Spyvirus auffinden und entfernen

Hallo Community,

Forenmitglied floste hat mir vor einiger Zeit einen ziemlich nervigen Spy-Virus geschickt. Was er tut: scheinbar ständig Screenshots und läd sie auf floste.dyndns.de (Port wechselnd/unbekannt). Rausgefunden mit Resourcenmanager und TcpView.

Er sagte, er würde mir morgen helfen, das Sch***teil zu entfernen.

Was sagt ihr dazu? Sowas geht doch schon an die Rechtliche Grenze!

Auch mit der Windows Firewall bekomm ichs nicht geblockt.

mfg.
markus111

Edit: Die Netzwerkauslastung kommt immer aus anderen Prozessen, also fälscht er irgendwelche Resourcen. Vielleicht ein Service? Er sagte was von svchost.exe

Hallo markus111,

tja - selber Schuld. Man öffnet auch keine Anwendungen aus dem Internet 😁
Wobei ich schätze floste so ein, dass das eher wieder ein blöder Scherz ist - siehe auch Trojanerwarnung im Forum [behoben]

LAN (bzw. WLAN)-Kabel ziehen und Sysinternals AutoRuns laufen lassen (vorher natürlich downloaden).
Ansonsten sind die Sysinternals Tools ganz praktisch: Evtl. hilft auch der ProcessExplorer.

Forenmitglied
> hat mir vor einiger Zeit einen ziemlich nervigen Spy-Virus geschickt...

Hm, ich denke, dass sollte langsam Konsequenzen haben:

Zitat von: herbivore
Hallo floste,
auch wenn deine Aktion an sich natürlich nicht gut heiße, so akzeptiere ich doch deine Entschuldigung und verlasse mich auf deine Erklärung, sowas in Zukunft zu unterlassen. Ich sehe das als einmalige Verfehlung, zumal du ja sonst gute Beiträge für das Forum leistest. Deshalb von meiner Seite: Schwamm drüber.

dN!3L

Er hat ihn mir scheinbar mal bei Skype geschickt... Woanders her wüsste ich nichts.

mfg.
markus111

Ich kenne floste und sein Tool. Das ist nur ein dummer Scherz. Autoruns funktioniert da nicht. Abgesichert starten und in der Regestry den Schlüssel entfernen.

Außerdem weiß ich nicht, ws das hier mit dem Forum zu tun hat. Er hat das ja nicht hier verbreitet(?)

Gruß pdelvo

Hallo markus111,

da hättest du dich wirklich besser direkt bei Floste beklagt.
Klar er hat was gemacht das man nicht machen sollte 🙂 aber ich finde nich dass man ihn deshalb hier im Forum belangen sollte.
Denn er hat es dir eigentlich ja auch nur private geschickt und wahrscheinlich auch nicht ohne Vorwarnung. Mir hat er es jedenfalls vorher gesagt 🙂
Genau das ist auch der Grund wieso ich nie von (unbekannten, bzw. nur flüchtig bekannten) ein Testprogramm bei Skype annehme 🙂

Gruss
Michael

Hab mich schon beklagt - der war dann weg 🙁

@pdelvo: hast du es wieder entfernt bekomm? Wenn ja wie?

Mal etwas OT: Wie kann man einem Fremden Programm seine Netzwerkauslastung unterschieben und sich aus dem Taskmanager etc. verstecken? Wieso lässt Windows sowas überhaupt zu?

Hallo dN!3L,

Hm, ich denke, dass sollte langsam Konsequenzen haben.

auch wenn ich die Aktion(en) von floste an sich natürlich nicht gut heiße, können wir ihn - wie schon andere gesagt haben - nicht hier für etwas zur Verantwortung ziehen, was er außerhalb des Forums getan hat, selbst dann nicht, wenn der Kontakt zu den Betroffenen über das Forum zustande gekommen ist. Aber es ist natürlich jedem Betroffenen überlassen, selbst gegen floste vorzugehen, z.B. Strafanzeige zu stellen. Scherz hin oder her, ich gehe davon aus, dass hier möglicherweise ein Straftatbestand (§ 202a Ausspähen von Daten) verwirklicht wurde. Möglicherweise ist so ein Schuss vor den Bug nötig, um floste zu zeigen, dass er sich auf einem Irrweg befindet.

herbivore

Scherz hin oder her, ich gehe davon aus, dass hier möglicherweise ein Straftatbestand (§ 202a Ausspähen von Daten) verwirklicht wurde.

Heißt das, dass ich ihn anzeigen kann, wenn er das Spytool nicht entfernt?

