BANG-Fizzleton
Ensign
- Registriert
- Feb. 2010
- Beiträge
- 164
Liebe CB Gemeinde,
wir sind mittlerweile mehr als 10 Leute, die unabhängig von der Antivirensoftware, unabhängig vom OS und unabhängig von dem Nutzungsverhalten des Rechners folgendes Problem haben:
Wir gehören zu der kleinen Spielergemeinde des Life is Feudal MMOs und sind im Sinne der Entwickler dabei Netzwerkdaten von instanzierten Kämpfen und open PvP Vorkommnissen zu protokollieren.
Kurzum: Das Spiel hat in einigen Situationen mit schweren serverseitigen Problemen zu kämpfen, deren Ursachen evtl mutwillig von Mitspielern erzeugt (werden können?).
Ich erstelle also mit Wireshark und GEO-IP DNS logs von solchen Situationen um darin nach Anomalien oder gewissen Redundanzen zu suchen, um den Devs etwas Handfestes liefern zu können.
Um unnötigen Traffic zu filtern, hatte ich daher den Plan mit dem Process Monitor von den Windows Sysinternals https://docs.microsoft.com/de-de/sysinternals/downloads/procmon relevante Daten wie PID auszulesen und als Filter in Wireshark zu applizieren.
Während ich also in dem Programm rumpulte, fielen mir Einträge von coin-hive.com auf, die als Ursprungsort den Life is Feudal Launcher angeben:
Ein Versuch dies bei anderen Leuten zu replizieren lief ins Leere, bis mir einfiel dass ich seit Oktober 2017 meine Hosts Datei um folgende Einträge erweitert habe, um sämtlichen Traffic von Coin-Hive über den Localhost zu verwerfen
Nachdem besagte andere Leute die gleiche Blockade eingerichtet hatten, fingen sie auch an im Process Monitor blockierten Traffic zu finden. Abgesehen von dem Spiele-Launcher sind bei anderen Leuten unterschiedliche andere Prozesse befallen, darunter: Firewalls, Nvidia Experience, Thunderbird, Firefox und Chrome.
Bitdefender 2017
Avast Antivirus
Malewarebytes
Avira Antivir
AVG ANtivirus
Finden absolut gar nichts und werden beim Versuch es zu elminieren teilweise selbst gehijacked und fangen an zu senden
Von weiteren Programmen haben wir bislang keine Einträge.
Wir sind mit unserem Latein am Ende, sämtliche "Guides" im Internet um den Coin-Hive Trojaner loszuwerden liefen erfolglos. Neben meinem privaten PC habe ich heute noch an unterschiedlichen Standorten 8 weitere PCs überprüft, diese werden als reine Bürorechner genutzt und bringen mir allesamt nach Abänderung der Hosts Datei geblockte Pakete an Coin-Hive.com
Ich bin für jede Mithilfe dankbar um dahinter zu kommen, was wir tun können um diesen Störenfried vollständig loszuwerden.
Weiterhin bin ich für alle Personen dankbar, die sich kurz dahinter klemmen und überprüfen ob ihr Rechner ebenfalls versucht nach Hause zu telefonieren - ich bin immer noch verzweifelt auf der Suche nach dem ersten PC der völlig keimfrei ist und nicht sendet.
wir sind mittlerweile mehr als 10 Leute, die unabhängig von der Antivirensoftware, unabhängig vom OS und unabhängig von dem Nutzungsverhalten des Rechners folgendes Problem haben:
Wir gehören zu der kleinen Spielergemeinde des Life is Feudal MMOs und sind im Sinne der Entwickler dabei Netzwerkdaten von instanzierten Kämpfen und open PvP Vorkommnissen zu protokollieren.
Kurzum: Das Spiel hat in einigen Situationen mit schweren serverseitigen Problemen zu kämpfen, deren Ursachen evtl mutwillig von Mitspielern erzeugt (werden können?).
Ich erstelle also mit Wireshark und GEO-IP DNS logs von solchen Situationen um darin nach Anomalien oder gewissen Redundanzen zu suchen, um den Devs etwas Handfestes liefern zu können.
Um unnötigen Traffic zu filtern, hatte ich daher den Plan mit dem Process Monitor von den Windows Sysinternals https://docs.microsoft.com/de-de/sysinternals/downloads/procmon relevante Daten wie PID auszulesen und als Filter in Wireshark zu applizieren.
Während ich also in dem Programm rumpulte, fielen mir Einträge von coin-hive.com auf, die als Ursprungsort den Life is Feudal Launcher angeben:
Ein Versuch dies bei anderen Leuten zu replizieren lief ins Leere, bis mir einfiel dass ich seit Oktober 2017 meine Hosts Datei um folgende Einträge erweitert habe, um sämtlichen Traffic von Coin-Hive über den Localhost zu verwerfen
Nachdem besagte andere Leute die gleiche Blockade eingerichtet hatten, fingen sie auch an im Process Monitor blockierten Traffic zu finden. Abgesehen von dem Spiele-Launcher sind bei anderen Leuten unterschiedliche andere Prozesse befallen, darunter: Firewalls, Nvidia Experience, Thunderbird, Firefox und Chrome.
Bitdefender 2017
Avast Antivirus
Malewarebytes
Avira Antivir
AVG ANtivirus
Finden absolut gar nichts und werden beim Versuch es zu elminieren teilweise selbst gehijacked und fangen an zu senden
Von weiteren Programmen haben wir bislang keine Einträge.
Wir sind mit unserem Latein am Ende, sämtliche "Guides" im Internet um den Coin-Hive Trojaner loszuwerden liefen erfolglos. Neben meinem privaten PC habe ich heute noch an unterschiedlichen Standorten 8 weitere PCs überprüft, diese werden als reine Bürorechner genutzt und bringen mir allesamt nach Abänderung der Hosts Datei geblockte Pakete an Coin-Hive.com
Ich bin für jede Mithilfe dankbar um dahinter zu kommen, was wir tun können um diesen Störenfried vollständig loszuwerden.
Weiterhin bin ich für alle Personen dankbar, die sich kurz dahinter klemmen und überprüfen ob ihr Rechner ebenfalls versucht nach Hause zu telefonieren - ich bin immer noch verzweifelt auf der Suche nach dem ersten PC der völlig keimfrei ist und nicht sendet.
. Und unter Windows 7 ging das doch auch noch? Naja, wieder was gelernt.
