Ok, mach ich.Quote:
Das mit dem IE war ungeschickt ausgedrückt, ich meinte dass der 8er installiert ist :).
Wie gesagt, Leitfaden beachten und mit PSI und Malwarebytes ab und an scannen. Sollte jemals wieder ein Schädling dein System heimsuchen, weißt du ja wo du mich findest ;).
Sofern eine Lösung angegeben ist, definitiv.
Hab ich dir geschickt, bitte nicht wegen Viren Verschickung verklagen ;)Quote:
:OTL O4 - HKCU..\Run: [HWID.exe] C:\Users\Niki\AppData\Roaming\Sysutils_Update\HWID .exe (Application Tool) :Commands [EMPTYTEMP]
Mir persönlich wurden keine Daten gestohlen, da ich keinen Steam Account besitze, aber wie ChuChuu gesagt hat, wurden vielen anderen Daten gestohlen. Einige überlegen auch über eine Klage, du könntest denen diese Daten schicken.Quote:
Nunja, hier ein OTL-Script mit dem wir das Ding erstmal isolieren, bsi ich das mit Alwil Software abgeklärt habe:
Zum Glück: Das ist KEIN professioneller Trojaner! Er wurde von einem deutschen geschrieben, und macht regelmäßig Screenshots. Vermutlich hast du ihn dir sogar von hier geholt, wahrscheinlich zum Stealen von Game-Passwörtern.Code::OTL O4 - HKCU..\Run: [HWID.exe] C:\Users\Niki\AppData\Roaming\Sysutils_Update\HWID .exe (Application Tool) :Commands [EMPTYTEMP]
Es ist mir gelungen, mir Zugang zu seinem Server zu verschaffen (Whitehat versteht sich). Man könnte diese Person Scriptkiddie nennen. Ich werde dir die Logs, die ich über deinen Rechner gefunden habe zuschicken, damit du es selbst bewerten kannst.
Ich werde die Person bei ihrem Webhoster melden und sie anhalten, die Informationen dem BKA zu übermitteln.
PS: Unter anderem sind STEAM-Daten dabei. Hast du Verluste bemerkt?
EDIT: Ich habe bplaced (seinem Hoster) die weiteren Konsequenzen überlassen, er dürfte bald von den Servern gelöscht sein und wird hoffentlich rechtliche Konsequenzen erhalten. Das hätte er alleine schon verdient, weil er ein Web Script benutzt, bei dem man via Login Zugriff auf Logfiles erhält und weil man dank Apache Zuugriff auf sämtliche Dateien erhält.
Ich habe mitgemacht, naiv wie ich war, meinen Lohn habe ich ja schon erhalten ;)Quote:
Nachdem er sich bei allen genügend Vertrauen angesammelt hat, verschickte er sein Programm, was HWID hieß, an alle. Erst nach ein paar Tagen wurde es als Trojaner entpuppt und einige haben ihre Steam Accounts verloren.
Also Tazaki, falls du dich noch daran erinnerst da mitgemacht zu haben, dann weißt du wenigstens wer es war. ([Only registered and activated users can see links. Click Here To Register...])
Einen Link zum Thread kann ich leider nicht geben, weil er schon gelöscht wurde.
Das habe ich mir auch geadacht, dass mir das Programm einfach zu aktiv am Hals hängt.Quote:
ich hab ma irgenwo gelesen nen keylogger fängt den key ab und muss ihn dann aber auch wieder ausgeben! und wenn er also schlecht programmiert ist kann ich mir vorstellen das die asugabe verzögert stattfindet aber du bei so massiven problemen kann ich dir eig nur noch ne neuinstalltion empfehlen und in zukunft vorsichtiger zu sein
xcopy %AppData%\Autorun.vbs %USERPROFILE%\Desktop\
Also, freut mich sehr, dass bplaced ihren Service eingestellt hat, wenigstens ist der Hacker jetzt ein bisschen gebremst.Quote:
ich hätte gerne einen frischen Quickscan. PS: Ich habe bPlaced veranlasst, die Seite, zu der die Malware Requests sendet, abzuschalten und dies ist bereits gelungen. Wenn jemand über eine Klage nachdenkt, so darf er gerne mehr erfahren, was ich beim Reversen des Programms herausgefunden habe...
So schnell geb ich nicht auf, wir finden die Ursache schon :)
PS: Führe bitte regedit.exe aus und sag mir, was du außer dem Standard-Eintrag in den Schlüsseln HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host
und
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings
findest. Diese werden von dem Stealer nämlich modifiziert.
Es wird nämlich ein Visual-Basic Script beim Ausführen der Datei erstellt, und ich glaube, dass uns dieses weiterhelfen wird, bzw. es eine wichtige Rolle spielt.
Führe folgendes via cmd aus:
Du fidnest nun die VBS-Datei auf dem Desktop. Schicke die mir wieder über die vorhin genannte E-Mail-Adresse. Ich wette, diese Datei kann uns weiterhelfen.Code:xcopy %AppData%\Autorun.vbs %USERPROFILE%\Desktop\
del %AppData%\Autorun.vbs
:OTL PRC - [2010.11.19 01:52:20 | 000,691,200 | ---- | M] () -- C:\Users\Niki\AppData\Roaming\Microsoft\Windows\Templates\svvhost.exe O4:[b]64bit:[/b] - HKLM..\Run: [Bluetooth Connection Assistant] File not found O4 - HKCU..\Run: [Windows Update] C:\Users\Niki\AppData\Roaming\Microsoft\Windows\Templates\svvhost.exe () O4 - Startup: C:\Users\Niki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_setup_9.0.0.722_10.11.2010_18-12.exe.lnk = C:\Users\Niki\AppData\Local\Temp\_uninst_setup_9.0.0.722_10.11.2010_18-12.exe.bat File not found :Commands [PURITY] [EMPTYTEMP] [CLEARALLRESTOREPOINTS]
Na geh, schon wieder Malware. Ich habe aber ein Glück ;)Quote:
Erneut mit CMD:
Es scheinen tatsächlich Malware-Dateien hinzugekommen zu sein...Code:del %AppData%\Autorun.vbs
Zeit für einen weiteren Fix:
Das wird den übrigen Kameraden hoffentlich den Rest geben. Danach direkt wieder ein frisches OTL Log.Code::OTL PRC - [2010.11.19 01:52:20 | 000,691,200 | ---- | M] () -- C:\Users\Niki\AppData\Roaming\Microsoft\Windows\Templates\svvhost.exe O4:[b]64bit:[/b] - HKLM..\Run: [Bluetooth Connection Assistant] File not found O4 - HKCU..\Run: [Windows Update] C:\Users\Niki\AppData\Roaming\Microsoft\Windows\Templates\svvhost.exe () O4 - Startup: C:\Users\Niki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_setup_9.0.0.722_10.11.2010_18-12.exe.lnk = C:\Users\Niki\AppData\Local\Temp\_uninst_setup_9.0.0.722_10.11.2010_18-12.exe.bat File not found :Commands [PURITY] [EMPTYTEMP] [CLEARALLRESTOREPOINTS]
Genau das denke ich mir auch!Quote:
Und muss sagen
Es19, danke, dass es Leute wie dich in ElitePvPer's gibt !
Upsalla, hier ist der neue!Quote:
Das mit den Eingaben kann sein, evtl. wurde das ganze durch Keylogger-Hooks o.ä. ausgebremst.