|
MishaMuc
|
 |
June 02, 2021, 08:04:52 AM |
|
Woher stammt der neue Laptop?
Online bei Euronics bestellt... (du meinst, dass da dann schon was draufgewesen sein könnte?) Neben Schadsoftware durch CCleaner und Browser die einzig logische Möglichkeit. Prüfe mal den hash von den beiden auch. War der Laptop noch original verpackt? |
|
|
|
|
|
|
|
Make sure you back up your wallet regularly! Unlike a bank account, nobody can help you if you lose access to your BTC.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
|
|
|
redpanda88 (OP)
Newbie
 Offline
Activity: 20
Merit: 1
|
|
June 02, 2021, 08:12:40 AM |
|
|
|
|
|
|
-doubleU-
Legendary
Offline
Activity: 1078
Merit: 1307
|
|
June 02, 2021, 08:17:36 AM |
|
War der Laptop noch original verpackt?
Diese Frage erweitere ich mal... War das Garantiesiegel der Verpackung noch ungebrochen und Windows noch nicht aktiviert oder wäre es möglich das dieser "neue" Laptop bereits bei einem anderen Kunden von Euronics im Einsatz war und aus einer Retoure stammte? Hab jetzt nochmal Microsoft-Virenscan laufen lassen, der erkennt nix.
Ein Windows Virenscan erkennt solche Schadsoftware leider nur selten, da diese sich im aktiven System meist sehr gut "tarnt". Um sicher zu gehen solltest du mit einem externen Medium eine Linux Live Distribution starten und von dieser einen Virenscan anstoßen. Ich nutze dafür immer gern das Heise Desinfec't Paket. |
|
|
|
|
MishaMuc
|
|
June 02, 2021, 08:18:53 AM |
|
Siehst sehr systematisch leergeräumt aus. mMn definitiv geplant/automatisiert. Du hast am 16.05. ebenfalls den Laptop erstmalig mit Exodus genutzt, korrekt? Weißt du noch wann du die Version installiert hast? |
|
|
|
|
redpanda88 (OP)
Newbie
Offline
Activity: 20
Merit: 1
|
|
June 02, 2021, 08:36:16 AM
Last edit: June 02, 2021, 09:31:09 AM by mole0815 |
|
Siehst sehr systematisch leergeräumt aus. mMn definitiv geplant/automatisiert.
Du hast am 16.05. ebenfalls den Laptop erstmalig mit Exodus genutzt, korrekt?
Weißt du noch wann du die Version installiert hast?
Exodus hab ich am 16.05 um 20:16 runtergeladen gehabt, dann gleich installiert
Neben Schadsoftware durch CCleaner und Browser die einzig logische Möglichkeit.
Prüfe mal den hash von den beiden auch.
War der Laptop noch original verpackt?
Die beiden Installationsdateien habe ich leider nicht mehr... Der Laptop sah Originalverpackt aus, Siegel war dran (sofern ich mich richtig erinnere). Also mich hat jetzt nichts stutzig gemacht... Das einzige was ich mich jetzt erinnere ist, dass die Garantie im Lenovo Vantage damals nicht der 14/05 war, sondern schon vorher... Jetzt steht da jedoch 14.05 (Tag, andem ich den Laptop das erste mal eingeschalten habe. Windows hat sich ganz "normal" verhalten, also "Willkommen usw.", dann upgedatet und fertig. Ich musste jedoch keinen Registrierungscode oder ähnliches eingeben. [moderators note: 2 posts merged] |
|
|
|
|
|
MishaMuc
|
|
June 02, 2021, 08:48:26 AM |
|
Exodus hab ich am 16.05 um 20:16 runtergeladen gehabt, dann gleich installiert
20:17 Uhr gingen die ETH weg. Lag also sehr sicher an deinem Install / System. |
|
|
|
|
redpanda88 (OP)
Newbie
Offline
Activity: 20
Merit: 1
|
|
June 02, 2021, 09:04:14 AM
Last edit: June 02, 2021, 09:31:50 AM by mole0815 |
|
Exodus hab ich am 16.05 um 20:16 runtergeladen gehabt, dann gleich installiert
20:17 Uhr gingen die ETH weg. Lag also sehr sicher an deinem Install / System. Ja das denke ich auch, ich komm nur trotzdem nicht hin, ich kenne mich leider auch nicht so gut aus... Bist du aus München, weil du in deinem Namen Muc stehen hast. Wohne nämlich auch dort, vielleicht könntest du mir ja persönlich helfen...? Sorry meine Aufdringlichkeit, bin aber echt ratlos...