Er hat von mir auch schon private Skype-Kontaktdaten ausgelesen bzw. abgelesen, und diese angeschrieben.

mfg.
markus111

Hi markus111,

das ganze ist natürlich sehr unangenehm und -auch wenn als scherz gedacht- völlig inakzeptabel.

Aber ich denke das wichtigste ist jetzt erstmal das ding los zu werden und dir erst danach zu überlegen wie/ob du weiter vorgehst.

Zur svchost.exe kannst du dich u.A. hier etwas schlau machen: http://www.neuber.com/taskmanager/deutsch/prozess/svchost.exe.html

In dem Artikel wird auch auf einen svchost-analyzer verwiesen:
http://www.neuber.com/free/svchost-analyzer/

Außerdem hat pdelvo einen Ansatz zum entfernen gepostet:
"...Abgesichert starten und in der Regestry den Schlüssel entfernen."

Das solltest du auf jeden Fall mal versuchen.

Gruß
NilsA

@markus111:

Unabhaengig davon, ob er nun das Tool bei Dir entfernt oder nicht, kannst Du eine Anzeige stellen. Der Tatbestand einer widerrechtlichen Handlung (siehe dazu Herbivores Beitrag) ist gegeben.

@Herbivore:

auch wenn ich die Aktion(en) von floste an sich natürlich nicht gut heiße, können wir ihn - wie schon andere gesagt haben - nicht hier für etwas zur Verantwortung ziehen, was er außerhalb des Forums getan hat, selbst dann nicht, wenn der Kontakt zu den Betroffenen über das Forum zustande gekommen ist.

Ich kann Dir da nur bedingt zustimmen. Sicherlich steht hier Aussage gegen Aussage und somit ist eine Einschatzung schwierig, ob der geschilderte Tatbestand der Wirklichkeit entspricht (objektiv gesehen). Allerdings scheinen andere Forenmitglieder dieses ominoese Tool bereits zu kennen und es ist wohl nicht die erste fehlgeleitete Aktion von flotse, wie ich aus diesem Thread entnehmen konnte. Dahingehend kann man sich nun eine Meinung darueber bilden und wie ich finde, sollte das auch in diesem Forum Konzsequenzen haben. Wenn ich nun unser Forum betrachte, dann gehe ich davon aus, dass es einen gewissen Ehrencodex darueber gibt, was man tun darf und lassen soll (ich denke bspw. an Threads, in denen nur im Ansatz an irgendwelche SpyTools erinnernde Fragen bereits im Keim erstickt werden und nach kurzer Zeit geschlossen werden). Deswegen halte ich es fuer legitim ein solches Fehlverhalten auch wenn es ausserhalb dieser Forengrenzen stattgefunden hat, hier zu ahnden. Denn ein derartiges Verhalten widerspricht meiner Meinung gaenzlich dem Forencodex.

Gruss, DaMoe

Mit dem "Entfernen" ist es so eine Sache. Man beseigigt damit Spuren, die im Falle einer Anzeige als Nachweis wichtig sein koennten.

Ich erzähle mal die ganze geschichte
Markus hatte, als ich das teil geschrieben hatte das nichtnur mitbekommen, sondern auch eine harmlose version getestet. Als ich fertig war hatte ein bekannter von mir versucht ihm eine scharfe version unterzuschieben. Das hatte aber nicht geklappt, denn er hatte es bemerkt (wahrscheinlich reflektor). Das war vor ca. 2,5 monaten.

Vorgestern hat er sich dann plötzlich verbunden. Ich und mein bekannter haben ein paar screenshots gemacht und mein bekannter hat ihn mit taskkill beim spielen genervt.

schon private Skype-Kontaktdaten ausgelesen

Ich habe dann noch von nem screenshot einen skypenamen abgelesen.

euch dreien, die das "Tool" kennen

pdelvo war ned infiziert, aber wir kennen uns.

man ja nicht von jedem x-beliebigen Menschen Zeugs runterlädt und ausführt

Vmware/Vbox?

So, floste hat mir erklärt wie ich ihn entferne - und jetzt scheint er auch weg zu sein. 👍

Da er mir erklärt hat - wie es weg geht - lass ich das mit der Anzeige.

mfg.
markus111

Hallo DaMoe80,

Deswegen halte ich es fuer legitim ein solches Fehlverhalten auch wenn es ausserhalb dieser Forengrenzen stattgefunden hat, hier zu ahnden.

mal abgesehen davon, dass sich die Beteiligten jetzt ja wohl gütlich geeinigt haben, war doch das einzige, was das Ganze mit dem Forum zu tun hat, dass sich die Beteiligten irgendwann mal über das Forum kennen gelernt haben.

Wenn ich Floste deshalb sperren würde, wäre das so als wenn die Telekom den Telefonanschluss sperrt, selbst wenn die Tat gar nicht über das Telefon begangen wurde, nur weil der Täter seine Opfer irgendwann mal aus dem Telefonbuch herausgesucht hat.

