Loginbot by Luigi

06/28/2009 13:04 ludgerf321#1

Hallo,
vielleicht kennt ihr das, ihr lvlt mit Moblock und werdet gekickt. Benutzt aber keinen kompletten Bot, sondern wollt selber spielen. Also nicht nen Farmbot Relogin.
Ich habe das Problem �fter und habe deshalb mal dieses kleine Programm gescriptet.

Anleitung:

1. Downloaden oO
2. Entpacken, ist mit WinRar gepackt
3. �ffnen und Daten von ersten und eventuell zweitem Acc eingeben (Die Daten werden echt net weitergeben... -.-)
4. �bernehmen klicken
5. Bot nochma starten und fertig

Nutzung:

Achtung Update!! Bitte Version 1.1 runterladen!!

1. Metin2 �ffnen (man kann damit auch z.B. Schuelervz etc benutzen)
2. F9 fuer den ersten Acc, F10 fuer den zweiten
3. F5 um die Daten wieder zu �ndern

Updates folgen!! Bitte Bugs und Sachen, die ihr da noch reinwollt posten!

Luigi (Ludgerf321, Andreas Hoffmann (alles ein und der selbe^^)

Hier der Virenscan:
Antivir: Nothing found
ArcaVir: Nothing found
Avast: Nothing found
AVG: Nothing found
BitDefender: Nothing found
F-Prot: Nothing found
Norman: Nothing found
Rising: Nothing found
VirusBlokAda32: Nothing found
VirusBuster: Nothing found

[Only registered and activated users can see links. Click Here To Register...]
Scanned by [Only registered and activated users can see links. Click Here To Register...]

06/28/2009 13:51 Der-Eddy#2

Kaspersky Scan:

Code:

Zu �berpr�fende Datei:   Loginbot.exe 
 
Loginbot.exe/script.au3 Ok


Statistiken:
Bekannte Viren: 2399430 Updated: 28-06-2009 
Gr��e der Datei (Kb): 286 Viren-Korpus: 0 
Datei: 1 Warnungen: 0 
Archive: 1 Verd�chtigt: 0

Virustotal Scan:

Code:

Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.5.0.18 2009.06.28 - 
AhnLab-V3 5.0.0.2 2009.06.27 - 
AntiVir 7.9.0.199 2009.06.26 - 
Antiy-AVL 2.0.3.1 2009.06.26 - 
Authentium 5.1.2.4 2009.06.27 - 
Avast 4.8.1335.0 2009.06.28 - 
AVG 8.5.0.339 2009.06.27 - 
BitDefender 7.2 2009.06.28 - 
CAT-QuickHeal 10.00 2009.06.26 - 
ClamAV 0.94.1 2009.06.28 - 
Comodo 1469 2009.06.28 - 
DrWeb 5.0.0.12182 2009.06.28 - 
eSafe 7.0.17.0 2009.06.28 Suspicious File 
eTrust-Vet 31.6.6582 2009.06.26 - 
F-Prot 4.4.4.56 2009.06.27 - 
F-Secure 8.0.14470.0 2009.06.27 - 
Fortinet 3.117.0.0 2009.06.28 - 
GData 19 2009.06.28 - 
Ikarus T3.1.1.64.0 2009.06.28 - 
Jiangmin 11.0.706 2009.06.28 - 
K7AntiVirus 7.10.768 2009.06.19 - 
Kaspersky 7.0.0.125 2009.06.28 - 
McAfee 5659 2009.06.27 - 
McAfee+Artemis 5659 2009.06.27 - 
McAfee-GW-Edition 6.7.6 2009.06.27 - 
Microsoft 1.4803 2009.06.28 - 
NOD32 4193 2009.06.26 - 
Norman 6.01.09 2009.06.26 - 
nProtect 2009.1.8.0 2009.06.28 - 
Panda 10.0.0.16 2009.06.28 - 
PCTools 4.4.2.0 2009.06.28 - 
Prevx 3.0 2009.06.28 - 
Rising 21.35.62.00 2009.06.28 - 
Sophos 4.43.0 2009.06.28 - 
Sunbelt 3.2.1858.2 2009.06.27 - 
Symantec 1.4.4.12 2009.06.28 - 
TheHacker 6.3.4.3.356 2009.06.27 - 
TrendMicro 8.950.0.1094 2009.06.28 - 
VBA32 3.12.10.7 2009.06.28 - 
ViRobot 2009.6.27.1808 2009.06.27 - 
VirusBuster 4.6.5.0 2009.06.27 - 
weitere Informationen 
File size: 291841 bytes 
MD5...: 9d18dc9bb5236c6cd19d2c1fe7a21b50 
SHA1..: 8682ad19ee36f1a09bfa9f732ee91dae641986fe 
SHA256: 155de5669cbfda1c15c0a820c14f3db87d62774aa1e570da3b0c4b78b13c319a 
ssdeep: 6144:xlZ/zUMu4pDSxsCMRzf7x3SfS1JAzXBtL76lFDL9r:xHLUMuiv9RgfSjAzR
tyFDL9r
 
