Wir auch, aber wende dich mit der Kopie des Logfiles an deine Provider, erzähl im die Sache und bitte Ihn drum den User mittels Logfile ausfindig zu machen.
Wichtig in solchen Fällen ist auf alle Fälle eine Anzeige bei der Polizei zu machen.
Wie kann ich mich dagegen schützen?
Fast gar nicht, es sei den du installierst dir ne Firewall, aber auch die kann man knacken
Wie werde ich den Netbusvirus wieder los?
Versuch es mal mit einem Antivirenprog im dosmodus.
Das Logfile ist nicht ganz eindeutig. Da Du aber eine T-Online eMail-Adresse hast, vermute ich, daß Du auch über T-Online an das Internet angebunden bist.
Dann ist p3E9D5234.dip.t-dialin.net Dein Rechner und lpz2-c-f1-0-0.atm-bb.de der des Angreifers.
Die Firma CityLine aus Krefeld ist Inhaber der Domain atm-bb.de. Details findest Du unter http://www.denic.de/servlet/Whois
unter Angabe der Domain ‚atm-bb.de‘.
Du kannst Dich einerseits an T-Online wenden, aber ich befürchte, daß Du nicht viel Hilfe bekommen wirst, da der Angrff von außerhalb des T-Online Netzes kam.
Ansonsten würde ich mich mit einem Auszug des Logfiles an den betreffenden Provider (CityLine bzw. roka.net) wenden.
Entfernen von NetBus:
Suche mit regedit unter folgendem Schlüssel nach verdächrtigen Einträgen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Häufig verwendete Alias-Namen sind: patch.exe, sysEdit.exe (beachte das große ‚E‘!)
Zum NetBus-Server gehört weiterhin eine Datei namens KeyHook.dll .
Entferne zunächst den Eintrag in der Registratur, starte neu und lösche dann die beiden Dateien von der Platte.
das ist nicht korrekt, mit:
[22.09.99 18:53:03] Incoming hack attempt from IP Address: 62.157.82.7
ist der User im Prinzip identifiziert.
mit dieser IP kann man, wie in meinem posting beschrieben, den Provider ermittel.
Der kann dann zurückverfolgen welcher User zu diesem zeitpunkt diese IP besass.
[22.09.99 18:53:03] Incoming hack attempt
from IP Address: 62.157.82.7
ist der User im Prinzip identifiziert.
Okay, vom Prinzip schon klar, aber bei der eMail-Adresse „[email protected]“ vermute ich, daß er/sie sich auch per T-Online einwählt und nicht über CityLine.
Warten wir einfach die Antwort ab.
Sicherlich hat ein Kunde von T-Online deutlich bessere Chancen, eine Reaktion gegen einen anderen Kunden zu bewirken. Was Hacker im eigenen Netz amgeht, kennt die Telekom kein Pardon.
Frage: Wo bekommt man dieses „LockDown
2000“ her (direct download?), auf welchen
Betriebssystemen läuft es und ist es
Free- oder Shareware?
Das kannste bei http://www.lockdown2000.com
ersehen, und es auch als 10 Tage-version downloaden. Ich hab es auch laufen, aber es scheint keine 100%ige Sicherheit zu bieten, sodass man trotzdem einen Virenscanner laufen lassen sollte. Aber es wirft immehin verwertbare Daten über den Angreifer aus, sodass wenigstens eine geringe Chance besteht ihn zu packen.
Was genau identifiziert dieses Programm
als Hack-Versuch??
Jeglichen Eingriff von außen auf Dein System!
Außerdem wirft es die genauen Daten des Virus, Trojaners, oder Backdoor auf. Auf Nukeversuche reagiert es verschieden…
Naja, jedenfalls behauptet es dann den Versuch zu terminieren, ob das allerdings wirklich geschieht weiß ich nicht.
