Ich habe mein Tab gerootet und möchte gerne wissen wie man im Fall der Fälle einen Virus im Root ausfindig machen kann.

Ich denke mal Apps wie Anti Malware Bytes oder Avast sind da zwecklos.

Ich finde diese Information sehr wichtig, da man ansonsten sein Tab nicht mehr für sensible Arbeiten wie Onlinebanking, Paypal usw. verwenden kann, ohne das man befürchten muss das ein Trojaner erheblichen Schaden verursacht.

Viele Grüße

Lullie

Zitat:

Ich finde diese Information sehr wichtig, da man ansonsten sein Tab nicht mehr für sensible Arbeiten wie Onlinebanking, Paypal usw. verwenden kann, ohne das man befürchten muss das ein Trojaner erheblichen Schaden verursacht.

Wenn du sowas sehr wichtig findest, warum rootest du das Gerät dann?
Entweder man hat ein Spielzeug-Gerät oder eins mit dem man seriös Dinge erledigen will/muss, aber doch nicht beides in einem!

Es ist aber schon passiert. Ist es nun möglich Viren im Root zu finden oder nicht?

Da du es sehr wichtig findest und Wert auf Sicherheit legst, bleibt dir nichts anderes übrig, als das Gerät in Werkeinstellungen zurück zu versetzen

Das funktioniert, obwohl man schon gerootet hat? Ich dachte in dem Fall hilft nur noch die originale Firmware, die ich hicht habe.

Vgl. Root zurücksetzen - Android-Hilfe.de

Da findest du bestimmt auch eine Anleitung für dein Gerät

Gibt es denn irgendeine Möglichkeit nachzuvollziehen, ob auf dem Tablet ein Trojaner sein Unwesen treibt?

Das Tab ist sehr, sehr neu mit einem Intel Baytrail. Da gibt es keine stockrom für.

Normalerweise wird beim Rooten die App "SuperSU" installiert. Wenn irgendeine App root-Zugriff haben will, fragt SuperSU dich ob du das zulassen willst. Also damit ein Virus drauf kommt muss er erstmal daran vorbei. Außerdem gibt es Task-Manager für Android, damit könntest du überwachen welche Prozesse laufen und eventuell schlecht getarnte Viren finden. Zuletzt kannst du wenn du einen entdeckt hast, dein Tablet in der TWRP Recovery die du beim rooten wahrscheinlich aufgespielt hast auf einen definitiv sicheren Stand zurücksetzen.

PS:
Avast finde ich nur mit root-Rechten gut, da es so die Firewall Funktion hat, mit der man Apps verbieten kann nach Hause zu telefonieren.

Hi
Ich habe selbst ein gerootetes Tablet und benutze Paypal und Ebay damit .
Mir ist noch nie etwas passiert .
Lade dir aus dem AppStore die App OSMonitor runter da könntest du ganz einfach eine schädliche Verbindung einsehen .

MFG

Ich habe die App OS Monitor installiert und alle aktiven Verbindungen ausgelesen:

199.16.156.52:443 ESTABLISHED Chrome
74.125.232.25:443 ESTABLISHED Google-Dienste-Framework
74.125.232.71:443 ESTABLISHED Chrome
74.125.232.13:443 ESTABLISHED Google-Dienste-Framework
74.125.232.74:443 ESTABLISHED Google Play Store
194.25.134.51:993 ESTABLISHED K-9 Mail
74.125.232.13:80 ESTABLISHED Google-Dienste-Framework
74.125.232.75:443 ESTABLISHED Google Play Store
74.125.232.5:443 CLOSE_WAIT Google-Dienste-Framework
74.125.232.6:443 ESTABLISHED Google-Dienste-Framework
74.125.232.6:443 ESTABLISHED Google Play Store
194.25.134.51:993 ESTABLISHED K-9 Mail
54.171.3.79:80 CLOSE_WAIT Clean Master
173.194.65.95:443 CLOSE_WAIT Google Play Store
173.194.44.30:443 ESTABLISHED Google-Dienste-Framework
54.230.200.102:80 CLOSE_WAIT Clean Master
74.125.232.76:443 ESTABLISHED Google Play Store
54.239.168.9:443 ESTABLISHED Clean Master
74.125.232.74:80 ESTABLISHED Google Play Store
54.171.3.79:80 LAST_ACK System
54.194.11.178:80 CLOSE_WAIT Clean Master
74.125.232.30:443 CLOSE_WAIT Google-Dienste-Framework
173.194.65.95:443 CLOSE_WAIT Google-Dienste-Framework
194.25.134.51:993 ESTABLISHED K-9 Mail
74.125.136.188:5228 ESTABLISHED Google-Dienste-Framework
74.125.232.76:443 ESTABLISHED Google Play Store
74.125.232.6:80 ESTABLISHED Medienspeicher
74.125.232.74:443 ESTABLISHED Google Play Store
74.125.232.76:80 ESTABLISHED Google Play Store
74.125.232.76:443 ESTABLISHED Google Play Store
74.125.232.4:443 ESTABLISHED Google Play Store
194.25.134.51:993 ESTABLISHED K-9 Mail
74.125.232.0:80 CLOSE_WAIT com.intel.widi.uibc
74.125.232.75:443 ESTABLISHED Google Play Store
54.72.8.246:80 CLOSE_WAIT Clean Master
:::* CLOSE /system/bin/dhcpcd

Seht ihr etwas Auffälliges ?

