Angeblich Gozi Trojaner gefunden

Marsch

Enthusiast
Thread Starter
Mitglied seit
17.06.2003
Beiträge
1.134
Hallo,

ich bräuchte mal eure Einschätzung. Heute morgen erreichte mich folgende Mail von meinem Internet Provider:
Ihre Kundennummer: xxx
Ihre Vertragsnummer: xxx
Ihre Ticketnummer: ABxxx
Hinweis: Ihre Kundennummer und Ihr Name zeigen Ihnen, dass diese Nachricht von der 1&1 Telecom GmbH verschickt wurde.

Sehr geehrte/r Herr xxx,

an Ihrem 1&1 DSL-Anschluss wurde ein Sicherheitsrisiko festgestellt.

Wir haben Meldungen erhalten, dass ein Gerät an Ihrem 1&1 DSL-Anschluss von einem Virus infiziert ist. Dies stellt ein Sicherheitsrisiko dar, da beispielsweise Unbekannte über den Virus an Ihre persönlichen Daten gelangen können oder das kompromittierte Gerät für Angriffe gegen Dritte missbraucht werden kann.

Details des Risikos:

Ihre IP-Adresse zum Zeitpunkt: xxx
Zeitpunkt der Erkennung: 15.03.2021 14:53:23 UTC
Bezeichnung des Virus: Gozi

Woher haben wir diese Information?

Um für die Sicherheit an Ihrem DSL-Anschluss zu sorgen, arbeiten wir mit verschiedenen Sicherheitsexperten, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen. Wir sind als Telekommunikationsanbieter nach §109a Absatz 4 TKG in der Pflicht, Sie unverzüglich über bekannt gewordene Sicherheitsrisiken an Ihren Endgeräten zu informieren.

In diesem Zusammenhang möchten wir Sie bitten, die nachfolgenden Gegenmaßnahmen zeitnah umzusetzen.

Was sollten Sie jetzt tun?

1. Prüfen Sie mit einem aktuellen Virenscanner Ihre Endgeräte wie PC, Smartphone oder Tablet
2. Aktualisieren Sie die Software auf Ihren Endgeräten und aktivieren Sie automatische Updates
3. Verwenden Sie eine Firewall – z.B. auf Ihrem Router, PC oder Ihrer Internet-Sicherheitssoftware
4. Wurde ein Virus gefunden und erfolgreich entfernt, ändern Sie bitte all Ihre Passwörter

Bitte beachten Sie: Es liegen uns keine Informationen vor, welches Ihrer Geräte von einem Virus betroffen ist. Potentiell kommt jedes Gerät in Frage, das zum oben genannten Zeitpunkt über Ihren 1&1 DSL-Anschluss mit dem Internet verbunden war.

Sollten wir in Zukunft weitere Meldungen zu Ihrem Vertrag erhalten, informieren wir Sie selbstverständlich erneut.

Wir freuen uns, mit Ihnen gemeinsam für einen sicheren 1&1 DSL-Anschluss zu sorgen - vielen Dank für Ihre Mithilfe.

Mit freundlichen Grüßen

Nun habe ich heute morgen alle Geräte sowohl mit dem Windows Defender als auch mit einem zweiten Tool durchgescannt (Avira für die Windows Clients, Bitdefender für die Android Geräte). Das Ergebnis war negativ bis auf einen uralt Trojaner in einer gezippten uralten Datensicherung, der kann das aber nicht verursacht haben denke ich. Auffällige Aktivitäten habe ich derweil nicht feststellen können.

Nun bin ich etwas ratlos, was ich noch tun kann. Ich könnte nur noch alles neu installieren, das würde aber bei der Menge an Geräten Tage dauern. 1&1 wird da schon irgendwas bemerkt haben, sonst hätten sie die Mail nicht geschrieben. Für wie wahrscheinlich haltet ihr es, dass es sich um einen Fehlalarm handelt?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Mm das steht dann das der sich dann von einer Cloud herunterlädt, nicht das die nur auf die Cloud Seite reagieren,
die werden ja nicht die Inhalte von den geladen Dateien kontrollieren.

Windows Defender z.B. vernichtet auch gerne mal Installer, weil eben die Installer mit eine Tool erstellt wurden was auch die bösen nutzen.
 
Auch wenn der Trojaner was nachlädt, muss es ja eine Schadsoftware auf einem Client geben, die das triggert. Es muss ja irgendwelche Aktivitäten gegeben haben (Verbindungsaufbaus zu bekannten bösartig agierenden IP-Adressen z.B.), die 1&1 dazu veranlasst haben mir die Mitteilung zu machen. Ich hab auch schon überlegt 1&1 direkt zu fragen, aber aller Wahrscheinlichkeit nach wird man da nie jemanden ans Rohr bekommen, der dazu genauere Auskunft geben wird.
 
