Dauert jetzt etwas - bei mir ist gerade Pa:rty...
Ohne Worte: "Z-Alarm"
Mirai ist eine IoT Sache, kann auch Router betreffen.
Tschau
Dauert jetzt etwas - bei mir ist gerade Pa:rty...
Ohne Worte: "Z-Alarm"
Mirai ist eine IoT Sache, kann auch Router betreffen.
Tschau
Malwaremäßig sieht der Rechner für mich OK aus.
Malwaremäßig sieht der Rechner für mich OK aus.
Jo, dann gugge mal nach IoT.
Die Leute wissen leider nicht welches Gerät mit China telefoniert.
- Ich auch nicht.
Tschau
Der Router wird wohl da das Problem gewesen sein. Fernkonfiguration war aktiviert und Passwörter scheinbar noch auf Standardeinstellungen.
Probleme mit "Mirai" gab es davor ja schon mal bei Speedport und Telekom. Problem ist da der offene Port für die Fernkonfiguration.
ZoneAlarm würde ich eher nicht verwenden - besser Windows Firewall mit MSE, WindefAdwProt und aktivierter Adwareerkennung.
Zusammen mit Sandboxie dürfte das recht sicher beim Surfen sein, wenig Systemfehler produzieren und nur wenig Fehlalarme bringen.
Was du im Endeffekt tust und warum du diese Konstellation verwendest, ist aber deine Sache.
Hinweise auf RootKits sehe ich zur Zeit nicht. Was an Hooks installiert ist, ist von ZoneAlarm.
Jo, dann gugge mal nach IoT.
Ist nichts sonst am Router dran. WLAN ist ebenfalls nicht aktiviert.
Er hat darauf gleich am Anfang schon eine Antwort gegeben. Jedes IOT Gerät käme da in Frage bei der Meldung - da hast du vollkommen Recht.
Vielen Dank, dass ihr zu der frühen Stunde euch noch Zeit genommen habt.
Der Router wird wohl da das Problem gewesen sein. Fernkonfiguration war aktiviert und Passwörter scheinbar noch auf Standardeinstellungen.
Nach der Umstellung auf IP-Anschluß (vor 6 Monaten) ging gelegentlich das Telefon, jetzt am Router, diversemal nicht mehr. Nach einem Reset war es dann wieder OK. Nach dem Reset war das Passwort natürlch hin und WLAN aktiv. Letzteres habe ich meist irgendwann abgeschaltet. Passwort zu ändern vergessen.
ZoneAlarm würde ich eher nicht verwenden - besser Windows Firewall mit MSE, WindefAdwProt und aktivierter Adwareerkennung.
Werde ich einrichten. ZoneAlarm mit Avira/AVAST habe ich seit WIN 2000 und die Softwarekontrolle fand ich gut.
Problem ist da der offene Port für die Fernkonfiguration.
Da ist der Hnweis, wenn es ein Leihgerät ist muß es lt. Vertrag aktiv sein. Mein Gerät war damals eine Beigabe.
Zusammen mit Sandboxie dürfte das recht sicher beim Surfen sein, wenig Systemfehler produzieren und nur wenig Fehlalarme bringen.
Starte ich Sandboxie kommt die Meldung:
ZitatSBIE1301 Der Prozess 'k-meleon.exe' wurde außerhalb der Sandbox gestartet
Es wird aber die DefaultBox angelegt und beim Beenden von k-meleon gelöscht.
Starte ich den Browser über 'in der Sandbox starten' läuft alles so ab wie es soll.
Mfg
Thomas
K-meleon einmal komplett deinstallieren. Schau danach in die Aufgabenplanung von Windows. Sind dort noch Tasks von k-meleon vorhanden? Wenn ja, lösche auch die per Hand (zur Zeit sehe ich da vier Tasks). Danach kannst du k-meleon wieder installieren. Funktioniert die Sache dann?
Da ist der Hnweis, wenn es ein Leihgerät ist muß es lt. Vertrag aktiv sein. Mein Gerät war damals eine Beigabe.
Das heißt, du darfst oder kannst das nicht deaktivieren? Das ist ein offenes Eintrittsloch. Ich würde mich mal persönlich an die Telekom wenden. Schildere denen dein Problem mit Mirai und halte denen deine Unterlagen vor, die sie selbst zugeschickt haben. Im Prinzip kann da nur der Router Schuld an der Meldung sein. Frage die mal, ob es da keine Lösung gibt.
Wenn ich mir meine Routerlogs ansehe, kommen da andauernd Angriffe aus dem osteuropäischen Bereich an, die es auf verschiedene Arten der Fernkonfiguration abgesehen haben. Dort laufen scheinbar Server, die den ganzen Tag nur versuchen, andere Router und IOT Geräte zu knacken, deren IP sie zufällig erwischen.
Ich fresse einen Besen, wenn dein Router nicht auf irgendeinen dieser Versuche geantwortet hat und die Telekom das als Mirai Infektion interprätiert hat. Das wird wieder passieren, wenn da noch Sachen offen sind.
