Also es ist so, ich bekam eben eine Meldung dass innerhalb diesen Tages 16 Zugriffe auf meinen RS Account waren und diese Downgeloaded haben. Ich hab so nen IP finder dingsda gemacht und angeblich ist es von Berlin bis Niederlande alles dabei.
Kann dies denn möglich sein oder kann es an meinem Pc hängern der komische IPs vergibt und RS dies einfach bemängelte? Also an Volumen bin ich nicht ganz sicher ob was fehlt, hatte nicht nachgesehen aber dass meine Downloads nicht gingen ist mir auf jedenfall aufgefallen- nicht fertig geladen, abgebrochen etc etc.
Was meint ihr? Also Ich hab sowohl Firewall an als auch Norten (glaub nur das bringts nicht)
Mein PW hab ich auf ein Mörderteil geändert mit allem was mir in die Finger kam.
Kann ich mich denn sonst noch irgendwie schützen? denn würd mich shcon ankotzen wenn andere auf meine Kosten laden 
Naja ganz abgesehen davon dass RS mir ne Email schrieb mit dem Hinweis dass mein nächsten mal der Account gelöscht würde... Super...
RS Hack :-(
-
Softwarefirewall bringt wirklich garnix, ist das erste und leichteste was Trojaner usw. aushebeln... ist reine Resourcenverschwendung... Wichtig ist, das du die Firewall im Router komplett dicht hast.... also keine Torrent-Ports usw. offen halten...
Änder mal das PW und Benutz einfach mal ne Zeitlang die Bildschirmtastatur zum eingeben und Scan dein System nach rootkits z.b. mittm McAffee Avert-Stinger und dergl.
SpyBot Search and Destroy ist auch noch ein Programm was viele sachen findet, die nen Virenprogg gerne mal übersieht...
Gute Freeware-Virenproggs gibt es z.b. von AVG oder Kaspersky... gegen die hat mehrfach schon die Bezahlversion(!) von Norton in Vergleichtests verloren....
gruß
ben -
Also wie gesagt PW ist geändert denk mal sollte ausreichend schwer sein.
Hab aber gerade nochmals nachgeshen so ne besonders gute firewall ist es doch nicht. kann es daran liegen? Norten bezahl viren prog hab ich ja der meckert auch immer aber das scheint ernicht gefunden zu haben. wobei ich immer noch nicht sicher bin ob mir wirklich volumen fehlt oder irgendwie halt verschiedene ips angezeigt werden und dadurch S meckert :?
ist bisher auch nicht gewesen, hab gestern auch den jdownloader drauf gemacht. sollt ich den löschen?
wegen den torrent ports: dann kann ich den downloader doch auch nicht nutzen oder? geschweige denn mein torrent
und ne (doofe?) frage: was meinst du mit ildschirmtatsatur nutzen? -
Hast du denn auch mal deinen e-mail account geprüft, ob der gehackt wurde und so jemand an deine Login Daten für RS gekommen ist?
Oder hast du das Sicherheitsschloss bei deinem RS Account nicht aktiviert?
-
Zitat von Schorny;225919
Hast du denn auch mal deinen e-mail account geprüft, ob der gehackt wurde und so jemand an deine Login Daten für RS gekommen ist?
Oder hast du das Sicherheitsschloss bei deinem RS Account nicht aktiviert?
Nein die mail wurde nicht gehackt, hab da denk mal auchnen gutes pw mit zahlen und zeichen glaub über 20 stellen sogar. also glaub eher unwahrscheinlich.
das schloss ist aktiviert..
kommt mir halt komisch vor und meinerster gedanke war der jdownloader. aber ich wette dass der keine 16 ips am tag produziert -
vajami:
Des nutzt ja nix, wenn du das Passwort geändert hast und nen Keylogger das mitschneidet, dann wissen ja doch wieder alle dein neues Passwort... deshalb sollst du es ja mit der Bildschirmtastatur ändern (Start>Programme>Zubehör>Eingabehilfen) und so lange damit eingeben, bis du dein System einer gründlichen Untersuchung unterzogen hast...
Besorg dir von http://www.chip.de das SpyBot Search&Destroy und scanne dein System damit... besorg die auf der Seite von McAffee den Avert S.T.I.N.G.E.R (gibts aber auch bei chip.de) und scan dein System damit...
Norton ist Mist und übersieht vieles, besonders wenn die Ausgabe ne ältere ist, gibts da immer schnell grobe mängel...
Softwarefirewall bringen garnix, ausser das du lernst, welche Programme (normalen) ausgehenden Verkehr haben... ein Trojaner kommt auf dein System und konfiguriert erstmal so, das deine Firewall weder meckert noch blockt...
Deshalb sollte die Firewall im Router absolut dicht sein, damit dein System von aussen nicht auch noch erreichbar ist, reicht ja die Wahrscheinlichkeit, das du irgendwas auf deinem System hast, was irgendjemand deine Passworte mitteilt...
Edit: Und nein, der JD ist nicht in der lage dir eine Holländische oder andere regionale IP zu verpassen, das kann nur der Provider, darauf hast weder du, noch irgendein Porgamm direkten einfluss... Einzige ausnahme ist, wenn du absichtlich einen Proxy oder VPN-Service oder dergl. benutzt, wovon ich aber bei der Nutzung eines Premium-Acc mal nicht ausgehe.... wäre ja speedmässiger suicid
gruß
ben -
ok .. danke dann versuch ichs mal. mal schaun wie weit ich komme
-
vielleicht wurde dein pw ja irgendwo gespooft.. hast auf irgendeiner warezsite einen RSlink geklickt und hast dich vielleicht gewundert "Nanu.. ich hab doch Direktdownload ausgewählt." - und hast dich direkt eingeloggt anstatt den link einfach zu kopieren und nochmal http://www.rapidshare.com einzugeben.
oder, was einem bekannten schon passierte, er benutzte einen multihack und per launcher.exe hat sich ein keylogger installiert, dieser hat sich bei svchost.exe angehangen. da konnte man nix machen ausser format C:.
-
Zitat von sunspots;226090
vielleicht wurde dein pw ja irgendwo gespooft.. hast auf irgendeiner warezsite einen RSlink geklickt und hast dich vielleicht gewundert "Nanu.. ich hab doch Direktdownload ausgewählt." - und hast dich direkt eingeloggt anstatt den link einfach zu kopieren und nochmal http://www.rapidshare.com einzugeben.
oder, was einem bekannten schon passierte, er benutzte einen multihack und per launcher.exe hat sich ein keylogger installiert, dieser hat sich bei svchost.exe angehangen. da konnte man nix machen ausser format C:.
ähm, wie erwähnt: so alles versteh ich nicht
bin ein blutiger anfänger. format c ist mir geläufig *lach* aber wie ich die keylogger erkenne ist mir mnoch nicht klar.habe nun die nacht genutzt und von ben sisko die vorgeschlagenen progs mal runtergeladen und laufen lassen, wurden 8 cookies gefunden (und entfernt)die schadhaft wären
beim zweiten mal laufen lassen alles supi.
würde so ein prog die keylogger sachen erkennen? hat es sich dann erledigt wenn ich alle 2 tage mal die progs laufen lasse?
und wegen verspooft: also bitte net lachen (muss es ja fast selbst) aber das mit dem direktlink is mir auch net klar. ich schau mir an welche datei ich will, klick auf part 1 download premium und ziehs dann. danch part 2. ist das direktdownload?wenn ja dann hab ich nirgends mein pw eingegeben.
ich hasse es wenn man keine ahnung hat.
aber auf hackerseiten mich rumtreiben und alles nachlesen wie die das machen is momentan wohl nicht so geeignet -
du solltest dir aber wie Captain Sisko schon sagte unbedingt etwas anderes zu legen anstatt Norton. hatte es früher auch, hat mich alle paar wochen mit einem format c: erfreut, dann mit Kaspersky 2jahre stand gehalten..
ein keylogger loggt alles was du eingibst, welche internetseiten du wann und für wie lange besuchst, welche programme gestartet wurden, was im hintergrund läuft, welche versionen die programme haben und scannt auch die festplatte nach vielleicht sensiblen daten aus.