War der Laptop noch original verpackt?
Diese Frage erweitere ich mal... War das Garantiesiegel der Verpackung noch ungebrochen und Windows noch nicht aktiviert oder wäre es möglich das dieser "neue" Laptop bereits bei einem anderen Kunden von Euronics im Einsatz war und aus einer Retoure stammte? Hab jetzt nochmal Microsoft-Virenscan laufen lassen, der erkennt nix.
Ein Windows Virenscan erkennt solche Schadsoftware leider nur selten, da diese sich im aktiven System meist sehr gut "tarnt". Um sicher zu gehen solltest du mit einem externen Medium eine Linux Live Distribution starten und von dieser einen Virenscan anstoßen. Ich nutze dafür immer gern das Heise Desinfec't Paket. Danke für den Vorschlag, ich blicke da aber echt nicht durch, bin leider nicht sonderlich bewandert in solchen Dingen. Habe gerade Windows Defender offline laufen lassen, der findet auch nix. [moderators note: 2 posts merged] |
|
|
|
|
mole0815
Moderator
Legendary
Offline
Activity: 2352
Merit: 2638
Join the world-leading crypto sportsbook NOW!
|
|
June 02, 2021, 09:34:24 AM |
|
redpanda88 das mit dem  und  button müssen wir wohl noch etwas üben  Musste jetzt alle deine Beiträge nacharbeiten damit es hier nicht wieder rund geht mit Reports. Bitte keine Doppelpostings verfassen und Antworten so gut es geht in einzelne Beiträge zusammenfassen. Das geht ganz easy wenn du unter dem "Antwortfenster" die "Insert Quote" Möglichkeit verwendest... aber klar am Anfang und wenn man etwas durch den Wind ist nach so einer Action kann das schon mal passieren. Nicht böse gemeint und jetzt kann es hier mit der Ursachenforschung weiter gehen. Sieht leider wirklich nach geplant/systematisch abgeräumt aus. Online bei Euronics bestellt... (du meinst, dass da dann schon was draufgewesen sein könnte?) Sowas kann man nicht ausschließen. Ein Mitarbeiter? Oder jemand bestellt das Ding, sendet es manipuliert zurück und hofft, dass der nächste Käufer abgezockt werden kann? Beides durchaus möglich... leider. |
| | | .
.Duelbits. | | | █▀▀▀▀▀
█
█
█
█
█
█
█
█
█
█
█
█▄▄▄▄▄ | TRY OUR
NEW UNIQUE
GAMES! | | .
..DICE... | ███████████████████████████████
███▀▀ ▀▀███
███ ▄▄▄▄ ▄▄▄▄ ███
███ ██████ ██████ ███
███ ▀████▀ ▀████▀ ███
███ ███
███ ███
███ ███
███ ▄████▄ ▄████▄ ███
███ ██████ ██████ ███
███ ▀▀▀▀ ▀▀▀▀ ███
███▄▄ ▄▄███
███████████████████████████████ | .
.MINES. | ███████████████████████████████
████████████████████████▄▀▄████
██████████████▀▄▄▄▀█████▄▀▄████
████████████▀ █████▄▀████ █████
██████████ █████▄▀▀▄██████
███████▀ ▀████████████
█████▀ ▀██████████
█████ ██████████
████▌ ▐█████████
█████ ██████████
██████▄ ▄███████████
████████▄▄ ▄▄█████████████
███████████████████████████████ | .
