# 2ter Hack in 3 Wochen!



## Bazoo (29. Mai 2008)

Hallo liebe Buffed-Community, 

am 09.Mai wurde mein Account gehackt und mein Chars etc gelöscht. Habe seit Samstag alles wieder und bin froh darüber. Allerdings hat mein Bekannter mich heute morgen um 6 Uhr angerufen, dass mein Schurke im Schlabby ist. Da wusst ich bescheid, erneuter Hack.


Also es sieht wie folgt aus: Vor dem ersten Hack hatte ich Antivir und XP Antispy. Nach dem dem Hack habe ich aufgestockt. 

- Norton Antivirus gekauft und immer auf dem neuesten Stand
- Firewall von Zonelabs (nur bekannte Datentransfers freigeschaltet)
- Spybot Search & Destroy mit ständigem Update bzw täglichen Prüfungen
- XP Antispy
- ALLE Passwörter geändert, nur sinnfreie Passwörter benutzt und keines davon doppelt
- KEINE unbekannten Internetseiten besucht bzw keine unbekannten Mails geöffnet
- Ich bin keine 15 mehr, habe eine Familie und klicke daher nicht wild umher auf dubiose Webseiten und falle auch nicht auf "Gewinnbenachrichtigungen" rein etc

Nun bin ich mit meinem Latein am Ende. Lasse gerade Hijackthis durchlaufen, nachdem alle anderen Programm absolut nichts gefunden haben. Adaware wurde auch gerade installiert, was allerdings schon 73 infekte aufweist. 

Nun meine Frage: Woher kommen diese Keylogger, Script-tools etc? habe in einigen Foren gelesen, dass vermutet wird, dass der Buffed-Client mit dem Autoupdate der Addons schuld sein soll. Kann ich mir aber nicht wirklich vorstellen. Andereseits soll Mobmap mit dem Updater bei einigen einen "unechten" Trojaner anzeigen, was es bei mir nicht tat. Allerings soll dieser Trojaner eh nur eine Fehlmeldung von Antivir etc sein.

Woher fang ich mir dann sonst solch einen Mist ein?


PS: Meine Daten hat NIEMAND, weder Ingame noch privat! Das einzige, was meine Frau kennt, ist mein Loginname, aber nicht mein Passwort. Wobei ihr Account (anderer PC) auch vor 2 Wochen gehackt wurde!


Gruß Kinis


----------



## Thoryia (29. Mai 2008)

Nicht schon wieder...

Hast Du den Rechner neu aufgesetzt nach dem ersten Hack? Nein, erster Fehler. Da bringen Dir dann tolle neue Anitvir Scanner und sonstwas für Security Sachen auch nichts mehr, ist er drauf neu aufsetzen, DANN über neue Sicherheitsmechanismen nachdenken.
Da der Account Deiner Frau auch gehackt wurde, ist es offensichtlich, das ein Keylogger auf dem Rechner schlummert, der sich wahrscheinlich durch einen Wurm in eurem privatem Netzwerk auf alle Rechner eingenistet hat.

Also, Format C: alles neu aufsetzen, neue Sicherheit draufspielen, Updaten, WoW installieren. Wenn Du sowas nicht noch einmal erleben willst dann eine Bildschirmtastatur benutzen und keine Daten eintippen. Wurde alles schon zig mal gepostet hier, inklusive Link zu der Bildschirmtastatur.


----------



## Destilatus (29. Mai 2008)

http://www.buffed.de/forum/index.php?showtopic=29858

close plz ...


----------



## Die.Nachtelfe (29. Mai 2008)

> Nicht schon wieder...




Aber so wie es aussieht scheint er/sie alles Menschenmögliche gemacht zu haben, damit kein einziger Virus oder Trojaner durchkommt.

Ich habe davon gehört, dass der Buffed Client schonmal verdächtigt wurden, aber ich denke mal nicht, dass die Entwickler was damit zu tun haben.


----------



## campino76 (29. Mai 2008)

Ich würd den PC komplett neu aufsetzen. Hast du eine orig. Win Lizenz? Sofern du was "gecracktes" verwendest, könnt auch da der berühmte Hunde begraben sein.  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## poTTo (29. Mai 2008)

Also woher die Keylogger kommen kann dir hier leider niemand beantworten, du bekommt man ja leider nicht per Post sondern fängt sich die  durch "Unwissen" ein.

