Hallo,
in den letzten Tagen traten bei mir massig Fehlversuche zum Login auf der Fritzbox auf. Nach einigem Recherchieren und auch Kontaktieren zu AVM wurde mir dargestellt, dass es sich lediglich um Versuche handelt, nicht um Angriffe.

Hab das erstmal hingenommen und weiter gesucht. Dann fand ich Artikel wo beschrieben stand, dass diese Versuche immer von einer bestimmten IP starten.

Ich nochmal in mein Ereignisprotokoll geschaut und gesehen, dass bei mir die Versuche immer von der IP ausgelöst wurden, mit der ich bei 1und1 verbunden bin. Habe dann mal bei meinem WLAN das IP6 Protokoll deaktiviert und dann im Log gesehen - Anmeldeversuche von meinem Laptop.

hmmmm, dachte ich "40-50 mal am Tag hast du dich nicht auf der Box eingeloggt, und das Passwort war auch immer richtig!"

Da fiel mir dann nur noch die Möglichkeit ein, dass ich vielleicht einen Trojaner an Board habe, der mir den Garaus macht.

Ein Scan mittels ESET Scanner brachte nichts zum Vorschein.
Dann wandte ich mich an 1und1 und der Support wollte sich auf meine Fritzbox klinken und sich umschauen - nach 2 Stunden bekam ich aber die Nachricht mit dem Link zu AVM in dem obiges alles nochmal beschrieben war.


Nun bleibt mir nur noch die Hoffnung, dass ihr mir helfen könnt.

Warte auf Instruktionen was ich liefern kann, damit ihr mir weiterhelft ;-)

LG Rene

PS: Windows neu installieren hatte ich eigentlich nicht vor, wie mir in einem anderen Forum vorgeschlagen wurde

Du hast zwar viel geschrieben aber nicht viel substanzielles. Es fehlen jegliche Angaben zur eingesetzten Hardware, was sowohl den Router als auch die genutzte PC-Technik betrifft. Auch wichtig wäre, mit welchem Browser Du versuchst zuzugreifen.

Vielleicht ist dieses Thema ja bereits bekannt und nicht abhängig von bestimmter Hardware

Nun gut. Ich habe einen Acer Aspire 7 mit 64bit Windows 10 (updates eigentlich immer auf neuestem Stand).

Meine Fritzbox ist eine 7520 mit Fritz OS 07.21
Ich arbeite mit dem Google Chrome 88.0.4324.190 (64bit)

Ich hoffe das ist so okay?

Zitat:

Zitat von ruffy68

Vielleicht ist dieses Thema ja bereits bekannt und nicht abhängig von bestimmter Hardware

Das ist kein generelles Problem. Ich habe mit meiner Fritz keine Probleme.
Wenn Chrome Dein Standardbrowser ist, verwendest Du dort irgendwelche Adblocker?

nein, ich verwende alles nur in Standard Versionen. Habe auch alle Erweiterungen deinstalliert um sie als Quelle auszuschliessen.

Lasse gerade den RoqueKiller über mein System fegen. Er hat bis jetzt 8 Sachen gefunden, aber das sind nur Registry Keys

Poste dann mal das Ergebnis von Roque.

Das hatte ich vor paar Tagen bei Heise gelesen.
https://www.heise.de/news/Akute-Angriffswelle-auf-Fritzbox-Nutzer-jetzt-handeln-5068111.html

oh da musste ich aber suchen.
Zur Erklärung: das KMS ist nicht aktiv, ist schon 3 Jahre auf dem Rechner

Code: Alles auswählenAufklappen

ATTFilter

RogueKiller Anti-Malware V14.8.5.0 (x64) [Feb 12 2021] (Premium) von Adlice Software
Mail : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Betriebssystem : Windows 10 (10.0.19042) 64 bits
Gestartet in : Normaler Modus
Benutzer : rmaer [Administrator]
Gestartet von : C:\Program Files\RogueKiller\RogueKiller64.exe
Signaturen : 20210308_132502, Treiber : Geladen
Modus : Standard-Scan, Löschen -- Datum : 2021/03/08 17:56:19 (Dauer : 00:33:37)
Switches : -minimize

