Mein Rechner war Teil eines Botnetzes!

Noch gar nicht im Bett, Gast? Schön, dass Du hereinschaust! Einen angenehmen Aufenthalt wünscht das CompiWare-Team.
  • Und wieder bewahrheitet es sich, dass NIEMAND vor Viren etc. geschützt ist.


    Bekam heute eine Mail von meinem Internet Anbieter und dachte erst an Fake. Dann schaute ich genauer nach und es erwies sich als korrekte Sache. Also sofort mal in den Protokollen von AdGuard geschaut und siehe da mein Rechner war Teil eines Botnetzes -.- Das war aber so schlau gemacht das ich es nicht anhand von Geschwindigkeitsverlust meines Rechners gemerkt hatte. Es war ein Cryptonetzwerk fürs Mining........

    Malewarebytes geholt und drüberlaufen lassen. Und siehe da es ist das, was mir in AdGuard auch angezeigt wurde als gesperrte Seiten. AdGuard ist aber erst seit 2 Wochen drauf und die Mail kam heute an, mit Einträgen bis exakt von vor 2 Wochen als ich AdGuard aktiviert hatte. AdGuard hat also es schon mehr oder weniger verhindert, dass es nach außen kommt. Aber es war alles noch aktiv auf meinem Rechner.

    Keine Ahnung woher und wie, aber ich hatte sowas bis eben drauf -.- Trotz Antiviren-Programm. Aber ok, das wurde auch schnell geklärt. Es wird von vielen Antiviren Progs nicht als Virus erkannt und daher verbreitet es sich schön.


    Aber nun alles wieder bei mir ok. Nun geht es an den Rechner meiner Frau und dann werden alle anderen Geräte die NUR Internet benötigen ins Gastnetz verlagert. So können sie nicht mehr mit den Heimgeräten kommunizieren. Also Handy, Uhren etc.

    Ja auch so kann man seinen Urlaub verbringen xD und ich bin um eine Erfahrung wieder reicher


    In diesem Sinne immer Augen auf im heimischen Netzverkehr :beaming_face_with_smiling_eyes:

  • LiquidBurn

    Interessant. Hatte auch schon davon gehört, dass Provider einen eventuell informieren, wenn sie verdächtigen Traffic feststellen. Kannst du die Email mal hier posten?

    Heißt das nun, die Malware ist vor 2 Wochen auf dem Rechner gelandet? Oder erst durch AdGuard aufgefallen? Oder, was gruselig wäre, hat AdGuard vor 2 Wochen die Malware eingeschleppt? :/

  • Vor 2 Wochen habe ich AdGuard auf dem Home Server aktiviert und ab da an hat er es registriert. Da ich aber durch die Schicht nicht dazu kam weiter am Server was zu machen, habe ich dort nicht geschaut.

    Laut dem Bericht seit dem 4.10.2023


    Hier die Mail.


    Alles korrekt. Support von der Gegenstelle gibt es nicht, da sie dafür nicht zuständig sind. Aber es ist alles in Ordnung, laut Vodafon. Also das die Mail vom Center ist.


    Habe nun AdGuard im Auge und seit MalewareBytes durch ist und es entfernt hat von meinem PC, kamen keine Anfragen mehr bei AdGuard an.

    Zeitpunkt als Malewarebytes alles entfernt hatte 20 Uhr 50 nach Neustart

    Finde die Aktion echt korrekt von Vodafon :)

    2 Mal editiert, zuletzt von LiquidBurn (2. November 2023 um 22:55)

  • Das muss dieser "smarte Trojaner" sein, von dem schon vor einigen Monaten die Rede war. Der hat es nicht eilig und prüft erstmal einige Punkte, bevor er überhaupt aktiv wird und ist deshalb so unauffällig.

    Vor allem ist die Frage: Seit wann ist die Malware auf dem Rechner gewesen? Hat der Provider überhaupt erst durch die Aktivierung von AdGuard auf dem HomeServer mitbekommen, dass da was nicht koscher ist? Zufall?

    Jetzt wäre noch interessant zu wissen, wo man sich den Mist eingefangen hat... :/

  • mitbekommen, dass da was nicht koscher ist? Zufall?

    Purer Zufall war das.


    Wo ich mir den Mist eingefangen habe, kann ich beim besten Willen nicht herausfinden. Vor allem da ich mir einen neue NVME geholt habe und das System mit einer gekauften Software gecloned habe auf die neue Platte, fehlen Log Einträge da ich Platz freigeräumt hatte -.- also Systembereinigung.

    Wie gesagt AdGuard läuft erst 2 Wochen und die haben schon seit dem 4.10 Aktivitäten wohl festgetsellt. Aber ich versuche da mal anzurufen ob es noch andere oder erweiterte Einträge gibt die älter sind um es einzukreisen. Will es auch wissen woher es kam.

  • Purer Zufall war das.


