Exodus wallet beim restore gehackt - page 2.

bct_ail

legendary

Activity: 2534

Merit: 2144

https://t1p.de/6ghrf

Bist du der einzige, der Zugang zum Laptop hat`

Quote from: -doubleU- on June 03, 2021, 01:31:23 AM

Wichtig ist jedenfalls das dein derzeitiges System als kompromittiert einzustufen ist und du keinesfalls irgend etwas mir Kryptowerten mit dem Rechner tun solltest, bis dieser komplett neu aufgesetzt wurde.

Vorm Neuaufsetzen würde ich ein Image ziehen und es wegpacken. Neu aufsetzen lieber mit Linux als Windows.

MishaMuc

hero member

Activity: 1428

Merit: 589

Quote from: redpanda88 on June 02, 2021, 05:04:14 AM

Ja das denke ich auch, ich komm nur trotzdem nicht hin, ich kenne mich leider auch nicht so gut aus...
Bist du aus München, weil du in deinem Namen Muc stehen hast. Wohne nämlich auch dort, vielleicht könntest du mir ja persönlich helfen...? Sorry meine Aufdringlichkeit, bin aber echt ratlos...

Sorry, ich glaub da bin ich nicht der richtige. Wenn du dir Hoffnung machst, deine Coins so wieder zu bekommen, dann muss ich dich eh enttäuschen. Natürlich wäre es trotzdem sehr interessant, wie das alles abgelaufen ist. Und da wäre vermutlich - wie von Mole schon geschrieben - ein Fachmann am Besten für geeignete.

-doubleU-

legendary

Activity: 1078

Merit: 1307

Quote from: mole0815 on June 02, 2021, 06:03:23 PM

Für mein Gefühl muss ein Keylogger der auf deinen seed in Verbindung mit einem Bot der die Daten sofort verarbeitet hat im Spiel gewesen sein!?

Die Funds sind leider unwiederbringlich weg Lips sealed

Nach ansehen der Transaktionen würde ich dies genau so vermuten, da der zeitliche Zusammenhang eigentlich eindeutig ist und die Empfängeradressen auch sehr stark diesen Anschein erwecken. Das die Ermittlungsbehörden da etwas erreichen halte ich für nahezu ausgschlossen, ist doch für viele Bearbeiter totales "Neuland" und wenn der Fall nicht bei Spezialisten landet wird da wohl leider nur ein Brief kommen das die Ermittlungen ergebnislos eingestellt wurden. Undecided

@redpanda88
Wichtig ist jedenfalls das dein derzeitiges System als kompromittiert einzustufen ist und du keinesfalls irgend etwas mir Kryptowerten mit dem Rechner tun solltest, bis dieser komplett neu aufgesetzt wurde. Einem Scan mit Windows Defender kann man in diesem Fall leider nicht vertrauen bzw. sich auf ein negatives Ergebnis verlassen.
GGfl. bei der Polizei vor einer Neuinstallion noch mal nachfragen ob IT-Forensiker sich den Rechner nochmals anschauen wollen um die Art und Weise des Diebstals feststellen und dokumentieren zu können. Gerade in deinem Fall gibt es ja relativ wenig Varianten wo die Schadsoftware hergekommen sein könnte. Gleichzeitig erhöht dies vielleicht auch ein wenig den Druck, das sich Spezialisten mit deinem Fall befassen Wink

mole0815

staff

Activity: 2310

Merit: 2632

Join the world-leading crypto sportsbook NOW!

Klingt schon unwahrscheinlich aber mal laut gedacht kam mir das in den Sinn.
Wie sonst? Exodus war es nicht... CCleaner oder der Downloader vielleicht?

Das WLAN würde ich fast ausschließen denn dann wäre es schon früher passiert und nicht erst zeitgleich mit der Neuinstallation.

Für mein Gefühl muss ein Keylogger der auf deinen seed in Verbindung mit einem Bot der die Daten sofort verarbeitet hat im Spiel gewesen sein!?

Die Funds sind leider unwiederbringlich weg Lips sealed

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: mole0815 on June 02, 2021, 05:34:24 AM

Sowas kann man nicht ausschließen. Ein Mitarbeiter? Oder jemand bestellt das Ding, sendet es manipuliert zurück und hofft, dass der nächste Käufer abgezockt werden kann? Beides durchaus möglich... leider.

Aber ist das nicht auch irgendwie unwahrscheinlich? Wie hoch ist die Wahrscheinlichkeit, dass er/sie genau jemanden "erwischt", der dann ein Exodus-Wallet hat? Auf 100 Laptopts sind das ja vielleicht 3 oder so? Oder liege ich da komplett falsch?

