[HaBo]

Charmin · 07.06.05, 03:04

Hiho allerseits :)
Hab mich hier mal registriert um zu schauen ob mir hier geholfen werden kann :P
Ich bin ein leidenschaftlicher diablo 2 spieler. Ich traf letztes jahr ein Typ in einem spiel der mit bunten farben schreiben konnte und das fand ich so toll das ich das auch wollte 8) Er war dann natürlich auch sehr höfflich und hat mir nen link gegeben wo ich das her bekomme.. Ich ahnte früher nicht das die meisten nur auf was böses aus wollen, hatte aufm rechner auch nur antiVir als schutz drauf..Naja, jedenfalls ging ich dann auf die seite und downloadete mir die dateir... hab dann auf den installer geklickt um das script zu installieren. Als aber dann nix geschah klingelten bei mir die alarm glocken und ich hab antivir einmal den ganzen rechner durchlaufen lassen. AntiVir fand jedoch nichts und ich dachte mir dann auch nix weiter dabei. 3 tage später jedoch wurden meine diablo 2 accounts gehacked und meine ganzen wertvollen sachen waren gestohlen. Da war ich dann schon ziemlich sauer! Das hat dem typen aber nicht gereicht und steuerte meinen pc dann über ne userinit.exe.. bei mir poppte aufm desktop ein chat fenster auf worüber er sich mit mir unterhalten konnte (screenshot häng ich an)..Nunja ich kappte sofort dann die internet verbindung, wusste aber auch nicht wirklich was ich noch machen konnte ausser meinen virenscanner durchlaufen zu lassen der aber nix fand! Somit entschloss ich mich windows neu aufzuspielen und formatierte nur c:\
Als ich meinen Rechner dann neu installiert hatte, hab ich mich bissl schlauer gemacht, alle sicherheits update von windows installiert, mir programme wie spy bot search & destroy runter geladen und nochmal meine andere partition gescannt (Ich depp hätte die da auch schon löschen müssen ;( )
Alles schien mir sauber zu sein und ich fing wieder an diablo 2 zu spielen! Jedoch wurde ich nach 2 monaten als ich wieder gute sachen gefunden habe, wieder gehacked und alles war weg, er hinterlies mir immer nur ein charakter den er hi-myfriend nannte... Ich habe dann wieder windows neu aufgespielt und diesmal alle partitionen gelöscht so das alles wegkommt. Bekam dann 2 wochen später eine email auf englisch wo mir einer schrieb was ich zur zeit mache, ob ich noch diablo 2 spiele und wie mein account ist. Wusste natürlich das es sich um die Person handelte die mich gehackt hatte! Hab einen Freund daraufhin gefragt ob ich was gegen ihn tuen kann da ich ja seine email adresse habe, aber der meinte das er mit großer warscheinlichkeit über ne fremde email adresse kontakt mit mir aufgenommen hat und nicht mit seiner eigenen.
Ich rappelte mich dann wieder auf und fing dann ein 3. mal an zu spielen! Ich war mir ziemlich sicher das diesmal nix passiern könne, weil ich 1. ein super passwortr gewählt habe (hat keinen zusammen hang, besteht aus zahlen, buchstaben und zeichen) ich 2. alles formatiert habe und ich 3. nichts mehr von unseriösen Seiten herruntergeladen habe. Als es dann wieder geschah ( ist bestimmt jetzt nen monat her) hatte ich keine Lust mehr gehabt und hab mit dem ganzen aufgegeben. Ich vermutete immer das ich einen keylogger auf meinem rechner habe konnte mit vielen scannern aber nie was finden! Was ich auch nie verstand ist wie ich das 3. mal gehackt werden konnte! Beim ersten mal ist es mir ja bewusst, beim 2. hab ich mir das so hingebogen das der wurm sich auf der anderen partition befand, aber beim 3. mal bin ich einfach ratlos!
eventuell weiss ja der eine oder andere hier wie sowas geschehen kann... Ich hab nämlich nach dem 3.mal auch nicht nochmal neu fomratiert weil ich einfach die "schnauzevoll" hatte. Ich frag mich jetzt nur immer ob sich auf meinem rechner immer noch ein keylogger befindet oder nicht (finden kann ich ihn nicht) und ob es sich überhaupt um ein keylogger gehandelt hat?
Was ich auch nie verstehen werde und was ich gern wissen möchte ist, wenn es tatsächlich ein keylogger war, warum immer nur meine accounts gehacked wurden sind und nicht die meiner freundin (mit ihren accs hab ich mich auch öfters eingeloggt)! da ein keylogger ihren account auch abgefangen hätte.
Hoffe mir kann hier mal einer bissl klarheit geben und mir evt auch paar tipps geben wie ich mich noch vor so etwas schützen kann!
Achja ich besitze eine feste IP..
Vielen dank schonmal im vorraus

Charmin

TheEvilOne: [Anhang entfernt]

link · 07.06.05, 06:13

vielleicht hat er das PW von deinem E-mail Acc mitgelogt. Wenn er dies tat, kann er ohne problem immer wieder dein neues PW herausfinden. Natürlich wird er dann seine Spuren verwischen, indem er empfangene Mails gleich löscht.

kleiner Tip. immer mal ab und zu deine Ports kontrollieren mit TCPView. dann kannst du sicher sein das kein Trojaner auf einem port lauscht. Es geht auch alternativ mit "netstat". Aber TCPview ist übersichtlicher für den unbedarften Nutzer.

Vielleicht hat er ja, was aber eher unwarscheinlich ist, sich zu den Datenbanken von Diablo zugang verschafft.

Anzeige

- Anzeige -

ivegotmail · 07.06.05, 08:30

@Charmin
schau mal in der registry (start -> ausführern: regedit) nach, ob du unter folgenden einträgen (sofern vorhanden) ein verdächtiges programm findest:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runonce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices

und schau mal in deinen autostart ordner was da so drin ist.

wenn du nen keylogger drauf hast, wird er sich wahrscheinlich irgendwo dort eingetragen haben (damit er beim booten gleich startet).

Zitat:

TheEvilOne: [Anhang entfernt]

das war nur n screenshot.

naja, man sollte seine anhänge nicht unbedingt virus2.rar nennen ...

**TheEvilOne** · 07.06.05, 08:37

Zitat:

das war nur n screenshot.
naja, man sollte seine anhänge nicht unbedingt virus2.rar nennen ...

lol, ops

Charmin · 07.06.05, 14:26

Danke ersteinmal für die ganzen tipps

Zitat:

vielleicht hat er das PW von deinem E-mail Acc mitgelogt. Wenn er dies tat, kann er ohne problem immer wieder dein neues PW herausfinden. Natürlich wird er dann seine Spuren verwischen, indem er empfangene Mails gleich löscht.

Das passwort für meinen mail account hab ich alle 3 male neu eingerichtet. Ausserdem hat benutz ich von mozilaa die auto vervollständigung, somit würde sein keylogger eigentlich nur ein <Enter> ausspähen können wenn ich meine mails abrufe..

Zitat:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runonce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices

Leider keine einträge gefunden. Aber die werd ich mir mal mercken, danke dafür

Hab mir auch gleich mal TCPView runter geladen und lass es gerad laufen

sieht eigentlich auch alles in ordnung aus, viele svchost.exe verbindungen, 2 lsass.exe verbindungen (laut google ein windows prozess) und eine alg4.exe und halt mein icq gerad

Wozu ich nix find ist System:4 davon baut er 2 tcp verbindungen auf und 3 udp verbindungen. Remote adress ist nicht vorhanden und bei process properties gibt er mir nen error... Weiss jmd was das ist?
Danke
gruß Charmin

SUID:root · 07.06.05, 14:40

Hallo!

Also alg.exe ist bekannt als Systemprozess, Alg4.exe würde ich mir mal genauer ansehen.
Ebenso 2 x lsass.exe. 1x ist okay. 2 x wundert mich ein wenig.
Insbesondere weil lsass.exe gern auch mal ein Wurm ist.

Checke mal die Pfade (z.B. mit Prozess-Radar, www.delphi-soft.de), bzw. suche mal nach doppelten Dateien.
Dateien noch woanders als in System32? Dann Vorsicht.

Auch kann ein Prozess mittels Injection gestartet worden sein, dann findest du nur vertrauenswürde Prozesse im Taskmanager.

ggf mal einen Scan mit HiJackThis machen und Log posten.

Gruss

root

Charmin · 07.06.05, 15:00

hi root!
Hab mir Prozess Radar runtergeladen und mal angeschmissen!
Der listet mir aber nur eine lsass.exe auf die sich in C.\windows\system32 befindet!
bei TcpView parallel geschaut laufen aber noch 2.
Bei Local Adress steht:
dclone:isakmp (bei den einem)
dclone:4500 (beim anderen)

weiss nicht ob das hiolft

gruß
Charmin

--edit--

hab mal gerade nach lsass.exe gesucht und 2 gefunden! Die eine befindet sich im windows ordner die andere in windows\servicepackFiles\i386!
schätze das ist richtig so

Hab mein hijackthis log hier überprüfen lassen http://www.hijackthis.de/index.php scheint auch sauber zu sein!

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 15:08:41, on 07.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Winamp\winampa.exe
D:\PROGRA~1\WINPAT~1\winpatrol.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\WINDOWS\regedit.exe
D:\Downloads\TCPview\Tcpview.exe
D:\Programme\D-Tools\daemon.exe
D:\Downloads\antikeylogger\ProzessRadar\Version Win2000-XP\Prozess Radar.exe
D:\Downloads\hijack this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinPatrol] D:\PROGRA~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Keylogger Killer] D:\Programme\Keylogger Killer\KeyloggerKiller.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "D:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [Steam] "d:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [PestBlock] D:\Programme\PestBlock\PestBlock.exe -s
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1111102454937
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

**Mackz** · 07.06.05, 15:41

Malware ruft sich auch gerne per:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"

auf, indem es sich dort hinter den Wert "Explorer.exe" schreibt und so direkt beim beim Start , nach laden der Shell, ausgeführt wird.
Hinter Explorer.exe darf dort also nichts mehr folgen. Der Prozess müsste dann allerdings eigentlich trotzdem unter "runnings Processes" erscheinen ... hm ... aber kannst du ja mal noch vorsichtshalber überprüfen.

Charmin · 07.06.05, 16:06

hi nochmal! Gehe gerad nochmal genauer die Registry einträge durch und fand in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run und in
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run-
nwiz data: nwiz.exe/install
hab mal gegooglet und rausgefunden das es zu nvidia gehört.

Zitat:

Jedes gefährliche Programm kann sich sonstwie nennen - deshalb sollten Sie überprüfen, wo sich die Dateien der laufenden Prozesse auf der Festplatte befinden. Befindet sich eine "nicht-Microsoft" .exe Datei im Ordner C:\Windows oder C:\Windows\System32, so ist die Wahrscheinlichkeit hoch, dass es sich um einen Virus oder Spyware handelt!

Hab in mein system32 ordner geschaut und die datei befindet sich tatsächlich dadrinn und ist 1,42 MB groß.
Hab paar kommentare dazu noch gelesen

Zitat:

Its like a keylogger if you get rid of it releases a worm and causes your computer to crash repeatally if in system 32

[/quote]if it exists in the NVIDIA dir. and is about 450k maybe its OK. If its in system32 and difernt size, maybe kill it.[/quote]

Weiss meint ihr?

gruß
Charmin

SUID:root · 07.06.05, 17:01

Hallo.

Dein Log sieht sauber aus.
Die andere Datei mit 1,42 MB halte ich von der Größe her allein schon für harmlos. Ein Keylogger hat eine Größe zwischen 2 - 50 KB, aber nicht MB.

zu der Lsass.exe: Die ist bei XP im System32-Verzeichnis, nicht im Win-Dir.

Gruss

root

ivegotmail · 07.06.05, 17:27

also ich würde es nicht unbedingt ausschließen dass nwiz der virus/keylogger ist. auf der seite von der Charmin zitiert hat, steht zB auch:

Zitat:

There are 2 types of nwiz.exe. One of them being linked with nVidia graphics cards and the other being a virus. The virus file name is "nwiz.exe\ install". If this is the case delete it.

http://www.neuber.com/taskmanager/de.../nwiz.exe.html
der aussage nach würde es sich also um einen virus handeln.

Charmin, du kannst die datei ja mal irgendwo hochladen. dann würde ich sie mir mal anschauen.

Charmin · 07.06.05, 17:49

hallo!
@ivegotmail

habs hier hochgeladen: http://rapidshare.de/files/2236284/nwiz.exe.html
danke für die mühe

gruß
CHarmin

ivegotmail · 07.06.05, 18:02

"Keine zulässige win32 anwendung".
die datei ist auch nur 1,36mb groß und nicht 1,42mb. da ist wohl beim hochladen was schiefgelaufen.
lad die datei nochmal neu hoch, am besten gepackt (.zip).

Charmin · 07.06.05, 18:07

in .rar gepackt:
http://rapidshare.de/files/2236763/nwiz.rar.html

gruß
Charmin

SUID:root · 07.06.05, 18:13

Habs mal gesaugt, mit UltraEdit analysiert und es scheint von Nvidia zu sein.
Diverse Ascii-Zeilen sind lesbar und deuten auf Nvida hin. (nview, etc..)

Gruss

root

Anzeige

- Anzeige -

07.06.05, 03:04	#1 (permalink)
Charmin Registriert seit: 07.06.05 Likes: 0	Keylogger?? Anzeige Hiho allerseits :) Hab mich hier mal registriert um zu schauen ob mir hier geholfen werden kann :P Ich bin ein leidenschaftlicher diablo 2 spieler. Ich traf letztes jahr ein Typ in einem spiel der mit bunten farben schreiben konnte und das fand ich so toll das ich das auch wollte 8) Er war dann natürlich auch sehr höfflich und hat mir nen link gegeben wo ich das her bekomme.. Ich ahnte früher nicht das die meisten nur auf was böses aus wollen, hatte aufm rechner auch nur antiVir als schutz drauf..Naja, jedenfalls ging ich dann auf die seite und downloadete mir die dateir... hab dann auf den installer geklickt um das script zu installieren. Als aber dann nix geschah klingelten bei mir die alarm glocken und ich hab antivir einmal den ganzen rechner durchlaufen lassen. AntiVir fand jedoch nichts und ich dachte mir dann auch nix weiter dabei. 3 tage später jedoch wurden meine diablo 2 accounts gehacked und meine ganzen wertvollen sachen waren gestohlen. Da war ich dann schon ziemlich sauer! Das hat dem typen aber nicht gereicht und steuerte meinen pc dann über ne userinit.exe.. bei mir poppte aufm desktop ein chat fenster auf worüber er sich mit mir unterhalten konnte (screenshot häng ich an)..Nunja ich kappte sofort dann die internet verbindung, wusste aber auch nicht wirklich was ich noch machen konnte ausser meinen virenscanner durchlaufen zu lassen der aber nix fand! Somit entschloss ich mich windows neu aufzuspielen und formatierte nur c:\ Als ich meinen Rechner dann neu installiert hatte, hab ich mich bissl schlauer gemacht, alle sicherheits update von windows installiert, mir programme wie spy bot search & destroy runter geladen und nochmal meine andere partition gescannt (Ich depp hätte die da auch schon löschen müssen ;( ) Alles schien mir sauber zu sein und ich fing wieder an diablo 2 zu spielen! Jedoch wurde ich nach 2 monaten als ich wieder gute sachen gefunden habe, wieder gehacked und alles war weg, er hinterlies mir immer nur ein charakter den er hi-myfriend nannte... Ich habe dann wieder windows neu aufgespielt und diesmal alle partitionen gelöscht so das alles wegkommt. Bekam dann 2 wochen später eine email auf englisch wo mir einer schrieb was ich zur zeit mache, ob ich noch diablo 2 spiele und wie mein account ist. Wusste natürlich das es sich um die Person handelte die mich gehackt hatte! Hab einen Freund daraufhin gefragt ob ich was gegen ihn tuen kann da ich ja seine email adresse habe, aber der meinte das er mit großer warscheinlichkeit über ne fremde email adresse kontakt mit mir aufgenommen hat und nicht mit seiner eigenen. Ich rappelte mich dann wieder auf und fing dann ein 3. mal an zu spielen! Ich war mir ziemlich sicher das diesmal nix passiern könne, weil ich 1. ein super passwortr gewählt habe (hat keinen zusammen hang, besteht aus zahlen, buchstaben und zeichen) ich 2. alles formatiert habe und ich 3. nichts mehr von unseriösen Seiten herruntergeladen habe. Als es dann wieder geschah ( ist bestimmt jetzt nen monat her) hatte ich keine Lust mehr gehabt und hab mit dem ganzen aufgegeben. Ich vermutete immer das ich einen keylogger auf meinem rechner habe konnte mit vielen scannern aber nie was finden! Was ich auch nie verstand ist wie ich das 3. mal gehackt werden konnte! Beim ersten mal ist es mir ja bewusst, beim 2. hab ich mir das so hingebogen das der wurm sich auf der anderen partition befand, aber beim 3. mal bin ich einfach ratlos! eventuell weiss ja der eine oder andere hier wie sowas geschehen kann... Ich hab nämlich nach dem 3.mal auch nicht nochmal neu fomratiert weil ich einfach die "schnauzevoll" hatte. Ich frag mich jetzt nur immer ob sich auf meinem rechner immer noch ein keylogger befindet oder nicht (finden kann ich ihn nicht) und ob es sich überhaupt um ein keylogger gehandelt hat? Was ich auch nie verstehen werde und was ich gern wissen möchte ist, wenn es tatsächlich ein keylogger war, warum immer nur meine accounts gehacked wurden sind und nicht die meiner freundin (mit ihren accs hab ich mich auch öfters eingeloggt)! da ein keylogger ihren account auch abgefangen hätte. Hoffe mir kann hier mal einer bissl klarheit geben und mir evt auch paar tipps geben wie ich mich noch vor so etwas schützen kann! Achja ich besitze eine feste IP.. Vielen dank schonmal im vorraus Charmin TheEvilOne: [Anhang entfernt]

