Scamware im gesamten Netzwerk ohne ersichtlichen Grund.

Dark Session

Dark Session

Enthusiast
Thread Starter
Mitglied seit
26.06.2011
Beiträge
5.893
Ort
Rheinland Pfalz
Servus Freunde, ich bin momentan meinen Onkel besuchen, er lebt in Polen und sitzt leidenschaftlich gerne vorm Rechner. Nun bin ich fast schon eine Woche dran sein Netzwerk und seinen Rechner zu desinfizieren. Kurze Beschreibung was passiert : "Rechner ist mit dem allseits bekannten BKA Trojaner oder Ukash Virus infiziert". Das Internet kommt direkt vom Verteiler in den Router und vom Router über ein Netzwerkkabel in seinen Rechner. Nichts anderes ist angeschlossen.

Ohne davon zu wissen hat er mir noch sein WLAN gegeben damit ich eben internet hier drüben habe. Nun habe ich sporadisch bemerkt dass es bei mir auch vorkommt. :hmm: , komischerweise NUR auf meinem Lappy, auf dem Android-Smartphone passiert rein garnichts, das Internet funktioniert normal (Wenn es da ist und der Trojaner oder Konsorten das Signal nicht blocken). Nun ist er gestern in einen Laden und hat sich ein neus Mobo + eine SSD und eine externe geholt. Das Mobo da der Rechner ohne ersichtlichen Grund immer wieder einfach ausging- schon vor dem Bootscreen nach einem Restart. Ich war so nett und habe ihm seine gesamten Netzwerkkabel und das komplette Netzwerk erneuert, bis auf den TP-Link Router der im Unmodifizierten Zustand ist. Nun kommt das komische : Ich habe zusammen mit ihm Windows 7 Ultimate installiert, seine alten Platten mit den Daten waren garnicht am Rechner angeschlossen, nur die neue SSD die komplett leer ist. Und sobald das LAN-Kabel in der Buchse steckt gehts im Internet Explorer wieder rund, sie wurden erwischt wegen illegalen Downloads .. zahlen sie so und so viel per Paysafecard ... You know! Und NUR sein Rechner war im Netz, das macht micht stutzig...

Was ich nochmal hervorheben möchte ist, dass sich das ganze im Webbrowser abspielt, sprich es öffnet sich schon bei der Startseite ein Link mit .gov.4958349wssdblabla im Namen der andere Websites Blockt. Ich hoffe ihr versteht was ich damit sagen möchte, der Rechner ist NICHT ganz gesperrt. Und nebenbei kann man ab und zu doch auf Seiten wie Ebay.PL oder Konsorten. Doch dann gehts wieder nicht und alles wird geblockt. Habe sogar jegliche Schadware Scanner laufen lassen (Mbam , Malwarebytes anti Rootkit , Combofix (Ja, habe Ahnung). Nichts wird gefunden, noch nicht mal sein 24/7 AV (ESET NOD 32) hat alarm geschlagen.

Vielen Dank fürs Lesen, ich hoffe ihr könnt mir helfen :cool: danke!
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Also ich habe mal bei einem Bekannten das Problem gehabt das der Router (auch ein TP-Link) von außen manipuliert wurde und die DNS Einträge manipuliert wurden. Einige Hersteller u.a TP-Link hatten da mal eine Lücke...hast du den mal resettet / firmware aktualisiert? Wäre zwar auch nicht richtig logisch das das Smartphone nicht betroffen wird, aber ich habe sonst 0 Ideen. Es ist sonst wirklich kein Gerät wede über Lan noch WLAN verbunden?
 
Zuletzt bearbeitet:
Dachte mir auch dass ein DNS-Changer aktiv ist, wollte morgen sowieso einen Reset durchführen da es mir schon oft in den Sinn gekommen ist. Jedoch gibt es immer wieder Leute die dir erzählen wollen dass sowas unmöglich wäre bla blubb... deshalb habe ich anfangs nicht daran gedacht.

Danke für deine Antwort.
 
Krasse Geschichte und vorallem das es der Router war. Da ich derzeit selber einern hier stehen habe der auch von TP-Link jedoch nur als Wlanverteiler und Switch dient, und somit vermutlich nicht von dem Problem betroffen sein sollte, würde micht dennoch interessieren welchen dein Onkel da genau hat. Richte auch für viele Private Leute die Rechner ein und helfe ihnen bei Problemen und hin und wieder hatte ich daher auch mit dem BKA Trojaner zu tun der sich doch recht einfach entfernen ließ. Trotzdem wäre es interessant falls ich auch jemals so einen Fall haben sollte. Dann muss ich nicht ewig suchen denn den Router bzw. eine Sicherheitslücke in diesem hat man doch meist als letztes im Verdacht ;)
 
Freut mich das mein Typ richtig lag, auch wenn es schon ne wirklich Böse Geschichte ist, da kann kein Malwarebytes ESET etc was finden. Schau mal ob ne aktuelle sichere Firmware zu finden ist, sonst ist es wohl nur ne Frage der Zeit....
 
Gubb3L schrieb:
Krasse Geschichte und vorallem das es der Router war. Da ich derzeit selber einern hier stehen habe der auch von TP-Link jedoch nur als Wlanverteiler und Switch dient, und somit vermutlich nicht von dem Problem betroffen sein sollte, würde micht dennoch interessieren welchen dein Onkel da genau hat. Richte auch für viele Private Leute die Rechner ein und helfe ihnen bei Problemen und hin und wieder hatte ich daher auch mit dem BKA Trojaner zu tun der sich doch recht einfach entfernen ließ. Trotzdem wäre es interessant falls ich auch jemals so einen Fall haben sollte. Dann muss ich nicht ewig suchen denn den Router bzw. eine Sicherheitslücke in diesem hat man doch meist als letztes im Verdacht ;)
Zum Vergrößern anklicken....
Hi, es handelt sich um einen "TL-R402M". Habe vorhin nochmal die Firmware auf den neusten Stand gebracht.

Danke euch, kann somit geschlossen werden wenn Bedarf besteht.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh