Mein pc wurd auspioniert

Internet Internet Sicherheit
1

ich habe vor 2-3 wochen als ich meinem pc gestartet eine meldung bekommen dass mein pc infiziert wurde und der grund ein spy programm(merke sein name nicht mehr).
ich kann die laufende prozesse nicht sehen in task manager weil es funktioniert nicht mehr richtig(zeigt nur laufende programme:anwendungen aber keine prozesse).
gestern habe einen email von einem unbekannten bekommen.
hier der email inhat:

Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte
ich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.

bei dir ist der trojaner smss.exe am wüten. deshalb kann
jeder auf deinen rechner zugreifen!
du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
du wirst aber feststellen, das er sich nicht beenden lässt.
solltest du windows98/me haben, siehst du ihn erst gar nicht im task!

dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage
hat es gedauert, bis ich endlich ein programm zum entfernen
gefunden habe. ich hab’s dir mal mit beigetan. wenn fragen,
meld dich einfach.

das email ist verdächtig.
wie gehe ich vor.
wie repariere ich task manager oder gibt es eine andere möglichkeit die laufende prozesse zu sehen.

danke im voraus
youssef

2

hallo erstmal

ich habe vor 2-3 wochen als ich meinem pc gestartet eine
meldung bekommen dass mein pc infiziert wurde und der grund
ein spy programm(merke sein name nicht mehr).

schade dass du nicht mehr weisst welcher es war - hilfreich ist in so einem Fall aber immer Spybot S&D laufen zu lassen (mit updates) sowie AdAware und Hijackthis … bekommst du einfach über suchmaschinen wie google gefunden …

gestern habe einen email von einem unbekannten bekommen.
hier der email inhat:

o.k. die mail war quatsch … da hing als anlage Sober.C dran lies mal dazu http://www.tu-berlin.de/www/software/show.shtml?viru…

das email ist verdächtig.

stimmt

wie gehe ich vor.

die mail löschen - sofort

wie repariere ich task manager oder gibt es eine andere
möglichkeit die laufende prozesse zu sehen.

lass erstmal die o.g. Programme und einen aktuellen virenscanner drüberlaufen … im zweifelsfall holst du dir den Taskmanager von deiner Installations CD wieder

Gruß Hexerl

3

Moin Youssef,
genau die gleiche Mail hatte ich auch Ende Dezember - da hat der „Typ“ mir sogar mitgeteilt anwelchem Tag er angeblich bei mir im PC unterwegs war! An diesem Tag war ich überhaupt nicht zuhause, also auch nicht am Rechner.
Ich sehe alle meine Mails schon auf dem Server - also GANZ WEIT WEG VON MEINEM PC - mit „Email Cleaner“ an. So kann ich Fehlermeldungen verschicken, Mailtexte lesen und auch die Anhänge erkennen. Da war auch der Sober drangehängt. Erste Reaktion war: Löschen. Man kann solche Sachen aber auch an: VIRUS-INFORMER.DE weiterleiten, wenn man nicht weiss, was damit los ist. Habe ich erst später heraus bekommen.
Besorg Dir also besser auch ein Programm, wo Du vorher siehst was nachher ankommt.
Bye RosiF

4

Hallo,

Ich sehe alle meine Mails schon auf dem Server - also GANZ
WEIT WEG VON MEINEM PC - mit „Email Cleaner“ an. So kann ich
Fehlermeldungen verschicken, Mailtexte lesen und auch die
Anhänge erkennen.

Ui, cool. Wie geht das?

Gruss vom Frank.

5

Ist doch bestimmt ein Virus
Klingt mir verdächtig nach SoberC.

Wenn es einerseits im Text heisst:

dabei konnte ich deinen rechner sehen und einsteigen.

und andererseits

solltest du windows98/me haben,

dann stimmt doch was nicht, dieses Anschreiben ist echt im Stil von SoberC

bis ich endlich ein programm zum entfernen gefunden habe. ich hab’s dir mal mit beigetan.

Geil! So bring man Leute dazu, sic dann doch noch den Virus einzufangen. Gut, dass du fragst.

Bernhard

6

Eindeutig: SoberC
Kleiner Check in meinem Ordnr „Virenmails“:

Ich bekam an Weihnachten eine SoberC-Mail mit folgendem Text (ich habe den Namen des „Trojaners“ grossgeschrieben, sonst ist die Mail unverändert.

Subject: Du hast einen Trojaner drauf!

> Juten Tach,
> habe mal einen internet port scan gemacht. dabei konnte
> ich deinen rechner sehen und einsteigen.
> deine mail adresse hab ich auch auf deinem pc gefunden.
>
> bei dir ist der trojaner LSASS.EXE am wüten. deshalb kann
> jeder auf deinen rechner zugreifen!
> du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
> du wirst aber feststellen, das er sich nicht beenden lässt.
> solltest du windows98/me haben, siehst du ihn erst gar nicht im task!
>
> dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage
> hat es gedauert, bis ich endlich ein programm zum entfernen
> gefunden habe. ich hab’s dir mal mit beigetan. wenn fragen,
> meld dich einfach.:Klingt mir verdächtig nach SoberC.

Hoffentlich alles klar. Was sagte eigentlich dein Antivirenprogramm dazu?

Bernhard

7

Hallo!
Hab gerade genau dieselbe eMail bekommen!
Aber mein Outlook löscht irgendwie automatisch solche Anhänge! Also kann doch nix passiert sein, oder?
Sehr gut, dass ich hier direkt was darüber finden konnte!
Danke!

MfG

8

Du wurdest verarscht. Diese Mails kursieren seit einigen Wochen. Mail einfach ignorieren und löschen.

9

Hallo youssef!

„youssef“ schrieb:

hier der email inhat:

Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte

Die Suche in „Google-Groups“ hilft da meist weiter:
http://groups.google.de/groups?sourceid=navclient&hl…

Gruss Oliver

10

zum Thema unvollständiger Task Manager
Du sagst, daß Du nur noch die Programme sehen kannst. Fehlt auch die Menüleiste oben?

Wenn dem so ist, einfach mal auf den grauen Rand doppelklicken. Dann sollte der Task Manager wieder komplett da sein.

Gruß abi

11

Moin Frank:

Sorry, vielleicht klang das zu arrogant und/oder ich bin doch zu…
Der verspricht mir: die Emails schon auf dem „?“-Server zu ermitteln, sichtbar zu machen und b.Bed. schon dort zu löschen.
Immerhin ist mir seit dem kein Virus mehr hier eingeflogen. Und ich weiß, wie es ist, wenn der ganze Kasten zerschossen wird und man dann nach Format C wieder von vorne anfangen darf.
Sollte ich da was ganz falsch verstanden haben kläre mich bitte auf. Ich bin nur ungerne in trügerischer Sicherheit.
Danke und Gruß
RosiF

12

Moin Frank:

Hi,

Der verspricht mir: die Emails schon auf
dem „?“-Server zu ermitteln, sichtbar zu machen und b.Bed.
schon dort zu löschen.

Das kann er (technisch) nicht. BTW: Gibt es eine homepage zu dem Programm? Google ist etwas sehr gespraechig zu dem Thema. Ist es zufaellig das? http://www.winpure.com/emailcleaner.html

Immerhin ist mir seit dem kein Virus mehr hier eingeflogen.

Mir ohne das Ding auch nicht. So what?

Sollte ich da was ganz falsch verstanden haben kläre mich
bitte auf.

Hm, folgende ketzerische Annahme: das Programm nutzt irgendein Standardprotokoll, um auf die mails auf dem server zuzugreifen. Mir ist kein solches Protokoll bekannt, was es ermoeglicht, den server zu beauftragen, mails nach bestimmten Inhalten zu untersuchen und eine schlichte Ja/Nein-Antwort zurueckzuerhalten[1], abhaengig, ob die Inhalte darin vorliegen. Fakt ist, dass AFAIK kein mail server irgendetwas von einem Dateianhang weiss. Er liefert nur Text aus, der ggf. von (z. B.) einem MUA interpretiert werden muss, um ihn in header + (body = text + attachments) zu zerlegen. Das bedeutet, dass AFAIK eine mail, um sie naeher zu untersuchen, immer vom server auf den lokalen Rechner uebertragen (zumindest in Teilen), dort ggf. decodiert und lokal analysiert werden muss. Dazu muss sie in irgendeiner Form (im RAM oder auf der Festplatte) zwischengespeichert werden.

Ich bin nur ungerne in trügerischer Sicherheit.

Das muss noch lange keine truegerische Sicherheit implizieren. Dir sollte nur bewusst sein, dass alle Programme (email cleaner, Outlook Express, mutt, etc.), ob sie wollen oder nicht, eine mail runterladen muessen, um irgendetwas damit zu machen (analysieren, darstellen). Wie ‚unsicher‘ das ist haengt entscheidend von dem Umgang mit der mail ab. Wenn sich ein bestimmtes Programm auf jede Andeutung eines Anhangs stuerzt und diese ungefragt mit unangebrachten Nutzerrechten ausfuehrt, kann das durchaus fatal sein. Wenn es einfach nur nach bestimmten Sequenzen sucht und die mail anschliessend wegwirft, ohne irgendetwas aus dem Inhalt der mail auszufuehren, ist das recht unbedenklich. Abhaengig vom Vorkommen dieser Sequenzen kann ein Programm den mail server dann natuerlich auch dazu veranlassen, die entsprechende mail zu loeschen.

HTH,
Gruss vom Frank.
===footnotes===
[1] Man moege mich korrigieren, aber IMAP kann IIRC pattern search auf (bestimmte Teile von) mails machen. Allerdings weiss ich nicht, ob dann die mail selbst oder nur eine Referenz darauf zurueckgegeben wird. Falls letzeres waere dann tatsaechlich ein Loeschen auf dem server moeglich, ohne die mail vorher gesehen zu haben.

13

Hallo,

habe auch diese E-mail bekommen. E-Mail sofort löschen. Im Anhang ist ein Trojaner. Die smss.exe Datei gehört zum Anmeldesystem von Windows dazu. Auf keinen Fall löschen!!

Gruß: kai