10
Einer Malware auf der Spur. Benötige Sherlock Holmes!
Guten Abend
Wenn ich meine Windows-10-Kiste starte, so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde. Auf meinem Router läuft ein Tool, dass den Netzwerkverkehr überwacht und eine Verbindung ggf. blockt, falls die entsprechende externe IP mit einer bösartigen Quelle assoziiert wurde.
Seit gestern blockt nun der Router stets die gleiche IP. Und dieser Event kommt immer genau dann vor, wenn ich meinen PC starte. Meine Befürchtung ist nun, dass ich mir eine Malware eingefangen habe, die stets beim Start versucht mit dem Mutterschiff Kontakt aufzunehmen.
Mit Wireshark habe ich Infos über den Port erhalten. Mit netstat habe ich dann versucht die PID für den entsprechenden Port herauszufinden. Der ist jedoch 0 (wartend).
Da ich kein Netzwerk-Experte bin, komme ich nun an dieser Stelle nicht weiter. Meine Frage: Wie kann ich herausfinden, welches Programm bei mir versucht hat mit der entsprechenden externen IP zu kommunizieren? Habt ihr Tipps?
Vielen Dank!
Peter
Wenn ich meine Windows-10-Kiste starte, so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde. Auf meinem Router läuft ein Tool, dass den Netzwerkverkehr überwacht und eine Verbindung ggf. blockt, falls die entsprechende externe IP mit einer bösartigen Quelle assoziiert wurde.
Seit gestern blockt nun der Router stets die gleiche IP. Und dieser Event kommt immer genau dann vor, wenn ich meinen PC starte. Meine Befürchtung ist nun, dass ich mir eine Malware eingefangen habe, die stets beim Start versucht mit dem Mutterschiff Kontakt aufzunehmen.
Mit Wireshark habe ich Infos über den Port erhalten. Mit netstat habe ich dann versucht die PID für den entsprechenden Port herauszufinden. Der ist jedoch 0 (wartend).
Da ich kein Netzwerk-Experte bin, komme ich nun an dieser Stelle nicht weiter. Meine Frage: Wie kann ich herausfinden, welches Programm bei mir versucht hat mit der entsprechenden externen IP zu kommunizieren? Habt ihr Tipps?
Vielen Dank!
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 657036
Url: https://administrator.de/contentid/657036
Printed on: April 18, 2024 at 19:04 o'clock
10 Comments
Latest comment
Moin,
Lass Mal Malwarebytes Adwcleaner und Anti-Malware und dann noch ct-desinfect drüber laufen, ob die was finden.
Alternativ gleich platt machen.
lks
PS: welche Meldung kommt denn? Manchmal ist es nur ein False Positive und manchmal nur Adware.
Edit: Typo
Lass Mal Malwarebytes Adwcleaner und Anti-Malware und dann noch ct-desinfect drüber laufen, ob die was finden.
Alternativ gleich platt machen.
lks
PS: welche Meldung kommt denn? Manchmal ist es nur ein False Positive und manchmal nur Adware.
Edit: Typo
Hallo,
So etwas klingt für mich grundsätzlich nach Schlangenöl / Scareware. Was für ein "Tool" ist das denn (auf dem Router) und nach welchen Kriterien entscheidet das, welche IP-Adressen gutartig oder bösartig sind?
Gruß,
Jörg
Zitat von @stream:
so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde
so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde
So etwas klingt für mich grundsätzlich nach Schlangenöl / Scareware. Was für ein "Tool" ist das denn (auf dem Router) und nach welchen Kriterien entscheidet das, welche IP-Adressen gutartig oder bösartig sind?
Gruß,
Jörg
Damit sieht man etwas mehr.
https://www.glasswire.com
Interessant wäre mal mit http://www.utrace.de oder https://www.ip-tracker.org zu checken wem die Ziel IP gehört an die nach Hause telefoniert wird.
Auf das kommt man doch auch als Laie gleich als Erstes ?!
https://www.glasswire.com
Interessant wäre mal mit http://www.utrace.de oder https://www.ip-tracker.org zu checken wem die Ziel IP gehört an die nach Hause telefoniert wird.