Frag mal Cousinus ob er da auch Erfahrung hat ...
Aber so im ersten Moment sieht es doch OK aus!

An deiner Stelle würde ich mal die Ip Adressen mit utrace.de abgleichen und mal testen ob da etwas ist

Aber wie kommst du eigentlich darauf das du dir einen Root Virus eingefangen hast ?
Wie hast du den dein Gerät gerootet ??

MFG

Code: Alles auswählenAufklappen

ATTFilter

awk -F":" '{system ("host "$1);}' hosts.txt
Host 52.156.16.199.in-addr.arpa. not found: 3(NXDOMAIN)
25.232.125.74.in-addr.arpa domain name pointer muc03s13-in-f25.1e100.net.
71.232.125.74.in-addr.arpa domain name pointer muc03s14-in-f7.1e100.net.
13.232.125.74.in-addr.arpa domain name pointer muc03s13-in-f13.1e100.net.
74.232.125.74.in-addr.arpa domain name pointer muc03s14-in-f10.1e100.net.
51.134.25.194.in-addr.arpa domain name pointer email02.t-online.de.
13.232.125.74.in-addr.arpa domain name pointer muc03s13-in-f13.1e100.net.
75.232.125.74.in-addr.arpa domain name pointer muc03s14-in-f11.1e100.net.
5.232.125.74.in-addr.arpa domain name pointer muc03s13-in-f5.1e100.net.
6.232.125.74.in-addr.arpa domain name pointer muc03s13-in-f6.1e100.net.
6.232.125.74.in-addr.arpa domain name pointer muc03s13-in-f6.1e100.net.
51.134.25.194.in-addr.arpa domain name pointer email02.t-online.de.
79.3.171.54.in-addr.arpa domain name pointer ec2-54-171-3-79.eu-west-1.compute.amazonaws.com.
95.65.194.173.in-addr.arpa domain name pointer ee-in-f95.1e100.net.
30.44.194.173.in-addr.arpa domain name pointer muc03s07-in-f30.1e100.net.
102.200.230.54.in-addr.arpa domain name pointer server-54-230-200-102.fra50.r.cloudfront.net.
76.232.125.74.in-addr.arpa domain name pointer muc03s14-in-f12.1e100.net.
9.168.239.54.in-addr.arpa domain name pointer server-54-239-168-9.fra50.r.cloudfront.net.
74.232.125.74.in-addr.arpa domain name pointer muc03s14-in-f10.1e100.net.
79.3.171.54.in-addr.arpa domain name pointer ec2-54-171-3-79.eu-west-1.compute.amazonaws.com.
178.11.194.54.in-addr.arpa domain name pointer ec2-54-194-11-178.eu-west-1.compute.amazonaws.com.
30.232.125.74.in-addr.arpa domain name pointer muc03s13-in-f30.1e100.net.
95.65.194.173.in-addr.arpa domain name pointer ee-in-f95.1e100.net.
51.134.25.194.in-addr.arpa domain name pointer email02.t-online.de.
188.136.125.74.in-addr.arpa domain name pointer ea-in-f188.1e100.net.
76.232.125.74.in-addr.arpa domain name pointer muc03s14-in-f12.1e100.net.
6.232.125.74.in-addr.arpa domain name pointer muc03s13-in-f6.1e100.net.
74.232.125.74.in-addr.arpa domain name pointer muc03s14-in-f10.1e100.net.
76.232.125.74.in-addr.arpa domain name pointer muc03s14-in-f12.1e100.net.
76.232.125.74.in-addr.arpa domain name pointer muc03s14-in-f12.1e100.net.
4.232.125.74.in-addr.arpa domain name pointer muc03s13-in-f4.1e100.net.
51.134.25.194.in-addr.arpa domain name pointer email02.t-online.de.
0.232.125.74.in-addr.arpa domain name pointer muc03s13-in-f0.1e100.net.
75.232.125.74.in-addr.arpa domain name pointer muc03s14-in-f11.1e100.net.
246.8.72.54.in-addr.arpa domain name pointer ec2-54-72-8-246.eu-west-1.compute.amazonaws.com.
         

