Malwarebytes, Website blockiert beim Spielen von Monster Hunter World (Trojaner)

[Zeitkraecker]

Hi,

Bei Monster Hunter World kann man In online Sessions nach bestimmten Sitzungen suchen und sich für Multiplayer mit anderen verbinden. Das funktioniert alles im Spiel direkt. Man kann dort quasi verschiedenen Lobbys joinen. Beim verbinden mit der Lobby eines bestimmten Spielers (der Spieler selbst ist mir nicht bekannt), meldete sich mein Echtzeitschutz von Malwarebytes. Und zwar wurde angeblich die Verbindung zu einer Webseite blockiert - aufgrund eines Trojaners. Als Programm bzw. Datei wurde steam.exe ausgegeben. In den Protokollen von Malwarebytes ist eine bestimmte IP-Adresse zu sehen und als Verbindungstyp "ausgehend". Dazu die Angabe eines Ports.

Beim Verbinden mit anderen Lobbys trat das Problem nicht auf. Ich spiele das auch schon seit über einem Jahr, ohne dass sowas jemals passiert wäre.

Könnt ihr euch das technisch erklären? Ich bin leider sehr empfindlich und würde am liebsten alles neu aufsetzen. Ich wüsste aber nicht, wie ich das beim zukünftigen spielen vermeiden könnte. Gibt's da irgendeine Peer to Peer Verbindung und die IP-Adresse wurde von Malware Bytes als verdächtig gespeichert? Ich kenne mich technisch da leider überhaupt nicht aus. Mein System halte ich eigentlich immer sehr sauber. Das muss also irgendwie vom Spiel oder der Verbindung kommen. Was würdet ihr tun?

Thx

 

[onesworld]

Thirdparty-Antivirenscanner mal deinstallieren und schauen was der Defender dazu sagt. Hört sich nach false-positiv an.

 

[Zeitkraecker]

Kann es im Moment nicht mehr nachstellen, weil die Lobby nicht mehr online ist. Bei anderen Lobbys/Spielern kam das nicht.

Im Malwarebytes Forum meinte jmd., dass Steam auf Torrent basiert und manchmal IPs als bösartig registriert werden, wenn vonmdort Schadsoftware kam. Wüsste nur nicht, warum auf,Steamservern Schadsoftware laufen sollte. Bzw kA, wie Steam bzw. MHW intern funktioniert. Peer2Peer sagt mir auch nur zu 10% was. Darf ja eigentlich nicht sein, dass man sich über ein Spiel was einfangen kann, wenn man im MP spielt.

Mich hats dann nur zusätzlich verwundert, dass die steam.exe gelogt wurde und nicht die Spielexe.

Die geblockte IP war btw 185.214.144.240

 

[wirelessy]

Noja. Da läuft mindestens ein Webserver, welcher Fileup- + Download anbietet.
Wundert mich jetzt nicht, dass der in irgendnem Malwarekontext mal bekannt wurde.

//edit: https://forums.malwarebytes.com/top...r-world-website-blocked-while-playing-trojan/

 

[Zeitkraecker]

Ist das etwas Privates? Ich hab ja keine Kontrolle oder Einsicht, mit wem MHW mich da verbinden will. Kann doch nicht sein, dass MP auf einem unsicheren System beruht.

 

[chrigu]

Diese ip gehört laut Internet einem spanischen Provider. Kann gut sein, dass dieser Bursche oder jemand der diese ip benutzt hat, blödsinn gemacht hat oder mit der Sicherheit seines pc fahrlässig gehandelt hat... und poing wird man gesperrt

 

[Zeitkraecker]

Und eurer Einschätzung nach: Kann da etwas passieren, wenn ein Spiel eine Peer-to-Peer Verbindung zu so wem herstellt? Ich habe darauf ja keinen Einfluss. Und ich weiß auch nicht, was die andere Leute gemacht haben, mit den ich schon mal verbunden war, die aber noch nicht wegen der IP registriert sind.

 

[chrigu]

Man kann, wenn der volle Zugriff bei Peer-to-Peer gewährt wird, alles am pc des anderen lesen, löschen und manipulieren. Mit diesem Wissen im Gepäck solltest du nur mit einem virtuellen system zu einer Einzelperson verbinden. Bei einem offiziellen Multiplayer game kann der Betreiber des Server haftbar gemacht werden, deshalb sollte er geeignete Massnahmen ergreifen

 

[Zeitkraecker]

Ohje ...

