Beiträge von LiquidBurn im Thema „Mein Rechner war Teil eines Botnetzes!“

LiquidBurn

Zitat

Published on: January 29, 2023. Fairu-blog.com is a Command & Control (C&C) server for VenomSoftX malware, a dangerous JavaScript-based RAT (remote access trojan), and a cryptocurrency hijacker.

Für die Interessierten hier mal der Übeltäter der bei mir war -.-

Detecting Powershell Cryptostealer Attacks via DNS traffic analysis

By Igino Corona , Chief Technology Officer & Security Researcher @ Pluribus One The main goal of criminals can be summarized into one word: Money . Regardl...

www.pluribus-one.it

Weiter unten sind mal Domains die darauf hinweisen das man diesen Burschen im System hat. Wenn auf eine dieser Domains angerufen wird von deinem Rechner schaue lieber mal genauer nach

Spoiler anzeigen

ahoravideo-blog.com

ahoravideo-blog.xyz

ahoravideo-cdn.com

ahoravideo-cdn.xyz

ahoravideo-chat.com

ahoravideo-chat.xyz

ahoravideo-endpoint.com

ahoravideo-endpoint.xyz

ahoravideo-schnellvpn.com

ahoravideo-schnellvpn.xyz

bideo-blog.com

bideo-blog.xyz

bideo-cdn.com

bideo-cdn.xyz

bideo-chat.com

bideo-chat.xyz

bideo-endpoint.com

bideo-endpoint.xyz

bideo-schnellvpn.com

bideo-schnellvpn.xyz

fairu-blog.com

fairu-blog.xyz

fairu-cdn.com

fairu-cdn.xyz

fairu-chat.com

fairu-chat.xyz

fairu-endpoint.com

fairu-endpoint.xyz

fairu-schnellvpn.com

fairu-schnellvpn.xyz

privatproxy-blog.com

privatproxy-blog.xyz

privatproxy-cdn.com

privatproxy-cdn.xyz

privatproxy-chat.com

privatproxy-chat.xyz

privatproxy-endpoint.com

privatproxy-endpoint.xyz

privatproxy-schnellvpn.com

privatproxy-schnellvpn.xyz

wmail-blog.com

wmail-blog.xyz

wmail-cdn.xyz

wmail-chat.com

wmail-chat.xyz

wmail-endpoint.com

wmail-endpoint.xyz

wmail-schnellvpn.com

wmail-schnellvpn.xyz

wmail-service.com

Im übrigen war unter anderem auch die noch AKTIVE wmail-service.com in der Abfrage drin bei mir und erreichte dort denke ich mal jemanden.

Hier noch der Log aus AdGuard der anzeigt wie oft in in den letzten 168 Std. dahin geschrieben bzw. anfragen gesendet wurden. Diese Domains gehören mit dazu.

LiquidBurn

Zitat von Darklord

Alternativ wäre noch eine Systemwiederherstellung denkbar, wenn es einen so alten SYSWHP noch geben sollte.

Ist keine Alternative := Weiss ja nicht seit wann er Infiziert war. Platt machen und gut ist

LiquidBurn

Zitat von WalterSullivan

Edge (bzw. vom Cache)

Korrekt. Meistens sogar Cookies die aus dem Firefox mal in den Edge importiert wurden. Nervig aber nix tragisches.

Zitat von PoooMukkel

Ich wüsste gerade gar nicht, wie ich das überhaupt erkennen sollte ...

Habe ja Malware Bytes drüber laufen lassen. Dort mir die Meldungen angeschaut und deren Einträge anhand Google gesucht. Dort mehrere Foren gefunden mit Adresseinträgen und Zusammenfassungen von Botnetzen etc.. Diese dann in AdGuard mal verglichen und BUMM gefunden

Man kann doof sein, man muss sich nur zu helfen wissen

LiquidBurn

Zitat von TheMadman

mitbekommen, dass da was nicht koscher ist? Zufall?

Purer Zufall war das.

Wo ich mir den Mist eingefangen habe, kann ich beim besten Willen nicht herausfinden. Vor allem da ich mir einen neue NVME geholt habe und das System mit einer gekauften Software gecloned habe auf die neue Platte, fehlen Log Einträge da ich Platz freigeräumt hatte -.- also Systembereinigung.

Wie gesagt AdGuard läuft erst 2 Wochen und die haben schon seit dem 4.10 Aktivitäten wohl festgetsellt. Aber ich versuche da mal anzurufen ob es noch andere oder erweiterte Einträge gibt die älter sind um es einzukreisen. Will es auch wissen woher es kam.

LiquidBurn

Vor 2 Wochen habe ich AdGuard auf dem Home Server aktiviert und ab da an hat er es registriert. Da ich aber durch die Schicht nicht dazu kam weiter am Server was zu machen, habe ich dort nicht geschaut.

Laut dem Bericht seit dem 4.10.2023

Hier die Mail.

Alles korrekt. Support von der Gegenstelle gibt es nicht, da sie dafür nicht zuständig sind. Aber es ist alles in Ordnung, laut Vodafon. Also das die Mail vom Center ist.

Habe nun AdGuard im Auge und seit MalewareBytes durch ist und es entfernt hat von meinem PC, kamen keine Anfragen mehr bei AdGuard an.

Zeitpunkt als Malewarebytes alles entfernt hatte 20 Uhr 50 nach Neustart

Finde die Aktion echt korrekt von Vodafon

LiquidBurn

Und wieder bewahrheitet es sich, dass NIEMAND vor Viren etc. geschützt ist.

Bekam heute eine Mail von meinem Internet Anbieter und dachte erst an Fake. Dann schaute ich genauer nach und es erwies sich als korrekte Sache. Also sofort mal in den Protokollen von AdGuard geschaut und siehe da mein Rechner war Teil eines Botnetzes -.- Das war aber so schlau gemacht das ich es nicht anhand von Geschwindigkeitsverlust meines Rechners gemerkt hatte. Es war ein Cryptonetzwerk fürs Mining........

Malewarebytes geholt und drüberlaufen lassen. Und siehe da es ist das, was mir in AdGuard auch angezeigt wurde als gesperrte Seiten. AdGuard ist aber erst seit 2 Wochen drauf und die Mail kam heute an, mit Einträgen bis exakt von vor 2 Wochen als ich AdGuard aktiviert hatte. AdGuard hat also es schon mehr oder weniger verhindert, dass es nach außen kommt. Aber es war alles noch aktiv auf meinem Rechner.

Keine Ahnung woher und wie, aber ich hatte sowas bis eben drauf -.- Trotz Antiviren-Programm. Aber ok, das wurde auch schnell geklärt. Es wird von vielen Antiviren Progs nicht als Virus erkannt und daher verbreitet es sich schön.

Aber nun alles wieder bei mir ok. Nun geht es an den Rechner meiner Frau und dann werden alle anderen Geräte die NUR Internet benötigen ins Gastnetz verlagert. So können sie nicht mehr mit den Heimgeräten kommunizieren. Also Handy, Uhren etc.

Ja auch so kann man seinen Urlaub verbringen xD und ich bin um eine Erfahrung wieder reicher

In diesem Sinne immer Augen auf im heimischen Netzverkehr