Infektion: mirai

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

  • Der Router wird wohl da das Problem gewesen sein. Fernkonfiguration war aktiviert und Passwörter scheinbar noch auf Standardeinstellungen.
    Probleme mit "Mirai" gab es davor ja schon mal bei Speedport und Telekom. Problem ist da der offene Port für die Fernkonfiguration.

    ZoneAlarm würde ich eher nicht verwenden - besser Windows Firewall mit MSE, WindefAdwProt und aktivierter Adwareerkennung.
    Zusammen mit Sandboxie dürfte das recht sicher beim Surfen sein, wenig Systemfehler produzieren und nur wenig Fehlalarme bringen.
    Was du im Endeffekt tust und warum du diese Konstellation verwendest, ist aber deine Sache.

    Hinweise auf RootKits sehe ich zur Zeit nicht. Was an Hooks installiert ist, ist von ZoneAlarm.


    Oldi-40 schrieb:

    Jo, dann gugge mal nach IoT.
    Ist nichts sonst am Router dran. WLAN ist ebenfalls nicht aktiviert.
    Er hat darauf gleich am Anfang schon eine Antwort gegeben. Jedes IOT Gerät käme da in Frage bei der Meldung - da hast du vollkommen Recht.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

  • Vielen Dank, dass ihr zu der frühen Stunde euch noch Zeit genommen habt.

    AHT schrieb:

    Der Router wird wohl da das Problem gewesen sein. Fernkonfiguration war aktiviert und Passwörter scheinbar noch auf Standardeinstellungen.
    Nach der Umstellung auf IP-Anschluß (vor 6 Monaten) ging gelegentlich das Telefon, jetzt am Router, diversemal nicht mehr. Nach einem Reset war es dann wieder OK. Nach dem Reset war das Passwort natürlch hin und WLAN aktiv. Letzteres habe ich meist irgendwann abgeschaltet. Passwort zu ändern vergessen.


    AHT schrieb:

    ZoneAlarm würde ich eher nicht verwenden - besser Windows Firewall mit MSE, WindefAdwProt und aktivierter Adwareerkennung.
    Werde ich einrichten. ZoneAlarm mit Avira/AVAST habe ich seit WIN 2000 und die Softwarekontrolle fand ich gut.


    AHT schrieb:

    Problem ist da der offene Port für die Fernkonfiguration.
    Da ist der Hnweis, wenn es ein Leihgerät ist muß es lt. Vertrag aktiv sein. Mein Gerät war damals eine Beigabe. :-)


    AHT schrieb:

    Zusammen mit Sandboxie dürfte das recht sicher beim Surfen sein, wenig Systemfehler produzieren und nur wenig Fehlalarme bringen.
    Starte ich Sandboxie kommt die Meldung:
    SBIE1301 Der Prozess 'k-meleon.exe' wurde außerhalb der Sandbox gestartet


    Es wird aber die DefaultBox angelegt und beim Beenden von k-meleon gelöscht.
    Starte ich den Browser über 'in der Sandbox starten' läuft alles so ab wie es soll.

    Mfg
    Thomas
  • K-meleon einmal komplett deinstallieren. Schau danach in die Aufgabenplanung von Windows. Sind dort noch Tasks von k-meleon vorhanden? Wenn ja, lösche auch die per Hand (zur Zeit sehe ich da vier Tasks). Danach kannst du k-meleon wieder installieren. Funktioniert die Sache dann?
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 5 mal editiert, zuletzt von AHT ()

  • THFR schrieb:

    Da ist der Hnweis, wenn es ein Leihgerät ist muß es lt. Vertrag aktiv sein. Mein Gerät war damals eine Beigabe.

    Das heißt, du darfst oder kannst das nicht deaktivieren? Das ist ein offenes Eintrittsloch. Ich würde mich mal persönlich an die Telekom wenden. Schildere denen dein Problem mit Mirai und halte denen deine Unterlagen vor, die sie selbst zugeschickt haben. Im Prinzip kann da nur der Router Schuld an der Meldung sein. Frage die mal, ob es da keine Lösung gibt.

    Wenn ich mir meine Routerlogs ansehe, kommen da andauernd Angriffe aus dem osteuropäischen Bereich an, die es auf verschiedene Arten der Fernkonfiguration abgesehen haben. Dort laufen scheinbar Server, die den ganzen Tag nur versuchen, andere Router und IOT Geräte zu knacken, deren IP sie zufällig erwischen.
    Ich fresse einen Besen, wenn dein Router nicht auf irgendeinen dieser Versuche geantwortet hat und die Telekom das als Mirai Infektion interprätiert hat. Das wird wieder passieren, wenn da noch Sachen offen sind.

    THFR schrieb:

    ZoneAlarm mit Avira/AVAST habe ich seit WIN 2000 und die Softwarekontrolle fand ich gut.
    Warum nutzt du genau ZoneAlarm? Wechen Zweck erhoffst du dir davon?
    Wenn ich mir den Rechner so ansehe, scheinst du ein Konzept für deine Sicherheit zu haben. Das scheint für dich auch zu funktionieren.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von AHT ()

  • Wie schon gesagt, war der Router damals Beigabe bei Vertragsabschluß. Heute kann man sich einen kaufe oder mieten.
    Die Beigabe betrachte ich als mein und behandle sie auch so. Habe über Heise noch nicht getestet ob der Wartungsport jetzt geschlossen ist. Montag werde ich mich mal per telefon mit denen über das Problem unterhalten.

    Zur Sandbox, die startet ja den Browser, der als Standard eingerichtet ist.
    Unter C:/Programme ist die letzte k-meleon Version.
    Unter F:/ ist die letzte Beta Version als portable und als Standard benannt.

    Über Aufgabenplanung von Windows bin ich schon gestolpert, kann sie im Moment über Systemsteuerung nicht finden.

    Mfg
    Thomas

    Sorry bei fehlenden i, nach dem Lüftertausch klemmt gelegentlich die eine oder andere Taste.
  • AHT schrieb:

    Schau danach in die Aufgabenplanung von Windows
    Habe ich, und finde nur welche von Lenovo und MS. Drücke ich auf Aktualisieren kommt:
    Die ausgewählte Aufgabe "(0)" ist nicht mehr vorhanden. usw.

    Beim gestriegen Herrunterfahren wollte MS noch 14 Updates durchführen......
    Als ich nach 3h nach Hause kam war er bei dem 9. ,wo ich ihm noch eine Stunde Zeit gab. Nichts bewegt sich.
    Also AUS und Neustart. Lief zum Glück, also ersteinmal ein Abbild gemacht.
    Das Update IE 11 war fehlgeschlagen.
    Macht es Sinn es mit der IE11-Windows6.1-x86-de-de.exe nachzuholen?

    Der telekom habe ich gestern eine mail geschickt, mit der Bitte um weitere Information, da sie ja schrieb:


    Benötigen Sie weitere Informationen zu dieser Sicherheitswarnung, antworten Sie uns einfach auf diese E-Mail.
    Bis jetzt noch keine Antwort.Mfg Thomas
  • AHT schrieb:

    Mal ausprobieren - merkwürdige Sache.
    War ja die offline Variante des IE11, was dann aber so nicht ging. Er mußte sich erst noch 3 Updates online holen. Das dürfte das online Aktuallisierungsproblem gewesen sein, dass MS eine falsche Reihenfolge eingeschlagen hatte.

    Die Telekom würfelt wohl noch die weitere Antwort aus. Bin gespannt was und wann noch etwas kommt.

    Mfg
    Thomas
  • Bevor ich alles gelesen hatte, war ich doch gerade sehr geschockt...

    THFR schrieb:

    Nein, war bisher ja im Prinzip nicht geplant und hatte bei den über 100 Updates ja auch nicht gestört, und ist vermutlich, wenn das Abmeldefenster erscheint nicht mehr aktiv.
    Zonealarm installiert folgende Hooks in das System:

    PPFScanner LOGs schrieb:

    --== Service Win32 API Hook List ==--
    [HOOKED_SERVICE_API]:
    Service API : ZwAlpcConnectPort
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x8309ab2d
    CurrentHandler : 0x91436b06
    ServiceNumber : 0x16
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwAlpcCreatePort
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x830191ba
    CurrentHandler : 0x91437404
    ServiceNumber : 0x17
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwConnectPort
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x8309d63c
    CurrentHandler : 0x9143651a
    ServiceNumber : 0x3b
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwCreateFile
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x83074584
    CurrentHandler : 0x9142fd54
    ServiceNumber : 0x42
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwCreateKey
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x8302544d
    CurrentHandler : 0x91451ffa
    ServiceNumber : 0x46
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwCreatePort
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x83015ca2
    CurrentHandler : 0x91437084
    ServiceNumber : 0x4d
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwCreateWaitablePort
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x82fc821f
    CurrentHandler : 0x914371ee
    ServiceNumber : 0x5e
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwDeleteFile
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x82fbc782
    CurrentHandler : 0x91430a94
    ServiceNumber : 0x66
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwDeleteKey
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x8300fe1c
    CurrentHandler : 0x91453aee
    ServiceNumber : 0x67
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwDeleteValueKey
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x8300164d
    CurrentHandler : 0x914533a0
    ServiceNumber : 0x6a
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwLoadKey
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x82fb54e2
    CurrentHandler : 0x91454580
    ServiceNumber : 0x9c
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwLoadKey2
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x82fa2b8b
    CurrentHandler : 0x914547be
    ServiceNumber : 0x9d
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwLoadKeyEx
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x82fc5f5d
    CurrentHandler : 0x91454c70
    ServiceNumber : 0x9e
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwMapViewOfSection
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x8306b7d9
    CurrentHandler : 0x91456c3a
    ServiceNumber : 0xa8
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwOpenFile
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x83056c99
    CurrentHandler : 0x91430644
    ServiceNumber : 0xb3
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwRenameKey
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x830c17cf
    CurrentHandler : 0x91455658
    ServiceNumber : 0x122
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwReplaceKey
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x830c131c
    CurrentHandler : 0x91454f3a
    ServiceNumber : 0x124
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwRequestWaitReplyPort
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x83062cff
    CurrentHandler : 0x914360ae
    ServiceNumber : 0x12b
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwRestoreKey
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x830b7389
    CurrentHandler : 0x914560cc
    ServiceNumber : 0x12e
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwSetInformationFile
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x8307bcd3
    CurrentHandler : 0x91430ea0
    ServiceNumber : 0x149
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwSetSecurityObject
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x83025c49
    CurrentHandler : 0x91455be2
    ServiceNumber : 0x15b
    ModuleName : vsdatant.sys
    SDTType : 0x0
    [HOOKED_SERVICE_API]:
    Service API : ZwSetValueKey
    Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
    OriginalHandler : 0x8302ec9e
    CurrentHandler : 0x91452ac0
    ServiceNumber : 0x166
    ModuleName : vsdatant.sys
    SDTType : 0x0
    Diese Umleitungen sind natürlich solange da, wie der Treiber installiert ist.