"Bei einem offiziellen Multiplayer game kann der Betreiber des Server haftbar gemacht werden, deshalb sollte er geeignete Massnahmen ergreifen"

Für den armen 0815 Zocker klingt das leider wenig praxisrelevant.


Malwarebytes hat die IP rausgenommen. War angeblich ein älteres File, das nicht mehr existiert.

Thread kann zugemacht werden. Danke für die Antworten.

 

[Zeitkraecker]

Vorwort: Entschuldigung für den neuen Thread. Dachte, weil ich das Thema hier schon voreilig als geschlossen bezeichnet habe. C&P aus dem neuen Thread:


Ich würde euch sehr gerne noch mal um Hilfe bzw Beratung bitten.

Wie beschrieben habe ich eine Block Meldung von Malwarebytes für eine gewisse IP Address aufgrund eines Trojaners bekommen ("mögliche Bedrohung", keine Blockierung eines aktiven Trojaners), als ich mich in Monster Hunter World in eine Session einloggen wollte. Genau so, wie ich es schon seit einem Jahr mache. Beim Verbinden zu einer gewissen session kam diese Meldung. Bei Versuchen einer anderen session zu joinen, kam die Meldung nicht. Ich habe dann noch mal probiert bei der session zu joinen, bei der die Meldung kam, und die Meldung kam wieder. Ich würde also mit ziemlicher Sicherheit davon ausgehen, dass es eben eine Verbindung über das Spiel zu einem gewissen Spieler war. In die Session bin ich trotz der Blockierung von Megabytes reingekommen.

Auf meinem PC habe ich eigentlich nur Treiber und Spiele installiert. Das Betriebssystem, sowie alle Treiber sind auf dem neuesten Stand. Sonstige Zusatzsoftware (zu Antivirenprogramm komme ich unten noch) wie System Tuner habe ich nicht installiert. Ich mache regelmäßig Backups. Ich würde daher ausschließen, dass die Meldung mit irgendetwas anderem zusammen hängt.

Ich bin bei diesem Thema etwas paranoid. Deshalb weiß ich jetzt nicht ganz genau, wie ich weiter vorgehen soll. Ich habe nach der Meldung ein Backup der Systemfestplatte aufgespielt, sowie alle weiteren Festplatten (Spiele) formatiert. Da ich etwas in Panik war, wollte ich nach der IP-Adresse noch mal googeln, um zu schauen, ob da für Kommentare im Netz vorhanden sind. Dafür habe ich auf meinem Android Tablet Firefox genommen, bei dem NoScript und uBlock Origin installiert sind. Leider war ich so dämlich und habe die IP-Adresse in die Google Suchleiste eingegeben, anstatt in die Google-Suche. Ich habe mich dann quasi auf den Server direkt eingewählt. Im Android System habe ich z.b. das installieren von Apps aus 3. Quelle unterbunden. Ich habe das Tablet danach trotzdem auf Werkseinstellung zurückgesetzt, genauso wie den Router.

Im Netzwerk laufen noch wietere Geräte wie ein iPhone, ein Fire TV Stick und ein weiteres Android-Tablet. Diese Geräte habe ich nicht resettet. Mit diesen Geräten war ich auch nicht auf der Seite oder habe danach gegoogelt. Sie lagen im Standby nebendran.

Meine Accounts sind alle durch Zwei-Faktor-Authentifizierung gesichert, auch wenn diese alle im selben Netzwerk hängen.

Ich frage mich jetzt, ob ich schon alles nach normalen Verstand Umsetzbare, gemacht hab3, um der Situation Herr zu werden. Laut Aussage von Malware Bytes war der Block auf Basis einer älteren Meldung vorhanden. Ich habe auf meinem PC auch eine Live-CD laufen lassen, die nach dem Backup nichts gefunden hat. Meine Paranoia sorgt aber jetzt dafür, dass ich mich frage, ob sowohl das Tablet, auf den ich die IP angesteuert habe, als auch die anderen im WLAN befindlichen Geräte etwas abbekommen haben. Genauso wie der Router. Alle Geräte, die "direkt" betroffen waren, habe ich auf Werkseinstellung zurückgesetzt.

