] => lpz2-c-f1-0-0.atm-bb.de
[22.09.99 18:53:19] => F0-0-0.ffm.topnet.de
[22.09.99 18:53:19] => M-gw12.M.net.DTAG.DE
[22.09.99 18:53:19] => L-gw12.L.net.DTAG.DE
[22.09.99 18:53:19] => G-gw1.G.net.DTAG.DE
[22.09.99 18:53:19] => G-rg1.G.net.DTAG.DE
[22.09.99 18:53:19] =========================================
[22.09.99 19:06:27] System Area Change - Windows Directory - Rescanning
[22.09.99 19:08:27] Scan Complete.
[22.09.99 19:08:27] System Area Change - Windows Directory - Rescanning
[22.09.99 19:11:27] Scan Complete.
[22.09.99 19:15:53] Incoming hack attempt from IP Address: 62.157.82.52
[22.09.99 19:15:53] Hacker is attempting to gain access using the Netbus trojan.
[22.09.99 19:15:53] Hacker's connection was terminated by Lockdown 2000.
[22.09.99 19:15:54] Log auto-saved to: 09221999.LOG
[22.09.99 19:15:54] Attempting trace route... Please stand by...
[22.09.99 19:15:54] Attempting to trace hacker's connection... Please stand by...
[22.09.99 19:15:54] 22.09.99 19:15:54-[From 62.157.82.52]-
[22.09.99 19:16:03] => lpz2-c-f1-0-0.atm-bb.de
[22.09.99 19:16:03] => F0-0-0.ffm.topnet.de
[22.09.99 19:16:03] => M-gw12.M.net.DTAG.DE
[22.09.99 19:16:03] => L-gw12.L.net.DTAG.DE
[22.09.99 19:16:03] => G-gw1.G.net.DTAG.DE
[22.09.99 19:16:03] => ics1F.KO.srv.t-online.de
[22.09.99 19:16:03] => p3E9D5234.dip.t-dialin.net
[22.09.99 19:16:04] =========================================

Können Ihr mit den Daten etwas anfangen?
Wie kann ich mich dagegen schützen?
Wie werde ich den Netbusvirus wieder los?

Bitte dringen um Hilfe!
E-Mail [E-Mail-Adresse entfernt]

Mit freundlichen Grüßen
A.Preusser

9 Antworten zu dieser Frage

  1. Antwort von nach einer Stunde hilfreich
    Re: Hilfe! Hacker

    Hi A. ;-) Können Ihr mit den Daten etwas anfangen?
    Wir auch, aber wende dich mit der Kopie des Logfiles an deine Provider, erzähl im die Sache und bitte Ihn drum den User mittels Logfile ausfindig zu machen.
    Wichtig in solchen Fällen ist auf alle Fälle eine Anzeige bei der Polizei zu machen. Wie kann ich mich dagegen schützen?
    Fast gar nicht, es sei den du installierst dir ne Firewall, aber auch die kann man knacken :-( Wie werde ich den Netbusvirus wieder los?
    Versuch es mal mit einem Antivirenprog im dosmodus.

    Gruß
    Tom

  2. Antwort von nach 2 Stunden hilfreich
    Re: Hilfe! Hacker

    [22.09.99 19:15:54] 22.09.99
    19:15:54-[From 62.157.82.52]-
    [22.09.99 19:16:03] =>
    lpz2-c-f1-0-0.atm-bb.de
    [22.09.99 19:16:03] =>
    F0-0-0.ffm.topnet.de
    [22.09.99 19:16:03] =>
    M-gw12.M.net.DTAG.DE
    [22.09.99 19:16:03] =>
    L-gw12.L.net.DTAG.DE
    [22.09.99 19:16:03] =>
    G-gw1.G.net.DTAG.DE
    [22.09.99 19:16:03] =>
    ics1F.KO.srv.t-online.de
    [22.09.99 19:16:03] =>
    p3E9D5234.dip.t-dialin.net
    [22.09.99 19:16:04]
    Das Logfile ist nicht ganz eindeutig. Da Du aber eine T-Online eMail-Adresse hast, vermute ich, daß Du auch über T-Online an das Internet angebunden bist.
    Dann ist p3E9D5234.dip.t-dialin.net Dein Rechner und lpz2-c-f1-0-0.atm-bb.de der des Angreifers.
    Die Firma CityLine aus Krefeld ist Inhaber der Domain atm-bb.de. Details findest Du unter
    http://www.denic.de/servlet/Whois
    unter Angabe der Domain 'atm-bb.de'.

    Du kannst Dich einerseits an T-Online wenden, aber ich befürchte, daß Du nicht viel Hilfe bekommen wirst, da der Angrff von außerhalb des T-Online Netzes kam.
    Ansonsten würde ich mich mit einem Auszug des Logfiles an den betreffenden Provider (CityLine bzw. roka.net) wenden.

    Entfernen von NetBus:

    Suche mit regedit unter folgendem Schlüssel nach verdächrtigen Einträgen:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

    Häufig verwendete Alias-Namen sind: patch.exe, sysEdit.exe (beachte das große 'E'!)
    Zum NetBus-Server gehört weiterhin eine Datei namens KeyHook.dll .

    Entferne zunächst den Eintrag in der Registratur, starte neu und lösche dann die beiden Dateien von der Platte.

    CU
    Markus

    • Antwort von nach 6 Stunden hilfreich
      Re^2: Hilfe! Hacker

      Hi Markus, Das Logfile ist nicht ganz eindeutig.
      das ist nicht korrekt, mit:
      [22.09.99 18:53:03] Incoming hack attempt from IP Address: 62.157.82.7
      ist der User im Prinzip identifiziert.
      mit dieser IP kann man, wie in meinem posting beschrieben, den Provider ermittel.
      Der kann dann zurückverfolgen welcher User zu diesem zeitpunkt diese IP besass.

      Tom

      • Antwort von nach 7 Stunden hilfreich
        Re^3: Hilfe! Hacker

        [22.09.99 18:53:03] Incoming hack attempt
        from IP Address: 62.157.82.7
        ist der User im Prinzip identifiziert.
        Okay, vom Prinzip schon klar, aber bei der eMail-Adresse "[E-Mail-Adresse entfernt]" vermute ich, daß er/sie sich auch per T-Online einwählt und nicht über CityLine.

        Warten wir einfach die Antwort ab.

        Sicherlich hat ein Kunde von T-Online deutlich bessere Chancen, eine Reaktion gegen einen anderen Kunden zu bewirken. Was Hacker im eigenen Netz amgeht, kennt die Telekom kein Pardon.

        Cu
        Markus

  3. Antwort von nach 11 Stunden hilfreich
    Danke

    Hi,

    erstmal Danke für die schnelle Hilfe.
    Ich habe mich an die entsprechenden Stellen gewandt und hoffe auf eine Lösung.
    Info folgt.

    bis bald

    Andreas

    • Antwort von nach 42 Tagen hilfreich
      welche Stellen

      Hallo, Ich habe mich an die entsprechenden
      Stellen gewandt und hoffe auf eine
      Lösung.
      Mich würde interresieren, was das denn dann für Stellen sind: BKA? Der Provider? Oder gibt es da evtl. noch etwas anderes (und evtl. effizienter ...)?


      Gruß
      Henrik

  4. Antwort von nach 17 Tagen hilfreich
    Re: Hilfe! Hacker

    Frage: Wo bekommt man dieses "LockDown 2000" her (direct download?), auf welchen Betriebssystemen läuft es und ist es Free- oder Shareware?

    Was genau identifiziert dieses Programm als Hack-Versuch??

    C. Pohl ich habe mir den Netbus Virus eingefangen
    und ein Hacker versucht auf meinen PC zu
    kommen.
    Ich verwende LockDown 2000 und erhielt
    flg.Meldung:

    • Antwort von nach 20 Tagen hilfreich
      Re^2: Hilfe! Hacker

      Frage: Wo bekommt man dieses "LockDown
      2000" her (direct download?), auf welchen
      Betriebssystemen läuft es und ist es
      Free- oder Shareware?
      Das kannste bei http://www.lockdown2000.com
      ersehen, und es auch als 10 Tage-version downloaden. Ich hab es auch laufen, aber es scheint keine 100%ige Sicherheit zu bieten, sodass man trotzdem einen Virenscanner laufen lassen sollte. Aber es wirft immehin verwertbare Daten über den Angreifer aus, sodass wenigstens eine geringe Chance besteht ihn zu packen.



      Was genau identifiziert dieses Programm
      als Hack-Versuch??
      Jeglichen Eingriff von außen auf Dein System!
      Außerdem wirft es die genauen Daten des Virus, Trojaners, oder Backdoor auf. Auf Nukeversuche reagiert es verschieden.....
      Naja, jedenfalls behauptet es dann den Versuch zu terminieren, ob das allerdings wirklich geschieht weiß ich nicht.

      Gruß
      Gerlinde

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!

© Copyright 2003-2012 wer-weiss-was GmbH. Alle Rechte vorbehalten