Keylogger/Virus? Rapidshare Acc PW usw. funzt nicht mehr.

    • Vincent384
      Vincent384
      Bronze
      Dabei seit: 07.08.2006 Beiträge: 1.364
      Hi Leute.
      Folgendes, ich habe einen Rapidshare Premium Acc.
      Als ich dann gestern etwas saugen wollte, wird mir gesagt, das dass Konto zwar existiert aber mein Passwort falsch sei, obwohl ich nichts geändert habe.
      Habe dann einfach, nachdem ich mich gewundert habe, die Option "Passwort vergessen?" gewählt.
      Dort ist es ja so, dass man seine email Adresse angeben muss, damit mir ein neues PW geschickt wird.
      Das Problem da war dann jedoch, dass mir gesagt wird, dass meine angegeben email Adresse nicht zu meinem Konto passt, somit funzt diese option auch nicht.

      Ist es möglich, dass mein Acc gehackt wurde und jemand PW und email Adresse geändert hat?
      Wie könnte man sich das sonst erklären?
      Habe jetzt auhc schon eine Mail an Rapidshare geschickt aber noch keine Antwort erhalten.

      Das Ding ist aus Sicherheit traue ich mich jetzt nicht mich irgendwo anzumelden, sprich Pokerseite, Neteller usw..

      Hat einer ne Idee woran das liegen könnte, dass ich mich nicht bei Rapidshare anmelden kann?
      Könnte meine Vermutung richtig sein?

      Wie würdet ihr forgehen, formatieren?

      Dank für Eure Hilfe.

      Edit: Ich lasse gerade mit Antivir meinen Rechner scannen und er hat gerade den Virus "TR/Proxy.Horst.aae.12" gefunden, laut Antivir ein Trojanisches Pferd :( .


      Edit 2: Hab gerade ne mail von Rapidshare bekommen:

      "Hello,
      Wir haben nun Ihr Passwort und Ihre User-E-Mailadresse in Ihre
      Signup-E-Mailadresse geändert, da wir den Verdacht haben, dass Ihr Account
      missbraucht wurde."
  • 19 Antworten
    • Salvator02
      Salvator02
      Bronze
      Dabei seit: 17.08.2008 Beiträge: 38
      du bist dir aber sicher das du nicht ausversehen bei rapidshare.de statt rapidshare.com Acc + PW eingegeben hast ? (ist mir auch schon passiert)


      Ansonsten evtl mal Support von denen anschreiben und halt pc auf viren überprüfen lassen.
    • Knudsen
      Knudsen
      Bronze
      Dabei seit: 19.07.2005 Beiträge: 4.319
      keylogger ist definitiv möglich.

      ich würde an deiner stelle allen pokerseiten und neteller telefonisch(!) bescheid sagen dass sie dein konto sperren sollen. wenn das telefonisch nicht geht, geh an nen sauberen rechner und ändere von dort schnellstmöglich die passwörter.

      wenn das erledigt ist, system formatieren und nächstes mal im internet mehr auf die sicherheit achten.
    • ToniCash
      ToniCash
      Bronze
      Dabei seit: 01.11.2006 Beiträge: 2.121
      also als erstes solltest du dich nirgends mehr einloggen und dann mal spybot runterladen und dein pc scannen lassen, der findest eigentlich immer die keylogger, findet er welche kannst du sie dann auch von ihm löschen lassen und zur not noch einen anderen virenscanner laden und den auch mal testen lassen.

      wenn beide nix anzeigen, ists wohl eher möglich, das jemand aus deinem bekanntenkreis einfach ein paar passwörter ausprobiert hat.
    • Vincent384
      Vincent384
      Bronze
      Dabei seit: 07.08.2006 Beiträge: 1.364
      Original von ToniCash
      also als erstes solltest du dich nirgends mehr einloggen und dann mal spybot runterladen und dein pc scannen lassen, der findest eigentlich immer die keylogger, findet er welche kannst du sie dann auch von ihm löschen lassen und zur not noch einen anderen virenscanner laden und den auch mal testen lassen.

      wenn beide nix anzeigen, ists wohl eher möglich, das jemand aus deinem bekanntenkreis einfach ein paar passwörter ausprobiert hat.
      Das mit den Bekannten fällt flach, erstens würde es keiner meine Leute veruschen, zweitens nutze ich bei Rapidshare die Zugangsdaten welche mir von Rapidshare zugewiesen wurde. Also hab die nicht geändert und somit "personalisiert".
    • Vincent384
      Vincent384
      Bronze
      Dabei seit: 07.08.2006 Beiträge: 1.364
      Ich lass jetzt gerade noch Spybot drüberlaufen, wenn dieses Prog was findet und es löscht, trotzdem neu formatieren?
    • I3ase
      I3ase
      Bronze
      Dabei seit: 27.07.2006 Beiträge: 708
      evtl. noch diese beiden progs laden und nach verdächtigen prozessen schauen:
      http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
      http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx
    • sandwich
      sandwich
      Bronze
      Dabei seit: 25.06.2006 Beiträge: 16
      Formatiere.. Kein Programm kann ausschliessen, das nicht doch noch was drauf ist.
      Eine sinnvolle Vorgehensweise gab es bereits von Knudsen.
      Alles andere ist fahrlässig und führt möglicherweise zum nächsten "account gehacked"-Thread.
    • Vincent384
      Vincent384
      Bronze
      Dabei seit: 07.08.2006 Beiträge: 1.364
      Ich hab jetzt alle PW geändert, von einem anderen sauberen PC versteht sich.

      Jetzt habe ich vor zu formatieren, bzw. werde es gleich tun.
      Anderes Problem ist, ich habe noch eine externe Festplatte an meinem PC, es ist ja gut möglich, dass diese auch verseucht ist.
      Klar die könnte ich jetzt auhc formatieren, aber da sind eben viele persöhnlich Dinge drauf wie z.B. Fotos, Filme, Worddateien usw..
      Die will ich jedoch nicht verlieren, was hab ich denn für eine Möglichkeit?
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      Virenscannern kann man nicht trauen, denn sie können befallene Systeme nicht sicher säubern !!!.


      Was tun bei Kompromittierung des Systems?

      Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das alle Daten manipuliert sein könnten, das alle Programme manipuliert sein könnten und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten.

      Wenn man diese Annahmen trifft, müssen zwingend folgende Maßnahmen durchgeführt werden:

      *

      Das betroffene System ist sofort herunterzufahren, man kann sogar über ein hartes Ausschalten nachdenken. Es gibt hier sich widersprechende Ansichten, ich bin der Meinung, dass weitere Datenmanipulationen verhindert werden müssen. Hat man ausreichend Backups im Schrank, reicht aber auch eine Trennung vom Netzwerk.

      *

      Alle sensiblen Informationen wie Passwörter für Betriebssystem, Online-Banking, Datenbanken etc., personenbezogene Daten, Geschäftsgeheimnisse, also alles, was irgendwie vor den Augen Dritter geschützt sein soll, muss als öffentlich bekannt angesehen werden. Dementsprechende Maßnahmen müssen eingeleitet werden.

      Neuaufsetzen des Systems: Zuerst muss das System vom LAN/Internet getrennt werden. Dann empfiehlt es sich die Festplatte, die das Betriebssystem enthielt, vorher zu formatieren, deren Bootsektor zu überschreiben und anschließend das Betriebssystem neu zu installieren. Wichtig ist, dass nur von garantiert sauberen Installationsmedien die Installation des Betriebssystems vorgenommen werden darf. Es darf nichts mehr verwendet werden, was zuvor auf der Festplatte lagerte (Programme, Treiber, Dateien mit ausführbarem Inhalt). Mit einem Linux wie httpKnoppix lässt sich beispielsweise prima eine Festplatte komplett leeren, auf der Kommandozeile einfach mal dd if=/dev/zero of=/dev/hda eintippen, sofern es sich um eine IDE-Festplatte handelt. Man sollte aber wissen, was man tut. Hat man mehrere Festplatten eingebaut und erwischt die falsche, wäre das nicht so günstig.

      *

      Die Passwörter, die zur Anmeldung an das Betriebssystem verwendet wurden, müssen neu ausgewählt werden, da die alten Passwörter als bekannt angesehen werden müssen.
      Geht man von Manipulationen aus, müssen alle Dateien, die auch ausführbare Inhalte haben können, als schädlich angesehen werden. Dateien, die wirklich ausschließlich Daten und keinen ausführbaren Code enthalten, müssen, sofern der Inhalt wichtig ist, verifiziert werden, entweder durch Durchsicht oder automatisiert durch geeignete Algorithmen.

      Eine Aufzählung von Dateitypen mit ausführbarem Inhalt für Windows hier:

      .asf .com .exe .html .js .mde .nws .reg .url .ws
      .bas .cpl .folder .inf .jse .msc .pdf .scf .vb .wsc
      .bat .crt .hlp .ins .jsp .msi .pif .scr .vbe .wsf
      .chm .doc .hta .isp .lnk .msp .pl .sct .vbs .wsh
      .cmd .eml .htm .jar .mdb .mst .ppt .shs .vcd .xl*

      und merke:

      Virenscannern kann man nicht trauen, denn sie kennen nie alle Schädlinge. !!!.
      Virenscannern kann man nicht trauen, denn sie melden manchmal Schädlinge, die gar nicht da sind. !!!.
    • Sunto0706
      Sunto0706
      Global
      Dabei seit: 16.04.2005 Beiträge: 440
      Original von Vincent384
      Ich hab jetzt alle PW geändert, von einem anderen sauberen PC versteht sich.