So, habe jetzt noch einmal Malwarebytes drüberlaufen lassen und auf einem Rechner wurde der Scanner fündig:
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 315838
Erkannte Bedrohungen: 17
In die Quarantäne verschobene Bedrohungen: 17
Abgelaufene Zeit: 1 Min., 2 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 5
PUP.Optional.StartFenster, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Startfenster-Replace.de, In Quarantäne, 497, 350112, , , , , ,
PUP.Optional.StartFenster, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP PATHS\Startfenster-Replace.exe, In Quarantäne, 497, 350115, 1.0.38333, , ame, , ,
RiskWare.Script.MZreg, HKU\S-1-5-21-1371941656-619868183-3341365450-1001\SOFTWARE\marku1, In Quarantäne, 6508, 884748, 1.0.38333, , ame, , ,
PUP.Optional.StartFenster, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\APP PATHS\Startfenster-Replace.exe, In Quarantäne, 497, 350115, 1.0.38333, , ame, , ,
PUP.Optional.StartFenster.ShrtCln, HKU\S-1-5-21-1371941656-619868183-3341365450-1001\SOFTWARE\AM, In Quarantäne, 3422, 401432, 1.0.38333, , ame, , ,

Registrierungswert: 4
RiskWare.Script.Powershell, HKU\S-1-5-21-1371941656-619868183-3341365450-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE|MARKU, In Quarantäne, 6642, 903622, 1.0.38333, , ame, , ,
RiskWare.Script.MZreg, HKU\S-1-5-21-1371941656-619868183-3341365450-1001\SOFTWARE\marku1|0, In Quarantäne, 6508, 884748, 1.0.38333, , ame, , ,
PUP.Optional.StartFenster.ShrtCln, HKU\S-1-5-21-1371941656-619868183-3341365450-1001\SOFTWARE\AM|STARTFENSTER-REPLACE, In Quarantäne, 3422, 401432, 1.0.38333, , ame, , ,
Trojan.Starter.E.Generic, HKU\S-1-5-21-1371941656-619868183-3341365450-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|CLEA0_42, In Quarantäne, 6641, 778325, 1.0.38333, , ame, , ,

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 2
PUP.Optional.StartFenster, C:\PROGRAM FILES (X86)\STARTFENSTER-REPLACE, In Quarantäne, 497, 350112, 1.0.38333, , ame, , ,
PUP.Optional.StartFenster.ShrtCln, C:\USERS\MARKU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTFENSTER-REPLACE, In Quarantäne, 3422, 401566, 1.0.38333, , ame, , ,

Datei: 6
PUP.Optional.StartFenster, C:\PROGRAM FILES (X86)\STARTFENSTER-REPLACE\LOGO.ICO, In Quarantäne, 497, 350112, 1.0.38333, , ame, , BDCF63C89B22A44CDF5B1BE184714A26, C333C15AC24C7820F8E613E6878F1823514E15618CBBFE16161405CDE5270A39
PUP.Optional.StartFenster, C:\Program Files (x86)\Startfenster-Replace\uninstall.exe, In Quarantäne, 497, 350112, , , , , DD71F742B52B7625CA5717AB2B527F7C, 6E666D78AF480159F5C6CDEF64DE2F7447492F21AD126124547B90B80577746A
Trojan.Starter.E.Generic, C:\USERS\MARKU\ADSL3D10.PS1, In Quarantäne, 6641, 778325, , , , , 09EB015087EC9D668D1A8352F0531BFE, FE81C4AB5B297A3A131EFF062AEF40CEAF15B01358D44A6149045782DB7A312C
Trojan.Starter.E.Generic, C:\USERS\MARKU\CLEA0_42.LNK, In Quarantäne, 6641, 778325, , , , , E3003E89E513DF0FF0EC033134AA6FF3, B33E8F3C98B86BD64C3293C709F1F746C1A915B29D68E74B7DCD26D9F6CBB8B9
PUP.Optional.StartFenster.ShrtCln, C:\Users\marku\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startfenster-Replace\Software deinstallieren.lnk, In Quarantäne, 3422, 401566, , , , , 5B8F0985DCEEF3D07384F7F3BEAEF534, AE69A2457CA39A59FD618999D6A13D49747DF7EB95E48AF9A5F5B233D6D29877
PUP.Optional.StartFenster.ShrtCln, C:\Users\marku\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startfenster-Replace\Startfenster.lnk, In Quarantäne, 3422, 401566, , , , , 1F0FFCD941BEC47D7D9186C34F6C97B4, 116B1FDBB69A3731B244036A455D252140D75F4C09D1BA9F74AA404EBEB1F1D0

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)
Die Schlüssel habe ich nun in die Quarantäne verschoben, hoffentlich ist das Problem damit erledigt.
 
Mm was ist denn STARTFENSTER-REPLACE ?
wenn man danach Googelt kommt zu der falschen VLC.de Seite die eine zusätzlich zum originalen VLC (videolan.org) immer noch was unterschiebt, eventuell hast du dir über den Weg was eingefangen.
 
Nur 1&1 kann dir Auskunft geben über die Richtigkeit der Nachricht geben.
 
Habe ich jetzt auch gemacht, sicher ist sicher.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh