DSL Anschluss gehackt

Dieses Thema im Forum "Internet: DSL, Kabel, UMTS, LTE" wurde erstellt von Antennenmann, 15. August 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Antennenmann

    Antennenmann Byte

    Registriert seit:
    15. August 2005
    Beiträge:
    9
    Hi,
    hatte bei der letzten DSL Rechnung von 1&1 eine böse Überraschung - 160,00 Ocken wg. eines Übertragungsvolumens von 17 GB an einem Tag. (Hab nen Volumenvertrag von 10 GB / Monat).
    Habe eigentlich mein WLAN gesichert (Verschlüsselt, MAC Beschränkung, keine Veröffentlichung Netzwerkname), aktuellen Virenscanner, Firewall, Spysweeper, etc...

    Was kann ich sonst noch machen, insbesondere, dass ich das nicht erst am Monatsende merke.

    DANKE

    P.S.: Tipp von 1&1 Hotline --> ich soll ne Anzeige machen. Super!
     
  2. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Ich weiß nicht wie das bei 1&1 ist, aber bei T-Online kann man das so einrichten dass nach Erreichen eines bestimmten Übertragungsvolumens der Anschluss blockiert wird.


    Schau mal in deinem WLAN-Router nach ob da irgendwelche Hinweise zu finden sind auf eine fremde Verbindung.


    Durchsuche deinen Rechner, vielleicht hast du ja ungebetene Gäste. Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
    Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.



    PS: Wie schnell ist dein DSL-Anschluss?
     
  3. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hast wahrscheinlich einen Trojaner auf der Maschine oder es hat einer dein WLAN gehackt (wie angesprochen "HiJackThis" ausführen). Die FlatRate kostet max. 10 Euro / Monat (160 Euro sind 16 Monate Flat... denke mal über eine FlatRate nach).

    Wolfgang77
     
  4. Antennenmann

    Antennenmann Byte

    Registriert seit:
    15. August 2005
    Beiträge:
    9
    Das war das erste, was ich geändert habe --> den Tarif ;-) Möchte aber bis zur Umstellung (4 bis 6 Wochen) nicht noch ne böse Überraschung erleben.
    Danke!
     
  5. Antennenmann

    Antennenmann Byte

    Registriert seit:
    15. August 2005
    Beiträge:
    9
    Danke, mache ich. Ich hab den 2000er DSL.
     
  6. Antennenmann

    Antennenmann Byte

    Registriert seit:
    15. August 2005
    Beiträge:
    9
  7. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Oha...

    O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\sxchost.exe

    Das is der hier: http://www.sophos.de/virusinfo/analyses/trojtofgeri.html

    Da hast du dir ja was schönes eingefangen.
    Norton hat den nicht gefunden, warum wundert mich das nicht...



    Sofort alles was du an Passwörtern hast ändern. Wenn du Online Banking betreibst nachsehn ob auf dem Konto alles in Ordnung ist, natürlich erst wenn der Rechner wieder sauber ist.

    Schau dir auch an wann die Datei sxchost.exe erstellt wurde. Alles was du seit dem Zeitpunkt getippt hast muss als vom Trojaner erfasst und damit als öffentlich bekannt angesehn werden. Kannst ja auch mal in die Datei sdsini.ini reinschauen.

    Ich würde das System neu aufsetzen...

    -------

    Infiziertes System neu aufsetzen:

    Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

    Auf einem nicht infizierten System den aktuellen Service Pack für dein Windows sowie falls im SP nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

    Auf dem infizierten System:
    - wichtige Daten sichern (sofern noch möglich)
    - Windows neu installieren mit NTFS-Neuformatierung der Systempartition
    (oder ein sauberes Image zurückspielen)
    - die Service Packs und Patches von der CD installieren
    - Unnötige Dienste beenden mit dem Skript von http://www.ntsvcfg.de/
    - Virenwächter installieren (AntiVir und AVG gibts kostenlos)
    - sämtliche Passwörter ändern
    - Spybot S&D installieren und das System immunisieren
    - den IE mit dem Zonenmodell sicherer machen
    - die automatische Windows-Update Funktion aktivieren
    - alle anderen Partitionen auf Schädlinge prüfen
    - die gesicherten Daten erst nach intensiver Prüfung zurückspielen (nur wenn absolut unvermeidbar).
    NIE ausführbare Dateien zurückspielen

    -------
     
  8. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    bei dir tummeln sich die Trojaner, denke einmal über einen anderen Virenscanner nach..

