Diesesmal bin ich der echte!

[Artarex]

Quote:

Originally Posted by DerNeueDoppelhuso

was hat das mit den beiträgen zu tun? ich hatte hier schon 1 acc der wegen spam gebannt wurde weil ich im thread gesagt habe das das ein keylogger ist.

und der "hacker" hat meine beiträge im andern acc gelöscht

und so wie ich das jetzt verstehe bin ich nun wohl der verdächtige was?
ihr seit echt dreist

Das habe ich nicht gesagt. Es könnte jeder sein.

[DerNeueDoppelhuso]

hmmm...

[Artarex]

Quote:

Originally Posted by DerNeueDoppelhuso

hmmm...

Es könntw ie gesagt jeder sein. Aber wir haben ja auch nur vermutungen und die müssen nun mal auch "getestet" werden. Wenn es keine übereinstimmung gibt kann man diese Person immerhin ausschließen

[DerNeueDoppelhuso]

Quote:

Originally Posted by nilsheigener

Es könntw ie gesagt jeder sein. Aber wir haben ja auch nur vermutungen und die müssen nun mal auch "getestet" werden. Wenn es keine übereinstimmung gibt kann man diese Person immerhin ausschließen

da bin ich mal sehr gespannt

und? laufen die ermittlungen schon?

[Fiedler5895]

Quote:

Originally Posted by DerNeueDoppelhuso

was hat das mit den beiträgen zu tun? ich hatte hier schon 1 acc der wegen spam gebannt wurde weil ich im thread gesagt habe das das ein keylogger ist.

und der "hacker" hat meine beiträge im andern acc gelöscht

und so wie ich das jetzt verstehe bin ich nun wohl der verdächtige was?
ihr seit echt dreist

hat keiner gesagt! und was woll noch viel dreister ist ist ja wohl das derjenige einen epvp acc hackt nen keylogger reinstellt und noch mehr acc´s hackt der typ hat doch keine reales leben oder so

[DerNeueDoppelhuso]

ich hoffe einfach mal ihr sprecht die wahrheit
und ich hab ne idee wer es sein könnte:

-><- daher hab ich den keylogger

und dieser typ war doch nur auf hohe beiträge aus, wenn ich mich recht entsinne??

achja übrigends war er auch auf viele "thanks" aus siehe

kann auch sein das er da auch schon gehackt wurde ich hab kp...

sagt mir mal was ihr davon haltet

[shadow52]

Habe grade was in einem anderen Forum gefunden.(Auch einer der diese Screen.exe hatte. Komischer weiße auch seit Gestern.)

Nunja hier mal ne Auflösung was es war und was es macht.(Zitat aus dem Forum)

Quote:

Originally Posted by EBFE

Autorseite .
Gibt ja nicht selten, dass da auch Source mitgegeben wird (zumindest bei älteren Trainern, bei Games bin ich schon länger nicht mehr aktuell ). Ein Source schließt zwar eine Infection nicht aus, die Wahrscheinlichkeit jedoch ist schon mal viel geringer. Dann wie hier schon gepostet wurde - SandBoxie/VM. Falls es nicht darin läuft, ist es merkwürdig .

Und BTW: für einen Trainer (die normalerweise in den Speicher der Anwendung eingreifen und den Prozess sonstwie manipulieren) ist die VT Detectionsrate viel zu niedrig. DAS ist auffällig

100% wird schonmal schwer. Noch nichtmal durch das Debuggen kann man auf die schnelle 100% sichergehen (davon abgesehen, dass man mindestens paar Monate braucht, um überhaupt mit dem Debugger anständig arbeiten zu können).
Du kannst aber z.B VM installieren und auf dem Hauptrechner WireShark oder ähnlichen Netzwerkverkehranalyser. Damit lässt sich zumindest schauen, ob seltsame Verbindungen nach außen ausgehen.
Falls die Software in der VM nicht startet, lässt man gleich die Finger davon. Mit solchen netten Tools wie ProcessExplorer kann man zudem Details zu laufenden Prozessen anzeigen.
Beispielsweise startet man die Software in der VM. Dabei hat man die z.B im "C:\test" Ordner. Auf den ersten Blick startet die ganz normal. Der ProzessExplorer zeigt aber für diesen Prozess unter "Eigenschaften" ->"Image" den Pfad "C:\dokumente und einstellungen\App Data\bla". Das heißt, dass die Datei erstmal dahin kopiert wurde und dann gestartet <--- also "böse" Datei.