Ok, erstmal Beileid das es wieder passiert ist. hats du eigentl. dein System neu aufgestezt oder hast du auf deinem alten System weiter gearbeitet/gespielt ? Da deine Frau ebenfalls gehackt wurde und ihr zwei bestimmt am selben Router / Netzwerk hängt vermute liegt dort der Hund begraben. Auf einem eurer System scheint noch die böse Software rumzuliegen.

Btw: nutzt ihr WLAN, ist es sicher, also WPA statt WEP verschlüsselung ?




gruss


----------



## Die.Nachtelfe (29. Mai 2008)

> http://www.buffed.de/forum/index.php?showtopic=29858
> 
> close plz ...



Also ich denke mal, dass er mittlerweile Weis wie man ein Account wieder zurück bekommt! Seine Frage ist ehr, weshalb es sein kann, dass obwohl er so viele Virenprogramme hat dennoch sein Account gehackt wird.


----------



## Mumble (29. Mai 2008)

Die.Nachtelfe schrieb:


> Aber so wie es aussieht scheint er/sie alles Menschenmögliche gemacht zu haben, damit kein einziger Virus oder Trojaner durchkommt.



...Ist das "Holzpferd" erst einmal in der Stadt, bringt es auch nichts die Tore besser zu verriegeln und mehr Wachen aufzustellen...

Erstmal Beileid meinerseits!

Mein Tipp wäre beide Systeme neu aufzusetzen und danach noch einmal das"volle Programm" zu installieren...

Gruß!


----------



## Destilatus (29. Mai 2008)

Die.Nachtelfe schrieb:


> Also ich denke mal, dass er mittlerweile Weis wie man ein Account wieder zurück bekommt! Seine Frage ist ehr, weshalb es sein kann, dass obwohl er so viele Virenprogramme hat dennoch sein Account gehackt wird.



Sorry aber wie sollen wir das wissen? Es gibt IMMER Sicherheitslücken ... IMMER ... es gibt immer bessere Viren/Trojaner ... von daher ... 
Sorry wenns gerade scheiße Klingt ^^ 

System neu aufsetzten und Tee Trinken.


----------



## Eredon (29. Mai 2008)

Die.Nachtelfe schrieb:


> Also ich denke mal, dass er mittlerweile Weis wie man ein Account wieder zurück bekommt! Seine Frage ist ehr, weshalb es sein kann, dass obwohl er so viele Virenprogramme hat dennoch sein Account gehackt wird.



Weil er Norton benutzt. Die gelbe Pest. Ein Virenscanner und eine Firewall sind *KEINE* Garantie für Sicherheit, sie unterstützen normal nur bei der Sicherheit. Es sind nur Programme und die sollten einem das DENKEN nicht abnehmen.


@TE
Hast du den Rechner neu aufgesetzt ? Wirklich komplett neu installiert ? Um sich Malware einzufangen genügt schon der Besuch bestimmter Seiten oder das bestätigen einfacher Nachrichtenfenster (einfach gesagt). So wie du es beschrieben hast würde ich vermuten das dein System weiterhin mit einem Keylogger/Trojaner infiziert ist, dann hilft dir weder Firewall, noch Virenscanner.

Surft vielleicht noch jemand anderes mit dem Rechner ? Frau oder Kinder ? Mit welchen Benutzerrechten arbeitetst du ? Administrator ?


Mein Beileid hast du trotzdem. Account- und Rechnersicherheit werden leider immer sehr klein geschrieben, wirklich schade.


----------



## Bazoo (29. Mai 2008)

Also es ist wohl nicht deutlich geworden, dass wir an 2 PC´s spielen, welche BEIDE neu aufegsetzt wurden (Format C: etc), nachdem die Hacks passiert sind. Beide haben identische Software gegen Viren etc drauf und beide OriginalWindows. Ich benutze keine Dubiosen Webseiten oder Plugins oder was auch immer. Ich passe verdammt gut auf.