    O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\sxchost.exe

    Hier war auch schon einmal etwas an Verseuchung (BHO)..
    O2 - BHO: (no name) - {98FC6B75-029D-4789-B4AF-D7D33DC5CCC3} - C:\WINDOWS\System32\pabkh.dll (file missing)..

    Also wahrscheinlich kein Abrechnungsfehler von Seiten deines Providers.
     
  9. Antennenmann

    Antennenmann Byte

    Registriert seit:
    15. August 2005
    Beiträge:
    9
    Die Datei sxchost.exe gibt es aber gar nicht in meinem Windows-Verzeichnis?
    Alter Registry-Eintrag und das Ding ist schon weg?
     
  10. Antennenmann

    Antennenmann Byte

    Registriert seit:
    15. August 2005
    Beiträge:
    9
    Habe Norton Antivirus - Welchen wiürdest Du denn empfehlen?
    Danke
     
  11. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Tatsache ist dass der Trojaner aktiv war, sonst würde der Eintrag nicht existieren.
     
  12. rudicando

    rudicando Kbyte

    Registriert seit:
    5. Februar 2005
    Beiträge:
    490
    Hallo,
    Du hast dir ein Trojaner eingefangen. :(
    Gib den Prozess "sxchost.exe" selber mal bei Google ein.
    Auszug aus deinem Logfile
    O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\sxchost.exe

    Troj/Tofger-I ist ein Trojaner zum Speichern von Tastenfolgen, der als Dropper verbreitet wird.
    Der Dropper legt die beiden Komponenten von Troj/Tofger-I als sxchost.exe und doru32.dll im Windows-Ordner ab.
    Troj/Tofger-I verwendet <Windows>\sdsini.ini als Protokolldatei. Der Dropper erstellt außerdem den folgenden Registrierungseintrag:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
    Upgrade Service= <Windows folder>\sxchost.exe
    Der Dropper startet dann als sxchost.exe.
    Wenn er ausgeführt wird, speichert Troj/Tofger-I gedrückte Tasten in der Datei sdsini.ini und sendet die gespeicherten Daten in regelmäßigen Abständen an eine vordefinierte E-Mail-Adresse.

    Gruß Rudi
     
  13. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Versteckte und Systemdateien werden bei dir aber angezeigt im Explorer?

    Gibt es die anderen beiden Dateien die zum Trojaner gehören? doru32.dll und sdsini.ini?



    Kaspersky ist nicht schlecht, wenns was kosten darf. Ansonsten einen aus der Klasse klein, leicht und kostenlos (AVG, Avast, AntiVir).
     
  14. Antennenmann

    Antennenmann Byte

    Registriert seit:
    15. August 2005
    Beiträge:
    9
    Versteckte werden angezeigt. habe aber nur die sdsini.ini gefunden und die ist von April 2004.
     
  15. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Trotzdem, das System wäre mir zu suspekt um es bestehen zu lassen...
     
  16. Antennenmann

    Antennenmann Byte

    Registriert seit:
    15. August 2005
    Beiträge:
    9
    OK, Danke. Ich liebe Neuaufsetzen ;-)

    Kaspersky mit Spysweeper und Windows Firewall. Reicht das nach menschlichem Ermessen? Und warum bezahle ich 39 EUR für Norton?

    besten DANK!!!
     
  17. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Brain 2.0 sollte noch dazu... ;)
     
  18. Antennenmann

    Antennenmann Byte

    Registriert seit:
    15. August 2005
    Beiträge:
    9
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen