CERT-Bund meint, dass wir mit dem Trojaner Hupigon/Graftor infiziert sind -- wie vorgehen?
 

Hallo Board,

meine Firma hat von CERT-Bund den Hinweis bekommen, dass lt. einer "vertrauenswürdigen externen Quelle" verdächtiger Traffic von einem unserer PCs erfolgt sei, siehe nachstehende Tabelle:

https://i.imgur.com/xqzFtTx.png

Kann man aus der Tabelle schon etwas entnehmen? Wird vom CERT-Bund oder deren Quellen tatsächlich der Inhalt des Traffic gescannt, oder wie kommen die auf die Diagnose "Hupigon"?

Ich werde heute an dem PC sein. Wie sollte ich am besten vorgehen, um eine fragliche Infektion zu diagnostizieren?

Vielen Dank schon mal

Kannst du mal verraten warum es genau "der" PC sein soll und dann exakt keine Details darüber verlierst? :wtf:

Ja klar mach ich. Es liegt folgende Info vor, und in dem verpixelten Bereich unten steht "PC-Name.Firmendomain.com", wobei "PC-Name" mit dem Gerätenamen aus der Windows-Gerätespezifikation des fraglichen PC übereinstimmt:

https://i.imgur.com/QeOFWgv.png

Also so wird das nichts. Oder glaubst du im Ernst, mit einem Screenshot wissen wir genau was mit dem System nun los ist?

Hinweise für Hilfesuchende mal lesen?

Ich bin ja noch nicht an dem PC. Es ist mein privater PC, der im Rahmen einer Dienstleistung von mir in der Firma steht und von mir selbst betreut wird. Der IT-Support der Firma hat keinen Zugriff auf den PC.

Vor allem würde mich interessieren, woraus der CERT-Bund auf die Hupigon-Infektion geschlossen haben will, falls man hierzu schon etwas sagen kann.

Dann musst du dich zum PC begeben und die Logs erstellen und hier posten.
Oder erwartest du jetzt ernsthaft handfeste Aussagen ohne auch nur der Spur einer Info?

Bin so gut wie unterwegs.

Es wäre halt interessant bzw. wichtig zu erfahren, wie aus eurer Erfahrung heraus der CERT-Bund von dem abgebildeten Traffic auf die konkrete Infektion geschlossen haben will, falls man hierzu etwas sagen kann.

https://bit.ly/CERT-Bund

Oder ob das vielleicht sogar nach einem False Positive aussieht.

Die Logs erstelle ich wie gesagt schnellstmöglich und poste sie dann hier.

Erklär doch erstmal das hier:

Da steht was von irgendeinem PC aber du legst dich genau auf diesen einen Rechner fest. Warum? Verschweigst du da etwas?

Habe ich doch gerade geschrieben:

Dort ist am unteren Rand zu sehen, dass zwischen meinem PC und dieser fraglichen IP-Adresse der angeblich verdächtige Datenverkehr erfolgte.

Also mit diesem ganzen verschleiern und verpixeln machst du es einem Helfer echt nicht leicht, nachvollziehbare Infos sehen für mich anders aus. Wie ein interner Rechnername irgendwo nach draußen kommt ist auch nicht gerade logisch. Interne Hostnames hat kein öffentlich DNS-Server.

Bringt jetzt auch nicht mehr weiter herumzudiskutieren, was wir brauchen sind die Logs wie in den Hinweisen beschrieben ist.

Fehlende Rückmeldung
Dieses Thema wurde aus unseren Abos gelöscht. Somit bekommen wir keine Benachrichtigung über neue Antworten.
Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!