Virus verdacht

      Virus verdacht

      Hallo M2Bob Team

      Ich habe kürzlich mit M2Bob ein bischen herum experimentiert und bin auf etwas beunruhigende Sachen gestossen:

      Aus der M2Bob.exe (dissassemly):
      • Zugriff auf diverse System32 DLLs wie kernel32.dll oder winuser32.dll. Wozu werden diese benötigt? Ich weiss, für gewisse Cheats braucht es Funktionen von da, aber es wurden auch Systemfunktionen ausgeführt, welche ich in keinerlei hinsicht auf den Bot erkennen kann. Für mich sieht es mehr aus wie ein Keylogger, der im Bot versteckt ist.
      • In einem Memorydump wurden Signaturen von einem Trojan / Spyware agent gefunden während der bot offen war, bei einem weiteren scan nachdem der Bot geschlossen war kamen diese Signaturen erneut zum Vorschein (also ob noch etwas im Hintergrund weiterläuft).
      • Nach dem öffnen von M2Bob.exe (auch weiterhin nach dem schliessen) benötigt "dmw.exe" massiv mehr Leistung auf dem CPU, was ein weiteres Indiz für ein Virus sein kann.
      • Nach dem Neustart des PC (incl deaktivierung von Windows state feutures) läuft der PC wieder wie gewohnt
      ​Von Antivirus Programmen:
      • Es wird bei so gut wie allen Antivirus Programmen ein Trojaner Entdeckt. Dieser Trojaner soll auch einen Keylogger enthalten, wie schon durch die Systemfunktionen vermutet

      Kann da einmal ein Admin dazu ein Statement abliefern...?
      Nicht einfach dass es sich nicht um einen Virus handelt sondern vlt mal genauer, warum diese Systemfunktionen benutzt werden

      Für alle die den Cheat benutzen:
      Braucht eine VirtualBox, einfach aus Sicherheit....
      Muss ich zu sowas jetzt wirklich was schreiben? :o
      Ich bin ja beeindruckt, wie auch erfahrene User hier direkt auf den Zug aufspringen...M2Bob gibt es seit Jahren, und ich glaube dass langsam klar sein sollte, dass uns die Nutzer am Herzen liegen, und wir nicht aufs Daten stehlen aus sind

      1. Natürlich werden keine Metindaten an den M2Bob Server gesendet, die sind in der Datei userdata.bob und es findet auch keinerlei Netzwerktraffic dafür statt...
      2. Es existiert sogut wie kein Windowsprogramm, welches nicht auf die dlls kernel32.dll und winuser32.dll zugreift. Beispiel, um eine .dll zu injecten wird diese Funktion hier ausgeführt: docs.microsoft.com/en-us/windo…libloaderapi-loadlibrarya diese befindet sich in der dll kernel32.dll, also muss diese natürlich geladen sein
      3. Das viele Scanner M2Bob als Virus erkennen nervt mich auch etwas, liegt aber zum Großteil an Packern, die wir verwenden müssen damit das Programm auch Cracksicher bleibt...allerdings habe ich die letzten zwei Tage schon gearbeitet daran, dass das beim Defender zumindest nicht mehr so ist. Die Detections dabei sind ziemlich zufällig, das läuft so ab, dass ich Teile vom Programm rausnehme und dann einfach teste ob es immernoch erkannt wird...
      4. Also mit der Datei "dmw.exe" hat M2Bob nun garnichts zu tun..ich kann mir vorstellen, dass die Datei mit der 3D-Engine von Metin zu tun hat. PS: Man kann auch den Dateipfad von dwm.exe öffnen und anhand der digitalen Signatur schauen ob die Datei original oder motifiziert ist (Signatur sollte von Microsoft sein), das geht so indem ihr die Datei als Administrator zu starten versucht und wenn bei der Windowswarnung "verifizierter Herausgeber" steht ist sie verifiziert, wenn "unbekannter Herausgeber" steht dann nicht.

      Behauptungen aufstellen kann natürlich jeder - wenn da der Aluhut zu fest sitzt kann ich auch nichts dafür :)


      RealB0B wrote:

      Heggeg wrote:

      @Slait ?


      Was die antwort sein wird wie immer:

      "Ihr braucht euch keine Sorgen zu machen, wir haben keinen keylogger und eure Daten werden auch nicht Dezentral gespeichert"- zitat ende @Marshall @Halabaya


      Da ich markiert wurde:
      Die Daten sind in der userdata.bob lokal auf dem eigenen Computer gespeichert. Eine Übertragung der Daten (bspw. id+pw) erfolgt nicht. Das ist nicht einfach so „wie immer dahingeschwätzt“, sondern lediglich die Fakten, bei denen wir auch bleiben sollten :)

      RealB0B wrote:

      Ich möchte hier niemanden öffentlich an den Pranger stellen oder sonstiges.
      Falls @Slait ohne Zensur den Screenshot haben möchte, kann ich es ihm zu kommen lassen.