.PLINKO. | ███████████████████████████████
█████████▀▀▀ ▀▀▀█████████
██████▀ ▄▄███ ███ ▀██████
█████ ▄▀▀ █████
████ ▀ ████
███ ███
███ ███
███ ███
████ ████
█████ █████
██████▄ ▄██████
█████████▄▄▄ ▄▄▄█████████
███████████████████████████████ | 10,000x
MULTIPLIER | │ | NEARLY UP TO
.50%. REWARDS | | | ▀▀▀▀▀█
█
█
█
█
█
█
█
█
█
█
█
▄▄▄▄▄█ |
|
|
|
bob123
Legendary
Offline
Activity: 1624
Merit: 2481
|
|
June 02, 2021, 11:49:22 AM |
|
CCleaner
Bitte niemals wieder so einen Müll installieren. Keine Ahnung wer dir dazu geraten hat, aber nimm von dieser Person nie wieder Tipps bezüglich PC's und alles was auch nur im entferntesten damit zu tun hat an. Ich habe für die Polizei eine Excel angefertigt, mit allen Transaktionen, die abgegangen sind [...]
Wird dir leider nichts bringen. Die Polizei weiß quasi nicht mal was Bitcoin sind. Dein Geld wirst du leider nicht mehr wiederbekommen. Das einzige was dir übrig bleibt: Herausfinden wie das passiert ist und für die Zukunft verhindern. Könntest du dazu bitte eine präzise Timeline erstellen mit allen relevanten Daten (Zeitpunkt der Installation von Exodus auf dem alten/neuen Rechner, Zeitpunkt der Transaktionen, etc...). |
|
|
|
MM_Group_
Member
Offline
Activity: 72
Merit: 12
|
|
June 02, 2021, 12:35:47 PM |
|
Ich habe es jetzt nirgends gesehen, falls ich es überlesen habe, sorry.
Die Restbestände in XRP und Stellar kommen daher, dass man das nicht versenden kann. Die Coins sind da quasi gelockt.
Wollte das nur kurz hinzufügen, falls ein neuer Leser sich das fragt.
|
|
|
|
|
redpanda88 (OP)
Newbie
Offline
Activity: 20
Merit: 1
|
|
June 02, 2021, 06:27:37 PM |
|
Könntest du dazu bitte eine präzise Timeline erstellen mit allen relevanten Daten (Zeitpunkt der Installation von Exodus auf dem alten/neuen Rechner, Zeitpunkt der Transaktionen, etc...).
Exodus auf dem alten Rechner ist schon mindestens 3 Jahre her. Auf dem neuen hatte ich Exodus am 16.05 um 20:16 Uhr runtergeladen, gleich installiert, um 20:17 Uhr - 20:20 Uhr gingen alle (9) Transaktionen ab (siehe oben). |
|
|
|
|
|
|
redpanda88 (OP)
Newbie
Offline
Activity: 20
Merit: 1
|
|
June 02, 2021, 06:39:38 PM |
|
Sowas kann man nicht ausschließen. Ein Mitarbeiter? Oder jemand bestellt das Ding, sendet es manipuliert zurück und hofft, dass der nächste Käufer abgezockt werden kann? Beides durchaus möglich... leider.
