[HaBo]

AngryUser · 08.08.10, 21:57

es begann alles damit das sich die freundin meines vaters bei mir darüber beschwert hat dass auf ihrem rechner (win xp) ständig eine fehlermeldung auftrat (runtime error 216 at 0016d2a sobald sie den arbeitsplatz geöffnet hatte.

in meiner "weißheit" gab ich diese fehlermeldung also bei google ein um zu sehen was man da machen könnte

da las ich schon im ersten treffer das dies oft bei einem befall mit einem gewissen "subseven" trojaner vorkommt

also erstmal den taskmanager angemacht und nach mir unbekannten prozessen gesucht.
sofort stach mir "7pbtom8e.exe" ins auge

also hab ich mir einen einfachen portscanner besorgt und mal geschaut wohin sich dieses dreckige mistding verbindet "195.255.176.56" lautet die IP. und "7777" ist der port

nach der installation von antivir hat sich mein verdacht bestätigt "TR/Crypt.ZPACK.Gen" meldete er mir von dieser exe.
(die exe hab ich übrigens noch falls man die als beweis braucht)

nach einem check bei einem who is-service kam raus dass sich die quelle des übels in finnland verbirgt.

im grunde hat er ja keinen schaden angerichtet ausser das der pc manchmal abgestürzt ist, und dadurch einige spielfortschritte der dame verloren gingen

nun zu meinen fragen..
ist das wirklich die ip adresse desjenigen der dieses mistding verbreitet oder nur eine zwischenstation (proxy, vpn oder sowas) ?

wie kann ich dann seinen provider über seine miesen machenschaften informieren ?
eine email adresse dieses finnischen unternehmens konnte ich nirgends finden.

oder sollte ich mit dem rechner zur polizei rennen ? würde mir das überhaupt was bringen. bzw werden die cops überhaupt was machen können?
gibt es vielleicht irgendeine möglichkeit ihm eins reinzuwürgen ?

ich bin wirklich nicht sehr erfahren in solchen dingen, daher hoffe ich das mir hier jemand seinen rat dazu geben kann.

**bitmuncher** · 08.08.10, 22:18

Code:

inetnum:      195.255.176.32 - 195.255.176.63
netname:      KUKKATOIMITUS
descr:        Helsingin Kukkatoimitus Oy
descr:        Vanha Talvitie 10
descr:        00580 Helsinki
country:      FI
admin-c:      LK5-RIPE
tech-c:       LK5-RIPE
status:       ASSIGNED PA
mnt-by:       ELISA-MNT
source:       RIPE # Filtered

person:       Lasse Kotilainen
address:      Helsingin Kukkatoimitus Oy
address:      Vanha Talvitie 10
address:      00580 Helsinki
address:      FI
phone:        +358 9 353 6402
nic-hdl:      LK5-RIPE
mnt-by:       ELISA-MNT
source:       RIPE # Filtered

% Information related to '195.255.0.0/16AS719'

route:        195.255.0.0/16
descr:        Elisa Oyj
origin:       AS719
mnt-by:       ELISA-MNT
source:       RIPE # Filtered

Das ist dein Ansprechpartner. Es dürfte aber recht wahrscheinlich sein, dass es sich bei dem Rechner lediglich um eine Zwischenstation des Traffics handelt. Das wird dir aber ausser dem Eigentümer kaum jemand sagen können. Es könnte sich aber einfach um einen gehackten Server handeln. Die Adresse klingt jedenfalls danach (ws56.helsinginkukkatoimitus.fi - ws = webspace?). Im übrigen wird Subseven schon seit Jahren von jedem Antivirus problemlos erkannt. Die Dame sollte evtl. mal einen solchen verwenden. Ansonsten kannst du davon ausgehen, dass es sich nicht um einen Sub7 handelt.

Zur Polizei gehen wird jedenfalls nichts bringen, da kein Schaden entstanden ist. Wenn die jeden Trojanerbefall bearbeiten müssten, könnten sie bald kaum noch was anderes tun.

