| |
| |||||||
Log-Analyse und Auswertung: accont gestohlenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
28.12.2006, 09:50
| #1 |
| |  accont gestohlen Einen schönen guten tag allerseits! Vor gut einer woche wurde mein steam account gestohlen! Ich wurde von einem mir bekannten user in der friendslist angeschrieben und gebeten bei einem software problem behilflich zu sein.Das hab ich dummer weise auch getan.Tja der user war nicht der für den er sich ausgab und 2 Tage später war mein account futsch. Kann man mittels HijackThis die art des Trojaners ermitteln? Scans (auch im abgesicherten Modus) mit Nod32 und Spybot brachten keine Ergebnisse. Vielen Dank im vorraus für eure Mühen! Greetz mr.knister logfile: Logfile of HijackThis v1.99.1 Scan saved at 20:31:47, on 27.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Eset\nod32krn.exe C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Winamp\winampa.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Opera\Opera.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Eset\nod32kui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\FRITZ!DSL\FritzDSL.exe C:\Programme\Opera\Opera.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.140\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126645481578 O17 - HKLM\System\CCS\Services\Tcpip\..\{BE265E02-4320-40A9-9807-11AF4D9B4D18}: NameServer = 145.239.253.82,145.253.2.11,217.237.149.161,217.237.151.225 O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe |
|
28.12.2006, 10:34
| #2 | |
 | accont gestohlen Hi!
__________________In deinem Log sehe ich nichts ausergewönliches, was aber nicht heissen muss das ich was übersehen habe. Was ist ein Steam Account? Ist das ein Spiel oder?? Zitat:
Was hast du getan um ihn behilflich zu sein? Hast du deine Daten preisgegeben oder Software installiert oder ??? lg |
|
28.12.2006, 11:13
| #3 |
| | accont gestohlen Steam ist eine Plattform über die diverse Spiele laufen.
__________________Der User bat mich für ihn eine DVD-Software zu testen.Diese hab ich dann blöderweise geladen und ausgeführt! Wichtig wär für mich rauszufinden ob er nur an den Daten des Accounts interessiert war,oder ob er mit einem Keylogger weitere sensible Daten hat auslesen können. |
|
28.12.2006, 18:23
| #4 |
| | accont gestohlen Hast du diese Software noch und kannst du diese bei : http://www.virustotal.com/en/indexf.html oder http://virusscan.jotti.org/ mal auswerten lässt. lg |
|
28.12.2006, 21:32
| #5 |
| | accont gestohlen ne joschi 20 das hab ich leider schon gelöscht, aber vielen dank für die Antwort! |
|
28.12.2006, 21:42
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | accont gestohlen Vllt. findet eScan was. Folge dem Link in meiner Signatur. Über welchen Messenger hat der dich dann angeschrieben? Du hast diese angebliche DVD-Software ausgeführt, was passierte dann genau? 
__________________ --> accont gestohlen |
|
28.12.2006, 23:05
| #7 |
| | accont gestohlen Innerhalb der Steamplattform gibt es eine Friendlist in der mensch Leute eintragen kann.Dieses System beinhaltet auch eine Chatfunktion. Der Link führte auf eine Unterseit von Arcor von dem ich eine Datei DvD-(irgentwas...) lud.Ich führte das Setup aus und es passierte offensichtlich nichts. Nach 2 Tagen bin ich direkt aus dem Spiel geflogen, mit der Meldung das mein Account von einem anderen Computer aus benutzt wird. Kurz darauf versuchte er mit meinem Nickname andere User aus meiner Friendslist mit der gleichen Masche zu linken. |
|
28.12.2006, 23:11
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | accont gestohlen Okay, dann mach mal zunächst weiter mit eScan. Hast du zufällig noch den Link zu diesem ominösen DVD-Programm? Schick den mir mal bitte per PN, falls du ihn noch hast.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
28.12.2006, 23:20
| #9 |
| | accont gestohlen Na Lustig... Habe gerade nen err_log.txt file auf meinem rechner entdeckt. Hier steht mein Passwort und mein Accountname und das die Daten per mail übermittelt worden sind. Das Programm mit dem das gemacht wurde nennt sich alf.'s SteamAccount Stealer. Da muss ich doch gleich mal Googeln! |
|
28.12.2006, 23:40
| #10 | |
| Administrator > Competence Manager  | accont gestohlenZitat:
 hier das Ergebnis -> Steam-Account gehackt - was tun?Ob du aber deinen Account wiederbekommst bleibt dennoch ungewiss!  Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
29.12.2006, 23:26
| #11 |
| | accont gestohlen vielen dank soweit! Geändert von mr.knister (29.12.2006 um 23:33 Uhr) |
|
| Themen zu accont gestohlen |
| abgesicherten modus, acrobat, adobe, appinit_dlls, besitzer, bho, boot, button, canon, dateien, explorer, firewall, hijack, hijackthis, hotkey, internet, internet explorer, messenger, microsoft, opera, problem, programme, software, system, system32, temp, usb, windows, windows xp |
Linear-Darstellung