Nun gehen wir mal davon aus, dass Google nicht böse ist (bzw. dort nichts böstes gehostet wird) und erhalten daher nur noch:

Code: Alles auswählenAufklappen

ATTFilter

awk -F":" '{printf $0 " ";system ("host "$1);}' hosts.txt  |fgrep -v 1e100.net
199.16.156.52:443 ESTABLISHED Chrome Host 52.156.16.199.in-addr.arpa. not found: 3(NXDOMAIN)
194.25.134.51:993 ESTABLISHED K-9 Mail 51.134.25.194.in-addr.arpa domain name pointer email02.t-online.de.
194.25.134.51:993 ESTABLISHED K-9 Mail 51.134.25.194.in-addr.arpa domain name pointer email02.t-online.de.
54.171.3.79:80 CLOSE_WAIT Clean Master 79.3.171.54.in-addr.arpa domain name pointer ec2-54-171-3-79.eu-west-1.compute.amazonaws.com.
54.230.200.102:80 CLOSE_WAIT Clean Master 102.200.230.54.in-addr.arpa domain name pointer server-54-230-200-102.fra50.r.cloudfront.net.
54.239.168.9:443 ESTABLISHED Clean Master 9.168.239.54.in-addr.arpa domain name pointer server-54-239-168-9.fra50.r.cloudfront.net.
54.171.3.79:80 LAST_ACK System 79.3.171.54.in-addr.arpa domain name pointer ec2-54-171-3-79.eu-west-1.compute.amazonaws.com.
54.194.11.178:80 CLOSE_WAIT Clean Master 178.11.194.54.in-addr.arpa domain name pointer ec2-54-194-11-178.eu-west-1.compute.amazonaws.com.
194.25.134.51:993 ESTABLISHED K-9 Mail 51.134.25.194.in-addr.arpa domain name pointer email02.t-online.de.
194.25.134.51:993 ESTABLISHED K-9 Mail 51.134.25.194.in-addr.arpa domain name pointer email02.t-online.de.
54.72.8.246:80 CLOSE_WAIT Clean Master  246.8.72.54.in-addr.arpa domain name pointer ec2-54-72-8-246.eu-west-1.compute.amazonaws.com.
         

Wer schlau ist hostet natürlich Schadcode bei Google, Amazon oder vielleicht noch Twitter. Dann bringt die ganze Suche natürlich rein gar nichts. Interessant ist der erste Eintrag. Das SSL-Zertifikat wird bei mir angemeckert. Mag Chrome aber vollkommen egal sein. Auch schön, dass dein E-Mail-Provider T-Online verschlüsselte E-Mail-Kommunikationen verlangt. Bringt dir natürlich auch rein gar nichts, da die E-Mails auf deinem Gerät unverschlüsselt rumliegen.

Zur eigentlichen Frage:
Wenn du Android nutzt musst du Google trauen.
Wenn du Windows nutzt musst du Microsoft trauen.
Wenn du Linux nutzt musst du einer Community trauen.
Nutzt du ein CustomROM wirst du dem "Hersteller" trauen müssen.
...

Also ich würde sagen es sieht gut aus und ihr ??


MFG

Ich verstehe sowieso immer noch nicht warum er sich einen Root Virus gefangen haben soll??

MFG

Ich habe mal zwei root apk's (reaver und bcmon) von xda developers geladen und installiert. Ich bin mir nicht sicher, ob da Viren eingebunden sind:

hxxp://forum.xda-developers.com/showthread.php?t=2456888

Die App's funktionierten gar nicht, aufgrund mangelnder Kompatibilität des W-Lan Chips.

Hinzu kommt das ich hiermit gerootet habe:

hxxp://www.asuszenfoneblog.com/2014/09/download-rootzenfone-144r.html

Ob das nun vertrauenswürdig ist weiß ich nicht. Aber wie sagt man so schön Gier / Neugierde frisst Hirn. Das war bei mir der Fall. Habe mir erst nachher Gedanken gemacht welche Auswirkungen das haben kann.

Man kann das Tablet nicht mit der Stock-FW flashen, da man nicht in den Recoverymode kommt. Wenn man in das Menü kommt und es auswählt, startet das Tablet neu und der Bildschirm bleibt schwarz. Per ADB und Windows funktioniert es auch nicht, da der Stock-Firmware direkt vom Hersteller dafür diverse Txt-Dateien fehlen.

Hi
Kann ich mir zwar schlecht vorstellen das dort Viren eingebunden sind aber naja ....
Bin leider im Praktikum und kann hier nichts herunterladen oder uploaden !
Lade doch einfach mal die zwei apk files auf www.virustotal.com und auf hxxps://anubis.iseclab.org/ hoch und teil mir das Ergeniss mit !


MFG