    Wo ich mir den Mist eingefangen habe, kann ich beim besten Willen nicht herausfinden. Vor allem da ich mir einen neue NVME geholt habe und das System mit einer gekauften Software gecloned habe auf die neue Platte, fehlen Log Einträge da ich Platz freigeräumt hatte -.- also Systembereinigung.

    Wie gesagt AdGuard läuft erst 2 Wochen und die haben schon seit dem 4.10 Aktivitäten wohl festgetsellt. Aber ich versuche da mal anzurufen ob es noch andere oder erweiterte Einträge gibt die älter sind um es einzukreisen. Will es auch wissen woher es kam.

    Mir ist grad was ähnlich "Lustiges" passiert.

    Wollte den Filer Account verlängern.

    Wie immer per Sofortüberweisung/Stripe.

    Nachdem ich auf STRIPE geklickt hatte,öffnete sich das Klarna Fenster und ein rosa Pop Up erschien,in dem stand:

    "Klarna wird jetzt noch einfacher - Geben sie uns ihre Handynummer..bla bla bla.."

    Ich war so perplex,das ich das Pop Up sofort geschlossen habe ohne einen Screenshot zu machen....

    Dann bin ich in Steam eingestiegen und habe mir ein Spiel (Industria) gekauft um zu überprüfen,ob da das auch kommt.

    Natürlich nicht.... :/

    ...bin dann nochmal bei Filer eingestiegen und das Pop Up kam auch nicht mehr.....und hab ganz normal verlängert/bezahlt....

  • Also sofort mal in den Protokollen von AdGuard geschaut und siehe da mein Rechner war Teil eines Botnetzes -.- Das war aber so schlau gemacht das ich es nicht anhand von Geschwindigkeitsverlust meines Rechners gemerkt hatte. Es war ein Cryptonetzwerk fürs Mining........

    Ich wüsste gerade gar nicht, wie ich das überhaupt erkennen sollte ... :/

    Malewarebytes geholt und drüberlaufen lassen.

    Meinst du damit den AdwCleaner?

    AdwCleaner - kostenloses Bereinigungs- und Entfernungstool zur Beseitigung von Adware | Malwarebytes
    Laden Sie sich kostenlos den Malwarebytes AdwCleaner herunter, um Adware, Bloatware, unerwünschte Symbolleisten und andere potenziell unerwünschte Programme…
    de.malwarebytes.com

    PS: Ich habe mal ein separates Thema daraus gemacht. ;)

    Einmal editiert, zuletzt von PoooMukkel (3. November 2023 um 08:16)

  • Das ist halt eines der vielen Probleme dabei, wenn man Schadsoftware anhand von Heuristik-Mustern erkennen will: Man muss diese Muster auch in seinen Code einbauen und wenn dies zu "offen" passiert, schlägt ggf. dieselbe Heuristik, die Schadcode erkennen soll, bei Tools zu, die selbst nur Schadcode erkennen sollen.

  • Habe es mal spaßeshalber bei mir durchlaufen lassen und er meckert folgende Einträge an:

    PUP.Optional.Legacy HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\dotomi.com


    PUP.Optional.Legacy HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\dotomi.com

    Ich gehe mal davon aus, dass das nicht relevant ist?!

  • Habe ich nach etwas googeln gerade gemacht :)

    Malwarebytes scheint etwas gegen den Edge zu haben (kann man ihnen erstmal nicht verübeln).

    Aber der Klassiker - mit solchen PUP-Meldungen kann man die Leute natürlich auch schön verunsichern.

  • Edge (bzw. vom Cache)

    Korrekt. Meistens sogar Cookies die aus dem Firefox mal in den Edge importiert wurden. Nervig aber nix tragisches.


    Ich wüsste gerade gar nicht, wie ich das überhaupt erkennen sollte ...

    Habe ja Malware Bytes drüber laufen lassen. Dort mir die Meldungen angeschaut und deren Einträge anhand Google gesucht. Dort mehrere Foren gefunden mit Adresseinträgen und Zusammenfassungen von Botnetzen etc.. Diese dann in AdGuard mal verglichen und BUMM gefunden :)


    Man kann doof sein, man muss sich nur zu helfen wissen ^^

  • Hab auch Edge installiert (nutze ich aber nicht) und keine PUP-Meldungen von MBAM. :/

    Könnten sog. Super-Cookies sein. :nerd: Auch nicht viel besser als Malware. X/

    LiquidBurn Wenn eine Botvirusinfektion so lange her ist, dann würde ich dem System nur noch soweit vertrauen, wie ich es werfen kann und empfehlen, wichtige Daten (keine Programme) zu sichern und die Mühle platt zu machen. :face_with_monocle:

    Alternativ wäre noch eine Systemwiederherstellung denkbar, wenn es einen so alten SYSWHP noch geben sollte. :smirking_face: