Einer Malware auf der Spur. Benötige Sherlock Holmes!

Mitglied: stream

stream (Level 1) - Jetzt verbinden

28.02.2021 um 19:28 Uhr, 1327 Aufrufe, 10 Kommentare, 1 Danke

Guten Abend

Wenn ich meine Windows-10-Kiste starte, so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde. Auf meinem Router läuft ein Tool, dass den Netzwerkverkehr überwacht und eine Verbindung ggf. blockt, falls die entsprechende externe IP mit einer bösartigen Quelle assoziiert wurde.

Seit gestern blockt nun der Router stets die gleiche IP. Und dieser Event kommt immer genau dann vor, wenn ich meinen PC starte. Meine Befürchtung ist nun, dass ich mir eine Malware eingefangen habe, die stets beim Start versucht mit dem Mutterschiff Kontakt aufzunehmen.

Mit Wireshark habe ich Infos über den Port erhalten. Mit netstat habe ich dann versucht die PID für den entsprechenden Port herauszufinden. Der ist jedoch 0 (wartend).

Da ich kein Netzwerk-Experte bin, komme ich nun an dieser Stelle nicht weiter. Meine Frage: Wie kann ich herausfinden, welches Programm bei mir versucht hat mit der entsprechenden externen IP zu kommunizieren? Habt ihr Tipps?

Vielen Dank!

Peter
Mitglied: Lochkartenstanzer
28.02.2021, aktualisiert 02.03.2021
Moin,

Lass Mal Malwarebytes Adwcleaner und Anti-Malware und dann noch ct-desinfect drüber laufen, ob die was finden.

Alternativ gleich platt machen.

lks

PS: welche Meldung kommt denn? Manchmal ist es nur ein False Positive und manchmal nur Adware.

Edit: Typo
Bitte warten ..
Mitglied: altmetaller
LÖSUNG 28.02.2021 um 19:55 Uhr
Hallo,

Zitat von @stream:

so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde

So etwas klingt für mich grundsätzlich nach Schlangenöl / Scareware. Was für ein "Tool" ist das denn (auf dem Router) und nach welchen Kriterien entscheidet das, welche IP-Adressen gutartig oder bösartig sind?

Gruß,
Jörg
Bitte warten ..
Mitglied: aqui
LÖSUNG 28.02.2021, aktualisiert um 20:27 Uhr
Damit sieht man etwas mehr.
https://www.glasswire.com
Interessant wäre mal mit http://www.utrace.de oder https://www.ip-tracker.org zu checken wem die Ziel IP gehört an die nach Hause telefoniert wird.
Auf das kommt man doch auch als Laie gleich als Erstes ?!
Bitte warten ..
Mitglied: Fennek11
01.03.2021 um 09:51 Uhr
Versuch die DoItYourself-Methode:

Prüfe
- Autostart
- den Ordner %Temp%
- den Ordner C:\programdate
- die Ordner in c:\users\public

- windows kann alle DNS-Queries loggen (nach wenigen Minuten ist die Default-Kapazität erreicht
- oder CMD: IpConfig /DisplayDNS

Einen vollständigen Scan mit dem installierten AV-Programm ist selbstverständlich.
Bitte warten ..
Der Kommentar von iktbuerovonwaldenundco wurde vom Moderator Dani am 01.03.21 ausgeblendet!
Mitglied: Dani
01.03.2021 um 12:04 Uhr
Moin iktbuerovonwaldenundco,
ich schlage vor, du liest noch einmal aufmerksam unsere aktuellen und gültigen Forenregeln.
Werbung in dieser und anderer Form ist nicht gestattet. Daher habe ich den Kommentar ausgeblendet.


Gruß,
Dani
Bitte warten ..
Mitglied: Ex0r2k16
01.03.2021, aktualisiert um 16:37 Uhr
Zitat von @aqui:

Damit sieht man etwas mehr.
https://www.glasswire.com
Interessant wäre mal mit http://www.utrace.de oder https://www.ip-tracker.org zu checken wem die Ziel IP gehört an die nach Hause telefoniert wird.
Auf das kommt man doch auch als Laie gleich als Erstes ?!