Lafu

legendary

Activity: 2940

Merit: 3030

Die Adresse sieht mir aufjedenfall nach einer Hacker Adresse aus !
https://etherscan.io/address/0xa3920289d54f33f706879a43e6ac2a74c38f2608#analytics

Am 20, Mai 2021 waren dort 81.64661256117549 ETH in der Adresse !

Auch hier bei den Transactions is ein gewisses muster zu erkennen wenn man dort auf transactions click sieht man es !

https://etherscan.io/address/0xa3920289d54f33f706879a43e6ac2a74c38f2608#analytics

Im 2 tages rhythmus kammen da Coins rein von immer unterschiedlichen adressen .
Also denke ich das du nicht alleine bist dem Coins geklaut wurden.

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: bob123 on June 02, 2021, 07:49:22 AM

Könntest du dazu bitte eine präzise Timeline erstellen mit allen relevanten Daten (Zeitpunkt der Installation von Exodus auf dem alten/neuen Rechner, Zeitpunkt der Transaktionen, etc...).

Exodus auf dem alten Rechner ist schon mindestens 3 Jahre her.
Auf dem neuen hatte ich Exodus am 16.05 um 20:16 Uhr runtergeladen, gleich installiert, um 20:17 Uhr - 20:20 Uhr gingen alle (9) Transaktionen ab (siehe oben).

MM_Group_

member

Activity: 72

Merit: 12

Ich habe es jetzt nirgends gesehen, falls ich es überlesen habe, sorry.
Die Restbestände in XRP und Stellar kommen daher, dass man das nicht versenden kann. Die Coins sind da quasi gelockt.
Wollte das nur kurz hinzufügen, falls ein neuer Leser sich das fragt.

bob123

legendary

Activity: 1624

Merit: 2481

Quote from: redpanda88 on June 02, 2021, 01:08:20 AM

CCleaner

Bitte niemals wieder so einen Müll installieren.
Keine Ahnung wer dir dazu geraten hat, aber nimm von dieser Person nie wieder Tipps bezüglich PC's und alles was auch nur im entferntesten damit zu tun hat an.

Quote from: redpanda88 on June 02, 2021, 03:01:54 AM

Ich habe für die Polizei eine Excel angefertigt, mit allen Transaktionen, die abgegangen sind [...]

Wird dir leider nichts bringen. Die Polizei weiß quasi nicht mal was Bitcoin sind.
Dein Geld wirst du leider nicht mehr wiederbekommen.

Das einzige was dir übrig bleibt: Herausfinden wie das passiert ist und für die Zukunft verhindern.

Könntest du dazu bitte eine präzise Timeline erstellen mit allen relevanten Daten (Zeitpunkt der Installation von Exodus auf dem alten/neuen Rechner, Zeitpunkt der Transaktionen, etc...).

mole0815

staff

Activity: 2310

Merit: 2632

Join the world-leading crypto sportsbook NOW!

redpanda88 das mit dem

und

button müssen wir wohl noch etwas üben

Musste jetzt alle deine Beiträge nacharbeiten damit es hier nicht wieder rund geht mit Reports.

Bitte keine Doppelpostings verfassen und Antworten so gut es geht in einzelne Beiträge zusammenfassen.
Das geht ganz easy wenn du unter dem "Antwortfenster" die "Insert Quote" Möglichkeit verwendest... aber klar am Anfang und wenn man etwas durch den Wind ist nach so einer Action kann das schon mal passieren. Nicht böse gemeint und jetzt kann es hier mit der Ursachenforschung weiter gehen.

Sieht leider wirklich nach geplant/systematisch abgeräumt aus.

Quote from: redpanda88 on June 02, 2021, 03:59:26 AM

Online bei Euronics bestellt... (du meinst, dass da dann schon was draufgewesen sein könnte?)

Sowas kann man nicht ausschließen. Ein Mitarbeiter? Oder jemand bestellt das Ding, sendet es manipuliert zurück und hofft, dass der nächste Käufer abgezockt werden kann? Beides durchaus möglich... leider.

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: MishaMuc on June 02, 2021, 04:48:26 AM

Quote

Exodus hab ich am 16.05 um 20:16 runtergeladen gehabt, dann gleich installiert

20:17 Uhr gingen die ETH weg.
Lag also sehr sicher an deinem Install / System.

Ja das denke ich auch, ich komm nur trotzdem nicht hin, ich kenne mich leider auch nicht so gut aus...
Bist du aus München, weil du in deinem Namen Muc stehen hast. Wohne nämlich auch dort, vielleicht könntest du mir ja persönlich helfen...? Sorry meine Aufdringlichkeit, bin aber echt ratlos...

Quote from: -doubleU- on June 02, 2021, 04:17:36 AM

Quote from: MishaMuc on June 02, 2021, 04:04:52 AM

War der Laptop noch original verpackt?

