 Show Posts
|
|
Pages: [1]
|
Evtl. war ja eine illegale Windows-Kopie installiert (auf diese Frage wurde vom OP nicht eingegangen). Dann wäre die Ursache ja schon gefunden.
Nein, es war und ist keine illegale Windows-Kopie installiert. Hatte jetzt Kontakt mir der Polizei (Abteilung für Cyberkriminalitä), die schauen es sich jetzt mal an. Festplatte o.ä. wollte er erstmal nicht haben, mal schauen wie es weitergeht. |
|
|
|
Stimmt. Vielleicht hat der TE ja auch vor dem Crash Ordner und Dateien von seinem alten Laptop auf seinen neuen kopiert und den eventuellen Schadcode dadurch aufs neue System übertragen. Eine klassische Reinfektion.
Hatt von meinem alten Laptop noch gar nichts kopiert, also Festplatte noch nie rangehängt gehabt (da ich keinen Adapter hatte, da bin ich mir also sicher). |
|
|
|
- Okay, dann aslo keine andere Person die in Frage kommt. Ich gehe aber davon aus, dass du Windows mit Anmeldepasswort nutzt, oder?
Obwohl natürlich jeder schnell etwas installieren kann, wenn das Betriebssystem nicht gesperrt ist. Andere Möglichkeit wäre noch, dass du einen fremden USB-Stick angeschlossen hast.
Ja, nutze es mit Anmeldepasswort bzw. Fingerabdruck. Fremden USB hatte ich nicht dran... Werde von Admin- zu User wechseln, danke! |
|
|
|
Ich frage nochmal: Bist du der einzige mit Zugang zu dem Laptop?
Hast du als User Adminrechte?
Hattest du während des Exodus-Aktion noch andere Programme auf?
An die Runde hier: Es gibt doch sicherlich Malware, die sich nach der entsprechenden Aktion umgehend selber deinstalliert und die Spuren verwischt, oder?
Ja, ich bin der Einzige mit Zugriff auf dem Laptop. Unter der Systemsteuerung steht, das ich der Administrator bin. Gehe stark davon aus, dass ich den Bravebrowser während der Exodusinstallation und auch danach offen hatte, sonst denke ich nichts (bin mir da aber nicht zu 100% sicher). |
|
|
|
|
Habe jetzt nochmal Malewarebytes und eset-online-scanner drüberlaufen lassen, die finden alle nichts...
Die Option mit Festplatte an Polizei ist auch ne gute Idee, werde mich schlaumachen.
Und ja, ich halte euch auf dem Laufenden, vielen Dank für die Hilfe von allen Seiten!!!
|
|
|
|
Wichtig ist jedenfalls das dein derzeitiges System als kompromittiert einzustufen ist und du keinesfalls irgend etwas mir Kryptowerten mit dem Rechner tun solltest, bis dieser komplett neu aufgesetzt wurde. Einem Scan mit Windows Defender kann man in diesem Fall leider nicht vertrauen bzw. sich auf ein negatives Ergebnis verlassen. GGfl. bei der Polizei vor einer Neuinstallion noch mal nachfragen ob IT-Forensiker sich den Rechner nochmals anschauen wollen um die Art und Weise des Diebstals feststellen und dokumentieren zu können. Gerade in deinem Fall gibt es ja relativ wenig Varianten wo die Schadsoftware hergekommen sein könnte. Gleichzeitig erhöht dies vielleicht auch ein wenig den Druck, das sich Spezialisten mit deinem Fall befassen  Ja danke, werde ich versuchen!
Interesant wären die Quellen aus denen er den ccleaner und jdownloader bezogen hat.
Dann könnte man das mal in einer VM und Wireshark mal prüfen bzw. Nachvollziehen.
Aber jetzt wo das Kind schon im Brunnen liegt, nur von Akademischen Interesse.
Beide Programme habe ich von der offiziellen Homepage downgeloaded, leider habe ich die Installationsdateien nicht mehr. Teams habe ich auch noch installiert, auch von der microsoft-Homepage, hab gerade nochmal den Braveverlauf gecheckt... [moderators note: 2 posts merged] |
|
|
|
Sowas kann man nicht ausschließen. Ein Mitarbeiter? Oder jemand bestellt das Ding, sendet es manipuliert zurück und hofft, dass der nächste Käufer abgezockt werden kann? Beides durchaus möglich... leider.
Aber ist das nicht auch irgendwie unwahrscheinlich? Wie hoch ist die Wahrscheinlichkeit, dass er/sie genau jemanden "erwischt", der dann ein Exodus-Wallet hat? Auf 100 Laptopts sind das ja vielleicht 3 oder so? Oder liege ich da komplett falsch? |
|
|
|
Könntest du dazu bitte eine präzise Timeline erstellen mit allen relevanten Daten (Zeitpunkt der Installation von Exodus auf dem alten/neuen Rechner, Zeitpunkt der Transaktionen, etc...).
Exodus auf dem alten Rechner ist schon mindestens 3 Jahre her. Auf dem neuen hatte ich Exodus am 16.05 um 20:16 Uhr runtergeladen, gleich installiert, um 20:17 Uhr - 20:20 Uhr gingen alle (9) Transaktionen ab (siehe oben). |
|
|
|
Exodus hab ich am 16.05 um 20:16 runtergeladen gehabt, dann gleich installiert
20:17 Uhr gingen die ETH weg. Lag also sehr sicher an deinem Install / System. Ja das denke ich auch, ich komm nur trotzdem nicht hin, ich kenne mich leider auch nicht so gut aus... Bist du aus München, weil du in deinem Namen Muc stehen hast. Wohne nämlich auch dort, vielleicht könntest du mir ja persönlich helfen...? Sorry meine Aufdringlichkeit, bin aber echt ratlos...
War der Laptop noch original verpackt?
Diese Frage erweitere ich mal... War das Garantiesiegel der Verpackung noch ungebrochen und Windows noch nicht aktiviert oder wäre es möglich das dieser "neue" Laptop bereits bei einem anderen Kunden von Euronics im Einsatz war und aus einer Retoure stammte? Hab jetzt nochmal Microsoft-Virenscan laufen lassen, der erkennt nix.
Ein Windows Virenscan erkennt solche Schadsoftware leider nur selten, da diese sich im aktiven System meist sehr gut "tarnt". Um sicher zu gehen solltest du mit einem externen Medium eine Linux Live Distribution starten und von dieser einen Virenscan anstoßen. Ich nutze dafür immer gern das Heise Desinfec't Paket. Danke für den Vorschlag, ich blicke da aber echt nicht durch, bin leider nicht sonderlich bewandert in solchen Dingen. Habe gerade Windows Defender offline laufen lassen, der findet auch nix. [moderators note: 2 posts merged] |
|
|
|
Siehst sehr systematisch leergeräumt aus. mMn definitiv geplant/automatisiert.
Du hast am 16.05. ebenfalls den Laptop erstmalig mit Exodus genutzt, korrekt?
Weißt du noch wann du die Version installiert hast?
Exodus hab ich am 16.05 um 20:16 runtergeladen gehabt, dann gleich installiert
Neben Schadsoftware durch CCleaner und Browser die einzig logische Möglichkeit.
Prüfe mal den hash von den beiden auch.
War der Laptop noch original verpackt?
Die beiden Installationsdateien habe ich leider nicht mehr... Der Laptop sah Originalverpackt aus, Siegel war dran (sofern ich mich richtig erinnere). Also mich hat jetzt nichts stutzig gemacht... Das einzige was ich mich jetzt erinnere ist, dass die Garantie im Lenovo Vantage damals nicht der 14/05 war, sondern schon vorher... Jetzt steht da jedoch 14.05 (Tag, andem ich den Laptop das erste mal eingeschalten habe. Windows hat sich ganz "normal" verhalten, also "Willkommen usw.", dann upgedatet und fertig. Ich musste jedoch keinen Registrierungscode oder ähnliches eingeben. [moderators note: 2 posts merged] |
|
|
|
Woher stammt der neue Laptop?
Online bei Euronics bestellt... (du meinst, dass da dann schon was draufgewesen sein könnte?) |
|
|
|
Sehr Mysteriös das ganze... Wurden auf die Empfängeradressen (der Diebe) auch Coins transferiert welche nicht von dir stammen? Würdest du eventuell die entsprechenden Transaktionen hier offen legen? Hat der Exodus Support noch einen anderen Hinweis gegeben, außer das du die Behörden einschalten sollst?
Ich habe für die Polizei eine Excel angefertigt, mit allen Transaktionen, die abgegangen sind, die kann ich dir gerne per privater Nachricht schicken oder? Vom Support habe ich bisher eine Antwort, also da geht alles sehr zäh. Nicht wie hier, vielen Dank für eure Tipps/Hilfe/Einsatz!