Also meine Muddi garantiert nicht ;-) face-wink Und die ist auch Laie!
Bitte warten ..
Mitglied: NetzwerkDude
01.03.2021, aktualisiert um 17:09 Uhr
Hi,

der Powershell Oneliner zeigt dir alle offenen verbindungen mit Quell/Ziel Ip/Port:

Interessanter wäre es aber gleich mit WinPmem
https://github.com/Velocidex/WinPmem
ein Memory Image zu ziehen, das kannst du dann in ruhe auf einem zweiten Rechner untersuchen, z.B. mit Volatiloty
https://github.com/volatilityfoundation/volatility
(Recherchetipp: Find malware with volatility)

Ansonsten wird vermutlich schon das Sysinternals Autostarts wie schon von Fennek erwähnt was finden, achte auf die Roten und Gelben einträge :) face-smile

MFG
N-Dude
Bitte warten ..
Mitglied: stream
02.03.2021 um 17:14 Uhr
Zitat von @Lochkartenstanzer:

Moin,

Lass Mal Malwarebytes Are cleaner und Anti-Malware und dann noch ct-desinfect drüber laufen, in die was finden.

Alternativ gleich platt machen.

lks

PS: welche Meldung kommt denn? Manchmal ist es nur ein Fake Positive und manchmal nur Adware.

Besten Dank für Angabe dieser nützlichen Tools!
Peter
Bitte warten ..
Mitglied: stream
02.03.2021 um 17:31 Uhr
Zitat von @altmetaller:

Hallo,

Zitat von @stream:

so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde

So etwas klingt für mich grundsätzlich nach Schlangenöl / Scareware. Was für ein "Tool" ist das denn (auf dem Router) und nach welchen Kriterien entscheidet das, welche IP-Adressen gutartig oder bösartig sind?

Gruß,
Jörg

Das Tool heisst "Safe Access" auf einem Synology-Router. Scheinbar verwendet dieses Tool unter anderem "Safe browsing site" von Google, um die Sicherheit von URLs/IPs zu checken.

Noch bevor ich hier in die Runde schrieb, überprüfte ich die als verdächtig eingestufte IP 199.59.242.153 manuell. Unter anderem fand ich unter https://www.abuseipdb.com/check/199.59.242.153 einige kritische Einträge. Irgendwo stand auch, dass Hacker teilweise diese IP als Proxy benutzen.

Mit glasswire (aqui, danke für den Tipp!) fand ich dann heraus, dass ein Treiber für einen Scan-Pen, den ich seit vielen Jahren bereits benutze, versucht eine Verbindung zu dieser IP aufzunehmen (domain: 77026.bodis.com). So vermutete ich dann, dass ggf. doch falscher Alarm besteht. Überprüfe ich diese domain bei virustotal.com bzw. unter https://transparencyreport.google.com/safe-browsing/search?url=77026.bod ... , so scheint tatsächlich alles ok zu sein.

Das Tool "Safe Access" scheint aus irgendeinem Grund seit kurzem allergisch auf diese IP zu reagieren. Hoffentlich unbegründet.

Beste Grüsse, Peter
Bitte warten ..
Mitglied: stream
02.03.2021 um 17:33 Uhr
Zitat von @NetzwerkDude:

Hi,

der Powershell Oneliner zeigt dir alle offenen verbindungen mit Quell/Ziel Ip/Port:

Interessanter wäre es aber gleich mit WinPmem
https://github.com/Velocidex/WinPmem
ein Memory Image zu ziehen, das kannst du dann in ruhe auf einem zweiten Rechner untersuchen, z.B. mit Volatiloty
https://github.com/volatilityfoundation/volatility
(Recherchetipp: Find malware with volatility)

Ansonsten wird vermutlich schon das Sysinternals Autostarts wie schon von Fennek erwähnt was finden, achte auf die Roten und Gelben einträge :) face-smile

MFG
N-Dude

Sehr wertvoll. Besten Dank. In diesem Fall war diese Methode (noch) nicht vonnöten... Aber gut ist, diese Möglichkeiten in der Hinterhand zu haben!
Peter
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 20 StundenTippErkennung und -Abwehr4 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 15 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...