HaBo Ads

AngryUser · 08.08.10, 23:29

genau das ist er xD

schade dann wird sie sich wohl damit abfinden müssen das der übeltäter nicht gefasst wird

ich frag mich noch immer wie sie zu dem trojaner gekommen ist. xD
sie sagt sie öffnet grundsätzlich keine dateien fremder herkunft.

naja ist ja jetzt wieder alles sauber und ich werd ihr wohl warscheinlich das xp neu aufsetzen um wirklich sicher zu gehen das da nix faul auf dem rechner ist.

ich bedanke mich herzlich für die schnelle antwort

**Tarantoga** · 08.08.10, 23:59

Zitat:

AngryUser:
nach der installation von antivir hat sich mein verdacht bestätigt "TR/Crypt.ZPACK.Gen" meldete er mir von dieser exe.

Man sollte auch nicht warten bis das Kind in den Brunnen gefallen ist, auf jedem Rechner mit einem Internetzugang sollten aktuelle Scanner für Viren & andere Malware installiert sein - vielleicht erklärst Du das Deiner Freundin einmal. Idealerweise sollte sich der Rechner auch hinter einer Firewall befinden, wobei die Betonung auf dem Wort "hinter" liegt, denn der Nutzen von Desktop-Firewalls wird stark überschätzt...

**bitmuncher** · 09.08.10, 00:06

Zitat:

Zitat von AngryUser

sie sagt sie öffnet grundsätzlich keine dateien fremder herkunft.

Es reicht schon aus, wenn sie die falsche Website besucht. Und sonst kann ich mich Tarantoga durchaus anschliessen, auch wenn ich es etwas differenzieren würde: auf jedem Rechner mit einem Internetzugang und Windows sollten aktuelle Scanner für Viren & andere Malware installiert sein.

Cyberm@ster · 09.08.10, 00:27

Zitat:

Zitat von AngryUser

ich werd ihr wohl warscheinlich das xp neu aufsetzen um wirklich sicher zu gehen das da nix faul auf dem rechner ist.

Hast du in Betracht gezogen Windows 7 (oder zB Linux) zu installieren? Der Support von XP geht langsam aber sicher zu Ende... Antiviren Software ersetzt keine Sicherheitspatches.

AngryUser · 09.08.10, 01:35

Da gebe ich euch allen völlig Recht.

Obwohl sie nicht sehr oft am Rechner sitzt werde ich ihr ans Herz legen sich mal Windows 7 anzuschaffen..
Vorerst werde ich ihr dann einfach mal mein Win7 installieren damit sie sich da schonmal eingewöhnen kann

Sie spielt eh nur paar Games und tummelt sich meißt auf Russisch-sprachigen Websites herum ...schaut sich dort Streams von Movies an. Warscheinlich ist sie da wohl an die falsche Seite geraten

Die Firewall war eigentlich immer aktiv und hat auch keine Ausnahmen zugelassen.. auch im Router war alles ok. (soweit ich das erkennen konnte) Keine unnötigen Ports geöffnet und UPnP ist auch deaktiviert.. auch wenns nicht unbedingt was zu sagen hat

Nur war da eben kein Virenscanner

Sie hat aber draus gelernt. Ab jetzt ist immer ein scanner dabei

**bitmuncher** · 09.08.10, 01:59

Die meisten russischen Videostream-Seiten sind sauber, wenn sie sich nicht gerade auf Porno-Seiten rumtreibt. Ich bin selbst viel im russischsprachigen Web unterwegs und mir sind da bisher nicht mehr verseuchte Seiten untergekommen als im englischsprachigen. Selbst jene russischen Seiten, die copyright-geschützte Inhalte anbieten, sind zumeist sauber (im Gegensatz zu den deutschsprachigen Seiten mit solchen Inhalten). Ich würde es daher nicht unbedingt auf Sites schieben, nur weil diese in einer bestimmten Sprache angeboten werden.

AngryUser · 09.08.10, 02:13

Ich schiebe es durchaus nicht auf Sites bestimmter Sprachen xD
zumal ich selber russischer Abstammung bin
Das war bloß eine Theorie die nicht unbedingt zutreffen muss

Cyberm@ster · 09.08.10, 18:39

Welchen Browser benutzt sie eigentlich?

AngryUser · 09.08.10, 20:26

Sie hat nur Firefox verwendet.

Ganz nebenbei: welchen Virenscanner würdet ihr eigentlich empfehlen ?
Möglichst einen den es auch als Freeware Version gibt.

Hab da jetzt erstmal den von Avira draufgeschmissen.

Cyberm@ster · 09.08.10, 21:37

Zitat:

Zitat von AngryUser

Hab da jetzt erstmal den von Avira draufgeschmissen.

IMHO hast du da ne gute Wahl getroffen, ich benutze den schon seit Jahren und bin sehr zufrieden damit.

AngryUser · 10.08.10, 17:24

Okay dann bleibt es erstmal dabei

detrexer · 29.08.10, 19:34

alternativ hab ich zumindest unter windows 7 mit den Microsoft Security Essenstials gute Erfahrung gemacht. Die nerven nicht so wie AntiVir mit pop-ups u.ä.

da_fighter · 06.09.10, 23:26

avast

Empfehlung

08.08.10, 21:57	#1 (permalink)
AngryUser Registriert seit: 08.08.10 Likes: 0	trojanerbefall- bei wem beschweren? es begann alles damit das sich die freundin meines vaters bei mir darüber beschwert hat dass auf ihrem rechner (win xp) ständig eine fehlermeldung auftrat (runtime error 216 at 0016d2a sobald sie den arbeitsplatz geöffnet hatte. in meiner "weißheit" gab ich diese fehlermeldung also bei google ein um zu sehen was man da machen könnte da las ich schon im ersten treffer das dies oft bei einem befall mit einem gewissen "subseven" trojaner vorkommt also erstmal den taskmanager angemacht und nach mir unbekannten prozessen gesucht. sofort stach mir "7pbtom8e.exe" ins auge also hab ich mir einen einfachen portscanner besorgt und mal geschaut wohin sich dieses dreckige mistding verbindet "195.255.176.56" lautet die IP. und "7777" ist der port nach der installation von antivir hat sich mein verdacht bestätigt "TR/Crypt.ZPACK.Gen" meldete er mir von dieser exe. (die exe hab ich übrigens noch falls man die als beweis braucht) nach einem check bei einem who is-service kam raus dass sich die quelle des übels in finnland verbirgt. im grunde hat er ja keinen schaden angerichtet ausser das der pc manchmal abgestürzt ist, und dadurch einige spielfortschritte der dame verloren gingen nun zu meinen fragen.. ist das wirklich die ip adresse desjenigen der dieses mistding verbreitet oder nur eine zwischenstation (proxy, vpn oder sowas) ? wie kann ich dann seinen provider über seine miesen machenschaften informieren ? eine email adresse dieses finnischen unternehmens konnte ich nirgends finden. oder sollte ich mit dem rechner zur polizei rennen ? würde mir das überhaupt was bringen. bzw werden die cops überhaupt was machen können? gibt es vielleicht irgendeine möglichkeit ihm eins reinzuwürgen ? ich bin wirklich nicht sehr erfahren in solchen dingen, daher hoffe ich das mir hier jemand seinen rat dazu geben kann.

08.08.10, 22:18	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	Code: inetnum: 195.255.176.32 - 195.255.176.63 netname: KUKKATOIMITUS descr: Helsingin Kukkatoimitus Oy descr: Vanha Talvitie 10 descr: 00580 Helsinki country: FI admin-c: LK5-RIPE tech-c: LK5-RIPE status: ASSIGNED PA mnt-by: ELISA-MNT source: RIPE # Filtered person: Lasse Kotilainen address: Helsingin Kukkatoimitus Oy address: Vanha Talvitie 10 address: 00580 Helsinki address: FI phone: +358 9 353 6402 nic-hdl: LK5-RIPE mnt-by: ELISA-MNT source: RIPE # Filtered % Information related to '195.255.0.0/16AS719' route: 195.255.0.0/16 descr: Elisa Oyj origin: AS719 mnt-by: ELISA-MNT source: RIPE # Filtered Das ist dein Ansprechpartner. Es dürfte aber recht wahrscheinlich sein, dass es sich bei dem Rechner lediglich um eine Zwischenstation des Traffics handelt. Das wird dir aber ausser dem Eigentümer kaum jemand sagen können. Es könnte sich aber einfach um einen gehackten Server handeln. Die Adresse klingt jedenfalls danach (ws56.helsinginkukkatoimitus.fi - ws = webspace?). Im übrigen wird Subseven schon seit Jahren von jedem Antivirus problemlos erkannt. Die Dame sollte evtl. mal einen solchen verwenden. Ansonsten kannst du davon ausgehen, dass es sich nicht um einen Sub7 handelt. Zur Polizei gehen wird jedenfalls nichts bringen, da kein Schaden entstanden ist. Wenn die jeden Trojanerbefall bearbeiten müssten, könnten sie bald kaum noch was anderes tun. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

