Diskussion zu Hypervisor Games - KEIN SUPPORT!

Interessant wäre hier auf jeden Fall, was du vorher gemacht hast (andere Webseiten etc.) oder ob wirklich der Workaround evtl. modifiziert wurde? @x.X.RIDDICK.X.x Hast du Zugriff auf dieses Discord? Gamedrive.*** ist ja nicht so vertrauenswürdig daher könnte es ja wirklich gut sein, dass die Daten modifiziert wurden. Hier wäre auch ein Vergleich der Checksummen zwischen "Original" und "Gamedrive" interessant.
Wenn da jemand was böses im Schilde hat ist das natürlich das perfekte Einfallstor (unsignierte Treiber etc)

@Peter261286
Als erstes mal die Verbindung zum Netzt trennen.
Dann den Support aller betroffenen Dienste mit Zeitstempel der durchgeführten Änderungen anschreiben.
Und mit Anti-Malwaretools gegenzuarbeiten würde ich sein lassen. Zu unsicher. Am besten das ganze System komplett plätten.
Fuck, tut mir echt leid, das Du Dich jetzt mit dem Shit rumärgern musst.

@Peter261286 Hinterher ist immer schwierig. Gibt diverse Linux Livesysteme, die du über USB booten und dann mal über deine Systemplatte schauen lassen kannst.
Ich würde jedoch den harten Weg gehen und das komplette System plattmachen.

Ich habe nach 2 Wochen mal wieder mein Notebook angeschmissen und habe währen des Downloads auf 9GaG, Computerbase, Bildblog, Youtube und natürlich hier mein unwesen getrieben, gedownloadet habe ich sonst nichts, keine USB-Geräte angesteckt und auch nichts gedownloaded, evtl. hat Windows Update updates gezogen, aber davon verliere ich nicht Zugriff auf meine Accounts... Jedenfalls dann das Spiel entpackt und nach Anleitung ausgeführt, genauso wie gestern und nach dem starten des spiels und kurzem test habe ich das notebook wieder heruntergefahren und ab da kamen die nachrichten übers handy das mein StarCitizen Passwort geändert wurde

Jetzt ist ein Command-Fenster aufgegangen mit dem Inhalt "es wurde eine installierte datei mit gleicher kennung gefunden. soll diese ersetzt werden? (sdbinst.exe)... laut Google könnte die schädlich sein...

Dank 2FA scheint man mir die meisten meiner Accounts nicht abnehmen zu können, aber es wundert mich wieso ich, z.b. bei Discord und Outlook, unter "Geräte" nur meine angemeldeten Geräte finde? Kann ich von einem Session-Cookie Diebstahl ausgehen?

xcheckthisx schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Ich habe nur die Bypass Daten von gamedrive!
Ich weiß nicht mal wo es diesen Discord gibt!

Ich werde erstmal nichts mehr erstellen so lange es keine Entwarnung gibt!

Positiv ist das sich bist jetzt sonst niemand gemeldet hat!

Und beide Spiele würden schon oft geladen und auf keiner Webseite wo ich aktiv bin gab es eine Meldung!

Peter261286 schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Ich bin weit zu wenig in der Materie involviert (was auch der Grund ist, weshalb ich in diesem Thread/dieser Thematik meinen üblichen Senf nicht zum besten geben konnte, aber lt. Google-KI ist das wohl das wahrscheinlichste Szenario.

Zitat Google-KI:
"
2. Hypervisor Bypass (The "Isolation Escape")
A hypervisor bypass (or VM escape) occurs when an attacker or malicious code breaks out of a virtual machine (VM) to gain access to the underlying host or other VMs. In the context of game hacking or malware, it refers to hiding malicious activity from the hypervisor's monitoring.

• Stealth Tactics: Attackers may deploy "rogue VMs" directly onto hypervisors using protocols like SFTP to evade detection by management tools like VMware vCenter.
• Security Risks: Using unofficial "hypervisor bypass" tools (often found in game-cracking communities) is extremely risky, as they can grant third parties full "keys to your house" level of access to your hardware.

3. Chaining the Attacks: The "Help Desk Heist"
Advanced persistent threat (APT) groups often combine these methods to dismantle an enterprise's defenses. A typical attack chain includes:

1. Initial Access: Stealing credentials or a session token to bypass MFA.
2. Escalation: Hijacking an administrative session (e.g., via RDP or VPN).
3. Hypervisor Takeover: Once inside, the attacker logs into the hypervisor (like ESXi) as a "legitimate" admin to disable logging, snapshots, and backups before deploying ransomware. "

läuft jetzt
Mal sehen was sich nach dem Start tut.

So haben mir beide Spiele gesaugt und installiert.

Borderlands 4 Super Deluxe Edition Hypervisor Bypassed MULTi2 - x X RIDDICK X x
Resident Evil Requiem Deluxe Edition Hypervisor Bypassed MULTi14 - x X RIDDICK X x

Bei Resident habe ich alles so gemacht, wie es in der Anleitung stand. Was bei mir aber nicht war, das nach den Starten nochmal eine cmd aufging unter Windows.
Bei Borderlands musste ich es 5-6 mal porbieren dann startet es auch durch.

Kann bisher nichts feststellen das was anderes passiert ist.

@Peter261286
Haste mal geguckt ob evtl. Accounts kompromitiert wurden die nur auf deinem Rechner gespeichert waren und z.B. nicht auf deinem Laptop bzw. visa versa? Dann könntest du schonmal eingrenzen woher es kam.

Kam das CMD Fenster denn auf beiden Rechnern?