Auf das kommt man doch auch als Laie gleich als Erstes ?!
1
Versuch die DoItYourself-Methode:
Prüfe
- Autostart
- den Ordner %Temp%
- den Ordner C:\programdate
- die Ordner in c:\users\public
- windows kann alle DNS-Queries loggen (nach wenigen Minuten ist die Default-Kapazität erreicht
- oder CMD: IpConfig /DisplayDNS
Einen vollständigen Scan mit dem installierten AV-Programm ist selbstverständlich.
Prüfe
- Autostart
- den Ordner %Temp%
- den Ordner C:\programdate
- die Ordner in c:\users\public
- windows kann alle DNS-Queries loggen (nach wenigen Minuten ist die Default-Kapazität erreicht
- oder CMD: IpConfig /DisplayDNS
Einen vollständigen Scan mit dem installierten AV-Programm ist selbstverständlich.
Moin iktbuerovonwaldenundco,
ich schlage vor, du liest noch einmal aufmerksam unsere aktuellen und gültigen Forenregeln.
Werbung in dieser und anderer Form ist nicht gestattet. Daher habe ich den Kommentar ausgeblendet.
Gruß,
Dani
ich schlage vor, du liest noch einmal aufmerksam unsere aktuellen und gültigen Forenregeln.
Werbung in dieser und anderer Form ist nicht gestattet. Daher habe ich den Kommentar ausgeblendet.
Gruß,
Dani
Zitat von @aqui:
Damit sieht man etwas mehr.
https://www.glasswire.com
Interessant wäre mal mit http://www.utrace.de oder https://www.ip-tracker.org zu checken wem die Ziel IP gehört an die nach Hause telefoniert wird.
Auf das kommt man doch auch als Laie gleich als Erstes ?!
Damit sieht man etwas mehr.
https://www.glasswire.com
Interessant wäre mal mit http://www.utrace.de oder https://www.ip-tracker.org zu checken wem die Ziel IP gehört an die nach Hause telefoniert wird.
Auf das kommt man doch auch als Laie gleich als Erstes ?!
Also meine Muddi garantiert nicht
Und die ist auch Laie!
Hi,
der Powershell Oneliner zeigt dir alle offenen verbindungen mit Quell/Ziel Ip/Port:
Interessanter wäre es aber gleich mit WinPmem
https://github.com/Velocidex/WinPmem
ein Memory Image zu ziehen, das kannst du dann in ruhe auf einem zweiten Rechner untersuchen, z.B. mit Volatiloty
https://github.com/volatilityfoundation/volatility
(Recherchetipp: Find malware with volatility)
Ansonsten wird vermutlich schon das Sysinternals Autostarts wie schon von Fennek erwähnt was finden, achte auf die Roten und Gelben einträge
MFG
N-Dude
der Powershell Oneliner zeigt dir alle offenen verbindungen mit Quell/Ziel Ip/Port:
Get-NetTCPConnection | Select-Object LocalAddress,LocalPort,RemoteAddress,RemotePort,@{ Name = 'ProcessName'; Expression = { (Get-Process -Id $_.OwningProcess).ProcessName }} | Format-Table -AutoSize Interessanter wäre es aber gleich mit WinPmem
https://github.com/Velocidex/WinPmem
ein Memory Image zu ziehen, das kannst du dann in ruhe auf einem zweiten Rechner untersuchen, z.B. mit Volatiloty
https://github.com/volatilityfoundation/volatility
(Recherchetipp: Find malware with volatility)
Ansonsten wird vermutlich schon das Sysinternals Autostarts wie schon von Fennek erwähnt was finden, achte auf die Roten und Gelben einträge
MFG
N-Dude
Zitat von @Lochkartenstanzer:
Moin,
Lass Mal Malwarebytes Are cleaner und Anti-Malware und dann noch ct-desinfect drüber laufen, in die was finden.
Alternativ gleich platt machen.
lks
PS: welche Meldung kommt denn? Manchmal ist es nur ein Fake Positive und manchmal nur Adware.