Dann könnte es eventuell der CCleaner gewesen sein, welcher unerwünschte Software auf dein System eingeschleust hat. Dieses Tool hat in der Vergangenheit schon öfters für Schlagzeilen gesorgt, da auch kompromittierte Versionen im Umlauf waren. Je nach dem wo du dieses Installationsquelle herrunter geladen hast, wäre dies zumindest eine potentielle Möglichkeit die mir hier sofort ins Auge fällt. Selbst Microsoft steht diesem Tool seit einiger Zeit skeptisch gegenüber -> https://t3n.de/news/windows-defender-warnt-einstiges-1305306/Habe den CCleaner unter der offiziellen Homepage runtergeladen... Und ohne anderer "angehänger Software". Hab jetzt nochmal Microsoft-Virenscan laufen lassen, der erkennt nix. [moderators note: 2 posts merged] |
|
|
|
Was wurde denn alles installiert bevor du die Exodus Wallet installiert hast ?
CCleaner, Brave Browser und jDownloader (aber damit nix runtergeladen o.ä.) |
|
|
|
Also sagt die Prüfung der Installationsdatei, dass die Signatur korrekt ist? Hat dein neues Notebook Windows Defender standardmäßig aktiviert? Hast du damit „rumgespielt“ oder war Exodus der erste Download? Und eine Frage noch zum Abschluss. Wo war dein Seed (recovery Phrase) gesichert bzw. könnte der abgegriffen worden sein?  Ja, habe ich... Nein, den hatte ich handschriftlich aufbewahrt...
Sorry, jetzt richtig gemacht: Hash/Signatur richtig, sprich exakt diesselbe wie von dir angegeben [moderators note: 2 posts merged] |
|
|
|
|
Prüfung gerade durchgeführt, dann kommt raus, das Exodus schon installiert ist.
eigenes WLAN ja, ob Betriebssystem sauber ist => am neuen Laptop sicher ja, weil der war 1 Tag alt, beim alten kann ich das nicht so genau sagen (wüsste erhrlich gesagt auch nicht wie...)
|
|
|
|
|
Warum noch etwas verbleibend war kann ich leider nicht sagen:
Rest war: 1 Stellar, 20 XRP und 0.0010395 Ether.
Also v.a. die ersten beiden: echt komisch...
Dacht ich mir auch schon, dass es ein zeitlicher "Zufall" war, fände ich aber total "verrückt", da ich das vorherige Wallet schon seit Jahren immer wieder nutze... Also nicht, dass ich jetzt 1 Jahr nichts mehr mitbekommen hätte und ich dass dann deswegen erst festgestellt hatte...
Um 20:14 Exodus downgeloaded, dann restored, um 20:17 Uhr - 20:20 Uhr am 16.05 ging dann alles weg. Also insgesamt ca. 50.000€, was sich aus 9 unterschiedlichen Währungen zusammensetzte.
|
|
|
|
Ich hoffe unter der offiziellen Seite, habe gerade nochmal den Verlauf durchgeschaut: https://www.exodus.com/download/War damals (am 16. Mai) die Version 21.5.14 Kann ich die Quelle der Installationsdatei (vorliegend) irgendwie sehen? |
|
|
|
|
Nein, ich hatte einen Fahrradsturz, wo der Lappi gecrasht ist. Also vorher lief alles einwandfrei. Hatte dann den neuen Laptop da und wollte alles schnellstmöglich wiederherstellen...
Habe heute die alte Festplatte angesteckt, Wallet schaut leider genauso mager aus :-(
Windows 10 war und ist das Betriebssystem
|
|
|
|
|
Liebe Leute,
großen Entsetzens habe ich festgestellt, dass mein Exodus-Wallet gehackt wurde.
Alter Laptop kaputt, am Neuen Exodus installiert, mit der 12 word recovery Phrase restored und dann kam die bittere Erkenntnis: fast alles weg (15€ blieben).
Der Schaden ist leider beträchtlich (ja ich weiß heute leider besser den je, dass Hardwallets die bessere Wahl gewesen wären).
Hat irgendjemand hier eine Idee, was ich tun könnte? Der Support von Exodus meinte, Sie könnten mir helfen zu verstehn, was genau passiert ist und hat vorgeschlagen zur örltichen Behörde zu gehen, wo ich gestern war. Die meinten, dass Sie leider nicht viele Möglichkeiten hätten, aber Sie schauen (was auch immer das bedeuten mag).
Viele Hoffnungen habe ich leider nicht mehr, aber ich möchte nichts unversucht lassen und bin um jede Hilfe froh!
Liebe Grüße
|
|
|
|
|