Diese Frage erweitere ich mal... War das Garantiesiegel der Verpackung noch ungebrochen und Windows noch nicht aktiviert oder wäre es möglich das dieser "neue" Laptop bereits bei einem anderen Kunden von Euronics im Einsatz war und aus einer Retoure stammte?

Quote from: ?? on ??

Hab jetzt nochmal Microsoft-Virenscan laufen lassen, der erkennt nix.

Ein Windows Virenscan erkennt solche Schadsoftware leider nur selten, da diese sich im aktiven System meist sehr gut "tarnt".
Um sicher zu gehen solltest du mit einem externen Medium eine Linux Live Distribution starten und von dieser einen Virenscan anstoßen. Ich nutze dafür immer gern das Heise Desinfec't Paket.

Danke für den Vorschlag, ich blicke da aber echt nicht durch, bin leider nicht sonderlich bewandert in solchen Dingen. Habe gerade Windows Defender offline laufen lassen, der findet auch nix.

[moderators note: 2 posts merged]

MishaMuc

hero member

Activity: 1428

Merit: 589

Quote

Exodus hab ich am 16.05 um 20:16 runtergeladen gehabt, dann gleich installiert

20:17 Uhr gingen die ETH weg.
Lag also sehr sicher an deinem Install / System.

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: MishaMuc on June 02, 2021, 04:18:53 AM

Siehst sehr systematisch leergeräumt aus. mMn definitiv geplant/automatisiert.

Du hast am 16.05. ebenfalls den Laptop erstmalig mit Exodus genutzt, korrekt?
Weißt du noch wann du die Version installiert hast?

Exodus hab ich am 16.05 um 20:16 runtergeladen gehabt, dann gleich installiert

Quote from: MishaMuc on June 02, 2021, 04:04:52 AM

Neben Schadsoftware durch CCleaner und Browser die einzig logische Möglichkeit.
Prüfe mal den hash von den beiden auch.

War der Laptop noch original verpackt?

Die beiden Installationsdateien habe ich leider nicht mehr...
Der Laptop sah Originalverpackt aus, Siegel war dran (sofern ich mich richtig erinnere). Also mich hat jetzt nichts stutzig gemacht...
Das einzige was ich mich jetzt erinnere ist, dass die Garantie im Lenovo Vantage damals nicht der 14/05 war, sondern schon vorher... Jetzt steht da jedoch 14.05 (Tag, andem ich den Laptop das erste mal eingeschalten habe.

Windows hat sich ganz "normal" verhalten, also "Willkommen usw.", dann upgedatet und fertig. Ich musste jedoch keinen Registrierungscode oder ähnliches eingeben.

[moderators note: 2 posts merged]

MishaMuc

hero member

Activity: 1428

Merit: 589

Quote from: redpanda88 on June 02, 2021, 04:12:40 AM

1: https://etherscan.io/tx/0xe12346a9c45bb2d0b41337596c6d76ad5abceefcefb304119bc5bc4c5b0f33e9
2: https://mempool.space/tx/39e90096d6c279425b6137d5832195831436ba47c16c6465af4e344bc02ac3f9
3: https://xrpscan.com/tx/38C8F8663DC214C73FBB476C5752B5A7DFE3FBD1B98AFF08E29BC465D1FC38EC
4: https://blockchair.com/litecoin/transaction/73d1b69fd0658d66bf6b39fd00acd5cc870ff417e079d564568b9c65a0fd6028
5: https://stellar.expert/explorer/public/tx/35b4a3ca872177108b2c22e730da8e3ed0f8087907affbc438007db888a56ce4
6: https://etherscan.io/tx/0xe563fe114be70b2e5de862ddbb70a0a5cf8e6e1b338c3fc04dda5480a36ea813
7: https://explorer.bitcoingold.org/insight/tx/f98e5c6dc71c70be1c2484c76bf94f8eba40a2ccf6e8aa08d39b67851a3a3d49
8: https://etherscan.io/tx/0x800aba03463ef631ca415a403c34da7c8091ae4d65d0e046e6809050b41e3daf
9: https://etherscan.io/tx/0xd5e349e5368edecc6a841bf43555d2bcd436cba4332bf105050ca072013f1b6c

Das waren alle Transaktionen...

Siehst sehr systematisch leergeräumt aus. mMn definitiv geplant/automatisiert.

Du hast am 16.05. ebenfalls den Laptop erstmalig mit Exodus genutzt, korrekt?
Weißt du noch wann du die Version installiert hast?

-doubleU-

legendary

Activity: 1078

Merit: 1307

Quote from: MishaMuc on June 02, 2021, 04:04:52 AM

War der Laptop noch original verpackt?