ZoneAlarm mit Avira/AVAST habe ich seit WIN 2000 und die Softwarekontrolle fand ich gut.
Warum nutzt du genau ZoneAlarm? Wechen Zweck erhoffst du dir davon?
Wenn ich mir den Rechner so ansehe, scheinst du ein Konzept für deine Sicherheit zu haben. Das scheint für dich auch zu funktionieren.
Wie schon gesagt, war der Router damals Beigabe bei Vertragsabschluß. Heute kann man sich einen kaufe oder mieten.
Die Beigabe betrachte ich als mein und behandle sie auch so. Habe über Heise noch nicht getestet ob der Wartungsport jetzt geschlossen ist. Montag werde ich mich mal per telefon mit denen über das Problem unterhalten.
Zur Sandbox, die startet ja den Browser, der als Standard eingerichtet ist.
Unter C:/Programme ist die letzte k-meleon Version.
Unter F:/ ist die letzte Beta Version als portable und als Standard benannt.
Über Aufgabenplanung von Windows bin ich schon gestolpert, kann sie im Moment über Systemsteuerung nicht finden.
Mfg
Thomas
Sorry bei fehlenden i, nach dem Lüftertausch klemmt gelegentlich die eine oder andere Taste.
Einfach Aufgabenplanung in die Suchleiste eingeben - du wirst dann passend weitergeleitet.
Schau danach in die Aufgabenplanung von Windows
Habe ich, und finde nur welche von Lenovo und MS. Drücke ich auf Aktualisieren kommt:
Die ausgewählte Aufgabe "(0)" ist nicht mehr vorhanden. usw.
Beim gestriegen Herrunterfahren wollte MS noch 14 Updates durchführen......
Als ich nach 3h nach Hause kam war er bei dem 9. ,wo ich ihm noch eine Stunde Zeit gab. Nichts bewegt sich.
Also AUS und Neustart. Lief zum Glück, also ersteinmal ein Abbild gemacht.
Das Update IE 11 war fehlgeschlagen.
Macht es Sinn es mit der IE11-Windows6.1-x86-de-de.exe nachzuholen?
Der telekom habe ich gestern eine mail geschickt, mit der Bitte um weitere Information, da sie ja schrieb:
Zitat
Benötigen Sie weitere Informationen zu dieser Sicherheitswarnung, antworten Sie uns einfach auf diese E-Mail.
Bis jetzt noch keine Antwort.Mfg Thomas
Mal ausprobieren - merkwürdige Sache. ZoneAlarm ist komplett runter?
ZoneAlarm ist komplett runter?
Nein, war bisher ja im Prinzip nicht geplant und hatte bei den über 100 Updates ja auch nicht gestört, und ist vermutlich, wenn das Abmeldefenster erscheint nicht mehr aktiv.
MSEInstall und WinDefAdwProt habe ich jetzt, jedoch noch nicht installiert.
Mfg
Thomas
ZoneAlarm runter schmeißen. Danach Update versuchen.
Mal ausprobieren - merkwürdige Sache.
War ja die offline Variante des IE11, was dann aber so nicht ging. Er mußte sich erst noch 3 Updates online holen. Das dürfte das online Aktuallisierungsproblem gewesen sein, dass MS eine falsche Reihenfolge eingeschlagen hatte.
Die Telekom würfelt wohl noch die weitere Antwort aus. Bin gespannt was und wann noch etwas kommt.
Mfg
Thomas
Hallo THFR,
zu Zone Alarm würde ich noch Spybot installieren.
Im Ernst, werfe den alten Krempel über den Jordan.
Tschau
Bevor ich alles gelesen hatte, war ich doch gerade sehr geschockt...
Nein, war bisher ja im Prinzip nicht geplant und hatte bei den über 100 Updates ja auch nicht gestört, und ist vermutlich, wenn das Abmeldefenster erscheint nicht mehr aktiv.
