Erfahrungsbericht über gehackten Account

ILLCrusader · November 2017

Hallo Community

Da ich letztens selbst Opfer von Hackern wurde und ich hier im Forum keinen wirklich hilfreichen Beitrag gefunden habe bzw. die betroffenen Personen nie geschrieben haben wie es denn ausgieng, wollte ich hier eine kleine Hilfestellung anbieten.

Was genau ist passiert?
Anfangs November wollte ich mich einloggen und merkte dass mein Mainchar an einem Ort war an dem ich schon lange nicht mehr war, nämlich Sturmhafen in der Bank. Anschliessend fiel mir auf dass meine normalen Ausdauerpotions weg waren (ca 160 stk.).... Das war für mich der Grund auf meiner Bank zu kontrollieren wie es um mein Gold stand. Geschockt habe ich festgestellt dass ich um 2,3 mio erleichtert wurde. Nebst gold hat eigentlich nichts gefehlt ausser auf meinem Mainchar die ganzen Verbrauchsgüter (potions, Seelensteine). Gleich mal das Passwort meines Accounts geändert und ein Ticket an den Support geschickt.
Es gieng etwa 2 Tage bis ich die Antwort bekommen habe. Nun wirds unschön:
Der ESO Support hat meinen Account zur Sicherheit vorübergehend gesperrt und die Mitgliedschaft gekündigt. Ebenfalls wurde aufgezeigt was ich denn jetzt machen soll. Unter anderem Antivirenprogramme drüber laufen lassen und anschliessend von jeglichen Webdiensten die Passwörter ändern. Also was euch wichtig ist sofort ändern!
Da der ESO Account laut Support nicht einfach gehackt werden kann ohne den E-Mail Account solltet ihr diesen umgehend mit einem neuen PW versehen!

Nach getaner Arbeit hab ich mich beim Support gemeldet. Mein Account wurde wieder aktiviert. Mein Gold wurde einmalig komplett ersetzt.
Kleine Anmerkung: Ihr müsst mit der Mailadresse antworten welche ihr im Account hinterlegt habt. Sonst gibts das nächste Problem dass ihr eine automatische E-Mail vom Support bekommt wo drin steht dass ihr aus Sicherheitsgründen mit der hinterlegten Adresse antworten müsst. Der Support bekommt wahrscheinlich die Mail sonst nicht.

Leider noch kein Happy End. Ein paar Tage später kam ich weder in meinen E-Mail Account noch ins Spiel.
Ich wurde schon wieder gehackt. Ich habe schlussendlich festgestellt dass ich einen Trojaner auf dem Rechner hatte mit einer Keylogger software. Die schreibt im hintergrund deine Login Daten mit und sendet diese an den Urheber. Gewisse solcher Programme machen in regelmässigen Abständen auch Screenshots.
Ich habe diesen Trojaner erst mit AVIRA (Freeware) entdeckt. Weder Kaspersky Internet Security noch Spybot oder Windows Defender haben ihn entdeckt.

In diesem Falle solltet ihr über euer Handy die PWs der Accounts ändern um die Software zu umgehen oder alternativ über einen anderen PC. Auf keinen Fall auf dem infizierten Rechner!!

Mir war das ganze nicht sicher genug. Ich habe den Rechner platt gemacht und mit Windows 10 refresh Tool neu aufgesetzt. Hat jemand schon Erfahrung damit gemacht?

Seit dem benutze ich bei PW Eingaben die Bildschirmtastatur welche bei Kaspersky über ein Tastenkürzel angezeigt werden kann. Beim ESO Login klappt das leider nicht. Da habe ich den Tipp gelesen dass man zwischen der eingabe des PWs mal ausserhalb hinklicken soll und dann wirr auf der Tastatur rumdrücken sollte damit es nicht 1 zu 1 übermittelt wird.

Ich hoffe ich konnte mit meinem Erlebten dem ein oder anderen hilfreich zur Seite stehen.

In diesem Sinne, gebt acht und lasst euch nicht über den Tisch ziehen ;-)

Schmetterfrosch · November 2017

Guter Beitrag!

Bernd · November 2017

Ob man gehackt wurde, kann man wunderbar hier checken:
www.HaveIBeenPwned.com

Dont_do_drugs · November 2017

Danke für den Beitrag.

Cruggs · November 2017

In der Tat sehr informativ.
Danke für die Infos und viel Glück für Dich in Zukunft,
dass Dir soetwas nicht noch einmal passiert.

DieFritte · November 2017

Nize Beitrag
Schließe mich Cruggs an
*Daumen drück*

Asared · November 2017

Sehr guter Beitrag.

Und um ehrlich zu sein:

Arme Sau, hoffe du hast da bald deine Ruhe.

Ich hatte 2015 oder Anfang 2016 eine ähnliche Erfahrung zwar nicht so derb aber ähnlich.

Hoffe den Thread sehen auch Leute die sich um ihre Account Sicherheit wenig Gedanken machen. Es ist ja nicht nur ESO wo es böse ausgehen kann für einen.

Heshima · November 2017

Oha sowas ist echt unschön .... aber vielen Dank für deinen Beitrag ! Und ich hoffe, du hast jetzt Ruhe und nicht noch mehr Schaden erlitten

InvitationNotFound · November 2017

Naja

Am Schluss das gemacht, was man machen musste... Kiste geplättet (wobei das ja theoretisch, wenns dann Richtung Firmware gehen würde, nicht mehr reichen würde. Aber das wär dann ein leicht anderes Thema).