P.S.: Fürs Protokoll - ich habe die Test Version von gestern verwendet, wo auch noch die _RunFix.bat fehlte und eine Installation nicht nötig war (Portable) evtl. hat sich bei den Repacks ein Teufel eingeschlichen?

Aber ansonsten ist´s bei mir vorerst clean, ich kann keine verdächtigen Bewegungen feststellen aber habe dem System mal ein paar meiner Trash Zugänge zu füttern gegeben - aber sind wir mal ehrlich, wenn sich das Ding als Treiber tarnt wirds witzig....

Vielleicht sollte man das alles einfach komplett Offline ausführen

Ja, das CMD-Fenster kam auf beiden Kisten. Die Kisten sind Platt gemacht und ich habe über einen weiteren Rechner meine Passwörter geändert, vor ein Paar Minuten hat es aber trotzdem meinen Kleinanzeigen-Account erwischt Das Problem ist das ich keine Ahnung habe wie sicher ich nun wirklich bin...Google-Chrome und Co. sind Synchronisiert, wenn der da an meine gespeicherten Passwörter gekommen ist bin ich am Arsch.

Passwörter natürlich umgehend ändern.

Edith sagt:
Und Du bist nicht sofort am Arsch, wenn Du Tickets erstellst.
Musst halt nur belegen können, das Dir der Acc gehörte.

Bei Steam einfach, bei Kleinanzeigen oder Starfield...
Wird wohl nervig.

Tut mir Leid für dich! Ich würde (leider als Info zu spät) niemals "Testversionen" (egal welche - nicht nur die Hypervisordinger) online ausführen.
Schon gar nicht auf "produktiven PCs" ausführen.

@tastebin Schon irgendwas verdächtiges gesehen?
@x.X.RIDDICK.X.x Kannst du bitte nur mal deine Version vom Keks hochladen (Keks only)? Möchte mal die Dateien vergleichen

@xcheckthisx
Hier vom Resi Spiel:

Also ich hab als Referenz leider nur die V3 vom Kirigiri - nicht diesen ganz neuen DSE Krempel gefunden.
Die Hypervisor DLLs etc. sind identisch - allerdings sehen diese DSE Geschichten vom Malware Status echt übel aus (gerne mal virustotal anschmeisen mit den beiden EXEs).
Mir ist klar dass der Sinn von dem DSE Patching natürlich schon "Malware artig" ist - allerdings wird mir dabei schon etwas anders.

Also da wären mir die ersten Versionen dieses Hypervisor Dings (Security komplett aus - dafür Offline PC - aber ohne diese "komischen" Extra-Tools lieber)

dse universal launcher 1.2: (Auszug Virustotal)
This sample is a malicious loader/dropper that utilizes a multi-stage execution process. It identifies and extracts encrypted payloads from its own resource section (type 0xA/RT_RCDATA) using an RC4-like stream cipher implemented in sub_4011ef. Extracted data is then decompressed via an embedded zlib library (version 1.2.11, seen in sub_40eff0). The binary demonstrates classic dropper behavior by generating unique temporary filenames (sub_40196c) and executing them with hidden windows (wShowWindow = 0) and redirected I/O pipes (sub_409a1f). The manifest information indicates it specifically requests administrative privileges (requireAdministrator), and the presence of sophisticated process management routines suggests it is designed to deploy and monitor secondary malware components while evading basic detection


Hat jemand schonmal bei anderen Keksen mit diesem "steamclient_loader_x64.exe" zu tun gehabt?
Ist das ein Standard Tooling oder auch irgendetwas neues für diese Varianten?

Peter261286 schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Wenn derjenige Zugang zu deinen Email Accounts hat und dich ausperren kann biste wirklich am Arsch - ich sag es immer wieder, die Email Accounts und das Online Banking müssen 1000% sicher sein, alles andere kannste relativ fix zurück bekommen...

1. Email Accounts festigen in dem du von außerhalb deines Netzwerkes mit einem Netzfremden Gerät die Passwörter änderst.
2. Danach ALLE Accounts durchgehen und die Passwörter ebenfalls ändern, am besten ebenfalls von außerhalb.

---------------------------------------------
Bisher bei mir allerdings immernoch ruhe. Ich vermute, dass du dir die Schadsoftware irgendwo anders eingefangen hast, ich habe schon diverse Office oder Photoshop Releases gesehen die passend verseucht waren und in den Foren teils hunderte Likes hatten...

steamclient_loader_x64.exe ist mir bekannt ist vom goldberg steam emulator habe ich schon öfters benutzt

Falls es jemanden interessiert - hier gibt es eine technische Analyse (nicht vollständig - aber dennoch für einen groben Überblick sinnvoll) des vorherigen Kekses (V3) - leider nicht diese neuere Version:
https://github.c*m/RD945/hypervisor-crack-audit/blob/main/README.md


Sehr interessant auf jeden Fall! Ich glaube auch nicht, dass die Hauptbestandteile des Workarounds infiziert sind (Ausnahme: da ich keinen Vergleich habe - diese DSE Sachen die hinzugekommen sind). Auf jeden Fall sollte man das Zeugs definitiv offline benutzen - das System kommuniziert ja ab Abschaltung einiger Sicherheitsmaßnahmen ins Netz: Hallo Tag der offenen Tür Alle sind Willkommen!

Der DSE-Patcher ist auch kein Unbekannter...

Auch das Script an sich in der dse universal launcher 1.2.bat ist erstmal clean. von dem was es macht - klar Antiviren Software werden immer drauf anspringen wenn irgendeine Sicherheitseinrichtung damit temporär außer kraft gesetzt wird.

@xcheckthisx

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....