Moin,
Lass Mal Malwarebytes Are cleaner und Anti-Malware und dann noch ct-desinfect drüber laufen, in die was finden.
Alternativ gleich platt machen.
lks
PS: welche Meldung kommt denn? Manchmal ist es nur ein Fake Positive und manchmal nur Adware.
Besten Dank für Angabe dieser nützlichen Tools!
Peter
Zitat von @117471:
Hallo,
So etwas klingt für mich grundsätzlich nach Schlangenöl / Scareware. Was für ein "Tool" ist das denn (auf dem Router) und nach welchen Kriterien entscheidet das, welche IP-Adressen gutartig oder bösartig sind?
Gruß,
Jörg
Hallo,
Zitat von @stream:
so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde
so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde
So etwas klingt für mich grundsätzlich nach Schlangenöl / Scareware. Was für ein "Tool" ist das denn (auf dem Router) und nach welchen Kriterien entscheidet das, welche IP-Adressen gutartig oder bösartig sind?
Gruß,
Jörg
Das Tool heisst "Safe Access" auf einem Synology-Router. Scheinbar verwendet dieses Tool unter anderem "Safe browsing site" von Google, um die Sicherheit von URLs/IPs zu checken.
Noch bevor ich hier in die Runde schrieb, überprüfte ich die als verdächtig eingestufte IP 199.59.242.153 manuell. Unter anderem fand ich unter https://www.abuseipdb.com/check/199.59.242.153 einige kritische Einträge. Irgendwo stand auch, dass Hacker teilweise diese IP als Proxy benutzen.
Mit glasswire (aqui, danke für den Tipp!) fand ich dann heraus, dass ein Treiber für einen Scan-Pen, den ich seit vielen Jahren bereits benutze, versucht eine Verbindung zu dieser IP aufzunehmen (domain: 77026.bodis.com). So vermutete ich dann, dass ggf. doch falscher Alarm besteht. Überprüfe ich diese domain bei virustotal.com bzw. unter https://transparencyreport.google.com/safe-browsing/search?url=77026.bod ... , so scheint tatsächlich alles ok zu sein.
Das Tool "Safe Access" scheint aus irgendeinem Grund seit kurzem allergisch auf diese IP zu reagieren. Hoffentlich unbegründet.
Beste Grüsse, Peter
Zitat von @NetzwerkDude:
Hi,
der Powershell Oneliner zeigt dir alle offenen verbindungen mit Quell/Ziel Ip/Port:
Interessanter wäre es aber gleich mit WinPmem
https://github.com/Velocidex/WinPmem
ein Memory Image zu ziehen, das kannst du dann in ruhe auf einem zweiten Rechner untersuchen, z.B. mit Volatiloty
https://github.com/volatilityfoundation/volatility
(Recherchetipp: Find malware with volatility)
Ansonsten wird vermutlich schon das Sysinternals Autostarts wie schon von Fennek erwähnt was finden, achte auf die Roten und Gelben einträge
MFG
N-Dude
Hi,
der Powershell Oneliner zeigt dir alle offenen verbindungen mit Quell/Ziel Ip/Port:
Get-NetTCPConnection | Select-Object LocalAddress,LocalPort,RemoteAddress,RemotePort,@{ Name = 'ProcessName'; Expression = { (Get-Process -Id $_.OwningProcess).ProcessName }} | Format-Table -AutoSize Interessanter wäre es aber gleich mit WinPmem
https://github.com/Velocidex/WinPmem
ein Memory Image zu ziehen, das kannst du dann in ruhe auf einem zweiten Rechner untersuchen, z.B. mit Volatiloty
https://github.com/volatilityfoundation/volatility
(Recherchetipp: Find malware with volatility)
Ansonsten wird vermutlich schon das Sysinternals Autostarts wie schon von Fennek erwähnt was finden, achte auf die Roten und Gelben einträge
MFG
N-Dude
Sehr wertvoll. Besten Dank. In diesem Fall war diese Methode (noch) nicht vonnöten... Aber gut ist, diese Möglichkeiten in der Hinterhand zu haben!
Peter