Und ja, wir sitzen an einem Router, sie über Direktverbindung (Kabel) und ich über W-Lan mit WPA. Sollten mir die 73 Infekte Sorgen machen von Adaware? Programm prüft noch (Schon seit 30 min), kann daher noch nciht sehen, was genau da im Argen liegt 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




Und nein, sie ist an ihrem PC und ich an meinem. Wir besuchen ganze 5 Webseiten: Buffed.de, Curse.com, Wow-HP, Emailanbieter (Großer) und Bank-HP. Sonst absolut nichts. Mir ist es zu gefährlich, sich irgendwo durch einen harmlosen klick nen Logger oder sonst was einzufangen nach dem letzten Hack!


----------



## Thoryia (29. Mai 2008)

Wie ich geschrieben hab, nutze eine Bildschirmtastatur das ist der einfache Weg sowas nicht mehr zu erleben.
Kannst Du bei ALLEN wichtigen Anwendungen benutzen, Online Banking etc.


----------



## CelticBastard (29. Mai 2008)

Hallo Scan mal dein System mit Hijackthis bekommst hier Klick

Dann kannst du das Logfile Protokoll auswerten lassen Klick

Zur not das Logfile hier Posten, aber Persönliche Informationen aus dem Logfile entfernen.

MfG

Edit: Entschuldige habe unaufmerksam gelesen 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Bazoo (29. Mai 2008)

Also Logfile auswerten lasse, absolut KEINE Sicherheitslücken!


----------



## Caveman1979 (29. Mai 2008)

Hallo ich würde dir empfehlen alle rechner die ihr im netzwerk habt platt machen neu aufspielen!
Dann immer im abgesicherten modus den rechner benutzen(also nicht als admin)
Und zu guter letzt noch der Hinweis der immer von mir kommtrain 1.0 benutzen!

Mit vielen virenprogrammen erreicht man eigendlich auch nicht unbedingt den erfolg da sich die programme öfters selbst als vieren erkennen


Des weiteren gibt es auch den hinweis das ältere versionen vom A. flashplayer keylogger ohne probleme an deine acc daten läst also auch hier schaun ob alles auf dem neusten stand ist


----------



## maddrax (29. Mai 2008)

Da dein System zu 99;9% schon wieder verseucht ist, muß du windows nochmal neu drauf spielen. Und um himmels Willen, installiere dir auf keinem Fall blindlings alles wo ein .exe dran steht. Ob Addon  oder sonst was.   Wenn du dir Testprogramme ladest - passe auch auf von welcher Quelle du dir das ziehst. Emule und andere Tauschbörsenbenutzer, die zu blöd sind, fangen sich auch gerne schnell was ein.

Gehe nicht auf jede Internetseite, vor allem nicht auf die Seiten der Goldverkäufer. Und klicke im Internet auf keinem Fall auf alles wo steht: "klick mich".

Es gibt noch viel mehr was ich hier schreiben kann, was man falsch machen kann. Aber ich habe dazu jetzt keine Lust mehr.


Noch kurz was: wenn dir das 2mal in so kurzer Zeit passiert, dann bist du sehr unvorsichtig oder blöd (sry ist aber so). Schau auch mal deine gebrannten CD/DVD´s an, vielleicht hast du dir auch was von denen eingefangen (geht schnell, brauchst bloß ein  verseuchtes System gehabt haben wo du die gebrannt hast) - und nein, nur wenn man gebrannte CD/DVD´s hat bedeutet das nicht, dass man Raubkopien hat!

MfG


----------



## gOOvER (29. Mai 2008)

Naja, Norton ist mich gerade das NonPlusUltra im Bereich Antivirus. Hättest besser in ein anderes investiert. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 Und ne Softwarefirewall? Und dann noch ZoneAlarm? Das Geld hättest Dir wirklich sparen können. Hast Du keinen Router der schon ne Firewall eingebaut hat? Die ist effektiver als Deine Lösung.


----------



## gOOvER (29. Mai 2008)

Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 Mist, doppelt. sorry 4 this 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Shadria (29. Mai 2008)

Die wichtigsten Sachen wurden ja schon erwähnt. Ich würde auf alle Fälle zuerst mal euere beiden (!) Rechner neu installieren.  

Einen wirksamen 100%igen Schutz gegen Keylogger gibt es leider nicht. Man kann das Risiko aber sehr stark minimieren, wenn man z.B. eine der erwähnten virtuellen Tastaturen nutzt (z.B. Virtual Keyboard).

Eine andere Möglichkeit, sich vor Keyloggern zu schützen, sind so genannte "Keyscrambler". Dabei handelt es sich um Programme, die Tastatureingaben verschlüsseln. Der Keylogger würde also unverständliche Zahlenfolgen versenden, mit denen sein Autor nichts anfangen kann. Einen kostenlosen "Keyscrambler" bietet z.B. QFX Software an.

Ach ja... und tu dir selbst einen Gefallen und schmeiß Norton Antivirus runter... Norton ist m.E. nur eine "Verschlimmbesserung". Auf den diversen Fachseiten findet man genug Infos über die wirkliche Qualität der Norton-Produkte..  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Psych0mast3r (29. Mai 2008)

Hallo zusammen,

so wie es sich anhört hält er auch seine VDF etc. auf dem neusten Stand. Da ist es eher unwahrscheinlich das es von einer gebrannten CD kommt. Ich will jetzt nicht sagen das es falsch ist. Ich wollte damit nur sagen das man jetzt nicht unbedingt die Pferde scheu machen sollte.

Schonmal überlegt das der Hund auch an anderer Stelle vergraben sein kann?
Evtl. unsicheres W-Lan?
Ganz doof aber guck mal ans Haus ob du da irgendwo nen WarChalk findest. (Kreidezeichen) Klingt komisch aber sicher ist sicher.

Kann natürlich auch sein, dass der Hund im Router begraben liegt. Link einfach mal um meine These zu untermauern.

Oder halt einfach mal nach Rootkits schauen.

So das war es dann mal von meiner Seite.


----------



## Bazoo (29. Mai 2008)

Also wie gesagt. Ich kaufe kein Gold und gehe vorallem erst recht nicht auf solche Seiten. Ich benutze kein Emule, oder andere Share-Programme. Ich habe Adware durchlaufen lassen, der 75 Tracking-Cookies gefunden hat, was nach langem lesen wohl möglich unspektakulär sein dürfte.

Gebrannte CD´s hab ich gar nicht und alle CD´s/DvD´s, die ich benutze, hab ich schon immer benutzt und spiel schon über 2 Jahre WoW.

Und ich klick bestimmt nicht auf "Klick mich"´s im Netz. Hab ne Routerfirewall, aber man sagte mir, Zonelabs (übrigens Kostenlos), sei die beste im Bereich Software.

Zum Thema Norton: Hatte voher Antivir, welches ja nunmal komplett umsonst ist un daher bestimmt nicht den Service bzw die Leistung bringt. Habe aber auch nur !!!1!!! Antivirusprogramm drauf, da ich mir durchaus darüber im klaren bin, dass 2 sich gegenseitig blocken können und man dann quasi keins hat.

Also wie ihr seht, ich habe keine Ahnung, woher der Mist kommt. Man könnte mich schon übervorsichtig nennen oder Angsthase was das Internet betrifft. Aber mal ehrlich: Meine email oder Bankdaten wurden nicht benutzt. Vielleicht ausgelesen, aber nicht benutzt. Also vermute ich doch stark, dass es sich speziell um WoW-Hacks handelt, was mir wiederrum sagt, dass diese Key-Logger-tools oder ähnliches auf Seiten hocken müssen, wo sich die Hacker sicher sein können, dass auch WoW-Spieler sie anklicken, oder seh ich das falsch?

Wenn sie bei *Beispiel* www.warum-sind-bananen-krum.de son ding installieren würden, wieviel WoWler würden sie da erreichen?

Und zum Thema *.exe: Ich installier bestimmt nicht alles, was diese Endung besitzt. Es geht mir Addon-technisch nur um den Blasc-Client. Hatte voher noch zusätzlich WoW-Matrix, den ich aber seit dem letzten Hack nicht mehr habe. Also kann er es nicht gewesen sein, weil beide PC´s vom internet getrennt wurden und dann neu aufgesetzt (Format C:   etc)


----------



## gOOvER (29. Mai 2008)

Wowmatrix wäre mal ein ansatzpunkt. Ich habe mir die Seite mal angeschaut. Erste Frage: wie wird das finanziert? Ich habe zwar deren Clienten per NOD32 ohne Befund Überprüft, allerdings macht mich skeptisch, das nach dem Starten Dateien nachgeladen werden und das jedesmal. 

Und bevor jetzt einige sagen: Du hast jetzt bestimmt auch was eingefangen! Ich habe einen speziellen Rechner für sowas 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Thoryia (29. Mai 2008)

Psych0mast3r schrieb:


> Hallo zusammen,
> 
> so wie es sich anhört hält er auch seine VDF etc. auf dem neusten Stand. Da ist es eher unwahrscheinlich das es von einer gebrannten CD kommt. Ich will jetzt nicht sagen das es falsch ist. Ich wollte damit nur sagen das man jetzt nicht unbedingt die Pferde scheu machen sollte.
> 
> ...


Wir haben nicht mehr die 80er und 90er und Kreidezeichen gibts nur noch in Oldscool Filmen 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Btw hatter ja geschrieben er hat WPA W-Lan.


----------



## Thoryia (29. Mai 2008)

gOOvER schrieb:


> Wowmatrix wäre mal ein ansatzpunkt. Ich habe mir die Seite mal angeschaut. Erste Frage: wie wird das finanziert? Ich habe zwar deren Clienten per NOD32 ohne Befund Überprüft, allerdings macht mich skeptisch, das nach dem Starten Dateien nachgeladen werden und das jedesmal.
> 
> Und bevor jetzt einige sagen: Du hast jetzt bestimmt auch was eingefangen! Ich habe einen speziellen Rechner für sowas
> 
> ...




Der spezielle Rechner hat sicher Linux wie ich an Deinem netten Avatar sehe. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Sleepysimon (29. Mai 2008)

Sobald man weiß welchen Virenscanner du auf deinem PC hast, kann man diesen Umgehen.

ZoneLabs aka ZoneAlarm ist auch eine sehr gute Firewall die absolut zu empfehlen ist. Sie wird von der Firma Checkpoint programmiert, die Marktführend ist in Sachen Firewall in großen Firmen.


----------



## gOOvER (29. Mai 2008)

Thoryia schrieb:


> Der spezielle Rechner hat sicher Linux wie ich an Deinem netten Avatar sehe.
> 
> 
> Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.



Ja auch. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 Eigentlich sind beide, Windoof und Debian 4, drauf. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## ZAM (29. Mai 2008)

Also, wenn ich den ersten Beitrag richtig interpretiere gibts zumindest keinen Anwenderfehler mehr, außer das System wurde tatsächlich nicht geplättet - hier nur mal ein Verdacht: Wenn der Trojaner ein Rootkist ist, kann er so oft formatieren wie er will und bekommt den Parasit nicht los - mal nach speziellen Scannern googeln. Bildschirmtastaturen würd ich übrigens auch nicht vertrauen, die genutzten Events sind die gleichen, die Keylogger hooken und auslesen.


----------



## SueySite (29. Mai 2008)

Ich verweise immer wieder gern auf folgendes. Aktuelle Windowsupdates. Vor einigen Monden wurde eine Sicherheitslücke im IE geschlossen, die es ermöglichte Keylogger unbemerkt durch Active X und/oder Javascript zu installieren. 
In vergangener Zeit hatte ich öfter Probleme mit Hacks. Seit dem Update bzw der Nutzung von Firefoxx in Verbindung mit einer Bildschirmtastatur hab ich gänzlich ruhe. 

Des Weiteren vertraue keiner privaten WoW Fanseite. Ich hab da ganz klar eine Seite in Visier die ich natürlich nicht öffentlich anpranern möchte. 

Und bevor Stimmen laut werden dass buffed ja auch eine Fanseite ist. Richtig, aber halt doch eine gewerbliche. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Fornix (29. Mai 2008)

Um vielleicht noch etwas sicherer zu surfen: Firefox mit dem Addon NoScript nutzen. Das blockt erstmal alles unnötige an blinkenden Bildchen etc. weg. Wenn man auf einer Seite ist, der man vertrauen kann, kann man die dann erlauben.


----------



## Mindista (29. Mai 2008)

schau mal hier :




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



auch eine möglichkeit


----------



## Fenyah (31. Mai 2008)

das mit dem flash player halte ich für eine durchaus mögliche ursache... in FFXI werden derzeit auch viele meldungen von hacks laut


----------

