Achtung : Crew verschickt Trojaner und klaut Steam und ESL Accounts/schon 50-100 Opfer

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von 2lame4colt, 3. September 2005 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 3. September 2005
    Guten Morgen an alle,

    mir ist eine ziemliche passiert!Mit hat gestern ein vermeindlicher Zocker-"Freund" eine exe Datei geschickt die ein TCP-Optimier Programm sein sollte!Als ich die exe ausführte passierte nichts!Naja,außer dass ich nun einen Trojaner auf dem Pc hatte
    Ich bekam die TS2 Ip von denen raus und hockte mich da ca. 2 stunden rein!
    Die Typen sind ca.5 und haben ein Projekt in dem sie ahnungslosen Leuten aus dem IRC einen Trojaner schicken den sie als TCP Optimierer tarnen!
    Bevor ich die exe geöffnet habe ,habe ich natürlich mit Kaspersky und Kaspersky PRO auseinandergenommen aber die haben nix gefunden!(wohl doch nicht das weltbeste Prog )
    Auf jeden Fall weiss ich dass der Trojaner irgendwie ein IRC Bot ist!Die geben in ihren Channel commands wie !screenoff/!screenon und so ein!Dies weiss ich von diesem Board : Ratboard

    Der Betroffene wurde von genau denselben gehackt(sein Freund)....Irgendwann haben sie dann darüber geredet dass sie sich auf die Weise doch auch beim Online Banking des Opfers einloggen könnten und sich ein bisschen Geld schicken könnten!Also bei diesem Thema hört der Spass auf!Wobei ich mir auch nicht jeden Tag einen neuen Steam Account kaufen kann!

    Die müssen echt schon richtig viele Leute gehackt haben,Kommentare wie "Halts Maul,ich krieg den 01er Account,du kriegst immer die geilen" verstärken dies nur!

    Jungs,wenn es eine Möglichkeit gibt diesen Pissern in den ***** zu treten dann tut es bitte!In dem Ratboard-Thread steht noch mehr dazu!Sie haben auch die ganze Zeit von einem Bot geredet (den der eine von den selber gecodet hat)

    An alle Cstriker : Sie haben sich die ganze Zeit darüber schlapp gelacht wie sie doch grade wieder auffällig gecheatet haben und die Ringer es nich gemerkt haben und so!Es sind alles Cheater und wollen in geraumer Zeit ein 3on3 Squad mit gerippten Accounts erstellen und sich dann nach oben Cheaten.......
    ASSOZIAL

    Ich habe Kaspersky 5 Stunden checken lassen aber er hat nix gefunden!Wie bekomme ich den Trojaner wieder vonner Platte?Ich will nicht formatieren müssen!

    Es steht auch 100% fest dass sie damit Erfolg haben und nicht nur labern,ich habe ja zugehört wie sie alle Daten meiner Platte kommentiert haben und sich gestritten haben dass sie meine Filme haben wollen usw!......

    Sie haben mich grade wieder ins TS2 geholt und sagen dass ich sie ownen will und so............Sie lesen also die ganze Zeit mit!

    Viel Spass Jungs und ein fettes Danke!
     
  2. 3. September 2005
    lol

    ich würde erstmal sagen selbst schuld. Wer öffnet schon eine exe wo er nicht genau weiß das sie sicher ist.


    du schreibst "ich habe ja zugehört wie sie alle Daten meiner Platte kommentiert haben und sich gestritten haben dass sie meine Filme haben wollen usw!"

    lol ich weiß ja nicht wie schnell deine Leitung ist aber wenn du ~1mbit hast mit 16kb upload kann das verdammt lange dauern.
    Meiner meinung nach sind das absoluten spasten die keinen respekt verdienen.

    Einer von den Leuten im Ratboard hat doch die IP vom ts server rausbekommen.

    vielleicht erreichst du was über abuse@clara.net
     
  3. 3. September 2005
    öhm für sowas würde ich mit HijackThis v1.99.1 erstmal eine Logfile erstellen um den Übeltäter audfindig zu machen.. und dann hier http://www.trojaner-board.de/ die log file posten...

    Ansonsten halt noch jegliches Anti Virus Programm durchlaufen lassen.. auch Anti vir Xp Spy-bot und ad-aware..

    Desweiteren würd ich immer empfehlen ein Norton Ghost system Image zu erstellen, somit kannst du in den schlimmsten fällen das einfach wieder drauf spielen und es ist alles wieder so als wär nix gewesen... Greez Hurri..
     
  4. 3. September 2005
    log files lesen
    gegenangriff starten
    spaß haben
     
  5. 3. September 2005
    // Logfile von Hijackthis!Bitte um schnelle Analyse wo der Trojaner sitzt!

    Logfile of HijackThis v1.99.1
    Scan saved at 12:29:23, on 03.09.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ASUS\Probe\AsusProb.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\WINDOWS\System32\sstray.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\WINDOWS\System32\syshost.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\programme\steam\steam.exe
    C:\Programme\TGTSoft\StyleXP\StyleXP.exe
    C:\Programme\phonostar\ps_agent.exe
    C:\Programme\phonostar\ps_timer.exe
    C:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe
    C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
    C:\Programme\STK013\STK013M.exe
    C:\Programme\Wireless\PRISMSTA.exe
    C:\Dokumente und Einstellungen\Chaddy\cfgmaker.exe
    C:\Programme\teamspeak2_RC2\TeamSpeak.exe
    C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE
    C:\DOKUME~1\Chaddy\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Seekerbar.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = Seekerbar.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Seekerbar.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Search Results for qsrch.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll (file missing)
    O2 - BHO: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [WebSavingsFromEbates0] "C:\Programme\WebSavings_from_Ebates\WebSavingsFromEbates0.exe"
    O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
    O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [ywisnod] c:\windows\system32\ywisnod.exe
    O4 - HKLM\..\Run: [Microsoft] svhost.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [syshost] syshost.exe
    O4 - HKLM\..\RunServices: [Microsoft] svhost.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [Microsoft] svhost.exe
    O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
    O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
    O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [ArchiCrypt Stealth] C:\Programme\ArchiCrypt Stealth 3\ACStealth3.exe -HIDE
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: 3D!Turbo Experience.lnk = C:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe
    O4 - Global Startup: SATARaid.lnk = ?
    O4 - Global Startup: STK013 PNP Monitor.lnk = C:\Programme\STK013\STK013M.exe
    O4 - Global Startup: Wireless Configuration Utility.lnk = ?
    O9 - Extra button: Script Checker - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\AVP6\scieplugin.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
    O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
    O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
    O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
    O23 - Service: AVP - Kaspersky Lab - C:\Programme\Kaspersky Lab\AVP6\avp.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
     
  6. 3. September 2005
    Downloade und Installiere mal den Security Task Manager.
    http://www.neuber.com/taskmanager/deutsch/download.html

    Der zeigt dir dann an welche Prozesse gefährlich seien können.

    Was ist den das? cfgmaker.exe ?(
     
  7. 3. September 2005
    looool, keine ahnung Also meine Cfg ist nicht mit nem maker gemacht ^^
     
  8. 3. September 2005
    @ 2lame2colt : Poste dein Log-File doch mal hier : http://www.hijackthis.de
     
  9. 3. September 2005
    der channel ist jetzt
    da kommt normalerweise niemand mehr rein
     
  10. 3. September 2005
    Habe mit Hijackthis den Trojaner gefunden und verbannt

    FETTES DANKE AN ALLE !!!!
     
  11. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.