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Löschen ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[PUP.Gen1 (Potenziell bösartig)] HKEY_USERS\S-1-5-21-524693227-1247934024-4224972310-1001\Software\csastats --  -> Gelöscht
[PUP.Gen1 (Potenziell bösartig)] HKEY_USERS\S-1-5-21-524693227-1247934024-4224972310-1001\Software\OCS --  -> Gelöscht
[Suspicious.Path (Potenziell bösartig)] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{5CF50EDD-82CB-4257-911B-0FDF9091CC1F}C:\users\rmaer\appdata\local\plarium\plariumplay\standaloneapps\raid\213\raid.exe -- [%localappdata%\plarium\plariumplay\standaloneapps\raid\213\raid.exe] -> Gelöscht
[Suspicious.Path (Potenziell bösartig)] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{DAF28B2D-92CA-48E0-A062-95C8D44B37E6}C:\users\rmaer\appdata\local\plarium\plariumplay\standaloneapps\raid\213\raid.exe -- [%localappdata%\plarium\plariumplay\standaloneapps\raid\213\raid.exe] -> Gelöscht
[Suspicious.Path (Potenziell bösartig)] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{1ED1AF4E-7DC2-4FD0-8D50-F727F281FCF0}C:\users\rmaer\appdata\local\temp\temp1_agent_setup_windows.zip\setup.exe -- [%localappdata%\temp\temp1_agent_setup_windows.zip\setup.exe] -> Gelöscht
[Suspicious.Path (Potenziell bösartig)] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{98A96E2B-1779-4CA4-9AF7-F0D3CE68682E}C:\users\rmaer\appdata\local\temp\temp1_agent_setup_windows.zip\setup.exe -- [%localappdata%\temp\temp1_agent_setup_windows.zip\setup.exe] -> Gelöscht
[PUP.HackTool (Potenziell bösartig)] KMS -- %SystemRoot%\KMS -> Entfernt beim Neustart [2]
[PUP.HackTool (Potenziell bösartig)] SppExtComObjHook.dll -- %SystemRoot%\System32\SppExtComObjHook.dll -> Gelöscht
[PUP.OnlineIO (Potenziell bösartig)] AdvinstAnalytics -- %localappdata%\AdvinstAnalytics -> Gelöscht
  => tracking.ini -- C:\Users\rmaer\AppData\Local\ADVINS~1\5CA234~1\12E627~1.25\tracking.ini -> Gelöscht
  => 1.2.25 -- C:\Users\rmaer\AppData\Local\ADVINS~1\5CA234~1\12E627~1.25 -> Gelöscht
  => 5ca23447717cd20626036a6a -- C:\Users\rmaer\AppData\Local\ADVINS~1\5CA234~1 -> Gelöscht
[PUP.AmazonAssistant (Potenziell bösartig)] Amazon Assistant for Firefox -- abb-acer@amazon.com -> Gelöscht
         

was soll ich sagen. Seit 17.56 Uhr (als der Scan lief), kein Anmeldeversuch mehr!
Es scheint sauber zu sein.

Eine Frage an Euch: Boardmittel (Windows) reichen wohl doch nicht aus, sich zu schützen. Mir wurde mal vermittelt, dass Windows Defender vollkommen ausreichend ist

KMS ist laut Forenregeln ein Kriterium, um die Hilfe zu beenden und den Thread in die Tonne zu verschieben. Ansonsten ist da schon viel Müll drauf.
Habe mir mal den Artikel bei Heise incl. der Kommentare angesehen. Da scheint etwas zu laufen. Soll aber nicht auf AVM beschränkt sein. Was man machen sollte, ist dort auch beschrieben. Mehr kann man nicht machen.
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Führe ESET Online Scanner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Hallo Felix,
kann die EInstellung sehr gut nachvollziehen.
Wie gesagt, der KMS lag nur als Leiche auf dem PC, hatte ich damals aus irgend einem Grund getestet.

Der Malwarebytes und ESET haben nichts gefunden.

der Adwcleaner hat noch einiges weggehauen, hauptsächlich aber meine Preinstalled Software von Acer

Vielen Dank für deine Unterstützung. LG Rene

Code: Alles auswählenAufklappen

ATTFilter

# -------------------------------
# Malwarebytes AdwCleaner 8.1.0.0
# -------------------------------
# Build:    02-15-2021
# Database: 2021-03-08.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    03-08-2021
# Duration: 00:00:05
# OS:       Windows 10 Home
# Cleaned:  48
# Awaiting reboot:1
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Windows\ServiceProfiles\LocalService\AppData\Local\Host App Service
Deleted       C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Host App Service

***** [ Files ] *****

Deleted       C:\Windows\System32\Tasks_Migrated\App Explorer

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKU\S-1-5-80-1985561900-798682989-2213159822-1904180398-3434236965\Software\Host App Service
Deleted       HKU\S-1-5-80-1985561900-798682989-2213159822-1904180398-3434236965\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service
Deleted       HKU\S-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133\Software\Host App Service
Deleted       HKU\S-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service

***** [ Chromium (and derivatives) ] *****

Deleted       bgejkohjndfiooaomnpbacoeekdonkak

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.AcerCareCenter   Folder   C:\Program Files (x86)\ACER\CARE CENTER
Deleted       Preinstalled.AcerCareCenter   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{4AA59BC5-5AF0-4411-AA71-9C1AC8B02769} 
Deleted       Preinstalled.AcerCareCenter   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4AA59BC5-5AF0-4411-AA71-9C1AC8B02769} 
Deleted       Preinstalled.AcerCareCenter   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9FF66A55-071B-41DB-BE6A-D03EBFE9BAE2} 
Deleted       Preinstalled.AcerCareCenter   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ACCAgent
Deleted       Preinstalled.AcerCareCenter   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ACCBackgroundApplication
Deleted       Preinstalled.AcerCareCenter   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{1AF41E84-3408-499A-8C93-8891F0612719}
Deleted       Preinstalled.AcerCareCenter   Task   C:\Windows\System32\Tasks\ACCAGENT
Deleted       Preinstalled.AcerCareCenter   Task   C:\Windows\System32\Tasks\ACCBACKGROUNDAPPLICATION
Deleted       Preinstalled.AcerCollection   Folder   C:\Program Files (x86)\ACER\ACER COLLECTION
Deleted       Preinstalled.AcerCollection   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{876426C0-6408-4C59-A70A-469924AE5938} 
Deleted       Preinstalled.AcerCollection   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AB0319C6-5E46-4586-96E1-99CF29DA0979} 
Deleted       Preinstalled.AcerCollection   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Acer Collection Application
Deleted       Preinstalled.AcerCollection   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Acer Collection Monitor Application
Deleted       Preinstalled.AcerCollection   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{8CD449EA-BBA0-477F-AFF9-9AF6E8C50EF2}
Deleted       Preinstalled.AcerCollection   Task   C:\Windows\System32\Tasks\ACER COLLECTION APPLICATION
Deleted       Preinstalled.AcerCollection   Task   C:\Windows\System32\Tasks\ACER COLLECTION MONITOR APPLICATION
Deleted       Preinstalled.AcerConfigurationManager   Folder   C:\Program Files (x86)\ACER\AMUNDSEN\2.1.16258
Deleted       Preinstalled.AcerConfigurationManager   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9DA90066-0248-4465-B1F0-70B26D724880} 
Deleted       Preinstalled.AcerConfigurationManager   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AcerCMUpdateTask2.1.16258
Deleted       Preinstalled.AcerConfigurationManager   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{414D554E-4453-454E-0201-000000016258}
Deleted       Preinstalled.AcerConfigurationManager   Task   C:\Windows\System32\Tasks\ACERCMUPDATETASK2.1.16258
Deleted       Preinstalled.AcerGames   Folder   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ACER GAMES
Deleted       Preinstalled.AcerJumpstart   Folder   C:\Program Files (x86)\ACER\ACER JUMPSTART
Deleted       Preinstalled.AcerJumpstart   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{353B4583-ED04-4DF2-A1D6-A5A3EF5C4EBF}
Deleted       Preinstalled.AcerQuickAccess   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{47E9C760-43D9-440C-A8A7-5AEC85692B24} 
Deleted       Preinstalled.AcerQuickAccess   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{873EA945-DDF5-4BEC-8733-DBE0591A43BC} 
Deleted       Preinstalled.AcerQuickAccess   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Power Button
Deleted       Preinstalled.AcerQuickAccess   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Quick Access
Deleted       Preinstalled.AcerQuickAccess   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{8BBF04F1-C68A-441C-B5EF-446EE9960EAF}
Deleted       Preinstalled.AcerQuickAccess   Task   C:\Windows\System32\Tasks\POWER BUTTON
Deleted       Preinstalled.AcerQuickAccess   Task   C:\Windows\System32\Tasks\QUICK ACCESS
Deleted       Preinstalled.AcerUEIPFramework   Folder   C:\Program Files\ACER\USER EXPERIENCE IMPROVEMENT PROGRAM\FRAMEWORK
Deleted       Preinstalled.AcerUEIPFramework   Folder   C:\Program Files\ACER\USER EXPERIENCE IMPROVEMENT PROGRAM\PLUGIN\APPMONITOR
Deleted       Preinstalled.AcerUEIPFramework   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{97C63C62-5825-41AB-95CE-068D66AB9CB3} 
Deleted       Preinstalled.AcerUEIPFramework   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\UbtFrameworkService
Deleted       Preinstalled.AcerUEIPFramework   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{12A718F2-2357-4D41-9E1F-18583A4745F7}
Deleted       Preinstalled.AcerUEIPFramework   Task   C:\Windows\System32\Tasks\UBTFRAMEWORKSERVICE
Deleted       Preinstalled.AcerUpdater   Folder   C:\ProgramData\ACER\ACER UPDATER
Needs Reboot  Preinstalled.AcerQuickAccess   Folder   C:\Program Files\ACER\ACER QUICK ACCESS


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

***** Reboot Required to Complete *****


***** [ Folders ] *****

Cleaning failed   C:\Program Files\ACER\ACER QUICK ACCESS

*************************

AdwCleaner[S00].txt - [7171 octets] - [08/03/2021 19:06:31]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
         

Da war ja doch einiges unterwegs.
Funktioniert der Zugriff auf die Fritz wieder normal?
Es waren ja eigentlich zwei Probleme:
- Zugriff auf die Fritz aus dem LAN

- Zugriff von außen
Wie man das abstellt, wenn man es will, ist bei Heise ja schön beschrieben. Meine Fritz ist von außen nicht erreichbar.