Verstehe nicht ganz, warum du das nicht von Anfang an gemacht hast. Ich nehm mal an, dass du nicht komplett verplant bist und unterschiedliche Passwörter für den Mail Account sowie das Game verwendest (alles andere wäre ein Fehler). Was ist nun wahrscheinlicher? Dass ein Angreifer deine Kiste kompromittiert und darüber alle Login Daten (Game, Mail, etc.) abgreift oder dass der Angreifer entweder den Spielentwickler und Mail-Anbieter angreift und dich dann als Opfer auswählt oder nur deine Accounts bei beiden angreift?
Ja, die Wahrscheinlichkeit dürfte höher sein, dass dein PC das Problem ist.

Nachdem das nun (wahrscheinlich) durch ist, musst du dir mal eine Frage stellen... Warum hat dich das getroffen? In der Regel ist ein Fehlverhalten des Benutzers schuld (da wir ja nicht von einem gezielten Angriff ausgehen, wie beispielsweise Industriespionage, wo viel Geld zu holen ist). Wenn du genau gleich weiter machst, wie bis anhin, läufst du Gefahr, dass sich dasselbe wiederholt. Daher würde ich mir mal an deiner Stelle ein paar Gedanken dazu machen. Fehlendes Patch-Management? Einfach mal aus Jux irgendwelche Software aus nicht unbedingt vertrauenswürdiger Quelle installiert? etc?

Des Weiteren wäre noch interessant, ob du allenfalls die IP Adresse der Logins von ZOS erhälst. Wäre ja interessant zu wissen von wo der Traffic kam (Tor, VPN, direkt) und ob es auch allenfalls aus der näheren Umgebung kam. Evlt. hast ja mal kurze Zeit davor ne super coole Software von einem "Kumpel" erhalten.

Blutengel5286 · November 2017

Bernd schrieb: »

Ob man gehackt wurde, kann man wunderbar hier checken:
www.HaveIBeenPwned.com

Hm, welchen Sinn genau hat jetzt diese Seite?

Das sich etliche Datenbanken knacken lassen ist ein alter Hut. Allerdings werden meine Accounts bzw Mailadressen nach wie vor nur von mir mir benutzt. Fast schon enttäuschend, wenn man bedenkt, dass sowas nicht all zu schwierig ist.

Bernd · November 2017

Blutengel5286 schrieb: »

Hm, welchen Sinn genau hat jetzt diese Seite?

Auf einem Server in den Niederlanden wurden - dem Spambot "Onliner" zugeordnet - 711 Millionen E-Mail-Adressen, Passwörter und Zugnagsdaten im Web gefunden. Der Sinn der von mir genannten Seite ist, festzustellen, durch Eingabe seiner Internetadresse, ob man betroffen ist. Oder kannst du kein Englisch?

Dont_do_drugs · November 2017

Das fällt mir auf, dass man tatsächlich als ESO/TES-Spieler dann auch besonders gefährdet ist, da eine der betroffenen Seiten, deren Userdaten gehackt wurden, Nexus Mods war.

ILLCrusader · November 2017

InvitationNotFound schrieb: »

Naja

Am Schluss das gemacht, was man machen musste... Kiste geplättet (wobei das ja theoretisch, wenns dann Richtung Firmware gehen würde, nicht mehr reichen würde. Aber das wär dann ein leicht anderes Thema).

Verstehe nicht ganz, warum du das nicht von Anfang an gemacht hast. Ich nehm mal an, dass du nicht komplett verplant bist und unterschiedliche Passwörter für den Mail Account sowie das Game verwendest (alles andere wäre ein Fehler). Was ist nun wahrscheinlicher? Dass ein Angreifer deine Kiste kompromittiert und darüber alle Login Daten (Game, Mail, etc.) abgreift oder dass der Angreifer entweder den Spielentwickler und Mail-Anbieter angreift und dich dann als Opfer auswählt oder nur deine Accounts bei beiden angreift?
Ja, die Wahrscheinlichkeit dürfte höher sein, dass dein PC das Problem ist.

Nachdem das nun (wahrscheinlich) durch ist, musst du dir mal eine Frage stellen... Warum hat dich das getroffen? In der Regel ist ein Fehlverhalten des Benutzers schuld (da wir ja nicht von einem gezielten Angriff ausgehen, wie beispielsweise Industriespionage, wo viel Geld zu holen ist). Wenn du genau gleich weiter machst, wie bis anhin, läufst du Gefahr, dass sich dasselbe wiederholt. Daher würde ich mir mal an deiner Stelle ein paar Gedanken dazu machen. Fehlendes Patch-Management? Einfach mal aus Jux irgendwelche Software aus nicht unbedingt vertrauenswürdiger Quelle installiert? etc?

Des Weiteren wäre noch interessant, ob du allenfalls die IP Adresse der Logins von ZOS erhälst. Wäre ja interessant zu wissen von wo der Traffic kam (Tor, VPN, direkt) und ob es auch allenfalls aus der näheren Umgebung kam. Evlt. hast ja mal kurze Zeit davor ne super coole Software von einem "Kumpel" erhalten.