      ....
      Klar die könnte ich jetzt auhc formatieren, aber da sind eben viele persöhnlich Dinge drauf wie z.B. Fotos, Filme, Worddateien usw..
      Die will ich jedoch nicht verlieren, was hab ich denn für eine Möglichkeit?
      Fotos und Filme sind imo kein Problem - die Word-Dateien jedoch schon !.

      -> Die Word-Dateien am besten als *.RTF speichern mit OO und ins neue System übernehmen.

      Andere wichtige Dateien versuchen in native Formaten einer anderen Anwendung zu speichern;
      da müsste ich/man aber die genauen Dateietypen kennen.

      Edit:
      Anstatt die Postgres *.mdb (o.a.) zu nehmen, machst Du am besten einen DB-Dump.
    • DaBonzo
      DaBonzo
      Bronze
      Dabei seit: 25.05.2006 Beiträge: 878
      Der Horst Trojaner kommt meistens durch Keygens ins System. Die Proxy Versionen sind nicht so gefährlich wie die anderne zb. die Downloader. Frühere Versionen machten einen Haufen Unsinn die das ganze System kompromitieren. Die Proxy Version ist ziemlich "harmlos". Sie dient als Proxy für versenden von Spams und anderen Sachen. Wie gesagt , wird gewollt von Erstellern von Keygensoftware eingebaut die dann die verseuchten Rechner an Spamfarmen verkaufen.

      Vermutlich hast du ihn erfolgreich gelöscht. Sicher kannst du dir aber nicht sein weil dein RS-Account anscheinend gehackt wurde. Es kann sich da um eine neuere Version handel. Um das auszutesten müsttest du in Hijack This den Rechner analysieren.

      Am sichersten ist es neu zu formatieren. Externe Festplatte ist vermutlich nicht infiziert. Horst-Trojaner haben keine eigene Verbreitungsroutine. Trotzdem scannen lassen und falls irgendein Verdacht besteht die Datei auf virustotal hochladen.

      Filme und Bilder sind sind höchsteahrscheinlich sicher. Auch Office Dateine ( je nach Sicherheitseinstellung in Office, Installiere OpenOffice mit Standard Einstellungen. Öffne die Office-Dateine. Sollten Meldungen kommen das irgendwelche Scripte zum Anzeigen benötigt werden . blockiere diese und speichere die Dateien im OpenOffice Format. So kannst du die Formatierungen behalten.

      Für den besten Schutz formatiere das System. Einen kleinen Tipp für die Zukunft:
      Um dir die Installation zu ersparen, installiere das System komplett mit allen Programmen die du brauchst. Keine Programme mit Cracks. Sichere dein System mit einer Antiviren-Lösung (besser irgendein Schutz als gar keiner), lass die Firewall von Windows aktiviert, besonders wenn das System ohne SP2 ist. Ohne Router mit aktivierter Firewall brauchst du ein System mit Sp1 oder keliner gar nicht aufsetzen da du wahrscheinlich gar nicht dazu kommen wirs es auzusetzen. Also besorg dir SP3 und installiere es unbeding bevor du ins Netz gehst. Wenn du das alles gemacht hast besorg dir ein Programm das Images erstellt. Damit kannst du das System dass sicher ist von der Image installieren sollte wieder etwas sein (z.b. DiskImage)

      Benutz keine Keygens aus unvcertraulichen Quellen (obwohl auch vertrauliche den Horst Trojaner einbauen und die Frage ist wie ein Keygen vertraulich sein kann). Musst du unbedingt so etweas machen benutze es in einer VM oder in sandboxie (Programm dass so ziemlich sicher zum ausprobierenist, aber ich bleibe trotzdem bei VM's)

      Das wars so ziemlich
    • Vincent384
      Vincent384
      Bronze
      Dabei seit: 07.08.2006 Beiträge: 1.364
      Erstmal vielen Dank, ja dieser Trojaner war in einem Keygen enthalten.
      Das blöde ist eben, dass ich diesen Keygen auch schon auf meiner externen gesichert habe o0.

      Dazu muss ich noch sagen das ich diesen Keygen noch NIE ausgeführt habe und der auch schon "länger" (so ein paar Wochen) auf meinem Rechner bzw. der Festplatte ist.

      Hab jetzt auch noch mit Spybot alles gescannt => nichts gefunden.
      Jetzt Scanne ich gerade nochmal mit Kaspersky mein gesamtes System und meine externe Festplatte.

      Kann ich nicht testen ob der Virus noch drauf ist wenn ich mich wieder bei Rapidshare anmelde. Falls das gleiche Problem dann nochmal kommt kann ich mir sicher sein...
      Sicher ne alberne Line oder?


