Fritzbox hat Zugriff auf Botnet erkannt

[Sissmann]

Hallo
Ich habe gerade gesehen das meine Fritzbox 7490 mit der aktuellen Firmware
06.98-50794 BETA diesen Fehler meldet :
Zugriff auf Botnet "cryptowall4" von Gerät Handy-Ulli erkannt!
Handy Ulli ist in dem Fall mein Handy, was über Wlan mit der Box verbunden ist.
Eine Virenscanner habe ich auf dem Handy laufen lassen, ohne Befund.
Wenn ich den Fehler google kann ich leider nicht viel finden,kann mir jemand sagen was das zu bedeuten hat?
Gruß
Ulli

 

[Theo Tintensich]

Nach den verschiedenen Seiten, die man beim großen G so findet, ist das ein Verschlüsselungs-Trojaner aus dem Jahre 2016.
Es gibt schon Tools, um dessen verschlüsselte Dateien (teilweise?) zu rekonstruieren.

Aus irgendwelchen gründen will dein Handy auf Seiten zugreifen, deren Zugriffsmuster und Ziel-IP wohl dem dazugehörenden Botnet zugeordnet werden.

 

[MuP]

Welcher Handytyp?

 

[HabNeFritzbox]

Zudem taugen nicht alle Virenscanner was, welchen hast denn probiert?

Leider gibts viel Mist in den Stores, besonders bei Android, wo dann selbst nen Solitär Zugriff auf Kontakte will oder Standort abfragen usw.

 

[Sissmann]

Handy ist ein Galaxy S8+
Virenscanner Kaspersky Internet Security

 

[MuP]

Dann bleibt erst einmal nur eines übrig: nicht-stockApps einzeln deinstallieren/installieren > Meldung kommt wieder?

 

[HabNeFritzbox]

@Sissmann Android ist aktuell? Ist momentan wohl Version 8 (Oreo), werden ja immer Sicherheitslücken geschlossen.

Zum möglichen manuellen entfernen für Android habe ich auf die schnelle nichts gefunden.

Sonst wäre ggf. wohl nen Zurücksetzen ratsam.

Ich gehe mal nicht von aus, dass fragwürdige Porno Apps drauf hast.

 

[Sissmann]

Androidversion ist Oreo
Keine Porno apps oder sonst etwas Dubioses, eigentlich habe ich in den letzten Wochen nichts besonderes installiert.
Was kann denn im schlimsten Fall passieren ?

 

[HabNeFritzbox]

Frage ist halt ob wirklich Gerät betroffen ist und Schadcode evt. noch auf Aktivierung wartet, oder die FB ganze nur falsch deutet.

Bei Google findest genug Ransomware, Erpressungstrojaner oder ähnliches.

Daher fraglich ob dann ggf. noch Daten verschlüsselt werden auf dem Gerät und Gerätezugriff blockiert bis du X Bitcoin oder ähnliches bezahlt hast.

 

[MuP]

eigentlich habe ich in den letzten Wochen nichts besonderes installiert.

Und Normales?

 

[Sissmann]

Habe gerade festgestellt das es nicht mein Handy ist sondern das Galaxy TabS2 mit Android 6.0.1
Das ist die aktuellste Version die es gibt !! Android-Sicherheitspatch-Ebene ist 1Dezember 2016 !!

 

[HabNeFritzbox]

Dann solltest mal das Tablet prüfen oder Zurücksetzen.

 

[Sissmann]

Werde ich dann auch machen.
Ich danke euch schon mal für eure Antworten.

 

[HabNeFritzbox]

Android 7 soll es geben für das S2.
http://www.giga.de/tablets/samsung-...-auf-android-7.0-nougat-erreicht-deutschland/

 

[peterman]

Ich empfehle:
http://www.lineageosdownloads.com/lineage-os-rom-downloads-build-status/

 

[BigBlue-007]

Eben bekomme ich über den Push-Service der FB eine Mail mit dem o.g. Inhalt. Das Gerät xy ist mein Notebook. Leider finde ich nirgends eine genauere Info, zu welcher IP die Verbindung erfolgte, um da vielleicht etwas weiter forschen zu können. Und "?" ist halt leider eher nichtssagend.

Hatte das schon mal jemand? Virenscanner läuft gerade das 2. Mal im erweiterten Modus, hat bislang aber nix gefunden. Ich blocke mittels uBlock eigentlich so ziemlich alles, was blockbar ist, und aus dem Alter, wo ich irgendwelche Software aus fragwürdigen Quellen runterlade, bin ich eigentlich raus. Meinen letzten Virenbefall hatte ich vor 10 Jahren oder so - und das war damals der erste. Ist bei mir also eigentlich absolut kein Thema sowas.

Hat jemand eine Idee, wie man rausfinden kann, worauf genau der Schutzmechanismus da angesprungen ist?

Achso, 7590 mit 06.98.51288.
====================
Ich habe vorhin dieselbe Meldung bzgl. meines Notebooks (Win10) bekommen. Bei mir sagt er allerdings "Zugriff auf Botnet "?"...".

Ich hatte meinen letzten und ersten Virenbefall vor 10 Jahren oder so. Ich bin im IT-Bereich unterwegs, kenne mich also ein "bißchen" besser als der Durchschnittsuser aus. Ich blocke mittels uBlock alles weg, was nicht bei 3 auf den Bäumen ist. Software aus fragwürdigen Quellen lade ich schon lange nicht (mehr ). Und ich weiß, dass man keine Links in Email anklickt - allerdings landen in meinem Mailprogramm auch grundsätzlich keine Spam-Mails. Kurz - ich würde eigentlich mit einer relativ hohen Wahrscheinlichkeit ausschließen wollen, dass ich mir irgendwas eingefangen habe.

Virenscanner läuft natürlich trotzdem, hat bis jetzt aber nix gefunden.

Blöd ist halt, dass sie bei mir nichtmal den Namen des vermeintlich erkannten Botnetzwerks anzeigt, auf welches sie einen Zugriff erkannt haben will. Andernfalls hätte ich wenigstens einen Ansatz für weitere Recherchen...

 

[Fischzuechter]

Dito. Bei mir ist es das Handy Google Pixel 2 XL, das angeblich auf Cryptowall4 zugreifen will. Aktuellstes Android. Keine dubiosen Apps und Websites. Fritz!Box 7490 mit aktuellster Firmware. Verschiedenste Malware-Scanner für Handy und PC schlagen nicht an. Zur Sicherheit das Handy komplett auf Werkseinstellungen zurückgesetzt. Für drei Tage Ruhe, aber jetzt kommt die gleiche Fritz!Box-Meldung schon wieder! :-( Irgendwer ne Ahnung?

 

[sf3978]

Hat jemand eine Idee, wie man rausfinden kann, worauf genau der Schutzmechanismus da angesprungen ist?

Evtl. gibt es mehr bzw. zusätzliche Informationen, wenn man eine (erweiterte) support-Datei von der FritzBox erstellt.

 

[BigBlue-007]

Eben gemacht - da finde ich leider auch nix Hilfreiches.

 

[sf3978]

... leider auch nix Hilfreiches.

Dann evtl. bei AVM anfragen, ob bzw, wie man an zusätzliche Informationen, rankommen kann.