Ich kann von mir sagen dass ich wahrscheinlich nicht ganz verpeilt bin ja. Ich weis auch dass ich kein Genie bin und sein muss bzw. als Ottonormalverbraucher gewisse Empfehlungen im Umgang mit dem Internet beachten sollte. Sei es die von dir genannten Punkte oder halt andere Dinge.
Das Problem liegt aber ja in diesem Fall dass es sich wahrscheinlich um eine neuere Art von Trojaner handeln muss welcher wohl noch mit keiner Signatur versehen werden konnte, ergo keine Möglichkeit für Antivirenprogramme dies zu erkennen.

Auch zum Thema verschiedener Passwörter kann ich dich beruhigen. Dies bringt aber nach meiner Erfahrung bei Keylogging auch nicht wirklich viel da es ja jedesmal festgehalten wird, ob du jetzt 1234 oder 4321 als PW hättest ( was ich mal nicht hoffe). Schlussendlich bleibt einem nur das Vertrauen in die Antivirensoftware Giganten oder vieleicht auch Noname Firmen .

Auch Programme wurden nur Discord oder halt eben Add Ons über Minion installiert. Auch dabei wurde nichts gefunden. Es ist halt nicht so einfach wie es scheint.

Als Nichtfachmann in diesem Bereich bringt mir auch die IP leider nichts geschweige denn ob der ESO Support diesen überhaupt mitteilen würde oder ob sie erwähnen würden ob es nun jemand aus dem Darknet war oder ob der über seine eigene IP zugegriffen hat.

Wie schon gesagt, ich bin kein Professor auf diesem Gebiet. Für das gibt es besser geschulte und besser bezahlte Leute ;-)

Blutengel5286 · November 2017

Bernd schrieb: »

Blutengel5286 schrieb: »

Hm, welchen Sinn genau hat jetzt diese Seite?

Oder kannst du kein Englisch?

Doch, aber keine Lust mir das zu übersetzen, wenns hier eh jemand gibt der mich erleuchten kann.

Dont_do_drugs schrieb: »

Das fällt mir auf, dass man tatsächlich als ESO/TES-Spieler dann auch besonders gefährdet ist, da eine der betroffenen Seiten, deren Userdaten gehackt wurden, Nexus Mods war.

Hm, das heißt aber dann noch nicht, dass jeman das Passwort zu meinem Mailacc kennt, sondern höchstens meine Nexusdaten.

Naporic · November 2017

Ähm "Eine neue Art Trojaner.."
Jetzt muss ich doch was dazu schreiben, hatte vorhin schon einen längeren Text erst mal lieber wieder gelöscht..

Wenn ich einen Trojaner schreibe, dann kennt den auch keiner. Antivirenprogramme können einen grundsätzlich per Signatur nur vor relativ weit verbreiteten "08/15" Viren schützen. Deshalb nutzen AV Programme wie z.B.Kaspersky Heuristic.
Anhand der in einem Programm vorhandenen Funktionen versuchen sie zu erkennen, ob ein Programm bösartig ist.

Damit kommen wir aber zu einem Punkt an dem Dein Bericht hakt. zeig mir einen Keylogger, bei dem nicht sofort Kaspersky die rote Karte in der Hand hat. Aufgrund der enthaltenen Funktionen schreit das immer, es sei denn ich hab Kaspersky extrem unsicher eingestellt.

Angenommen ich schaffe es unerkannt einen Trojaner auf einen geschützten Rechner einzuschleusen, dann ist der erst mal nur dafür zuständig mir ein Tor zum infizierten System zu öffnen. Auf diesem Weg schaffe ich dann entweder sehr intelligente weitere Software aufs System oder greife sogar persönlich übers Netz zu.
Will ich einen Keylogger installieren, dann werde ich den zeitgleich bei Kaspersky als Ausnahme eintragen.
Da es nicht sehr viele unterschiedliche Codes gibt, die Eingaben mitzulesen (ich muss auf einen bestimmten Zwischenspeicher zugreifen) wird das IMMER erkannt werden, wenn ich keine Ausnahme eintrage.

Gegen eine erfolgte Infizierung hilft nur ein Virenscanner, der neu von außen kommt und am besten von einem Life-DVD System aus läuft an dem man nichts ändern kann. So ein Scan alle paar Wochen sei den paranoiden empfohlen ;-)
Aber Vorsicht gerne finden solche Scanner dann auch das Quarantäne-Verzeichnis der installierten AV-Lösung und finden massig Viren..

Angenommen jemand ist total wild auf ein bestimmtes Programm und ich schieb ihm ne verseuchte Version unter mit einem wenig verbreiteten oder selbstgeschriebenen Trojaner. Der User installiert das, jetzt sagt das AV Programm "Achtung möglicherweise schädliches Programm entdeckt" Der User will es tatsächlich genau wissen und liest nach, daß das Programm Befehle enthät, die möglicherweise auch für schädliche Funktionen genutzt werden könnten.
Wie reagieren 90% der User?
"Blöde AV, ich hab das ja grad installiert, ich weiss was das macht also: 'erlauben' "
Danke!, sie haben die Ausnahmeregelung gerade selbst erteilt.

Was ich damit sagen will ist, der schwächste Punkt sitzt immer vorm Rechner und hat von der Thematik meist viel zu wenig Ahnung um angemessen auf Meldungen der AV zu reagieren oder diese auch nur halbwegs sinnvoll zu konfigurieren.

ILLCrusader · November 2017

Naporic schrieb: »

Ähm "Eine neue Art Trojaner.."
Jetzt muss ich doch was dazu schreiben, hatte vorhin schon einen längeren Text erst mal lieber wieder gelöscht..

