eigenartiger chat hacker?!?!? HILFE BITTE!!!

**M3DS-REAL** · 03. 12. 2011, 22:21

halloo leute,
mein kumpel hat mich eben um hilfe gebeten:
er hat bei einem ddos ausgerechnet auf ne hacker seite

:facepalm: mitgemacht, er weiß selber dass es richtig mist war von ihm.
dann, ein paar stunden später kam dann so ein fenster, wie eine fehlermeldung und darin stand dann text von so nem hacker der meinte so hai wie geht's
der hacker konnte dann aes mitlesen, was mein kumpel irgendwohin geschrieben hat.
mein kumpel hat diesen hacker dann richtig beleidigt und so und dann gefragt wie er das denn gemacht hat.
die person am "anderen Ende" hat nein gesagt und ihn aufgefordert ihm geld zu schicken sonst stellt er seine Festplatte online. mein kumpel hat dan alles abgezogen, also internet undso.

dann hat er an seinem pc cmd aufgemacht und mit netstat die aktiven verbingungen anzuschauen, und dieses bil dhat er mit zukommen lassen, ich war selber irgendwie geschockt, weil viele verbindungen mit thepiratebay standen, ich habe das bil mal angefügt.

was ist jetzt passiert, und was kann er jetzt dagegen machen?

bitte dringend um hilfe

es grüßt
ein guter freund

**hellsfury** · 03. 12. 2011, 22:27

Lesen und befolgen!

4M · 03. 12. 2011, 22:29

lass mich raten .. er hat ein tool benutzt?

solchen leuten sollte man das inet doppelt abklemmen.

naja, selbst schuld für die dummheit kann er sein os neu aufsetzen!

**M3DS-REAL** · 03. 12. 2011, 22:40

muss er es wirklich neu aufsetzen oder gibbet auch ein weg drumrum.
sry, dass ich hier wie sun noob schreibe, hab schon einen langen und anstrengenden tag hinter mir. und ich bin müüüde

4M · 03. 12. 2011, 22:49

er hat zwei möglichkeiten ..
inet für immer abklemmen oder os neu draufziehen, alles andere wäre nicht wirklich sicher.
ich empfehle aber wie gesagt .. ersteres!

ansonsten einfach mal befolgen was die leute (zb hellsfury) dir hier schreiben wenn du schon hilfe willst!

**M3DS-REAL** · 03. 12. 2011, 23:05

naja danke leute für schnelle antworten, er hat sich sehr gefreut das hier alles lesen zu dürfen

4M · 03. 12. 2011, 23:21

freut mich dass es dich ääääh ihn freut ..

**guglmann** · 03. 12. 2011, 23:23

Zitat von M3DS-REAL

naja danke leute für schnelle antworten, er hat sich sehr gefreut das hier alles lesen zu dürfen

Vielleicht schenkt er dir zum Dank ja einen Duden...

**tnf** · 04. 12. 2011, 07:31

dann hat er an seinem pc cmd aufgemacht und mit netstat die aktiven verbingungen anzuschauen, und dieses bil dhat er mit zukommen lassen, ich war selber irgendwie geschockt, weil viele verbindungen mit thepiratebay standen, ich habe das bil mal angefügt.

Dann würde ich vielleicht einfach mal Bittorrent ausmachen.

Ansonsten wüsste ich nicht, was der Screenshot beweisen sollte.
Auf Grund der Erzählung dürfte aber die Antwort von hellsfury zutreffend sein.

**Pansen77** · 04. 12. 2011, 09:23

man könnte meinen diese jungen hacker bluffen nur. wenn du nicht bezahlst passiert auch nichts weiter.

wegen der schadsoftware auf deinem pc - ein paar tage den pc auslassen und dann alle möglichen virenscanner laufen lassen oder direkt neues betriebssystem.

ansonsten sei dir angeraten nicht alles mögliche zu saugen und auszuführen.

**M3DS-REAL** · 04. 12. 2011, 09:56

Also, damit ich das hier mal klarstelle,
Ich bin definitiv nicht mein Kumpel, ich weiß, dass hier viele Leute, denen was peinliches passiert ist mit mein Kumpel ankommen, in diesem Fall ist es definitiv nicht der Fall.
Was meine Rechtschreibung angeht war ich gestern Abend schon ziemlich kaputt und habe einfach nur mal eben schnell geschrieben. ( Es ist heute morgen ja auch nichtmehr so schlimm

)
Ich würde auch niemals etwas illegales von thepiratebay herunterladen, habe nämlich keine Lust, dass dann irgendwann die KiPo bei mir leutet.
Mein Kumpel sagt, dass er auch noch nie auf piratebay war.

