Infektion: mirai

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

  • Infektion: mirai

    Per eMail kam der Hinweis vom Telekom Sicherheitsteam: Rechner mit Virus/Trojaner infiziert.
    Eset fand nur: Hiren's.BootCD.15.2.iso und hat sie gelöscht.

    Nun bitte ich einmal die Spezialisten sich der Suche anzunehmen.
    Habe erst einmal FRST gestartet.

    Thomas
    Dateien
    • Shortcut.txt

      (48,46 kB, 1 mal heruntergeladen, zuletzt: )

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von EstherCH ()

  • Hallo THFR,

    etwas mehr Input wäre nicht schlecht.

    In der Mail steht die Uhrzeit.

    Haste das Routerprotokoll zur Hand?

    Poste mal die Mail und das Routerprotokoll.
    Es muss ja nicht der PC befallen sein.
    - Hiren's.BootCD.15.2.iso ist ungefährlich.

    Die Windows Systemwiederherstellung würde ich nicht ausknipsen.

    Tschau
  • zur mail:
    IP-Adresse: 91.56.54.34Zeitangabe: 09.02.2018 21:45:43 MEZInfektion: miraizum Routerprotokoll. Da muß ich mich erst einmal schlau machen und das Handbuch zum Speedport W504V suchen, der ja schon einige Jährchen dran ist.Es sind nur ein Telefon (Sinus 10) und ThinkPad T410 am Router..
  • Ich habe mal ins FRST-Log geschaut. Echt jetzt, also der Rechner sollte platt gemacht werden. Formatieren, Windows neu installieren, alle Updates einspielen. Und erst dann zum Netzsurfen verwenden.

    Die Kiste strotzt ja nur so von völlig veralteter Software, da fehlen außerdem Windows Updates mehrerer Jahre. Dazu kein Virenschutz. Und eine völlig unsinnige Firewall. Bei Zonealarm hat man den Eindruck, dass IP-Adressen erwürfelt und als schwerwiegender Angriff angezeigt werden.

    Bei so einer Situation kann man keine halbwegs seriöse Aussage treffen, ob da Schadsoftware ist oder nicht.
  • Wie oben ja schon erwähnt wurde, ist das ein Linux Trojaner, der eigentlich IOT Geräte befällt.
    Hängt wirklich nichts anderes dran (bei den LOGs vertraue ich da auf meierkurt), ist vermutlich der Router selbst betroffen.
    Bitte das hier auch lesen:
    Vielleicht haben die beiden anderen noch was in Deutsch.
    Den Router nicht nur updaten, sondern dort auch die Einstellungen kontrollieren. Unter anderem auch den DNS Server, wenn der einstellbar ist.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von AHT ()

  • Moin Malware-Team

    am Router sind nur die genannten Geräte. Laptop mit LAN angeschlossen. WLAN deaktiviert.
    Eingestellt :

    EasySupport Ein
    Firmware-Update 1.22.000
    Sollte die Aktuelle sein, und ansonsten wohl Werkeinstellung.



    meierkurt schrieb:

    Die Kiste strotzt ja nur so von völlig veralteter Software
    ??? , der portable FF, k-meleon und Thunderbird sind die Aktuellen, und mehr kommt mir nicht ins Netz.


    meierkurt schrieb:

    da fehlen außerdem Windows Updates mehrerer Jahre
    Anfangs versucht, aber da bei 5 Uptates 3 mal das BS platt war (1000er Leitung ?) habe ich es eingestellt.


    AHT schrieb:

    sondern dort auch die Einstellungen kontrollieren. Unter anderem auch den DNS Server, wenn der einstellbar ist.
    Müßtet ihr mir bitte näher sagen wie/was ggf. zu änderm/anzupassen ist.

    MfG
    Thomas
  • 1. Routerprotokoll aufrufen und abspeichern. Steht da noch was vom 09.02. drin?

    THFR schrieb:

    Sollte die Aktuelle sein, und ansonsten wohl Werkeinstellung.
    Also sind die Zugangspasswörter noch auf den Werkseinstellungen.

    Router dann ausschalten und neu starten. Aktuelle Firmware nochmals draufziehen.
    Passwörter für die Konfigurationseinstellungen danach sofort ändern.
    Alle voreingestellten Server IPs kontrollieren (DNS Server ist bei manchen Routern einstellbar). Findest du eine Einstellmöglichkeit für den DNS Server, kannst du die dort eingestellte IPs hier posten (erst mal nichts ändern).
    Was genau bei dem Gerät sichtbar / einstellbar ist, kann ich nicht genau sagen.
    Wenn eine Fernkonfiguration bei dem Gerät möglich ist, sollte die abgestellt werden.


    THFR schrieb:

    Anfangs versucht, aber da bei 5 Uptates 3 mal das BS platt war
    Was bedeutet das genau? Was ist da passiert? Es gibt unter Windows 7 einen behebbaren Fehler im Updateclient:
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von AHT ()

  • AHT schrieb:

    Router dann ausschalten und neu starten. Aktuelle Firmware nochmals draufziehen.
    Passwörter für die Konfigurationseinstellungen danach sofort ändern.
    Ist erfolgt.


    AHT schrieb:

    Findest du eine Einstellmöglichkeit für den DNS Server, kannst du die dort eingestellte IPs hier posten (erst mal nichts ändern).
    Finde ich nicht. Einstellungen siehe Anhang.
    Sollte es deine Zeit erlauben, hier ist die Betriebsanleitung : telekom.de/hilfe/geraete-zubeh…xx-serie/speedport-w-504v


    AHT schrieb:

    Routerprotokoll aufrufen und abspeichern. Steht da noch was vom 09.02. drin?
    Nein, dass was ich noch einsehen kann sind System-Meldungen ab 14.02.18
    Im WEB finde ich nur Hinweise, dass es ab der Serie W7xxx möglich sein soll.


    AHT schrieb:

    Was bedeutet das genau? Was ist da passiert? Es gibt unter Windows 7 einen behebbaren Fehler im Updateclient:
    Einmal konnte ich ein Update (2. Versuch) abschließen, weil ich die Zeitüber gelegentlich die Maus bewegt hatte. Vermute, dass beim Updaten die Einstellung 'in den Ruhezustand nach Inaktivität' aktiviert wurde. Hatte in den vergangenen Jahren weder Zeit noch Nerv für dieses Spiel (Frau P-Stufe 3 und CAPD gemacht).

    MfG
    Thomas
    Dateien
    • Status-1.pdf

      (134,2 kB, 5 mal heruntergeladen, zuletzt: )
    • Status-2.pdf

      (131,02 kB, 4 mal heruntergeladen, zuletzt: )
    • Status-3.pdf

      (139,54 kB, 3 mal heruntergeladen, zuletzt: )
    • Status-4.pdf

      (110,07 kB, 3 mal heruntergeladen, zuletzt: )

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von THFR ()

  • Tja, was bei dir ins Netz kommt, das entscheidet auch Windows. Der Internet Explorer steckt als Komponente in zig Anwendungen und sollte daher immer aktuell sein.

    Adobe Flash 13 ist aus dem Pleistozän, Java 2 von Fred Feuerstein handsigniert.

    StarOffice 7 ist grauselig alt.

    Thunderbird ist inzwischen bei 52.x, bei dir bei 31.2. Aktuell ist das nicht.

    Mozilla 51.x ist alt.

    Die Liste lässt sich beliebig weiterführen. Dazu wie gesagt kein Virenschutz, Zonealarm als Junkware und keine Windows-Updates seit x Jahren.

    Also eine gute Basis sieht anders aus.

    Meiner Meinung nach gehört so eine Steinzeitklitsche neu aufgesetzt. Alles andere ist Pfusch am Bau.

    Ist natürlich deine Entscheidung. Aber da noch was zu "reparieren" halte ich für sinnfrei.
  • Der DNS Server dürfte bei der Einrichtung des Internetzugangs automatisch eingestellt werden - nach dem Provider Telekom. Richte den Router nochmals komplett ein (Schritt für Schritt ausführen), damit sichergestellt ist, dass keine Einstellungen geändert worden sind, die dir nicht angezeigt werden.
    Unter Netzwerk müsste siche eine Einstellung UPnP befinden. Stelle die so ein, dass Einstellungen nicht über UPnP geändert werden dürfen.

    Wegen der Updates habe ich weiter oben zwei Sachen verlinkt. Dieser Link verweist direkt auf die Problemlösung:
    Kannst du das Update auf die beschriebene Weise installieren? Wenn ja, versuche danach nochmals Updates über das Windowsupdate zu ziehen. Gib Rückmeldung, ob sich das Update in der Problemlösung installieren lässt.

    Auch bei einer Neuinstallation von Windows7 wirst du vermutlich wieder an eine Stelle kommen, wo keine Updates mehr gezogen werden können.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

  • meierkurt schrieb:

    Thunderbird ist inzwischen bei 52.x, bei dir bei 31.2. Aktuell ist das nicht.
    Hmm, der hat sich gerade aktuallisiert, und das mit einer Uraltversion???
    tb.pdf


    AHT schrieb:

    Unter Netzwerk müsste siche eine Einstellung UPnP befinden. Stelle die so ein, dass Einstellungen nicht über UPnP geändert werden dürfen.
    Hatte unter Speedport und im 'Netz- und Freogabecenter keine Einstellungsmöglichkeit gefunden. Wo ist die?

    Das Updateproblem greife ich auf.
  • Es ist die Version 38.5.0, die Thunderbird nach 'es gibt eine neue Version' installiert hat.
    Kann natürlich sein, dass die portable Version andere Nummern hat oder nicht der letzte Stand ist.

    Und nur StarOffice 7 (daher auch Java) kann verlustfrei die StarOffice 5 Dokumente verarbeiten.
  • Hallo THFR,

    sind im Router evtl. Ports freigeschaltet? Falls ja, könnte das eine der Ursachen sein.

    Prüfe das mal, indem im Browser speedport.ip eingibst und unter Netzwerk => Netzwerk / NAT & Portregeln schaust.

    Wenn Du dort freigeschaltete Ports findest, richte am besten jeweils eine Portumleitung ein, wie siehe hier in dieser Anleitung der Telekom.

    Die Mirai-Infektion habe ich hier näher beschrieben.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von _Petra_ ()

  • Moin Petra,

    _Petra_ schrieb:

    Wenn Du dort freigeschaltete Ports findest, richte am besten jeweils eine Portumleitung ein, wie siehe hier in dieser Anleitung der Telekom.
    das ist für die W7xxx Serie.

    Bei mir sieht es so aus:
    Netzwerk.pdf

    dann zu den Regeln
    NAT & Portregeln.pdf

    und Umleitung
    Port-Umleitung.pdf

    und Definition
    Regel Definition.pdf


    nach dem Text für einen zweiten Web-Server. Einzige Auswahl und Hinweis schon bei den Regeln.


    Eigentlich habe ich beim Softwareeinrichten keine Probleme, aber beim Speedport W504 ???


    MfG
    Thomas