Wenn ich einen Trojaner schreibe, dann kennt den auch keiner. Antivirenprogramme können einen grundsätzlich per Signatur nur vor relativ weit verbreiteten "08/15" Viren schützen. Deshalb nutzen AV Programme wie z.B.Kaspersky Heuristic.
Anhand der in einem Programm vorhandenen Funktionen versuchen sie zu erkennen, ob ein Programm bösartig ist.

Damit kommen wir aber zu einem Punkt an dem Dein Bericht hakt. zeig mir einen Keylogger, bei dem nicht sofort Kaspersky die rote Karte in der Hand hat. Aufgrund der enthaltenen Funktionen schreit das immer, es sei denn ich hab Kaspersky extrem unsicher eingestellt.

Angenommen ich schaffe es unerkannt einen Trojaner auf einen geschützten Rechner einzuschleusen, dann ist der erst mal nur dafür zuständig mir ein Tor zum infizierten System zu öffnen. Auf diesem Weg schaffe ich dann entweder sehr intelligente weitere Software aufs System oder greife sogar persönlich übers Netz zu.
Will ich einen Keylogger installieren, dann werde ich den zeitgleich bei Kaspersky als Ausnahme eintragen.
Da es nicht sehr viele unterschiedliche Codes gibt, die Eingaben mitzulesen (ich muss auf einen bestimmten Zwischenspeicher zugreifen) wird das IMMER erkannt werden, wenn ich keine Ausnahme eintrage.

Gegen eine erfolgte Infizierung hilft nur ein Virenscanner, der neu von außen kommt und am besten von einem Life-DVD System aus läuft an dem man nichts ändern kann. So ein Scan alle paar Wochen sei den paranoiden empfohlen ;-)
Aber Vorsicht gerne finden solche Scanner dann auch das Quarantäne-Verzeichnis der installierten AV-Lösung und finden massig Viren..

Angenommen jemand ist total wild auf ein bestimmtes Programm und ich schieb ihm ne verseuchte Version unter mit einem wenig verbreiteten oder selbstgeschriebenen Trojaner. Der User installiert das, jetzt sagt das AV Programm "Achtung möglicherweise schädliches Programm entdeckt" Der User will es tatsächlich genau wissen und liest nach, daß das Programm Befehle enthät, die möglicherweise auch für schädliche Funktionen genutzt werden könnten.
Wie reagieren 90% der User?
"Blöde AV, ich hab das ja grad installiert, ich weiss was das macht also: 'erlauben' "
Danke!, sie haben die Ausnahmeregelung gerade selbst erteilt.

Was ich damit sagen will ist, der schwächste Punkt sitzt immer vorm Rechner und hat von der Thematik meist viel zu wenig Ahnung um angemessen auf Meldungen der AV zu reagieren oder diese auch nur halbwegs sinnvoll zu konfigurieren.

Da haben wir ja einen der besser gschulten und besser bezahlten Leute ;-)

Spass bei Seite. Wie schon gesagt, mit dieser Thematik bin ich kein bisschen vertraut und nehme dementsprechend jeden hilfreichen Tipp und konstruktives Feedback gerne auf.

Also Danke dir für diesen Einblick in die Analen der Virologie

InvitationNotFound · November 2017

Naporic schrieb: »

Ähm "Eine neue Art Trojaner.."
Jetzt muss ich doch was dazu schreiben, hatte vorhin schon einen längeren Text erst mal lieber wieder gelöscht..

Wenn ich einen Trojaner schreibe, dann kennt den auch keiner. Antivirenprogramme können einen grundsätzlich per Signatur nur vor relativ weit verbreiteten "08/15" Viren schützen. Deshalb nutzen AV Programme wie z.B.Kaspersky Heuristic.
Anhand der in einem Programm vorhandenen Funktionen versuchen sie zu erkennen, ob ein Programm bösartig ist.

Damit kommen wir aber zu einem Punkt an dem Dein Bericht hakt. zeig mir einen Keylogger, bei dem nicht sofort Kaspersky die rote Karte in der Hand hat. Aufgrund der enthaltenen Funktionen schreit das immer, es sei denn ich hab Kaspersky extrem unsicher eingestellt.

Angenommen ich schaffe es unerkannt einen Trojaner auf einen geschützten Rechner einzuschleusen, dann ist der erst mal nur dafür zuständig mir ein Tor zum infizierten System zu öffnen. Auf diesem Weg schaffe ich dann entweder sehr intelligente weitere Software aufs System oder greife sogar persönlich übers Netz zu.
Will ich einen Keylogger installieren, dann werde ich den zeitgleich bei Kaspersky als Ausnahme eintragen.
Da es nicht sehr viele unterschiedliche Codes gibt, die Eingaben mitzulesen (ich muss auf einen bestimmten Zwischenspeicher zugreifen) wird das IMMER erkannt werden, wenn ich keine Ausnahme eintrage.

Gegen eine erfolgte Infizierung hilft nur ein Virenscanner, der neu von außen kommt und am besten von einem Life-DVD System aus läuft an dem man nichts ändern kann. So ein Scan alle paar Wochen sei den paranoiden empfohlen ;-)
Aber Vorsicht gerne finden solche Scanner dann auch das Quarantäne-Verzeichnis der installierten AV-Lösung und finden massig Viren..

