Servus!

Ich habe vom Provider (1&1) eine Mail bekommen, dass sie Virenaktivität von meinem Anschluss erkannt haben wollen. Die exakte Bezeichnung war "Murofetweekly", ein Zeitstempel wurde auch angegeben und keine weitere nützliche Information. Es gibt praktisch keine Infos im Internet zu dem Schädling, außer dass es offenbar eine Botnet-Komponente ist, die die C&C Domains auswürfelt. Ich gehe mal davon aus, dass es nur Windows betrifft; im Netzwerk sind außer Windows-PCs nur Android und Embedded-Geräte.

Zum genannten Zeitpunkt kommt nur ein Windows-Rechner in Frage, ein 12 Jahre alter HTPC mit Windows 7 und minimaler Softwareausstattung (diverse Mediaplayer und Firefox Browser). Er wird nur selten benutzt und nicht für täglichen Internetkram (Browsen, Emails), hat daher auch kein Antivirus drauf.

Ein Scan mit Sophos hat nichts gefunden; bei Malwarebytes hat bloß die Heuristik (also "AI" auf neudeutsch) angeschlagen bei einer veralteten Version von DVBViewer (Änderungsdatum der betroffenen exe Dateien ~2014), was auf jeden Fall ein false positive ist, weil es ein Bezahlprogramm direkt von der Herstellerseite ist (und mittlerweile auch geupdatet wurde). Ich kann auch nicht jede erdenkliche AV Software darauf loslassen, weil ein Scan auf dem alten PC einiges an Zeit in Anspruch nimmt, deshalb muss ich das systematischer angehen.

Ich werde die Kiste irgendwann eh auf Win 10 upgraden (falls ich noch funktionierende Treiber finde) und damit sollte es erledigt sein. Ich würde aber trotzdem gerne wissen, ob der PC wirklich infiziert ist (wie das passieren konnte ist dann ein anderes Mysterium), oder ob 1&1 bzw. die Telekom lediglich übereifrig beim Ausspionieren meines Internettraffics war. Die Frage ist daher: welchen Scanner soll ich benutzen, um genau diesen Virus (Murofetweekly) zu erkennen? Soweit ich weiß gibt es keine Datenbank, die auflistet, welche AV Software welche Schädlinge erkennt, oder? Virustotal wäre vielleicht sowas in der Art, aber dafür bräuchte ich erst eine infizierte Datei, weil man nicht nach Virenbezeichnung suchen kann... Hat jemand eine Idee?

PS: Ein Paar Threads weiter unten hat jemand genau das gleiche Problem, sieht also aus wie eine (mini) Welle. Richtig nachgewiesen wurde da der Schädling aber auch nicht...

Zitat:

Zitat von Novgorod

Servus!

Ich gehe mal davon aus, dass es nur Windows betrifft; im Netzwerk sind außer Windows-PCs nur Android und Embedded-Geräte.

Zum genannten Zeitpunkt kommt nur ein Windows-Rechner in Frage, ein 12 Jahre alter HTPC mit Windows 7 und minimaler Softwareausstattung (diverse Mediaplayer und Firefox Browser). Er wird nur selten benutzt und nicht für täglichen Internetkram (Browsen, Emails), hat daher auch kein Antivirus drauf.

.

Wenn die ISPs Recht haben, liegt genau hier Dein Problem. Ein ungeschützter W7 im Netz stellt ein Risiko dar,
W7 ist out. Es erhält keinerlei Updates mehr. Deshalb erfolgen auch keinerlei Hilfestellungen und Analysen hier im Forum mehr.
Eine Sicherung Deiner persönlichen Daten und eine Neuinstallation mit W10 sind die einzigen Alternativen.
Sollte er W10 nicht mehr verkraften, könnte er mit einem Linux-System weiter seine Dienste tun.

Zitat:

Zitat von felix1

Wenn die ISPs Recht haben

Das will ich ja herausfinden - deshalb die Frage, welcher AV die spezifische Malware überhaupt kennt (ich vermute ganz stark: gar keiner), völlig unabhängig vom OS. Bisher deutet alles darauf hin, dass der Rechner sauber ist (mittlerweile auch laut MSE) und der Provider hat sich auch nicht die Mühe gemacht, auch nur ansatzweise seine Behauptung zu belegen. Ich habe nicht gefragt, wie ich einen Windows 7 Rechner säubere (weil nichts darauf hindeutet, dass er befallen ist), sondern ob ich eine automatisierte Heuristik-Mail vom Provider ernst nehmen oder damit den Spamfilter füttern soll - und ob es überhaupt verifizierbar ist.

Lese mal hier nach. Nur werden wir hier keine Bereinigung Deines Systems aus den von mir genannten Gründen durchführen.

Zitat:

Zitat von Novgorod

Ich habe nicht gefragt, wie ich einen Windows 7 Rechner säubere (weil nichts darauf hindeutet, dass er befallen ist), sondern ob ich eine automatisierte Heuristik-Mail vom Provider ernst nehmen oder damit den Spamfilter füttern soll - und ob es überhaupt verifizierbar ist.

Du wirst hier aber keine verantwortungslosen Tipps von uns hören. Ein Windows 7 gehört in keine Netzwerke mehr.

Zitat:

Zitat von felix1

Lese mal hier nach.

Hab ich gesehen und extra im ersten Post erwähnt. Dort gibt es ebenfalls keinen einzigen Hinweis auf murofetweekly. Den Logs nach haben seine 2 Defender Funde nichts damit zu tun und sind false positives (irgendein Android root tool und ein Voodoo wrapper für Siedler 4, lol). Tipps zum Entfernen von Adobe Software helfen da auch nicht weiter.

Ich muss also davon ausgehen, dass die Trafficanalyse vom Provider ein false positive war, weil 1. kein einziges Mal die Ursache festgestellt werden konnte und 2. niemand die vermeintliche Malware überhaupt kennt. Oder es ist ein derart krasser 1337 0-day wo auch Adobe deinstallieren nicht mehr hilft (aber der würde dann sicher auch keine 10 Jahre alte DGAs nutzen)...

Es ist ja schon unverantwortlich genug, ein Windows-7-System noch online zu belassen. Noch unverantwortlicher ist es allerdings...

Zitat:

Zitat von Novgorod

Ich habe nicht gefragt, wie ich einen Windows 7 Rechner säubere (weil nichts darauf hindeutet, dass er befallen ist)

... entsprechende diesbezügliche Hinweise in den Wind zu schlagen. Wieso immer dieser Tanz um uralte Software? Sie gehört einfach nicht mehr ans Internet. Aus Eigenschutz- wie auch aus Fremdschutzgründen. Jede Diskussion dazu ist Zeitverschwendung, also pack da ein aktuelles System rauf!

Ganz schlimm, diese verbreite fehlende Einsicht.

Zitat:

Zitat von mmk

Jede Diskussion dazu ist Zeitverschwendung

Genau deswegen diskutiere ich ja auch nicht darüber.

Stattdessen hatte ich lediglich auf ein Paar Infos zu der vermeintlichen Malware gehofft. Ein "nie davon gehört" hätte als Antwort gereicht.

Und, wie weit bist Du nun damit fortgeschritten, das unsichere System (Windows 7) vom Netz zu nehmen und durch ein aktuelles zu ersetzen? Schon fertig?