    Meist installieren Personal Firewall neben den Kernelmode Hooks auch noch Usermode Hooks.
    Der InternetExplorer bringt dabei sämtliche APIs für den Internetkontakt mit. Wie viele Male etwas vorher gut geht, ist dabei gar nicht relevant.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von AHT ()

  • THFR schrieb:

    Nein, war bisher ja im Prinzip nicht geplant
    An dieser Stelle würde ich jetzt definitiv neu planen. Du schreibst Software - vermutlich gibst du die auch an andere weiter.
    Malware an andere zu verteilen, kommt nicht so gut.
    Was eine Personal Firewall blockt, sind in der Regel nur ganz normale Programme und Funktionen des Betriebssystems. Gegen richtige Malware nutzt das wenig. Ein aktuelles Betriebssystem ist da wesentlich wichtiger.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • AHT schrieb:

    Diese Umleitungen sind natürlich solange da, wie der Treiber installiert ist.
    Also deinstallieren/löschen ?


    AHT schrieb:

    Du schreibst Software - vermutlich gibst du die auch an andere weiter.
    Malware an andere zu verteilen, kommt nicht so gut.
    Hatte bisher nicht vermutet, dass wenn ich die XProfan.exe, Listview.dll, SKControl.dll und db-Daten gezipt weitergebe, auch Malware verteile.

    Heute Anruf der telekom, bei dem auch nicht mehr herausgekommen ist, außer dass sie Hinweise bekommen hätten (z.B.: BSI und andere) über einen Virus, und in dem Zusammenhang tauchte die mir zu dem Zeitpunkt zugeordnete IP-Adresse auf. Wenn OK, dann OK und letzte Passwörter ändern.


    AHT schrieb:

    Was eine Personal Firewall blockt, sind in der Regel nur ganz normale Programme und Funktionen des Betriebssystems.
    Das war ja mal der Grund, denn IE, Adobe, Canon, usw. sollten und müssen meiner Meinung nach nicht ins Netz.

    Mfg
    Thomas
  • THFR schrieb:

    Also deinstallieren/löschen ?

    Ja.

    THFR schrieb:

    Hatte bisher nicht vermutet, dass wenn ich die XProfan.exe, Listview.dll, SKControl.dll und db-Daten gezipt weitergebe, auch Malware verteile.
    Also erstellst du keine eigene Software, betreibst keine Homepage, tätigst keine Uploads und verteilst nicht selbst geschriebene Programme an andere?
    Gerade weil XProfan Programme mal des Öfteren als Malware ausgeflaggt werden (false positive), würde ich persönlich doppelt und dreifach sicher gehen, dass ich da nichts ungewolltes mit verteile. Ansonsten sitzt du eventuell irgendwann so tief in der Scheiße, dass du nicht einmal mit der Nasenspitze oben drüber weg schaust. Das ist meine Meinung dazu.
    Ist dein Rechner unter fremder Kontrolle, kannst du weder großartig sehen (noch entscheiden) was auf deinem Rechner wirklich passiert.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT
  • Habe ich schon in meiner ersten Antwort gesagt. Bei so einer Ausgangsbasis ist alles weitere bis auf eine Neuinstallation Frickelei und Pfusch am Bau. Der Rechner wäre inzwischen 5 mal neu installiert. Ist halt meine Meinung. Es wird viel zu viel Zeit verschwendet für den x.ten Rettungsversuch und am Ende setzt du eh neu auf.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von meierkurt ()