eBay Account gehackt!

#1 Hallo zusammen,
ich hoffe ich bin hier richtig und jemand hat ne Idee zur Hilfe!!
Zufällig hatte ich hier etwas gesehen, was ich über Neo Trace auch bekommen habe. (übrigens genau diese Daten auch)!
Kurze Schilderung:
Gestern sitze ich vor meinem PC (online) und bekomme zwei eMails von eBay, mit Bestätigung darüber, das mein eBay-Name und mein Passort erfolgreich geändert wurde. Das war schon merkwürdig, da ich das sicher nicht gemacht habe.
Die IP Nummer und der (host?) String dahinter lautete:
IP-Adresse: 80.131.185.72
ISP-Host: p5083b948.dip.t-dialin.net
und dies hier gab mir dann Neo Trace nach sofortiger Eingabe der IP Nummer aus:
Kann mir jemand sagen, ob dieser Name "Daniel Kaufmann" derjenige ist welcher das machte?
NeoTrace Trace Version 3.25 - TRIAL Results
Target: 80.131.185.72
Date: 02.04.03 (Wednesday), 18:45:08
Nodes: 12

Node Data
Node Net Reg IP Address Location Node Name
12 1 1 80.131.185.72 Unknown p5083b948.dip.t-dialin.net

Packet Data
Node High Low Avg Tot Lost
12 ---- ---- ---- 12 12

Network Data
Network id#: 1

OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: Singel 258
Address: 1016 AB
City: Amsterdam
StateProv:
PostalCode:
Country: NL

NetRange: 80.0.0.0 - 80.255.255.255
CIDR: 80.0.0.0/8
NetName: 80-RIPE
NetHandle: NET-80-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS.RIPE.NET
NameServer: AUTH62.NS.UU.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: MUNNARI.OZ.AU
NameServer: NS.APNIC.NET
NameServer: SVC00.APNIC.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at whois.ripe.net
Comment:
RegDate:
Updated: 2002-09-11

OrgTechHandle: RIPE-NCC-ARIN
OrgTechName: RIPE NCC Hostmaster
OrgTechPhone: +31 20 535 4444
OrgTechEmail: nicdb@ripe.net

ARIN WHOIS database, last updated 2003-04-01 20:00

Registrant Data
Registrant id#: 1
NOTICE AND TERMS OF USE: You are not authorized to access or query our WHOIS
database through the use of high-volume, automated, electronic processes. The
Data in VeriSign's WHOIS database is provided by VeriSign for information
purposes only, and to assist persons in obtaining information about or related
to a domain name registration record. VeriSign does not guarantee its accuracy.
By submitting a WHOIS query, you agree to abide by the following terms of use:
You agree that you may use this Data only for lawful purposes and that under no
circumstances will you use this Data to: (1) allow, enable, or otherwise support
the transmission of mass unsolicited, commercial advertising or solicitations
via e-mail, telephone, or facsimile; or (2) enable high volume, automated,
electronic processes that apply to VeriSign (or its computer systems). The
compilation, repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to use
high-volume, automated, electronic processes to access or query the WHOIS
database. VeriSign reserves the right to terminate your access to the WHOIS
database in its sole discretion, including without limitation, for excessive
querying of the WHOIS database or for failure to otherwise abide by this policy.
VeriSign reserves the right to modify these terms at any time.

Registrant:
Deutsche Telekom Online Service GmbH (T-DIALIN2-DOM)
Waldstrasse 3
Weiterstadt
DE

Domain Name: T-DIALIN.NET

Administrative Contact, Technical Contact:
Kaufmann, Daniel (DK162-RIPE) d.kaufmann@T-ONLINE.NET
Deutsche Telekom Online Service GmbH
Julius-Reiber-Str.37
Darmstadt
Germany
D-6429
DE
+49 61 51 680 537 (FAX) +49 61 51 680 519

Record expires on 10-Feb-2004.
Record created on 10-Feb-1999.
Database last updated on 2-Apr-2003 11:43:52 EST.

Domain servers in listed order:

DNS00.SDA.T-ONLINE.DE 195.145.119.62
DNS01.SDA.T-ONLINE.DE 195.145.119.189
DNS00.SUL.T-ONLINE.DE 62.153.158.62

Antworten auch gerne direkt falls wichtig an Garwaiyn@aol.com
Danke!

#2 alsooo was ich dazu sagen kann...
ich hatte heute warnung von wegen backdoor/subseven
hab auch nach der ip gesucht usw und da kam auch dieser daniel kaufmann ABER bei mir stand da das der vom administrativen bereich bei t-online tätig ist...stand adresse und alles da.... ist also die kontaktperson an die du dich wenden kannst denke ich!

#3 Da hat jemand schlichtweg ueber eine dynamische IP Adresse Aerger gemacht. Der Owner der festen IP Adresse ist der Herr Kaufmann, der nur die Telecom repraesentiert und ueberhaupt nichts dafuer kann . Er hat nur fuer die Beantragung der IP Adresse seinen Namen hergegeben. (Irgendjemand muss ja den Kopf hinhalten ).