Naja, er hat mir gestern Nacht noch geschrieben, dass er die Verbindungen irgendwie weg bekommen hat?!?

er hat auch 2 antimalware Programme drauf, was meinermeinung aber eher schlecht ist, da Sie sich evtl. in die quere kommen.

**Kugelfisch23** · 04. 12. 2011, 11:30

Zitat von M3DS-REAL

Mein Kumpel sagt, dass er auch noch nie auf piratebay war.

Dann wäre die IP-Adresse anstelle des per Reverse-DNS-Lookup gewonnen Hostnamens von Interesse gewesen. Diese erhält man von netstat über den Schalter -n. Sollte es sich tatsächlich um Verbindungen zum bekannten Torrent-Tracker handeln, wird sein System mutmasslich von einem Dritten für seine (mutmasslich nicht legalen) Torrent-Aktivitäten missbraucht.

Zitat von M3DS-REAL

Naja, er hat mir gestern Nacht noch geschrieben, dass er die Verbindungen irgendwie weg bekommen hat?!?

Selbst wenn es ihm gelingen würde, sämtliche offensichtlichen Symptome zu beseitigen, dürfte er keineswegs darauf vertrauen, dass sein System wieder sauber ist. Nur ein Neuaufsetzen des Systems oder das Einspielen einer vollständigen Systemsicherung eines Zeitpunkts vor der Kompromittierung kann dies garantieren. Die Begründung ist dem bereits verlinkten Sticky zu entnehmen.

**aNtiCHrist** · 04. 12. 2011, 12:36

An "thepiratebay" fällt auf, dass es kein FQDN ist und zudem die Verbindungen dorthin von 127.0.0.1 stammen. Dementsprechend dürften das Loopback-Verbindungen sein und irgendwo wird 127.0.0.1 auf thepiratebay aufgelöst. Mutmaßlich liegt das an einer veränderten HOSTS-Datei.

Anhand der Symptome ist aber eh klar, was zu tun ist. Vor Pansen77s erster Empfehlung, einfach nur Malwarescanner zu nutzen, kann ich nur warnen, sie ist sehr unzuverlässig. Gerade individuell verbreitete Malware wird von Malwarescannern auch nach längerer Zeit oft nicht erkannt. Hier besteht aber ohne Zweifel ein erhöhtes Risiko, dass es sich nicht um massenhaft verbreitete Malware handelt. Hinzu kommt, dass es ja offenbar irgendwo eine Schwachstelle gab. Die schließt kein Malwarescanner.

**Kugelfisch23** · 04. 12. 2011, 12:46

Zitat von aNtiCHrist

An "thepiratebay" fällt auf, dass es kein FQDN ist und zudem die Verbindungen dorthin von 127.0.0.1 stammen.

Stimmt, 127.0.0.1 als lokale Adresse der Verbindungen hatte ich nicht beachtet, in sofern dürften das Loopback-Verbindungen sein.

Mindestens übliche netstat-Implementierungen unter unixoiden Systemen schneiden die Hostnamen bei Überschreiten einer gewissen Länge ab (um die Spaltendarstellung nicht zu sprengen), so dass ein unvollständiger FQDN in einer Spalte nicht zwingend darauf schliessen lässt, dass es sich um einen lokalen Hostnamen handelt. Deshalb meine Empfehlung des -n-Schalters. Ob die Windows-Implementierung dasselbe Verhalten zeigt, kann ich aktuell nicht testen.

**aNtiCHrist** · 04. 12. 2011, 13:17

Unter Windows gibt es AFAIK keine solche Verkürzung, zumindest noch nicht bei solchen Längen. Ich habe dort schon grob verzerrte Spalten durch lange Namen gesehen.

**Schulterfraktur** · 04. 12. 2011, 14:09

Woran seht ihr, daß "thepiratebay" nicht einfach nur der Name des eigenen Computers ist?

**aNtiCHrist** · 04. 12. 2011, 14:29

Soweit ich weiß, löst Windows 127.0.0.1 normalerweise durch den einzigen Standard-Eintrag in der HOSTS-Datei nach localhost auf. Daher meine Vermutung, dass diese Datei verändert wurde. Ob sich in den verschiedenen Versionen das Verhalten mal geändert hat, ist mir allerdings nicht bekannt.

**Schulterfraktur** · 04. 12. 2011, 14:44

also wenn ich netstat -a eingebe, sind alle Einträge mit 127.0.0.1(lok.Adr.) der Name meines Computers (Remoteadr.) und steht auf "abhören" . Das gleiche bei geöffneten Ports. ->ich halte das für normal.

Meine Hostdatei ist zwar verändert, aber dort steht mit Sicherheit der Name nicht drin. Nur 127.0.0.1 (ist ja klar).

Gibt es hier Unterschiede zwischen den einzelnen Windowsversionen? (habe selbst win7 und vorher nie drauf geachtet)