Trojaner Torrent Vorwurf/Internet langsam

[Classisi]

Hallo,
wir haben gerade ein Schreiben bekommen, wir würden über Torrentazos.com ein Musikstück seit geraumen Wochen zum Download anbieten. Einer unserer Rechner hat ein extrem langsames Internet (Browser hängt auch öfter, IE/Firefox) und dieser Rechner hat die angebotene Datei sogar auf der Festplatte. Wie die Datei hochgeladen wird, kann ich mir nicht erklären. Emule/Bearshare sind seit 7 Jahren vom Rechner verbannt. Wir haben noch nie irgendetwas zum Download bereitgestellt.
Ich hab die Vermutung, dass dort ein Trojaner etc. am Werk ist. Hier das Logfile von Hijackthis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:03:38, on 23/11/2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16869)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Users\Lutz\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-3940514493-2620387101-3498063471-1003\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-3940514493-2620387101-3498063471-1003\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O9 - Extra button: ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Program Files (x86)\ICQ7.6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Program Files (x86)\ICQ7.6\ICQ.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6363 bytes

Was sagt ihr dazu?
Übrigens bekomme ich bei Hijackthis am Anfang eine Fehlermeldung mit "For some reason your system denied write access to the Hosts file. If any hijacked domains are in this file, [...]"
MFG.
Classisi

 

[Festplatte]

Wenn nichts wichtiges drauf ist, würd ich mal das Windows neuaufsetzen und den Router aus und wieder anmachen (Wegen der IP und nur wenn du bei der Telekom bist und nicht länger als 30 Sekunden!)

 

[Classisi]

Das machen wir aufjedenfall aber wir wollen auch gerne wissen ob ein Trojaner oder ähnliches drauf ist , wir sollen 450 Euro zahlen deswegen würden wir gerne die Ursache herausfinden da wir wissen das wir nichts hochgeladen haben.
MFG
Classisi

 

[MaB-(GER)-]

Hi,

kam der Brief per Einschreiben oder als normaler Brief ?

Also 450Euro ist aufjedenfall ziemlich viel...würde evtl. Rechtsanwalt mit einbeziehen !?
Muss man bei dem Schreiben irgendetwas unterschreiben und wieder zurückschicken ? Ein Kumpel von mir hat auch soetwas ähnliches bekommen, sollte glaub über 800Euro bezahlen, wenn man dann einfach unterschreibt (um die sache schnell hinter sich zu bringen und mit dem Thema abzuschliessen) könnte es sein, dass es dann weitere Briefe gibt, indem man wieder aufgefordert wird weitere und durchaus noch höhere Geldbeträge für angebliche Up/Downloads zu bezahlen...mein Kumpel ist auch zum Rechtsanwalt gegangen (den er natürlich auch bezahlen musste und auch nicht gerad wenig..), aufjedenfall hat der Rechtsanwalt sich mit eingeschaltet und bisher hat er nie wieder etwas von der Sache gehört bzw. gelesen, das ganze ist bestimmt schon 7-8 Monate her in etwa.

Gruss

MaB-(GER)-

P.S. Am besten einfach mal den Absender des Briefes in Google oder Yahoo eingeben, vielleicht haben so einen Brief ja auch noch einige andere bekommen und evtl. wurde dieser ja auch schon in verschiedenen Foren diskutiert oder werden Tips gegeben, was man da am besten machen sollte...

 

[Classisi]

Der Brief kam ganz normal. Er enthält noch nicht mal richtige Unterschriften, sondern nur kopierte. WeSaveYourCopyright falls dir das was sagt, zum Anwanlt gehts gleich morgen. Das kuriose ist, dass wir uns nicht erklären können, wie wir die Datei anderen zugänglich gemacht haben könnten.
Hier nochmal, was Spybot S&D und Sophos Antirootkit gefunden haben
http://img7.imageshack.us/img7/3127/50545110.jpg
http://img266.imageshack.us/img266/1903/rootf.jpg

MFG.
Classisi

 

[Festplatte]

Wenn du die Festplatte formatierst, und Windows neuinstallierst, ist der Trojaner auf jeden Fall runter!

 

[Classisi]

Mir geht es hauptsächlich erstmal darum herauszufinden, wie die Datei hochgeladen werden konnte und bisher weiß ich noch nicht einmal ob überhaupt ein Trojaner drauf ist. Der PC kann erstmal stehen, die 450€ sind der viel größere Schaden
MFG.
Classisi

 

[Blutengel]

Ich bin mal neugierig.

Kam die Zahlungsforderung per Post oder Email?


edit:
Oh, ups, hab überlesen!

 

[MaB-(GER)-]

Also wenn der Brief ganz normal kam und es nochnicht einmal eine richtige unterschrift gibt, wirkt es aufjedenfall schon sehr unseriös...denke, der Schritt zum Anwalt ist sicher nicht der verkehrteste...steht in dem Brief eine genaue Frist, bis wann die 450Euro bezahlt werden sollen ?

Irgendwie muss die Datei ja auf dem PC gelangt sein, ein offenes WLAN Netz besteht ja hoffentlich nicht ? Wann wurde die Datei denn hochgeladen bzw. von wann ist die Datei ?

MfG

MaB-(GER)-

P.S. Hab da etwas gefunden: Der 2. Link ist wohl der wichtigste, jedenfalls was dort geschrieben steht...

http://www.abmahnung-internet.de/wesaveyourcopyrights-abmahnung-turn-this-club-around.htm

http://www.anwalt24.de/beitraege-ne...echtsverletzung-im-auftrag-der-nesola-gmbh-ab

 

[Blutengel]

Wenn man das WeSaveYourCopyright in Google eingibt, gibts einige Seiten die sich damit beschäftigen! Auf jeden Fall ist es ein Anwaltsbüro.

 

[Classisi]

Ja es handelt sich um die Datei im Link. Wie die Datei auf den Rechner gekommen ist weiß ich(rs etc.), nicht aber wie diese zum Download freigegeben werden konnte, was ja der Vorwurf ist. Mittlerweile glaube ich fast, dass kein Trojaner etc. Schuld ist, sondern ich einfach nicht genug aufgepasst habe auf was für Seiten man was macht und mir da ein Fehler unterlaufen ist Ich habe 7 Tage Zeit.
In den Logfiles und Screenshots sind keine Viren etc. zu entdecken, die einen Upload über Torrents etc. ermöglichen? Die Anwaltschaft spricht immerhin von einem ganzen Zeitraum, indem ich die Datei angeboten habe.
MFG.
Classisi

 

[MaB-(GER)-]

Also im 2. Link steht ja aufjedenfall folgendes:

Zitat: "Lassen Sie sich nicht dazu hinreißen, die Ansprüche ungeprüft zu akzeptieren. Eine juristische Beratung ist unabdingbar, da man sich mit der Abgabe der geforderten Unterlassungserklärung über Jahre hinweg bindet. Auch die Aussage, man hafte als Anschlussinhaber unter allen Umständen für Verletzungen Dritter ist in dieser Form nicht korrekt. Eine juristische Überprüfung der Angelegenheit lohnt sich also." - Zitat Ende

Dies wird ja denke ich nicht ohne Grund dort stehen...

 

[Classisi]

Ich werde auf jeden Fall zum Anwalt gehen, vielleicht kann der den Preis noch drücken oder sonstwas. Schuld habe ich wohl selbst.

Kann mir denn niemand sagen ob in den Logfiles etwas wirklich schadhaftes zu finden ist???
MFG.
Classisi

 

[Jimini]

Gib den Logauszug mal bei HijackThis Logfileauswertung ein - da sind schon ein paar dubiose Sachen dabei. Ich würde das System sofort vom Netz nehmen und NICHT formatieren oder ähnliches damit machen. Sollte es dazu kommen, dass da wirklich ein Trojaner drauf liegt, müsst ihr ja irgendwas in der Hand haben, um das auch zu beweisen.

Es sei aber noch darauf hingewiesen, dass hier keine Rechtsberatung angeboten werden darf. Eure Entscheidung, einen Anwalt zu konsultieren, ist absolut richtig und notwendig. Dieser wird mit euch dann alles weitere besprechen.

MfG Jimini

 

[Infin1ty]

Bitte lies, bevor du irgendwas tust, das hier:
http://www.rettet-das-internet.de/checkliste.htm

Und tu alles, aber bezahle nicht voreilig. Nachdem du eine modifizierte
Unterlassungserklärung (frag mal deinen Anwalt, ansonsten gibts genug
Foren die erklären, was du machen sollst. Mir hat das auch geholfen)
versendet hast, können die dir erstmal nicht viel.

Viele Kanzeleien melden sich danach nicht mehr ->Fall erledigt
Einige fordern immer noch das Geld ->Anwalt weiß Rat

 

[Classisi]

So wieder ein Zwischenbericht. Habe für das eine Lied vor 3 Wochen 200€ statt 450€ gezahlt. Nun ist der nächste Brief der nächsten Kanzlei da, der sich auf das komplette Album bezieht. 42 Lieder --> 4800€. Mal sehen, was mein Anwalt diesmal raushauen kann.

Schöne Sch.... Passt bloß auf was ihr im Internet für Seiten besucht, was und wo ihr was downloadet. Man fühlt sich echt anonym, dabei ist es ein Kinderspiel eine Aktivität zu verfolgen.

Trotzdem noch eine Frage: In der Anlkage ist immer eine IP genannt. Ist das die interne IP, die dem einzelnen Rechner zuzuordnen ist oder nur die IP, die den Router zuweist und somit nur die Adresse beinhaltet?
MFG.
Classisi