07.06.05, 15:41	#8 (permalink)
Mackz Administrator Registriert seit: 02.10.01 Likes: 30	Malware ruft sich auch gerne per: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" auf, indem es sich dort hinter den Wert "Explorer.exe" schreibt und so direkt beim beim Start , nach laden der Shell, ausgeführt wird. Hinter Explorer.exe darf dort also nichts mehr folgen. Der Prozess müsste dann allerdings eigentlich trotzdem unter "runnings Processes" erscheinen ... hm ... aber kannst du ja mal noch vorsichtshalber überprüfen. __________________ RL sux big time... auch 2012! Deleting pr0n is like killing your best friend [HaBo] bei Facebook - Werde Fan

07.06.05, 18:02	#13 (permalink)
ivegotmail Member of Honour Registriert seit: 28.05.03 Likes: 1	"Keine zulässige win32 anwendung". die datei ist auch nur 1,36mb groß und nicht 1,42mb. da ist wohl beim hochladen was schiefgelaufen. lad die datei nochmal neu hoch, am besten gepackt (.zip). __________________ http://livehabo.hackerboard.de \| http://livebb.sourceforge.net

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Keylogger	edurne	Downloads	47	24.05.12 14:31
Keylogger??	jeireff	(In)security allgemein	14	05.08.11 02:18
Keylogger	inso	(In)security allgemein	2	24.05.07 19:02
Keylogger	niedriger noob	Code Kitchen	11	06.12.01 23:28

07.06.05, 06:13	#2 (permalink)
link Registriert seit: 15.09.03 Likes: 2	vielleicht hat er das PW von deinem E-mail Acc mitgelogt. Wenn er dies tat, kann er ohne problem immer wieder dein neues PW herausfinden. Natürlich wird er dann seine Spuren verwischen, indem er empfangene Mails gleich löscht. kleiner Tip. immer mal ab und zu deine Ports kontrollieren mit TCPView. dann kannst du sicher sein das kein Trojaner auf einem port lauscht. Es geht auch alternativ mit "netstat". Aber TCPview ist übersichtlicher für den unbedarften Nutzer. Vielleicht hat er ja, was aber eher unwarscheinlich ist, sich zu den Datenbanken von Diablo zugang verschafft.

07.06.05, 14:40	#6 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Hallo! Also alg.exe ist bekannt als Systemprozess, Alg4.exe würde ich mir mal genauer ansehen. Ebenso 2 x lsass.exe. 1x ist okay. 2 x wundert mich ein wenig. Insbesondere weil lsass.exe gern auch mal ein Wurm ist. Checke mal die Pfade (z.B. mit Prozess-Radar, www.delphi-soft.de), bzw. suche mal nach doppelten Dateien. Dateien noch woanders als in System32? Dann Vorsicht. Auch kann ein Prozess mittels Injection gestartet worden sein, dann findest du nur vertrauenswürde Prozesse im Taskmanager. ggf mal einen Scan mit HiJackThis machen und Log posten. Gruss root

07.06.05, 17:01	#10 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Hallo. Dein Log sieht sauber aus. Die andere Datei mit 1,42 MB halte ich von der Größe her allein schon für harmlos. Ein Keylogger hat eine Größe zwischen 2 - 50 KB, aber nicht MB. zu der Lsass.exe: Die ist bei XP im System32-Verzeichnis, nicht im Win-Dir. Gruss root

07.06.05, 17:49	#12 (permalink)
Charmin Themenstarter Registriert seit: 07.06.05 Likes: 0	hallo! @ivegotmail habs hier hochgeladen: http://rapidshare.de/files/2236284/nwiz.exe.html danke für die mühe gruß CHarmin

07.06.05, 18:07	#14 (permalink)
Charmin Themenstarter Registriert seit: 07.06.05 Likes: 0	in .rar gepackt: http://rapidshare.de/files/2236763/nwiz.rar.html gruß Charmin

07.06.05, 18:13	#15 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Habs mal gesaugt, mit UltraEdit analysiert und es scheint von Nvidia zu sein. Diverse Ascii-Zeilen sind lesbar und deuten auf Nvida hin. (nview, etc..) Gruss root

[HaBo]

Keylogger??