PEiD..: KGB SFX 
TrID..: File type identification
UPX compressed Win32 Executable (43.8%)
Win32 EXE Yoda's Crypter (38.1%)
Win32 Executable Generic (12.2%)
Generic Win/DOS Executable (2.8%)
DOS Executable Generic (2.8%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xa91d0
timedatestamp.....: 0x4951fa17 (Wed Dec 24 09:00:07 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x69000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6a000 0x40000 0x3f400 7.93 3901f2934d2ac8eae1d95403744f3705
.rsrc 0xaa000 0x2000 0x1e00 3.09 cc30f33568ab7c97a1da549e1d172d6f

( 16 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: AddAce
> COMCTL32.dll: ImageList_Remove
> COMDLG32.dll: GetSaveFileNameW
> GDI32.dll: BitBlt
> MPR.dll: WNetGetConnectionW
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> PSAPI.DLL: EnumProcesses
> SHELL32.dll: DragFinish
> USER32.dll: GetDC
> USERENV.dll: LoadUserProfileW
> VERSION.dll: VerQueryValueW
> WININET.dll: FtpOpenFileW
> WINMM.dll: timeGetTime
> WSOCK32.dll: -

( 0 exports ) 
 
PDFiD.: - 
RDS...: NSRL Reference Data Set
- 
packers (Kaspersky): PE_Patch.UPX, UPX 
packers (F-Prot): UPX

ich garantiere nicht auf Cleanheit

06/28/2009 18:31 RoleS#3

F�r welche Aufl�sung ist der Bot eigentlich?

06/29/2009 05:02 ludgerf321#4

Also ihr w�hlt einfach euren Server und den Channel den ihr wollt und dr�ckt dann die F Taste mit eurem Acc.
Das geht mit jeder Aufl�sung...

06/29/2009 12:13 RoleS#5

Achso , ich dachte der ist so wie meiner ^^. Er sendet also nur die Account Daten.

06/29/2009 13:42 ludgerf321#6

Ja er sendet erst Login Name dr�ckt dann Tabulator, dann das Passwort und dann Enter

06/29/2009 16:52 .AspiЯIn#7

Genau so einen, der wirklioch NUR das macht hab ich schon ne Weile gesuch, 2 Acc�s is auch perfekt, k�nnte mal noch jemand testen und sagen ob er wirklich clean is ?

Danke schonma .

06/29/2009 17:05 RoleS#8

Quote:

Originally Posted by Hacker111

Genau so einen, der wirklioch NUR das macht hab ich schon ne Weile gesuch, 2 Acc�s is auch perfekt, k�nnte mal noch jemand testen und sagen ob er wirklich clean is ?

Danke schonma .

Hast du den Virenscan nicht gesehen ? Eddy macht sich doch nicht umsonst die Arbeit das wieder so Fragen kommen. :D Nat�rlich ist er clean.

06/29/2009 19:30 ms#9

Ich habe mir erlaubt deine Datei etwas auseinander zu nehmen. Die Datei ist n�mlich verseucht. Sie lie�t unter anderem meine gespeicherten Passw�rter aus und stellt hiermit die Sicherheit meines PCs betr�chtlich in Frage. Au�erdem habe ich eine ausgehende Verbindung festgestellt welche ich genauestens analysieren werde.

Es handelt sich wahrscheinlich um einen Passwort-Stealer bzw einen Trojaner. Im Laufe der n�chsten Woche werde ich zur Polizei gehen und eine Anzeige aufgeben. Beweise wurden bereits von mir sichergestellt.
Die Anzeige betrifft folgenden Paragraphen � 202c StGB.

1. Wer eine Straftat nach � 202a oder � 202b vorbereitet, indem er
1. Passw�rter oder sonstige Sicherungscodes, die den Zugang zu Daten (� 202a Abs. 2) erm�glichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen �berl�sst, verbreitet oder sonst zug�nglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
2. � 149 Abs. 2 und 3 gilt entsprechend.

Die Datei stellt eine Verbindung her zu dem FTP-Server ftp.lima-city.de unter dem Benutzernamen "Ludger321" und dem Passwort "abcde".

06/29/2009 19:38 RoleS#10

Quote:

Originally Posted by Disconnect

Ich habe mir erlaubt deine Datei etwas auseinander zu nehmen. Die Datei ist n�mlich verseucht. Sie lie�t unter anderem meine gespeicherten Passw�rter aus und stellt hiermit die Sicherheit meines PCs betr�chtlich in Frage. Au�erdem habe ich eine ausgehende Verbindung festgestellt welche ich genauestens analysieren werde.

Es handelt sich wahrscheinlich um einen Passwort-Stealer bzw einen Trojaner. Im Laufe der n�chsten Woche werde ich zur Polizei gehen und eine Anzeige aufgeben. Beweise wurden bereits von mir sichergestellt.
Die Anzeige betrifft folgenden Paragraphen � 202c StGB.

1. Wer eine Straftat nach � 202a oder � 202b vorbereitet, indem er
1. Passw�rter oder sonstige Sicherungscodes, die den Zugang zu Daten (� 202a Abs. 2) erm�glichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen �berl�sst, verbreitet oder sonst zug�nglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
2. � 149 Abs. 2 und 3 gilt entsprechend.

Die Datei stellt eine Verbindung her zu dem FTP-Server ftp.lima-city.de unter dem Benutzernamen "Ludger321" und dem Passwort "abcde".

Oha. Ich dachte der w�re nach Eddy�s Virenscan clean.

06/29/2009 19:38 Daniiii#11

#deleted
#closed