09.08.10, 01:59	#8 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	Die meisten russischen Videostream-Seiten sind sauber, wenn sie sich nicht gerade auf Porno-Seiten rumtreibt. Ich bin selbst viel im russischsprachigen Web unterwegs und mir sind da bisher nicht mehr verseuchte Seiten untergekommen als im englischsprachigen. Selbst jene russischen Seiten, die copyright-geschützte Inhalte anbieten, sind zumeist sauber (im Gegensatz zu den deutschsprachigen Seiten mit solchen Inhalten). Ich würde es daher nicht unbedingt auf Sites schieben, nur weil diese in einer bestimmten Sprache angeboten werden. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

29.08.10, 19:34	#14 (permalink)
detrexer Registriert seit: 04.04.07 Likes: 0	alternativ hab ich zumindest unter windows 7 mit den Microsoft Security Essenstials gute Erfahrung gemacht. Die nerven nicht so wie AntiVir mit pop-ups u.ä. __________________ Mein Blog: http://keinwegraus.wordpress.com/

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

08.08.10, 23:29	#3 (permalink)
AngryUser Themenstarter Registriert seit: 08.08.10 Likes: 0	genau das ist er xD schade dann wird sie sich wohl damit abfinden müssen das der übeltäter nicht gefasst wird ich frag mich noch immer wie sie zu dem trojaner gekommen ist. xD sie sagt sie öffnet grundsätzlich keine dateien fremder herkunft. naja ist ja jetzt wieder alles sauber und ich werd ihr wohl warscheinlich das xp neu aufsetzen um wirklich sicher zu gehen das da nix faul auf dem rechner ist. ich bedanke mich herzlich für die schnelle antwort

09.08.10, 01:35	#7 (permalink)
AngryUser Themenstarter Registriert seit: 08.08.10 Likes: 0	Da gebe ich euch allen völlig Recht. Obwohl sie nicht sehr oft am Rechner sitzt werde ich ihr ans Herz legen sich mal Windows 7 anzuschaffen.. Vorerst werde ich ihr dann einfach mal mein Win7 installieren damit sie sich da schonmal eingewöhnen kann Sie spielt eh nur paar Games und tummelt sich meißt auf Russisch-sprachigen Websites herum ...schaut sich dort Streams von Movies an. Warscheinlich ist sie da wohl an die falsche Seite geraten Die Firewall war eigentlich immer aktiv und hat auch keine Ausnahmen zugelassen.. auch im Router war alles ok. (soweit ich das erkennen konnte) Keine unnötigen Ports geöffnet und UPnP ist auch deaktiviert.. auch wenns nicht unbedingt was zu sagen hat Nur war da eben kein Virenscanner Sie hat aber draus gelernt. Ab jetzt ist immer ein scanner dabei

09.08.10, 02:13	#9 (permalink)
AngryUser Themenstarter Registriert seit: 08.08.10 Likes: 0	Ich schiebe es durchaus nicht auf Sites bestimmter Sprachen xD zumal ich selber russischer Abstammung bin Das war bloß eine Theorie die nicht unbedingt zutreffen muss

09.08.10, 18:39	#10 (permalink)
Cyberm@ster Senior Member Registriert seit: 27.06.04 Likes: 0	Welchen Browser benutzt sie eigentlich?

09.08.10, 20:26	#11 (permalink)
AngryUser Themenstarter Registriert seit: 08.08.10 Likes: 0	Sie hat nur Firefox verwendet. Ganz nebenbei: welchen Virenscanner würdet ihr eigentlich empfehlen ? Möglichst einen den es auch als Freeware Version gibt. Hab da jetzt erstmal den von Avira draufgeschmissen.

10.08.10, 17:24	#13 (permalink)
AngryUser Themenstarter Registriert seit: 08.08.10 Likes: 0	Okay dann bleibt es erstmal dabei

06.09.10, 23:26	#15 (permalink)
da_fighter Registriert seit: 08.08.04 Likes: 0	avast


HaBo Ads HaBOT

[HaBo]

trojanerbefall- bei wem beschweren?