Angenommen jemand ist total wild auf ein bestimmtes Programm und ich schieb ihm ne verseuchte Version unter mit einem wenig verbreiteten oder selbstgeschriebenen Trojaner. Der User installiert das, jetzt sagt das AV Programm "Achtung möglicherweise schädliches Programm entdeckt" Der User will es tatsächlich genau wissen und liest nach, daß das Programm Befehle enthät, die möglicherweise auch für schädliche Funktionen genutzt werden könnten.
Wie reagieren 90% der User?
"Blöde AV, ich hab das ja grad installiert, ich weiss was das macht also: 'erlauben' "
Danke!, sie haben die Ausnahmeregelung gerade selbst erteilt.

Was ich damit sagen will ist, der schwächste Punkt sitzt immer vorm Rechner und hat von der Thematik meist viel zu wenig Ahnung um angemessen auf Meldungen der AV zu reagieren oder diese auch nur halbwegs sinnvoll zu konfigurieren.

Viren Scanner sind in der Regel Schrott und die Heuristic kannst auch in einer Pfeife rauchen.Es kommen täglich "neue" Trojaner bzw Malware raus, die neue Signaturen benötigen würde. Gegen gezielte Angriffe eher nutzlos (mit und ohne Heuristic). In einem Auftrag, den ich mal früher hatte, hat der AV den "Virus" entdeckt... Gut, Dateiname geändert und gut war. Yay. Nun fühl ich mich aber richtig sicher.

Und via Life-CD/DVD nach Viren suchen, wenn das Ding mal befallen wurde ist auch eher nur mässig. Runter kopieren was man braucht (das kann man dann auch Scannen) und System neu aufsetzen. Ist wesentlich sicherer (mal eben, abgesehen von der Firmwarethematik).

ILLCrusader schrieb: »

Naporic schrieb: »

Ähm "Eine neue Art Trojaner.."
Jetzt muss ich doch was dazu schreiben, hatte vorhin schon einen längeren Text erst mal lieber wieder gelöscht..

Wenn ich einen Trojaner schreibe, dann kennt den auch keiner. Antivirenprogramme können einen grundsätzlich per Signatur nur vor relativ weit verbreiteten "08/15" Viren schützen. Deshalb nutzen AV Programme wie z.B.Kaspersky Heuristic.
Anhand der in einem Programm vorhandenen Funktionen versuchen sie zu erkennen, ob ein Programm bösartig ist.

Damit kommen wir aber zu einem Punkt an dem Dein Bericht hakt. zeig mir einen Keylogger, bei dem nicht sofort Kaspersky die rote Karte in der Hand hat. Aufgrund der enthaltenen Funktionen schreit das immer, es sei denn ich hab Kaspersky extrem unsicher eingestellt.

Angenommen ich schaffe es unerkannt einen Trojaner auf einen geschützten Rechner einzuschleusen, dann ist der erst mal nur dafür zuständig mir ein Tor zum infizierten System zu öffnen. Auf diesem Weg schaffe ich dann entweder sehr intelligente weitere Software aufs System oder greife sogar persönlich übers Netz zu.
Will ich einen Keylogger installieren, dann werde ich den zeitgleich bei Kaspersky als Ausnahme eintragen.
Da es nicht sehr viele unterschiedliche Codes gibt, die Eingaben mitzulesen (ich muss auf einen bestimmten Zwischenspeicher zugreifen) wird das IMMER erkannt werden, wenn ich keine Ausnahme eintrage.

Gegen eine erfolgte Infizierung hilft nur ein Virenscanner, der neu von außen kommt und am besten von einem Life-DVD System aus läuft an dem man nichts ändern kann. So ein Scan alle paar Wochen sei den paranoiden empfohlen ;-)
Aber Vorsicht gerne finden solche Scanner dann auch das Quarantäne-Verzeichnis der installierten AV-Lösung und finden massig Viren..

Angenommen jemand ist total wild auf ein bestimmtes Programm und ich schieb ihm ne verseuchte Version unter mit einem wenig verbreiteten oder selbstgeschriebenen Trojaner. Der User installiert das, jetzt sagt das AV Programm "Achtung möglicherweise schädliches Programm entdeckt" Der User will es tatsächlich genau wissen und liest nach, daß das Programm Befehle enthät, die möglicherweise auch für schädliche Funktionen genutzt werden könnten.
Wie reagieren 90% der User?
"Blöde AV, ich hab das ja grad installiert, ich weiss was das macht also: 'erlauben' "
Danke!, sie haben die Ausnahmeregelung gerade selbst erteilt.

Was ich damit sagen will ist, der schwächste Punkt sitzt immer vorm Rechner und hat von der Thematik meist viel zu wenig Ahnung um angemessen auf Meldungen der AV zu reagieren oder diese auch nur halbwegs sinnvoll zu konfigurieren.

Da haben wir ja einen der besser gschulten und besser bezahlten Leute ;-)

Spass bei Seite. Wie schon gesagt, mit dieser Thematik bin ich kein bisschen vertraut und nehme dementsprechend jeden hilfreichen Tipp und konstruktives Feedback gerne auf.

Also Danke dir für diesen Einblick in die Analen der Virologie

Wie gesagt, man fängt sich nicht einfach so mal nen Trojaner ein. Zumindest nicht der normale Benutzer. Ich vermute du hast irgendwas installiert, was du nicht hättest installieren sollen (bzw ausführen reicht) oder deine Software (Browser, Betriebssystem) war nicht auf dem aktuellsten Stand.