Zonealarm installiert folgende Hooks in das System:
Zitat von PPFScanner LOGsAlles anzeigen--== Service Win32 API Hook List ==--
[HOOKED_SERVICE_API]:
Service API : ZwAlpcConnectPort
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x8309ab2d
CurrentHandler : 0x91436b06
ServiceNumber : 0x16
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwAlpcCreatePort
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x830191ba
CurrentHandler : 0x91437404
ServiceNumber : 0x17
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwConnectPort
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x8309d63c
CurrentHandler : 0x9143651a
ServiceNumber : 0x3b
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateFile
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x83074584
CurrentHandler : 0x9142fd54
ServiceNumber : 0x42
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateKey
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x8302544d
CurrentHandler : 0x91451ffa
ServiceNumber : 0x46
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreatePort
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x83015ca2
CurrentHandler : 0x91437084
ServiceNumber : 0x4d
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateWaitablePort
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x82fc821f
CurrentHandler : 0x914371ee
ServiceNumber : 0x5e
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwDeleteFile
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x82fbc782
CurrentHandler : 0x91430a94
ServiceNumber : 0x66
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwDeleteKey
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x8300fe1c
CurrentHandler : 0x91453aee
ServiceNumber : 0x67
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwDeleteValueKey
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x8300164d
CurrentHandler : 0x914533a0
ServiceNumber : 0x6a
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwLoadKey
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x82fb54e2
CurrentHandler : 0x91454580
ServiceNumber : 0x9c
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwLoadKey2
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x82fa2b8b
CurrentHandler : 0x914547be
ServiceNumber : 0x9d
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwLoadKeyEx
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x82fc5f5d
CurrentHandler : 0x91454c70
ServiceNumber : 0x9e
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwMapViewOfSection
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x8306b7d9
CurrentHandler : 0x91456c3a
ServiceNumber : 0xa8
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenFile
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x83056c99
CurrentHandler : 0x91430644
ServiceNumber : 0xb3
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwRenameKey
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x830c17cf
CurrentHandler : 0x91455658
ServiceNumber : 0x122
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwReplaceKey
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x830c131c
CurrentHandler : 0x91454f3a
ServiceNumber : 0x124
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwRequestWaitReplyPort
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x83062cff
CurrentHandler : 0x914360ae
ServiceNumber : 0x12b
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwRestoreKey
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x830b7389
CurrentHandler : 0x914560cc
ServiceNumber : 0x12e
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSetInformationFile
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x8307bcd3
CurrentHandler : 0x91430ea0
ServiceNumber : 0x149
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSetSecurityObject
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x83025c49
CurrentHandler : 0x91455be2
ServiceNumber : 0x15b
ModuleName : vsdatant.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSetValueKey
Image Path : C:\Windows\system32\DRIVERS\vsdatant.sys
OriginalHandler : 0x8302ec9e
CurrentHandler : 0x91452ac0
ServiceNumber : 0x166
ModuleName : vsdatant.sys
SDTType : 0x0
Diese Umleitungen sind natürlich solange da, wie der Treiber installiert ist.
Meist installieren Personal Firewall neben den Kernelmode Hooks auch noch Usermode Hooks.
Der InternetExplorer bringt dabei sämtliche APIs für den Internetkontakt mit. Wie viele Male etwas vorher gut geht, ist dabei gar nicht relevant.
Nein, war bisher ja im Prinzip nicht geplant
An dieser Stelle würde ich jetzt definitiv neu planen. Du schreibst Software - vermutlich gibst du die auch an andere weiter.
Malware an andere zu verteilen, kommt nicht so gut.
Was eine Personal Firewall blockt, sind in der Regel nur ganz normale Programme und Funktionen des Betriebssystems. Gegen richtige Malware nutzt das wenig. Ein aktuelles Betriebssystem ist da wesentlich wichtiger.
Diese Umleitungen sind natürlich solange da, wie der Treiber installiert ist.
Also deinstallieren/löschen ?
Du schreibst Software - vermutlich gibst du die auch an andere weiter.
Malware an andere zu verteilen, kommt nicht so gut.
Hatte bisher nicht vermutet, dass wenn ich die XProfan.exe, Listview.dll, SKControl.dll und db-Daten gezipt weitergebe, auch Malware verteile.
Heute Anruf der telekom, bei dem auch nicht mehr herausgekommen ist, außer dass sie Hinweise bekommen hätten (z.B.: BSI und andere) über einen Virus, und in dem Zusammenhang tauchte die mir zu dem Zeitpunkt zugeordnete IP-Adresse auf. Wenn OK, dann OK und letzte Passwörter ändern.
Was eine Personal Firewall blockt, sind in der Regel nur ganz normale Programme und Funktionen des Betriebssystems.
Das war ja mal der Grund, denn IE, Adobe, Canon, usw. sollten und müssen meiner Meinung nach nicht ins Netz.
Mfg
Thomas
Also deinstallieren/löschen ?
Ja.
Hatte bisher nicht vermutet, dass wenn ich die XProfan.exe, Listview.dll, SKControl.dll und db-Daten gezipt weitergebe, auch Malware verteile.
Also erstellst du keine eigene Software, betreibst keine Homepage, tätigst keine Uploads und verteilst nicht selbst geschriebene Programme an andere?
Gerade weil XProfan Programme mal des Öfteren als Malware ausgeflaggt werden (false positive), würde ich persönlich doppelt und dreifach sicher gehen, dass ich da nichts ungewolltes mit verteile. Ansonsten sitzt du eventuell irgendwann so tief in der Scheiße, dass du nicht einmal mit der Nasenspitze oben drüber weg schaust. Das ist meine Meinung dazu.
Ist dein Rechner unter fremder Kontrolle, kannst du weder großartig sehen (noch entscheiden) was auf deinem Rechner wirklich passiert.
Habe ich schon in meiner ersten Antwort gesagt. Bei so einer Ausgangsbasis ist alles weitere bis auf eine Neuinstallation Frickelei und Pfusch am Bau. Der Rechner wäre inzwischen 5 mal neu installiert. Ist halt meine Meinung. Es wird viel zu viel Zeit verschwendet für den x.ten Rettungsversuch und am Ende setzt du eh neu auf.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!