Diese Frage erweitere ich mal... War das Garantiesiegel der Verpackung noch ungebrochen und Windows noch nicht aktiviert oder wäre es möglich das dieser "neue" Laptop bereits bei einem anderen Kunden von Euronics im Einsatz war und aus einer Retoure stammte?

Quote from: ?? on ??

Hab jetzt nochmal Microsoft-Virenscan laufen lassen, der erkennt nix.

Ein Windows Virenscan erkennt solche Schadsoftware leider nur selten, da diese sich im aktiven System meist sehr gut "tarnt".
Um sicher zu gehen solltest du mit einem externen Medium eine Linux Live Distribution starten und von dieser einen Virenscan anstoßen. Ich nutze dafür immer gern das Heise Desinfec't Paket.

redpanda88

newbie

Activity: 20

Merit: 1

1: https://etherscan.io/tx/0xe12346a9c45bb2d0b41337596c6d76ad5abceefcefb304119bc5bc4c5b0f33e9
2: https://mempool.space/tx/39e90096d6c279425b6137d5832195831436ba47c16c6465af4e344bc02ac3f9
3: https://xrpscan.com/tx/38C8F8663DC214C73FBB476C5752B5A7DFE3FBD1B98AFF08E29BC465D1FC38EC
4: https://blockchair.com/litecoin/transaction/73d1b69fd0658d66bf6b39fd00acd5cc870ff417e079d564568b9c65a0fd6028
5: https://stellar.expert/explorer/public/tx/35b4a3ca872177108b2c22e730da8e3ed0f8087907affbc438007db888a56ce4
6: https://etherscan.io/tx/0xe563fe114be70b2e5de862ddbb70a0a5cf8e6e1b338c3fc04dda5480a36ea813
7: https://explorer.bitcoingold.org/insight/tx/f98e5c6dc71c70be1c2484c76bf94f8eba40a2ccf6e8aa08d39b67851a3a3d49
8: https://etherscan.io/tx/0x800aba03463ef631ca415a403c34da7c8091ae4d65d0e046e6809050b41e3daf
9: https://etherscan.io/tx/0xd5e349e5368edecc6a841bf43555d2bcd436cba4332bf105050ca072013f1b6c

Das waren alle Transaktionen...

MishaMuc

hero member

Activity: 1428

Merit: 589

Quote from: redpanda88 on June 02, 2021, 03:59:26 AM

Quote from: MishaMuc on June 02, 2021, 03:47:54 AM

Woher stammt der neue Laptop?

Online bei Euronics bestellt... (du meinst, dass da dann schon was draufgewesen sein könnte?)

Neben Schadsoftware durch CCleaner und Browser die einzig logische Möglichkeit.
Prüfe mal den hash von den beiden auch.

War der Laptop noch original verpackt?

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: MishaMuc on June 02, 2021, 03:47:54 AM

Woher stammt der neue Laptop?

Online bei Euronics bestellt... (du meinst, dass da dann schon was draufgewesen sein könnte?)

MishaMuc

hero member

Activity: 1428

Merit: 589

Woher stammt der neue Laptop?
Die Transaktionen kannst du theoretisch auch hier posten.

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: -doubleU- on June 01, 2021, 06:09:22 PM

Sehr Mysteriös das ganze... Wurden auf die Empfängeradressen (der Diebe) auch Coins transferiert welche nicht von dir stammen? Würdest du eventuell die entsprechenden Transaktionen hier offen legen? Hat der Exodus Support noch einen anderen Hinweis gegeben, außer das du die Behörden einschalten sollst?

Ich habe für die Polizei eine Excel angefertigt, mit allen Transaktionen, die abgegangen sind, die kann ich dir gerne per privater Nachricht schicken oder?

Vom Support habe ich bisher eine Antwort, also da geht alles sehr zäh. Nicht wie hier, vielen Dank für eure Tipps/Hilfe/Einsatz!

Quote from: -doubleU- on June 02, 2021, 01:26:08 AM

Dann könnte es eventuell der CCleaner gewesen sein, welcher unerwünschte Software auf dein System eingeschleust hat.
Dieses Tool hat in der Vergangenheit schon öfters für Schlagzeilen gesorgt, da auch kompromittierte Versionen im Umlauf waren. Je nach dem wo du dieses Installationsquelle herrunter geladen hast, wäre dies zumindest eine potentielle Möglichkeit die mir hier sofort ins Auge fällt.
Selbst Microsoft steht diesem Tool seit einiger Zeit skeptisch gegenüber -> https://t3n.de/news/windows-defender-warnt-einstiges-1305306/

Habe den CCleaner unter der offiziellen Homepage runtergeladen... Und ohne anderer "angehänger Software".
Hab jetzt nochmal Microsoft-Virenscan laufen lassen, der erkennt nix.

[moderators note: 2 posts merged]

Topic: Exodus wallet beim restore gehackt - page 2. (Read 571 times)