Naporic · November 2017

InvitationNotFound schrieb: »

Und via Life-CD/DVD nach Viren suchen, wenn das Ding mal befallen wurde ist auch eher nur mässig. Runter kopieren was man braucht (das kann man dann auch Scannen) und System neu aufsetzen. Ist wesentlich sicherer (mal eben, abgesehen von der Firmwarethematik)..

Es ging nicht darum nach dem entsprechenden Virus zu suchen, wenn man weiß, daß die Kiste befallen ist, sondern darum herauszufinden ob sie befallen ist. Ein vorhandenes AV-System kann leichter umgangen werden,als eines, das unverhofft ab und zu mal von aussen eingebracht wird.

Wenn Du der Meinung bist, Du kannst nen Keylogger schreiben, der bei mir nicht auffliegt und zwar dank Heuristic, tu es und sag mir was ich nicht öffentlich so tippe,dann glaub ich Dir.

Die einfachste Methode an Accounts von Gamern zu kommen ist übrigens ein halbwegs interessantes Forum einzurichten zum Thema. Ich hab das vor über 10 Jahren mal gemacht, bei über 70% war der Login ins Forum entweder auch der fürs Spiel oder der für den Mailaccount. Mag heute deutlich abgenommen haben, aber ziemlich sicher klappt das immernoch bei ner nennenswerten Anzahl.

InvitationNotFound · November 2017

Naporic schrieb: »

InvitationNotFound schrieb: »

Und via Life-CD/DVD nach Viren suchen, wenn das Ding mal befallen wurde ist auch eher nur mässig. Runter kopieren was man braucht (das kann man dann auch Scannen) und System neu aufsetzen. Ist wesentlich sicherer (mal eben, abgesehen von der Firmwarethematik)..

Es ging nicht darum nach dem entsprechenden Virus zu suchen, wenn man weiß, daß die Kiste befallen ist, sondern darum herauszufinden ob sie befallen ist. Ein vorhandenes AV-System kann leichter umgangen werden,als eines, das unverhofft ab und zu mal von aussen eingebracht wird.

Wenn Du der Meinung bist, Du kannst nen Keylogger schreiben, der bei mir nicht auffliegt und zwar dank Heuristic, tu es und sag mir was ich nicht öffentlich so tippe,dann glaub ich Dir.

Die einfachste Methode an Accounts von Gamern zu kommen ist übrigens ein halbwegs interessantes Forum einzurichten zum Thema. Ich hab das vor über 10 Jahren mal gemacht, bei über 70% war der Login ins Forum entweder auch der fürs Spiel oder der für den Mailaccount. Mag heute deutlich abgenommen haben, aber ziemlich sicher klappt das immernoch bei ner nennenswerten Anzahl.

ehrm nein, ich werde sicherlich nicht meine Zeit verschwenden dir etwas zu beweisen. Dein Glaube an Schlangenöl ist echt interessant. Es ist auch nach wie vor fraglich, ob man ein solches Gebastel wirklich auf dem System haben will (wenn man keine Ahnung hat und beispielsweise jeden Dreck einfach mal Doppelklickt evtl. schon). In der Vergangenheit hatte so ziemlich jede AV-Software selbst nette Sicherheitslücken, durch die es einem Angriff erst möglich wurde das System anzugreifen (und du kannst davon ausgehen, dass es noch weitere schöne Schwachstellen haben wird. Neustes Beispiel dürfte wohl die Local Privilege Escalation via Quarantäne (AVGate) sein).

Ja, die Wahrscheinlichkeit mag grösser sein einen Virus zu erkennen, wenn man von einem sauberen System bzw. Live-CD aus überprüft. Ob der aber wirklich was findet ist dann wieder ein anderes Thema.

Jop. Es ist ziemlich bescheuert, wenn man dieselben Passwörter für unterschiedliche Sachen verwendet.
Aber mal eine Frage nebenbei: Du machst eine Prozentangabe. Wie kommst du denn auf die? War das nun eben ein Eingeständnis die Benutzerdaten deiner Forummitglieder missbraucht zu haben? Würde das nicht den Hacker-Tatbestand erfüllen, wenn du diese Daten missbrauchst um auf andere Dienste deiner Benutzer zuzugreifen? Wann verjährt denn so was bei euch?

Naporic · November 2017

Was AV-Software betrifft tobt aktuell ein Glaubenskrieg und da gibt es sowohl diejenigen, die sie für sinnvoll halten als auch diejenigen, die sie für völlig überflüssig und eher gefährlich halten. Beide Lager (zumindest wenn man diejenigen weg lässt,die jetzt entsprechende Artikel in "Fachzeitschriften" nachplappern) bestehen aus mehr oder weniger anerkannten Sicherheitsexperten.
Ich seh das Thema differenziert und Schlangenöl halte ich für deutlich übertrieben. Du weitest das Thema (zumindest soweit Du dich auf mich beziehst) auch ziemlich aus. Ich bezog mich im Falle der Heuristic immer und ausschließlich auf Keylogger und bleibe dabei.

Nein ich bin kein Klicki-Bunti-Dau-User immerhin hab ich bisher 23 Jahre intensive Internetnutzung ohne eine Infizierung überstanden. Ich bekomme nur immer wieder die Rechner derer vor die Nase, die weniger glücklich agiert haben.