Aber ist das nicht auch irgendwie unwahrscheinlich? Wie hoch ist die Wahrscheinlichkeit, dass er/sie genau jemanden "erwischt", der dann ein Exodus-Wallet hat? Auf 100 Laptopts sind das ja vielleicht 3 oder so? Oder liege ich da komplett falsch? |
|
|
|
|
mole0815
Moderator
Legendary
Offline
Activity: 2352
Merit: 2638
Join the world-leading crypto sportsbook NOW!
|
|
June 02, 2021, 10:03:23 PM |
|
Klingt schon unwahrscheinlich aber mal laut gedacht kam mir das in den Sinn. Wie sonst? Exodus war es nicht... CCleaner oder der Downloader vielleicht? Das WLAN würde ich fast ausschließen denn dann wäre es schon früher passiert und nicht erst zeitgleich mit der Neuinstallation. Für mein Gefühl muss ein Keylogger der auf deinen seed in Verbindung mit einem Bot der die Daten sofort verarbeitet hat im Spiel gewesen sein!? Die Funds sind leider unwiederbringlich weg  |
| | | .
.Duelbits. | | | █▀▀▀▀▀
█
█
█
█
█
█
█
█
█
█
█
█▄▄▄▄▄ | TRY OUR
NEW UNIQUE
GAMES! | | .
..DICE... | ███████████████████████████████
███▀▀ ▀▀███
███ ▄▄▄▄ ▄▄▄▄ ███
███ ██████ ██████ ███
███ ▀████▀ ▀████▀ ███
███ ███
███ ███
███ ███
███ ▄████▄ ▄████▄ ███
███ ██████ ██████ ███
███ ▀▀▀▀ ▀▀▀▀ ███
███▄▄ ▄▄███
███████████████████████████████ | .
.MINES. | ███████████████████████████████
████████████████████████▄▀▄████
██████████████▀▄▄▄▀█████▄▀▄████
████████████▀ █████▄▀████ █████
██████████ █████▄▀▀▄██████
███████▀ ▀████████████
█████▀ ▀██████████
█████ ██████████
████▌ ▐█████████
█████ ██████████
██████▄ ▄███████████
████████▄▄ ▄▄█████████████
███████████████████████████████ | .
.PLINKO. | ███████████████████████████████
█████████▀▀▀ ▀▀▀█████████
██████▀ ▄▄███ ███ ▀██████
█████ ▄▀▀ █████
████ ▀ ████
███ ███
███ ███
███ ███
████ ████
█████ █████
██████▄ ▄██████
█████████▄▄▄ ▄▄▄█████████
███████████████████████████████ | 10,000x
MULTIPLIER | │ | NEARLY UP TO
.50%. REWARDS | | | ▀▀▀▀▀█
█
█
█
█
█
█
█
█
█
█
█
▄▄▄▄▄█ |
|
|
|
-doubleU-
Legendary
Offline
Activity: 1078
Merit: 1307
|
|
June 03, 2021, 05:31:23 AM |
|
Für mein Gefühl muss ein Keylogger der auf deinen seed in Verbindung mit einem Bot der die Daten sofort verarbeitet hat im Spiel gewesen sein!? Die Funds sind leider unwiederbringlich weg Nach ansehen der Transaktionen würde ich dies genau so vermuten, da der zeitliche Zusammenhang eigentlich eindeutig ist und die Empfängeradressen auch sehr stark diesen Anschein erwecken. Das die Ermittlungsbehörden da etwas erreichen halte ich für nahezu ausgschlossen, ist doch für viele Bearbeiter totales "Neuland" und wenn der Fall nicht bei Spezialisten landet wird da wohl leider nur ein Brief kommen das die Ermittlungen ergebnislos eingestellt wurden.  @ redpanda88Wichtig ist jedenfalls das dein derzeitiges System als kompromittiert einzustufen ist und du keinesfalls irgend etwas mir Kryptowerten mit dem Rechner tun solltest, bis dieser komplett neu aufgesetzt wurde. Einem Scan mit Windows Defender kann man in diesem Fall leider nicht vertrauen bzw. sich auf ein negatives Ergebnis verlassen. GGfl. bei der Polizei vor einer Neuinstallion noch mal nachfragen ob IT-Forensiker sich den Rechner nochmals anschauen wollen um die Art und Weise des Diebstals feststellen und dokumentieren zu können. Gerade in deinem Fall gibt es ja relativ wenig Varianten wo die Schadsoftware hergekommen sein könnte. Gleichzeitig erhöht dies vielleicht auch ein wenig den Druck, das sich Spezialisten mit deinem Fall befassen  |
|
|
|
|
MishaMuc
|
|
June 03, 2021, 09:02:01 AM |
|
Ja das denke ich auch, ich komm nur trotzdem nicht hin, ich kenne mich leider auch nicht so gut aus...