      Original von DaBonzo

      Musst du unbedingt so etweas machen benutze es in einer VM oder in sandboxie (Programm dass so ziemlich sicher zum ausprobierenist, aber ich bleibe trotzdem bei VM's)

      Das wars so ziemlich
      Was ist VM bzw sandboxie?
    • Vincent384
      Vincent384
      Bronze
      Dabei seit: 07.08.2006 Beiträge: 1.364
      sry doppelpost
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      Original von Vincent384
      ...
      Kann ich nicht testen ob der Virus noch drauf ist wenn ich mich wieder bei Rapidshare anmelde. Falls das gleiche Problem dann nochmal kommt kann ich mir sicher sein...
      Sicher ne alberne Line oder?
      Nein kannst Du nicht !

      Wenn der VC und/oder Spybot o.a. nichts finden - heisst das, dass kein Virus o.ä. noch drauf ist ? - oder -
      heisst das, dass beide einen möglichen weiteren Schädling nicht kennen weil er (erneut) nicht in deren
      Datenbank ist ???

      Entweder System platt machen, oder mit dem Risiko leben das weitere Accounts gehackt werden. Such´s Dir aus.

      P.S.:
      Nachdem Du zufällig den Trojaner entdeckt hast und gar nicht weisst seit WANN und WAS er angerichtet hat,
      sowie Deine so genannte "Sicherheitssoftware" offensichtlich (!) komplett versagt hat, willst Du Ihr weiterhin vertrauen ???
    • DaBonzo
      DaBonzo
      Bronze
      Dabei seit: 25.05.2006 Beiträge: 878
      Original von Vincent384
      Erstmal vielen Dank, ja dieser Trojaner war in einem Keygen enthalten.
      Das blöde ist eben, dass ich diesen Keygen auch schon auf meiner externen gesichert habe o0.

      Dazu muss ich noch sagen das ich diesen Keygen noch NIE ausgeführt habe und der auch schon "länger" (so ein paar Wochen) auf meinem Rechner bzw. der Festplatte ist.

      Hab jetzt auch noch mit Spybot alles gescannt => nichts gefunden.
      Jetzt Scanne ich gerade nochmal mit Kaspersky mein gesamtes System und meine externe Festplatte.

      Kann ich nicht testen ob der Virus noch drauf ist wenn ich mich wieder bei Rapidshare anmelde. Falls das gleiche Problem dann nochmal kommt kann ich mir sicher sein...
      Sicher ne alberne Line oder?
      Ich galube nicht das es der Horst war. Der mach so einen Blödsinn normalerweise nicht. Vermutlich hast du dir einen Getarnten Sniffer (ist die Verbindung zu RS.com eine gesicherte , also https?) oder Keylogger aufgegriffen.
      Ganz sicher bist du nur durch eine Format. Nutzdaten auf der Externen sollten sicher sein aber mach alle Programme platt inklusive keygens, isos usw.

      Was ist VM bzw sandboxie?
      VM ist eine Virtuelle Maschine. Also ein Rechner im Rechner. Normalerweise ist sie unabhängig vom Wirtsystem und du kanns da allen möglichen Humbug ausprobieren . Mit einem Snapshot kannst du jederzeit zu einem Zeitpunkt davor wechseln falls es dein System zerhaut. Seit es aber die ganzen Drag-Drop Geschiuchtren gibt weiss ich nicht ob dem zu trauen ist. Beispiele sind VMWARE Server, Virtualbox (gratis), sowie Vmware Workstation. Das sind die bekanntesten

      Sandboxie ist ein Programm das verhindert das sich Schädlinge ausreiten. Es macht eine sogenannte "Sandbox" die den Zugriff zu den Rerssourcen des Rechners verhindert. Für so kleine AUfgaben wie Keygen starten ist es ausreichend.
    • Vincent384
      Vincent384
      Bronze
      Dabei seit: 07.08.2006 Beiträge: 1.364
      So hab jetzt meinen Rechner formatiert.
      Von der externen Festplatte hab ich jetzt alle Appz und Keygens gelöscht (bevor ich formatiert habe).
      Hoffe ich mal das jetzt alles wieder sauber ist.

      Vielen Dank nochmal für Eure Hilfe
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      If your computer does this when copying a file...



      You KNOW it's been infected with some shit!
    • IzNoGooD
      IzNoGooD
      Bronze
      Dabei seit: 08.03.2007 Beiträge: 174
      du nutzt nicht zufällig adobe photoshop ???
    • Vincent384
      Vincent384
      Bronze
      Dabei seit: 07.08.2006 Beiträge: 1.364
      Original von IzNoGooD
      du nutzt nicht zufällig adobe photoshop ???
      Jo, dafür war der keygen.