Ja, jenes Forum ist ausschließlich zu jenem Zweck erstellt worden an Userdaten zu kommen. Deinen Hackertatbestand gab es zu der Zeit in der Form eher noch nicht (dafür gabs andere) Es fehlt der konkrete Fall, der konkrete Beweis und der Geschädigte um mir was anzuhängen.
Ich habe auch Überwachungssoftware auf Rechner geschleust, ziemlich genau in dem vom TA erwähnten Funktionsumfang.
Das ist aber alles schon eine Weile Geschichte..
Eine der wenigen Möglichkeiten jenen Eingriff von mir aufzudecken wäre übrigens ein externer Scan gewesen.

Ein AV-Programm ist keine Versicherung,aber als erster Grobfilter taugt es durchaus, insbesondere für Leute denen das Wissen fehlt sich ihr System genauer anzusehen und zu verstehen, was sie sehen.

InvitationNotFound · November 2017

Naporic schrieb: »

Was AV-Software betrifft tobt aktuell ein Glaubenskrieg und da gibt es sowohl diejenigen, die sie für sinnvoll halten als auch diejenigen, die sie für völlig überflüssig und eher gefährlich halten. Beide Lager (zumindest wenn man diejenigen weg lässt,die jetzt entsprechende Artikel in "Fachzeitschriften" nachplappern) bestehen aus mehr oder weniger anerkannten Sicherheitsexperten.
Ich seh das Thema differenziert und Schlangenöl halte ich für deutlich übertrieben. Du weitest das Thema (zumindest soweit Du dich auf mich beziehst) auch ziemlich aus. Ich bezog mich im Falle der Heuristic immer und ausschließlich auf Keylogger und bleibe dabei.

Wie gesagt, wage ich zu bezweifeln, da mir dies noch nie in der Praxis passiert ist, dass da ein AV angesprungen wär.

Naporic schrieb: »

Nein ich bin kein Klicki-Bunti-Dau-User immerhin hab ich bisher 23 Jahre intensive Internetnutzung ohne eine Infizierung überstanden. Ich bekomme nur immer wieder die Rechner derer vor die Nase, die weniger glücklich agiert haben.

Ah ja? Hat die Maus nicht angefangen zu zittern oder so?

Mal Spass beiseite. Ist mag ja einfach sein zu (also je nachdem), dass man mal infiziert wird. Das Gegenteil zu beweisen ist wohl eher schwierig. Ich gehe daher davon aus, dass du eher sagen wolltest: "Ich habe bis jetzt noch nie eine Infizierung bei mir feststellen können", was nicht ausschliesst, dass da mal was war.

Auch das mit den 23 Jahren intensiver Nutzung hört sich für mich auch nicht nach einem Argument an. Ist so wie wenn einer sagt, "du schau mal, ich habe PVP Rang XX. Ich weiss schon was ich mache". Ob er aber jeden Abend in einem 100 Mann Zerg unterwegs war oder nicht, ist dabei dann nur nebensächlich.

Naporic schrieb: »

Ja, jenes Forum ist ausschließlich zu jenem Zweck erstellt worden an Userdaten zu kommen. Deinen Hackertatbestand gab es zu der Zeit in der Form eher noch nicht (dafür gabs andere) Es fehlt der konkrete Fall, der konkrete Beweis und der Geschädigte um mir was anzuhängen.
Ich habe auch Überwachungssoftware auf Rechner geschleust, ziemlich genau in dem vom TA erwähnten Funktionsumfang.
Das ist aber alles schon eine Weile Geschichte..
Eine der wenigen Möglichkeiten jenen Eingriff von mir aufzudecken wäre übrigens ein externer Scan gewesen.

Du kannst dir sicher sein, dass Hacking, auch ohne den aktuellen Hackertatbestand, illegal war.

Wäre ja geil, wenn das einfach so bis Mitte 2000 alles vollkommen in Ordnung war.

Nun ja, selbst ohne Beweise und Geschädigte, halte ich es für extrem bescheuert, hier damit zu prahlen.

Hast dein Zeugs wenigstens selber geschrieben oder Skiddy?

Aber ich vermute mal, wenn es ein externer Scan identifiziert hätte, wohl eher zweiteres.

Naporic schrieb: »

Ein AV-Programm ist keine Versicherung,aber als erster Grobfilter taugt es durchaus, insbesondere für Leute denen das Wissen fehlt sich ihr System genauer anzusehen und zu verstehen, was sie sehen.

Es wäre sinnvoller diesen Leuten den Umgang mit einem Computer beizubringen.

Naporic · November 2017

InvitationNotFound schrieb:

Es ist auch nach wie vor fraglich, ob man ein solches Gebastel wirklich auf dem System haben will (wenn man keine Ahnung hat und beispielsweise jeden Dreck einfach mal Doppelklickt evtl. schon)

An diesem Punkt wurde es persönlich, da der Verlauf davor impliziert daß ich AV nutze und Du damit im Endeffekt sagst daß ich, weil ich sie nutze, keine Ahnung habe.
Das begründet, warum ich meine Erfahrung diffus erwähnte, sicher werde ich hier nicht meine Vita offen legen, damit Du zufrieden bist.

Naporic schrieb:

Deinen Hackertatbestand gab es zu der Zeit in der Form eher noch nicht (dafür gabs andere)

Obwohl hier ganz klar steht, daß andere Tatbestände aktuell waren lässt Du es Dir nicht nehmen, es ins lächerliche zu ziehen

InvitationNotFound schrieb:

Du kannst dir sicher sein, dass Hacking, auch ohne den aktuellen Hackertatbestand, illegal war. Wäre ja geil, wenn das einfach so bis Mitte 2000 alles vollkommen in Ordnung war.