Zitat:

Zitat von ruffy68

Zur Erklärung: das KMS ist nicht aktiv, ist schon 3 Jahre auf dem Rechner

Ja, das ist schlecht. Solche Software stammt ja nicht aus seriöser Quelle. Sowas zu installieren, gefährdet die gesamte System- und Netzwerksicherheit.

Zitat:

Betriebssystem : Windows 10 (10.0.19042) 64 bits

Wie ist derzeit bei Dir in der App- und Browsersteuerung der Unterpunkt "Potentiell unerwünschte Apps" konfinguriert?

Zitat:

Eine Frage an Euch: Boardmittel (Windows) reichen wohl doch nicht aus, sich zu schützen.

Wie kommst Du darauf, dass es nicht reiche?

Zitat:

Mir wurde mal vermittelt, dass Windows Defender vollkommen ausreichend ist

Definiere "ausreichen"! Was genau verstehst Du hier unter "ausreichen"?

Zitat:

Zitat von ruffy68

Wie gesagt, der KMS lag nur als Leiche auf dem PC, hatte ich damals aus irgend einem Grund getestet.

Nö, der war ja aktiv ins System installiert worden, sonst wären ja diese Einträge nicht da:

Zitat:

[PUP.HackTool (Potenziell bösartig)] KMS -- %SystemRoot%\KMS -> Entfernt beim Neustart [2]
[PUP.HackTool (Potenziell bösartig)] SppExtComObjHook.dll -- %SystemRoot%\System32\SppExtComObjHook.dll -> Gelöscht

Als "Leiche" auf dem System könnte man vielleicht eine alte ZIP-Datei im Downloadordner bezeichnen, die nie ausgepackt wurde. Du aber hast eine Datei ausgeführt. Das ist etwas ganz anderes!

Und: Wenn man etwas "testet", dann nimmt man dafür eine VM, oder einen separaten Testrechner. Aber nicht das Produktivsystem. Cracks & Co hingegen braucht man gar nicht zu testen, weil man sie sowieso nicht verwenden sollte.

Hallo mmk,
ich gebe dir uneingeschränkt Recht!

"....werden blockiert: ein"

Das System ist wieder sauber. Ich habe daraus gelernt und werde mir solchen Müll nicht mehr auf das System holen.

Rogue, adaware, MalwareBytes sind zufrieden und finden nichts mehr.
Erschrecken tut mich nur, dass plötzlich Seiten geblockt werden (Trojaner), wo ich lediglich Klamotten gekauft habe. Ebenso Seiten von uralten Spielen (Pingus).

Der Defender selber blockt diese Seiten nicht, deshalb meinte ich "nur Boardmittel unsicher"

h t t p s://redox-fashion.de/nl zum Beispiel, da war ich gerade shoppen

Wer blockt welche Seiten (abgesehen von der einen) mit jeweils welchen Meldungen?

Zitat:

Zitat von ruffy68

"....werden blockiert: ein"

Gut. Damit wird auch potentiell unerwünschte Software (Adware & Co) gemeldet. Was einen Virenscanner betrifft, brauchst Du somit keine andere, sprich: Keine Drittanbieter-Lösung.

Für die anderen Standbeine der Systemsicherheit bist ohnehin Du selbst verantwortlich (Downloads & Downloadquellen, jede Software aktuell halten, Angriffsfläche minimieren durch Reduzieren der installierten Anwendungen auf das Notwendige, Router mit aktueller Firmware betreiben und sicher konfigurieren wie hier im Threadverlauf bereits beschrieben, Passwortsicherheit, Datenbackup-Konzept, usw.). Je besser Du dies umsetzt, desto sicherer und stabiler bist Du auch mit Deinem System unterwegs.

Sie werden also ausdrücklich nicht dadurch erreicht, dass Du eine Menge verschiedener Drittanbieter-Schutzsoftware installierst. Dies wird alleine am Beispiel des Routers deutlich, da könnte ein Virenscanner gar nicht wirken!

redox-fashion.com MalwareBytes, Grund: Trojaner

moria.seul.org (Pingus Homepage) MalwareBytes, Grund Trojaner
vfgrse.com MalwareBytes, scheint bösartig zu sein

letztere habe ich ergoogled, ist eine Datensammlerfirma, höchstwahrscheinlich im Auftrag von google


die Redox-Seite ist eventuell eine gefakte der deutschen URL redox-fashion.de