whois liefert

Code

inetnum:      80.128.0.0 - 80.146.159.255
netname:      DTAG-DIAL16
descr:        Deutsche Telekom AG
country:      DE
admin-c:      DTIP
tech-c:       DTST
status:       ASSIGNED PA
remarks:      ************************************************************
remarks:      * ABUSE CONTACT: abuse@t-ipnet.de IN CASE OF HACK ATTACKS, *
remarks:      * ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC.   *
remarks:      ************************************************************
mnt-by:       DTAG-NIC
changed:      ripe.dtip@telekom.de 20010807
changed:      ripe.dtip@telekom.de 20030211
source:       RIPE

route:        80.128.0.0/11
descr:        Deutsche Telekom AG, Internet service provider
origin:       AS3320
mnt-by:       DTAG-RR
changed:      bp@nic.dtag.de 20010807
source:       RIPE

person:       DTAG Global IP-Addressing
address:      Deutsche Telekom AG
address:      D-90449 Nuernberg
address:      Germany
phone:        +49 180 5334332
fax-no:       +49 180 5334252
e-mail:       ripe.dtip@telekom.de
nic-hdl:      DTIP
mnt-by:       DTAG-NIC
changed:      ripe.dtip@telekom.de 20030210
source:       RIPE

person:       Security Team
address:      Deutsche Telekom AG
address:      Germany
phone:        +49 180 5334332
fax-no:       +49 180 5334252
e-mail:       abuse@t-ipnet.de
nic-hdl:      DTST
mnt-by:       DTAG-NIC
changed:      abuse@t-ipnet.de 20030210
source:       RIPE

und ich wuerde mal an die abuse Adresse eine eMail schreiben und den Sachverhalt erlaeutern. Weiss nicht of da was rauskommt. Es ist allerdings ein Versuch wert.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#4 Hallo framp,
vielen Dank für Deine Mühe!
Inzwischen bin ich überzeugt, das der Name Daniel Kaufmann nichts direkt mit meinem Problem zu tun hat. Ausserdem habe ich auch von eBay im nachhinein eine eMail bekommen, wo man mir mitteilt, das derjenige der meine eBay-Daten verändert hat, auch die Angabe der eMailadresse veränderte. Ich glaube ja kaum das derjenige seine eigene eMailadresse angab, aber möglich ist alles. Eine Suche nach thuwald@gmx.net hat bisher kein einziges Ergebnis erbracht. Aber die Idee eine Anfrage an die abuse adresse zu machen, werde ich umsetzen. Das ganze hat nun auch eine Nebenwirkung bei eBay! Ich konnte ja nicht davon ausgehen, dass ich meinen Account bei eBay zurückerobern werde und hatte darum eBay davon benachrichtigt. eBay hat inzwischen meinen Account gesperrt und fordert mich auf, von der eMailadresse thuwald@gmx.net kontakt aufzunehmen, was ich ja schlecht kann. Trotz einiger eMails von mir (mit ganzer Erklärung des Sachlage), meldet sich eBay nicht.
Als wenn man sich nicht mit genug anderen dummen Dingen auseinandersetzen muss, nun auch noch sowas.
Einen schönen Abend noch und Dank für die Idee!
John

#5 Damit hast Du zwei Spuren: Die gmx Adresse (=> gmx anschreiben) und die IP Adresse ( => t-online anschreiben).
Weiss nicht ob Du da weitermachst - ich wuerde schon den Aufwand treiben. Beie Spuren koennen Dich zu dem Taeter fuehren - vorausgesetzt gmx und/oder t-online machen mit...

Good Luck

Bitte Erfahrung mit gmx/t-online posten sofern Du es weitertreibst. Es gibt bestimmt immer wieder solche Faelle und Deine Erfahrung koennte dann helfen.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#6 verdammt ich werde von den selben hurrensoehnen gehackt!!!
wie oben von framp angezeigt wird es auch bei mir angezeigt.
die haar genauen daten.
hab mir den wurm ueber ne e-mail eingefangen.
schreibt mal ne e-mail mit dem wort hacken an ripe.dtip@telekom.de ...
dan kommt so ne schwule auto nachricht das die es nicht verhindern koennen wegen den hackern usw...
kein antivirus prog kann den wurm im sys finden.

#7 Moin,

jetzt scheint's interessant zu werden.

@lamer
Kannst Du mir sagen, wie der Wurm heißt?

@Garwaiyn
Mach doch mal einen Online-Viruscheck, z.B. bei TrendMicro. Vielleicht besteht da ein Zusammenhang zum Wurm von @lamer.

Danke und Gruß
Hulot
__________
Mail Encoder Spamschutz für Webmaster -> http://www.oxyxo.de/email-encoder.html

#8 @lamer

Wenn das so waere, ist es doch gar kein Problem, den Wurm/Virus/Trojaner weg zu bekommen. Setz deinen Rechner neu auf und ruhe is!
__________
MfG Ralf
SEO-Spam Hunter

#9 also das ist ein W32.Netsky wurm.
ich schwoers euch ich hab schon mindestens 5 antiviren programme benutzt und die haben gar nichts gefunden.
in den letzten 10 stunden wurde auf meinen rechner 350 mal versucht zuzugreifen.
siehts euch an: www.team-tuf.de/pics/norton.JPG

#10 Das ist heißt aber nur, dass man dein System gescannt hat oder so was, das ist nix ernstes.
MFG
DAFRA

#11 das ist auf jeden was ernstes...als ich kein norton drauf hatte hat der wixa den rechner neugestartet daten geloescht.
hab das teil ausgefuert:

Code

Logfile of HijackThis v1.97.7
Scan saved at 20:17:30, on 02.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\PROGRA~1\NORTON~2\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ArcorDSL\ArcorDSL.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\lamer\Desktop\E m u l e\Gamer 5.1 RC2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\lamer\Desktop\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKLM\..\RunOnce: [RunOnceEx] rundll32.exe C:\WINDOWS\System32\iernonce.dll,RunOnceExProcess
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: MwSt. 2003.lnk = C:\Programme\mwst2003\MWST2003.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3399F38-0259-4713-99FF-37EB597100AE}: NameServer = 145.253.2.142 145.253.2.174