Bist du aus München, weil du in deinem Namen Muc stehen hast. Wohne nämlich auch dort, vielleicht könntest du mir ja persönlich helfen...? Sorry meine Aufdringlichkeit, bin aber echt ratlos...
Sorry, ich glaub da bin ich nicht der richtige. Wenn du dir Hoffnung machst, deine Coins so wieder zu bekommen, dann muss ich dich eh enttäuschen. Natürlich wäre es trotzdem sehr interessant, wie das alles abgelaufen ist. Und da wäre vermutlich - wie von Mole schon geschrieben - ein Fachmann am Besten für geeignete. |
|
|
|
|
bct_ail
Legendary
Offline
Activity: 2632
Merit: 2221
https://t1p.de/6ghrf
|
|
June 03, 2021, 02:31:37 PM |
|
Bist du der einzige, der Zugang zum Laptop hat` Wichtig ist jedenfalls das dein derzeitiges System als kompromittiert einzustufen ist und du keinesfalls irgend etwas mir Kryptowerten mit dem Rechner tun solltest, bis dieser komplett neu aufgesetzt wurde.
Vorm Neuaufsetzen würde ich ein Image ziehen und es wegpacken. Neu aufsetzen lieber mit Linux als Windows. |
|
|
|
|
bob123
Legendary
Offline
Activity: 1624
Merit: 2481
|
|
June 03, 2021, 02:38:03 PM |
|
Exodus auf dem alten Rechner ist schon mindestens 3 Jahre her.
Auf dem neuen hatte ich Exodus am 16.05 um 20:16 Uhr runtergeladen, gleich installiert, um 20:17 Uhr - 20:20 Uhr gingen alle (9) Transaktionen ab (siehe oben).
Da lässt sich ja mit sehr hoher Wahrscheinlichkeit daraus schließen, dass es irgendwie mit dem neuen Rechner zusammen hängt. Hast du evtl. eine nicht-lizensierte Version von Windows genutzt? Diese gecrackten Versionen sind immer mit Schadsoftware bestückt. Oder irgendeine andere Software? Eine andere Person? War der Rechner bereits mit einem Betriebssystem ausgestattet beim Kauf (evtl. hat jemand den Rechner gekauft, Malware installiert und zurückgegeben?)? Etwas anderes installiert neben CCleaner und JDownloader? |
|
|
|
Lafu
Legendary
Offline
Activity: 2968
Merit: 3046
|
|
June 03, 2021, 03:44:26 PM |
|
Etwas anderes installiert neben CCleaner und JDownloader?
Habe das schon ein paar mal gefragt aber irgendwie keine antwort dazu bekommen ! Und ja es muss eingentlich so sein das der neu Laptop mit irgendwas infiziert war oder ist. Vorher hatte er ja auch keine probleme , aber solange er nicht schreibt was genau passiert ist können wir nur raten. |
|
|
|
o_solo_miner
Legendary
Offline
Activity: 2452
Merit: 1476
-> morgen, ist heute, schon gestern <-
|
|
June 03, 2021, 06:05:17 PM |
|
Interesant wären die Quellen aus denen er den ccleaner und jdownloader bezogen hat.
Dann könnte man das mal in einer VM und Wireshark mal prüfen bzw. Nachvollziehen.
Aber jetzt wo das Kind schon im Brunnen liegt, nur von Akademischen Interesse.
|
from the creator of CGMiner http://solo.ckpool.org for Solominers paused: passthrough for solo.ckpool.org => stratum+tcp://rfpool.org:3334 |
|
|
|