Btw: zu dem angeblichen Trainer:

 Spoiler

kleine Analyse im OllyDbg:

kein normaler NET EntryPoint

Code:

004073FE >- FF25 00204000   JMP DWORD PTR DS:[<&mscoree._CorExeMain>>; mscoree._CorExeMain

Den bis jetzt nur bei "NET Crypt0rn" gesehen.

Startet eine komische Firefox.exe von:

Code:

0012E9E4   00D92493  /CALL to CreateProcessA from 00D92491
0012E9E8   00000000  |ModuleFileName = NULL
0012E9EC   00181F18  |CommandLine = "C:\DOCUME~1\IETest\Local Settings\Temp\XNl1zF7eHXTtt\firefox.exe"
SUSPENDED

Original ist die Exe ein:
"Visual Basic Command Line Compiler"

Zumindest bei mir gibt es einen "BAD EXE Format" Fehler zurück, solange "ModuleFileNAme" = NULL ist, aber vielleicht ist mein XP schon so veraltet, dass es nicht mehr berücksichtigt wird .
Oder der "Crypt0rCoder" hat hier einen Fehler gemacht und Code vergessen . Bei mir startet es jedenfalls nur, wenn ich "per Hand" nachhelfe und beim CreateProcessA den ModuleFileName auch auf diese "Firefox.exe" setzte.

Wie dem auch sei, in die gestartete Exe wird neuer Inhalt geschrieben. Also RUNPE Muster.

Komischerweise habe ich keine Anti-VM entdecken können. Der neue Inhalt der "Firefox.exe" lässt sich wunderbar dumpen. Dazu platziert man nach dem "CreateProcessA" Aufruf einen Breakpoint auf ZwResumeThread und wenn dieser aufgerufen wird, kann man in Olly den "firefox" Prozess attachen, über Alt+M die Memory-Map anzeigen lassen und den 400000 Bereich über Rechtsklick -> "Dump memory area" speichern.

Den Dump muss man noch fixen: dazu im CFF Explorer öffnen und bei Section Headers die "RawAddress" Werte gleich "VirtualAddress" setzen.

Nun sieht man, dass es ein IStealer ist. Kann in Olly geladen werden.
Anti-VM:

Code:

00401BBA  |> /0F31          /RDTSC
00401BBC  |. |8BD8          |MOV EBX,EAX
00401BBE  |. |0F31          |RDTSC
00401BC0  |. |2BC3          |SUB EAX,EBX
00401BC2  |. |50            |PUSH EAX
00401BC3  |. |83F8 01       |CMP EAX,1
00401BC6  |.^\74 F2         \JE SHORT DUMP_004.00401BBA
00401BC8  |.  58            POP EAX
00401BC9  |.  3D 00020000   CMP EAX,200
00401BCE  |.  72 09         JB SHORT DUMP_004.00401BD9 <--- zu JMP

Liest aus:

Code:

0012F3B8   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC   7FFDFC00  |FileName = "C:\Program Files\Trillian\users\default\msn.ini"

0012F3B8   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC   7FFDFC00  |FileName = "C:\Program Files\Trillian\users\default\aim.ini"

0012F3B8   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC   7FFDFC00  |FileName = "C:\Program Files\Trillian\users\default\yahoo.ini"

0012F5D8   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F5DC   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Application Data\.purple\accounts.xml"

0012F248   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F24C   7FFDFC00  |FileName = "C:\program files\steam\ClientRegistry.blob"