Die Argumente wurden anscheinend ausgetauscht, jetzt geht es nur noch darum, den Anderen möglichst dämlich und ahnungslos dastehen zu lassen um seine Argumente zu diskreditieren ,somit bin ich aus der Diskussion raus, das ist mir nämlich zu dämlich

Sen_ps · November 2017

Ich fand die Geschichte vom OT sowohl interessant als auch lehrreich. Es fängt dabei an, den Keylogger überhaupt zu entdecken und endet bei den (wenn auch unbequemen) Ideen wie Bildschirmtastatur. Auch das außerhalb des Fensters ein paar Tastenanschläge zu machen ist eine spannende (wenn auch ebenfalls unbequeme) Idee!

Dem OT direkt die Schuld zuzuweisen würde ich nicht so vorschnell tun. Ein AV war ja scheinbar vorhanden und es gibt genug Programme, in die man aus der Entfernung Schadcode einimpfen kann. Auch Chrome hatte letztens genug davon. Über Adobe und Java sprechen wir mal nicht.

Lange Rede kurzer Sinn: Danke für den Post.

Naporic · November 2017

Ich fand die Idee mit den externen Tastenanschlägen auch interessant und einen guten Tip.

Die Frage, wie genau die Schadsoftware auf den Rechner kam können wir hier kaum klären, es gibt viele Möglichkeiten und der TO muss nicht mitgewirkt haben.
Mich störte, daß gesagt wurde, nur Avira hats erkannt, Kaspersky und was er sonst noch genutzt hat, ist es entgangen.
Das Problem liegt vermutlich an dem Punkt, was bei Infizierung bereits installiert war und nicht welche AV das jetzt genau war, die vorhandene wurde erkannt und umgangen, ist die wahrscheinlichste Variante.

RatsthemE · November 2017

Mir fallen dazu die USB-Sticks ein, die sich nicht als USB-Speicher sondern mit einer Keyboard-Kennung am System anmelden. Damit greifen die normalen Schutzmechanismen nicht, da das System von einer Tastatur ausgeht, die da angestöpselt wurde. Auf denen laufen dann selbst zu programmierende Skripte ab, die sich mal eben selbst erforderliche Rechte auf dem System erschleichen und die entsprechenden Hintertüren öffnet, ohne das der User davon was mitbekommt.
Man muss zwar physikalisch einmal einen solchen Stick in den Rechner stecken, aber genau darauf zielen die Angreifer ab. Wer so ein Ding "findet", stöpselt es neugierig erst mal rein, um zu gucken, was drauf ist...und schon ist es passiert, ohne das der User gemerkt hat, dass da im Hintergrund sich gerade ein Sicherheitsloch geöffnet hat. Kein Mensch hat permanent den Device-Manager geöffnet, wo er kurz sehen würde, dass sich da eine 2."Tastatur" eingetragen hat.
Diese Sticks wurden sogar schon als normale Sticks im Versandhandel entdeckt. Gruselig. Auch kann man sie wohl in etwas offizieller Form als Werkzeug für 'Admins' ganz normal als solche kaufen.

Sakibure · Dezember 2017

Hallo,

Schutzsoftwarepakete (Malware, Firewall, Heuritikscanner...) sind maximal "Helfer", die aufgrund der Natur der Sache immer hinterherhinken. Würde es die "perfekte" Schutzsoftware geben, wäre auch nur noch ein Anbieter am Markt. Sich darauf zu verlassen, dass diese Software umfänglichen Schutz bietet ist mehr als leichtsinnig.

Ich wage die These aufzustellen, dass 100% der mit Schadsoftware infizierten PC-Systeme in privaten Haushalten verlässlich auf eine ursächliche Aktion des Benutzers zurückzuführen sind. Selbst Browser geben schon Warnungen aus bevor man auf eine Seite geht.

Aus eigener Erfahrung erliegt der Benutzer seiner Neugier und klickt trotz Warnung auf "OK". Dies wäre grundsätzlich nicht dramatisch, doch die Umstände, dass mehrheitlich genau diese Benutzer als "Administrator" bzw. mit administrativen Rechten auf ihren PCs agieren bringt für Schadsoftware geradezu eine 100% Erfolgsgarantie.

Leider macht es Microsoft einem nicht sonderlich leicht diesen elementaren Grundschutz zu verwenden. Da hilft auch die standardmäßige Deaktivierung des Kontos "Administrator" und "Gast" nicht wirklich weiter. Hier MUSS der Nutzer selbst ein zusätzliches Konto anlegen und zwar mit Rechten als "Benutzer" - NICHT "Hauptbenutzer - hat noch zu viele Rechte. Bitte - bitte verlasst Euch nicht auf die UAC (User-Access-Control) - die lässt sich leicht austricksen.

Wer im Besitz einer Pro-Version von Windows ist kann sich mit Hilfe von lokalen Gruppenrichtlinien noch weiter absichern.

Weitere Hilfen und Guides gibt es zu hauf in Google (Nur-Zocken-PC, Dual-Boot-System. Firewalleinstellungen etc).

Das aller wichtigste: Never ever zum Zocken ein Konto mit administrativen Rechten verwenden = 90+% wirksamer Schutz!!!

LG