sind nicht alle keylogger so professionell, aber es entwickelt sich. -
Jap, also der SpyBot erkennt schon ne menge, und beseitigt auch automatisch wenn er was findet, was nen Virenprog meist nicht so erkennen kann, weil es sich wie ein normaler Vorgang im System verhält... und den kannst du im Hintergrund auch laufen lassen, neben einem Virenprog... der schützt dich nämlich z.B. beim Surfen vor Veränderungen an deinem System, die du dir durch das besuchen verseuchter Websites einfängst... Wähl dazu einfach immunisieren aus (wenn du mal ein neues prog Installieren musst, dann ent-immunisierst du kurz und immuniserst nach dem installieren wieder)... es kann durchaus sein, das der jetzt schon eine heftige Bedrohung entfernt hat, und du das nicht richtig mitbekommen hast... Die Cookies bietet er dir an zu entfernen, weil es sein kann, das du die beibehalten willst... Richtige Schädlinge haut er gleich runter und sagt nur an, das er die entfernt hat... vieleicht schauste nochmal in den Scanbericht genauer rein...
Der Avert-Stinger hat nach einer weiteren Art von Schadprogrammen gesucht... die ebenfalls schlecht vom Virenprogramm und auch nur begrenzt vom Spy-Bot erkannnt werden kann... wenn auch der nix gefunden hat, heisst das leider nicht, das dein System nun 100% Clean ist... aber mit den beiden Programmen und einem herkömmlichen Virenprogg (dein Norton z.B.) hast du jetzt schon ein sehr breites Spektrum abgedeckt...
Du kannst zum gegencheck noch mal die Free version von dem hier runterladen: http://www.malwarebytes.org/ und schauen ob der dir was anzeigt... das Tool kann in der Free dich nicht dauerhaft schützen und nicht alles entfernen, aber kann bei nem Scan nochmal einiges erkennen...die Software kannst du dann wieder runterhauen, wenn soweit alles ruhig ist, den Spybot würd ich allerdings drauf und immer laufen lassen
(der stinger installiert sich ja soweiso nicht...)Jetzt ist es an der Zeit nochmal in dich zu gehen und genau zu überlegen, wie dein Passwort nach aussen kommen konnte.... vieleicht doch irgendwannmal auf ner Webseite das PW zu deinem Rapidaccount eingegeben? Irgendwann mal ne Mail gekriegt und dich von der aus direkt über nen Link eingeloggt ? nochmal an das Mailfach gedacht? Wie sieht es mit dem Autovervollständigen für Passwörter im IE aus, ist das abgeschaltet (Lässt sich nämlich mit nem Hack von einer Webseite aus auslesen, wenn bestimmte Sichgerheitspatches nicht isnatlliert sind)? Alle Windows-Updates aktuell?
Wenn dir dabei nix einfällt schlag ich dir folgendes vorgehen vor:
Ändere zur Sicherheit nochmals die Passwörter fürs Mailfach (ggf. mal nen neues Mailfach NUR für RS anlegen) und RS und benutz dazu, wie ich schon erwähnte, die Bilschirmtastatur... gibst das neue Passwort im jDownloader ein und benutzt dabei auch die Bildschirmtastatur... und vermeide es links anders zu laden, als über den jDownloader... so das du das PW nie mehr woanders zum laden eingibst... dann einfach auch beim Accountlogin auf der RS-Seite sowie ins Mailfach die Bildschirmtastatur benutzen.... und die ganze Entwicklung beobachten, ob da aufeinmal schon wieder irgendwann andere IPs auftauchen.... Wenn es ruhig bleibt, kannste irgendwann dazu übergehen, die Bildschirmtastatur wieder weg zu lassen (Wenn sie dich arg stört), wenn es dann auf einmal wieder los geht, kannst du mit einiger Sicherheit davon ausgehen, das irgendwas auf deinem System nicht hinhaut, würde dir dann aber ne komplette Neuinstallation vorschlagen, nachdem die ganzen Progs das nicht identifizieren konnten... ist eher unwahrscheinlich das es sich dann auf ne einfache art entfernen lässt
Ne bessere Empfehlung kann ich dir auf die Entfernung und unter dem Gesichtspunkt, das dir die Programme nix angezeigt haben, erstmal nicht geben... hoffe aber das es bei diesem einmaligen Problem bleibt, durch die ergriffenen Massnahmen hast du auch einiges getan, um auf der relativ aber nicht 100% sicheren Seite zu sein, das dein System nicht die Schwachstelle war... durch das SpyBot und evtl. mal nen bessers Virenprog (AVG oder Kaspersky, gibts beides als Free..) stehen die Chancen auch halbwegs gut, das es so bleibt...
gruß
ben