      Screenshot: gyazo.com/855114235f62c4c2b053895d262aa273

      Ich glaube da ist Erklärungsbedarf.


      Du versuchst genau mit diesem Post u.a. Slait an den Pranger zu stellen, da du eine Aussage (ohne seriöse Quelle) in den Raum stellst und „Erklärungsbedarf“ forderst.

      Zum Thema Accountsicherheit (+ Keylogger, Zugriffe auf den eigenen PC):

      Hier spielen gefühlt 50% der Community auf (privaten) Servern, die zum Teil den gesamten PC, Prozesse und Anwendungen durchsuchen, dabei Systemdateien (z.B. hosts Datei) abändern und sonstige Dinge auf dem Computer anstellen. Dazu kommen dann noch unsichere Datenbanken, die andauernd in irgendwelchen Foren geleakt werden und im Klartext Format (id:pw) angeboten werden. Ich würde mich da nicht wundern, wenn plötzlich mein Account geknackt wurde, weil von irgendeinem X beliebigen 0815 Server schon wieder die DB geleakt wurde, wo die selben Daten wie z.B. auf einem offiziellen Server verwendet wurden. Als Info: Es gibt Tools, die automatisch (teils parallel) diese Datenbankeinträge durch gehen und dabei die erfolgreichen Logins in einer separaten Liste abspeichert.


      Less active until august
      PM‘s are disabled. Use our Discord Server ;)
      @Discord @Elitepvpers @Homepage @Changelog @Buy_M2Bob(REF)

      Post was edited 4 times, last by “Marshall” ().

      Ich weiß nicht ob ich lachen oder weinen soll...

      By the way... dmw ist eine Schnittstelle für Aeropeek..

      "Desktop Window Manager ist ein Composite-fähiger Fenstermanager,
      der in Microsoft Windows Vista eingeführt wurde. DWM ermöglicht die
      Windows-Aero-Benutzerschnittstelle. In der Windows Vista Starter Edition
      ist DWM nicht enthalten.
      Der DWM ist in Windows als Service implementiert"

      Quelle: Internet bruder

      Slait wrote:

      Muss ich zu sowas jetzt wirklich was schreiben? :o
      Ich bin ja beeindruckt, wie auch erfahrene User hier direkt auf den Zug aufspringen...M2Bob gibt es seit Jahren, und ich glaube dass langsam klar sein sollte, dass uns die Nutzer am Herzen liegen, und wir nicht aufs Daten stehlen aus sind

      1. Natürlich werden keine Metindaten an den M2Bob Server gesendet, die sind in der Datei userdata.bob und es findet auch keinerlei Netzwerktraffic dafür statt...
      2. Es existiert sogut wie kein Windowsprogramm, welches nicht auf die dlls kernel32.dll und winuser32.dll zugreift. Beispiel, um eine .dll zu injecten wird diese Funktion hier ausgeführt: docs.microsoft.com/en-us/windo…libloaderapi-loadlibrarya diese befindet sich in der dll kernel32.dll, also muss diese natürlich geladen sein
      3. Das viele Scanner M2Bob als Virus erkennen nervt mich auch etwas, liegt aber zum Großteil an Packern, die wir verwenden müssen damit das Programm auch Cracksicher bleibt...allerdings habe ich die letzten zwei Tage schon gearbeitet daran, dass das beim Defender zumindest nicht mehr so ist. Die Detections dabei sind ziemlich zufällig, das läuft so ab, dass ich Teile vom Programm rausnehme und dann einfach teste ob es immernoch erkannt wird...
      4. Also mit der Datei "dmw.exe" hat M2Bob nun garnichts zu tun..ich kann mir vorstellen, dass die Datei mit der 3D-Engine von Metin zu tun hat. PS: Man kann auch den Dateipfad von dwm.exe öffnen und anhand der digitalen Signatur schauen ob die Datei original oder motifiziert ist (Signatur sollte von Microsoft sein), das geht so indem ihr die Datei als Administrator zu starten versucht und wenn bei der Windowswarnung "verifizierter Herausgeber" steht ist sie verifiziert, wenn "unbekannter Herausgeber" steht dann nicht.

      Behauptungen aufstellen kann natürlich jeder - wenn da der Aluhut zu fest sitzt kann ich auch nichts dafür :)


      Rechtfertige dich doch nicht bei sowas :D