Einen schönen guten tag allerseits!
Vor gut einer woche wurde mein steam account gestohlen!
Ich wurde von einem mir bekannten user in der friendslist angeschrieben und gebeten bei einem software problem behilflich zu sein.Das hab ich dummer weise auch getan.Tja der user war nicht der für den er sich ausgab und 2 Tage später war mein account futsch.
Kann man mittels HijackThis die art des Trojaners ermitteln?
Scans (auch im abgesicherten Modus) mit Nod32 und Spybot brachten keine Ergebnisse.
Vielen Dank im vorraus für eure Mühen!
Greetz
mr.knister

logfile:
Logfile of HijackThis v1.99.1
Scan saved at 20:31:47, on 27.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32krn.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Opera\Opera.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Opera\Opera.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.140\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126645481578
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE265E02-4320-40A9-9807-11AF4D9B4D18}: NameServer = 145.239.253.82,145.253.2.11,217.237.149.161,217.237.151.225
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

Hi!

In deinem Log sehe ich nichts ausergewönliches, was aber nicht heissen muss das ich was übersehen habe.


Was ist ein Steam Account? Ist das ein Spiel oder??

Zitat:

Ich wurde von einem mir bekannten user in der friendslist angeschrieben und gebeten bei einem software problem behilflich zu sein.Das hab ich dummer weise auch getan.Tja der user war nicht der für den er sich ausgab und 2 Tage später war mein account futsch.

Was hast du getan um ihn behilflich zu sein? Hast du deine Daten preisgegeben oder Software installiert oder ???

lg

Steam ist eine Plattform über die diverse Spiele laufen.
Der User bat mich für ihn eine DVD-Software zu testen.Diese hab ich dann blöderweise geladen und ausgeführt!
Wichtig wär für mich rauszufinden ob er nur an den Daten des Accounts interessiert war,oder ob er mit einem Keylogger weitere sensible Daten hat auslesen können.

Hast du diese Software noch und kannst du diese bei :

http://www.virustotal.com/en/indexf.html

oder

http://virusscan.jotti.org/

mal auswerten lässt.


lg

ne joschi 20 das hab ich leider schon gelöscht, aber vielen dank für die Antwort!

Vllt. findet eScan was. Folge dem Link in meiner Signatur.
Über welchen Messenger hat der dich dann angeschrieben? Du hast diese angebliche DVD-Software ausgeführt, was passierte dann genau?

Innerhalb der Steamplattform gibt es eine Friendlist in der mensch Leute eintragen kann.Dieses System beinhaltet auch eine Chatfunktion.
Der Link führte auf eine Unterseit von Arcor von dem ich eine Datei DvD-(irgentwas...) lud.Ich führte das Setup aus und es passierte offensichtlich nichts.
Nach 2 Tagen bin ich direkt aus dem Spiel geflogen, mit der Meldung das mein Account von einem anderen Computer aus benutzt wird.
Kurz darauf versuchte er mit meinem Nickname andere User aus meiner Friendslist mit der gleichen Masche zu linken.

Okay, dann mach mal zunächst weiter mit eScan.
Hast du zufällig noch den Link zu diesem ominösen DVD-Programm? Schick den mir mal bitte per PN, falls du ihn noch hast.

Na Lustig...
Habe gerade nen err_log.txt file auf meinem rechner entdeckt.
Hier steht mein Passwort und mein Accountname und das die Daten per mail übermittelt worden sind.
Das Programm mit dem das gemacht wurde nennt sich alf.'s SteamAccount Stealer.
Da muss ich doch gleich mal Googeln!

Zitat:

Zitat von mr.knister

Das Programm mit dem das gemacht wurde nennt sich alf.'s SteamAccount Stealer.
Da muss ich doch gleich mal Googeln!

Ich hab auch mal gegoogelt hier das Ergebnis -> Steam-Account gehackt - was tun?

Ob du aber deinen Account wiederbekommst bleibt dennoch ungewiss!

Gruß
Sunny

vielen dank soweit!