0012F5A0   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F5A4   7FFDFC00  |FileName = "C:\Documents and Settings\All Users\Application Data\DynDNS\Updater\config.dyndns"

0012D788   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012D78C   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Application Data\Mozilla\Firefox\Profiles/enjxr3uc.default/secmod.db"

0012F258   7C82773F  /CALL to CreateFileW from kernel32.7C82773A
0012F25C   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data"

0012EE84   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012EE88   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Application Data\Opera\Opera\wand.dat"

0012F5A0   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F5A4   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Application Data\FileZilla\recentservers.xml"

Masterseite:

Code:

004059CB  |.  68 B6564500   PUSH DUMP_004.004556B6                   ;  ASCII "h**p://hundekopf.hu.funpic.de/blog/index.php/"

ist also gebunden mit dem elitären "realH4x0rT00l" IStealer
Webpanel:
h**p://hundekopf.hu.funpic.de/blog/index.php/

(Links aus sicherheit "deaktiviert")

[Artarex]

Quote:

Originally Posted by DerNeueDoppelhuso

ich hoffe einfach mal ihr sprecht die wahrheit
und ich hab ne idee wer es sein könnte:


-><- daher hab ich den keylogger

und dieser typ war doch nur auf hohe beiträge aus, wenn ich mich recht entsinne??

achja übrigends war er auch auf viele "thanks" aus siehe


kann auch sein das er da auch schon gehackt wurde ich hab kp...

sagt mir mal was ihr davon haltet

Quote:

Originally Posted by shadow52

Habe grade was in einem anderen Forum gefunden.(Auch einer der diese Screen.exe hatte. Komischer weiße auch seit Gestern.)

Nunja hier mal ne Auflösung was es war und was es macht.(Zitat aus dem Forum)
(Links aus sicherheit "deaktiviert")

Ich denke das ist auch nicht der richtige grund: Ein Tag vorher glaube ich wurde Syber-Angel gehackt und ich denke er auch. Aber danke dir für den Hinweis.

Danke Shadow h**p://hundekopf.hu.funpic.de/blog/index.php/
Das ist dann also die Seite wo die daten hingesendet werden?

[shadow52]

Quote:

Originally Posted by nilsheigener

Ich denke das ist auch nicht der richtige grund: Ein Tag vorher glaube ich wurde Syber-Angel gehackt und ich denke er auch. Aber danke dir für den Hinweis.

Danke Shadow h**p://hundekopf.hu.funpic.de/blog/index.php/
Das ist dann also die Seite wo die daten hingesendet werden?

Ja ist sie.(Die Daten weden von dem stealer an die index.php gesendet dieser speichert diese dann in einer mysql datenbank und zeigt sie an.)
Die Login Daten sind User:Admin Pw:Admin(Sogar noch die Standart...außerdem wurde das Panel von den Usern des anderen Forums dank einer Sql-Lücke mit fake logs gefloodet.)

[Artarex]

Quote:

Originally Posted by shadow52

Ja ist sie.(Die Daten weden von dem stealer an die index.php gesendet dieser speichert diese dann in einer mysql datenbank und zeigt sie an.)
Die Login Daten sind User:Admin Pw:Admin(Sogar noch die Standart...außerdem wurde das Panel von den Usern des anderen Forums dank einer Sql-Lücke mit fake logs gefloodet.)

Der Hacker scheint aber schon viele daten zu haben oder?

[DerNeueDoppelhuso]

ich würde mal gerne wissen was das für ein forum ist

[flieder]

Quote:

Originally Posted by nilsheigener

ich weiß kommt vieleicht nicht hierhin, will aber es klarstellen!

ich hatte einen keylogger auf dem Pc (screen.exe) Ich habe mir die gedownloadet wo syber-Angel den thread erster petopferbot aufgemacht hat. Syber-angel hat mir per pn geschrieben das sich wer in seinen Account gehackt hat und Killerdeluxe hat den Thread gelöscht. Nun wurde leider in meinen Account gehackt. Ich bitte zu ebtschuldigen das der Idiot (der hacker) einen Thread aufgemacht hat wo er die screen.exe zum download angeboten hat. Ein danke geht an Fiedler5895 und an fielder der mir ebend bei meinen 2. Acc testcheater den Hinweis mit passwort vergessen gegebn hat. Danke Euch Beiden!!

Ich bitte nochmals dies zu entschuldigen und das sich keiner mehr in meinen Acc hackt!

Danke euch.

Achja: Falls ihr mir nicht glaubt das ich der echte bin. flieder kann bestätigen das ich auf den account testcheater von ihn eine E-Mail bekommen habe.

WB nils ,
ich freu mich sehr das es geklappt hat !!!
nun kann der hacker unter deinem guten namen keinen mist mehr machen ...

screen.exe ist eigtl ein capture tool , soweit ich ergoogeln konnte ....
dh es nimmt auf was iwer an deinem PC tut zb .

man kanns wohl verwenden als schutz für den eignen PC
( unbefugter zugriff 3ter, wird alles was der tut dokumentiert in einem log zb
& dann wohl per email etc pp an den den "besitzer" weitergeleitet )
oder aber auch wie in deinem falle für ganz pöseeeeeee dinge.

ein hacker in dem sinne war das jedenfalls net -.-

schade wenn ein eigtl nützliches tool mißbraucht wird von sowem

mal etwas andres .....
kann sich mal jmd mit dem forumsbesitzer angesichts der fiesen vorgänge hier unterhalten ....

der kann eindeutig die IP sehen von dem das alles ausgeht ....!!
dh man kann könnte den IP bereich zb bannen oder erkennen aus welcher richtung das etwa kommt.
ganz harte könnten, da es sich um eine straftat handelt, per gerichtsbeschluß sich vom ISP die klarnamen geben lassen & den arsch vor den kali ziehen ........
& falls der "hacker" dieses zufällig liest , jeder hinterläßt spuren im inet!!!
& man kann immer herausfinden wer was wann tut - dessen sollte er sich bewußt sein.

nen bissle tricksen bei nem spiel ist meiner ansicht nach was völlig andres, als leute auf so ne weise abzuziehen -.-
ein wahrer hacker macht sowas auch nicht, sondern er zeigt auf wo sich sicherheitslücken befinden im system, aber bereichert sich net auf kosten anderer.
naja wie sich zeigte ist wohl die größte sicherheitslücke der mensch der an der maus klickt^^
da muß ich mich leider mit einschließen ....
zu viel neugier kann zu schnell sauteuer werden ....

[::NaruChaos::]

Ich glaube man kann im Forum so gut wie keinen mehr trauen und das mit den Trojaner glaube ich so gut wie gar nicht mehr

[flieder]

Quote:

Originally Posted by DerNeueDoppelhuso

ich hoffe einfach mal ihr sprecht die wahrheit
und ich hab ne idee wer es sein könnte:

-><- daher hab ich den keylogger

und dieser typ war doch nur auf hohe beiträge aus, wenn ich mich recht entsinne??

achja übrigends war er auch auf viele "thanks" aus siehe

kann auch sein das er da auch schon gehackt wurde ich hab kp...

sagt mir mal was ihr davon haltet

pls nur ansehen den thread & ja nix downloaden da ---->

scheiße mann , der beantwortet sich selbst mittels der angeeigneten acc´s,
damit jeder denkt das das auch funktioniert -.-

mann oh mann ........

[DerNeueDoppelhuso]

Quote:

Originally Posted by nilsheigener

Ich denke das ist auch nicht der richtige grund: Ein Tag vorher glaube ich wurde Syber-Angel gehackt und ich denke er auch. Aber danke dir für den Hinweis.

Danke Shadow h**p://hundekopf.hu.funpic.de/blog/index.php/
Das ist dann also die Seite wo die daten hingesendet werden?

Quote:

Originally Posted by nilsheigener

Der Hacker scheint aber schon viele daten zu haben oder?

sag mal wollt ihr mich verarschen?


super witz...