Wenn ich nun unser Forum betrachte, dann gehe ich davon aus, dass es einen gewissen Ehrencodex darueber gibt, was man tun darf und lassen soll (ich denke bspw. an Threads, in denen nur im Ansatz an irgendwelche SpyTools erinnernde Fragen bereits im Keim erstickt werden und nach kurzer Zeit geschlossen werden).

Richtig! Solche Threads werden geschlossen und das wird auch weiterhin passieren. Allerdings gibt es keine weitergehenden Sanktionen gegen die Ersteller solcher Threads. Und selbst wenn es diese gäbe (also z.B. das Konto des Erstellers zu sperren), wäre damit wohl kaum zu verhindern, dass der Betreffende weiter an seinem SpyTool arbeitet, wenn er es denn wirklich will. Das kann man nicht dem Forum anlasten.

Floste vor Augen geführt zu haben, dass er sich bei einer weiteren Verbreitung seines Tools der nicht unerheblichen Gefahr eines Strafverfahrens aussetzt, halte ich für weit wirkungsvoller als jede Sanktion, die in der Macht des Forums liegt. Und selbst wenn wir keine Sanktion aussprechen, dürfte klar sein, dass myCSharp.de solches Verhalten strikt missbilligt und das genaue Gegenteil eines Hacker-Forum ist.

herbivore

Hi Herbivore,

Unabhaengig jetzt davon wie sich die Sache aufgeloest hat, sehe ich das noch ein wenig anders. Ich finde gut, dass es so geloest wurde wie es nun geloest wurde, wobei auch nach der Schilderung durch flotse ein gewisser Beigeschmack bleibt (das ist aber eine subjektive Einschaetzung). Aber wie ich bereits in meinem Vorbeitrag bereits schrieb, ist es natuerlich schwierig, festzustellen, ob ein Fehlerverhalten wirklich vorlag.

Aber folgende Argumentation kann ich nicht nachvollziehen.

Allerdings gibt es keine weitergehenden Sanktionen gegen die Ersteller solcher Threads. Und selbst wenn es diese gäbe (also z.B. das Konto des Erstellers zu sperren), wäre damit wohl kaum zu verhindern, dass der Betreffende weiter an seinem SpyTool arbeitet, wenn er es denn wirklich will. Das kann man nicht dem Forum anlasten.

Sicherlich kann man jemanden nicht direkt sanktionieren, nur weil er nach Techniken fragt, die Teil eines SpyTools sein koennten. Davon habe ich auch nie geredet, denn hier muss man differenzieren zw. Information einholen (mit welcher Intention auch immer) und einem negativen Tatbestand. Sicherlich kann man nicht verhindern, dass jemand an seinem Tool weiterarbeitet, indem man ihn aus einem Forum aussperrt. Das Aussperren soll vielmehr einen symbolischen Charakter haben.

wäre das so als wenn die Telekom den Telefonanschluss sperrt, selbst wenn die Tat gar nicht über das Telefon begangen wurde, nur weil der Täter seine Opfer irgendwann mal aus dem Telefonbuch herausgesucht hat.

Ich finde das Beispiel nicht wirklich gut, denn ich kann mich auch an Faelle erinnern, in denen offensichtliche Straftaten ueber die Telefonleitung der Telekom begangen wurden und entsprechendes Unternehmen in keinster Weise an Sanktionen interessiert war, weil eher der Profit im Vordergrund stand. Deswegen finde ich, dass der Vergleich von mycsharp und Telekom ein wenig hinkt, zumal es hier einen Ehrencodex gibt, was ich von profitorientierten Unternehmen meistens nicht sagen kann.

Gruss, DaMoe

Hallo DaMoe80,

... sehe ich das noch ein wenig anders.

schade, dass ich dich nicht überzeugen konnte und du dich in meinen Augen an irgendwelchen Nebensächlichkeiten bei den Vergleichen aufhängst. Ich hatte gehofft, dass der Kern der Sache dadurch gut rüberkommt.

Sicherlich kann man nicht verhindern, dass jemand an seinem Tool weiterarbeitet, indem man ihn aus einem Forum aussperrt.

Eben!

Aber wie ich bereits in meinem Vorbeitrag bereits schrieb, ist es natuerlich schwierig, festzustellen, ob ein Fehlerverhalten wirklich vorlag.

Vielleicht können wir an diesem Punkt übereinkommen. Unschuldig bis zum Beweis des Gegenteils. Schon deshalb kann es also keine Sanktion geben, selbst wenn du mir in allen anderen Punkten nicht Recht gibst.

herbivore