Nach Installation des Backups sind mir aber weitere Punkte in Windows aufgefallen, die ich sonst noch nicht gesehen hatte. Darunter z.b. eine Meldung, dass sich der Windows Update Dienst abgeschaltet hat (ich habe zu dem Zeitpunkt div. Spiele wieder runtergeladen). Nach einem Neustart konnte ich aber ein Update ganz normal installieren. Zudem hat mein Kaspersky die Blockade einer Web Verbindung gemeldet, die ca zu dem Zeitpunkt aufgetreten ist, als ich den Router resetet hatte und er sich wieder in das Internet eingewählt hat. Grund: selbst signiertes Zertifikat. Es wurde eine Verbindung zu Fanboy.co.nz und easylist.to hergestellt. Bei den Endungen bin ich mir nicht mehr ganz sicher. In Chrome, mit dem ich den Router resetet habe, läuft uBlock Origin ebenfalls. Dem Namen nach müssten das eigentlich Blocklisten sein. Da diese sich auch sonst automatisch updaten, ich eine solche Meldung über Kaspersky aber noch nie bekommen hatte, finde ich das etwas seltsam. Auch danach kamen solche Meldung beim Update von uBlock Origin Filterlisten nicht mehr. Zudem meldete Kaspersky auch noch eine beschädigte Cache Datei von Firefox, die wohl geschrieben wurde, als ich YouTube geschaut habe. Auch so etwas hatte ich vorher noch nie gesehen.

Jetzt zu den eigentlichen Fragen:

• Meint ihr die Backups bzw werkswiederherstellung 13 aus um alle meint ihr die Backups bzw werkswiederherstellung 13 Uhr aus um alle Eventualitäten auszuschließen? Oder macht eine werkswiederherstellung auf einen Tablet nicht alles weg, das Deck kommen sollte?
• Was würdet ihr mit den anderen, im WLAN befindlichen Geräten, machen? Könnte sich etwas auf diese Geräte übertragen haben?
• Account und Passwörter zurücksetzen?
• Ist ist eine Schnellformatierung in so einem Fall genauso effektiv wie eine normale Formatierung?

Ich wäre für eine Einschätzung sehr dankbar. Aber eine Bitte: keine Diskussion über die Verwendung von Kaspersky und Malwarebytes. Für alle die dagegen sind - ich gebe euc Recht. Aber das hilft mir jetzt im Moment auch nicht direkt weiter.

MFG

 

[wirelessy]

Ich würde tatsächlich genau garnichts unternehmen.
Ich schätze das Risiko auf 0 ein, bei dem, was du gemacht hast, und bei dem, was ich bei einer reiner HTTP-Verbindung auf der Maschine selber gesehen hatte.

 

[Xardas1988]

Wo ist eigentlich das Problem wenn der Support von Malwarebytes quasi schon bestätigt hat dass es sich um eine false positive Meldung gehandelt hat? Und selbst wenn auf dem Server Schadsoftware vorhanden gewesen wäre ist es äußerst unwahrscheinlich dass auf deinem Android Tablet irgendetwas passiert ist, und am Router schon gar nicht. Du musst weder irgendetwas zurücksetzen, formatieren, noch deine Passwörter ändern.

 

[Zeitkraecker]

Ich kenne mich leider inhaltlich damit nicht,aus, daher die Fragen.

Danke für das Nachschauen. Der Support kann halt 'nur' sagen, dass zum Zeitpunkt, wo sie nachgeschaut haben, nichts mehr da war. Was ich an deren geposteten Untersuchungslink von Virustotal nicht verstehe, ist, dass er eine Datei anzeigt zu einem Zeitpunkt, der nach meinen 'Geschehnissen' liegt. Das '404' beim Status heisst aber doch: nicht vorhanden?

 

[wirelessy]

Ja, heißt es.

Es gibt in dem Bereich quasi keine Qualitätskontrolle.

 

[Dr. McCoy]

Was ich an deren geposteten Untersuchungslink von Virustotal nicht verstehe, ist, dass er eine Datei anzeigt zu einem Zeitpunkt, der nach meinen 'Geschehnissen' liegt. Das '404' beim Status heisst aber doch: nicht vorhanden?

Das ist nichts Ungewöhnliches. Malware wird auf immer wieder wechselnden Servern abgelegt und von dort aus verbreitet. Das geht schneller, als man "A" sagen kann, und dient den Verbreitern der Schädlinge einfach nur dazu, die Erkennung durch Virenscanner zu erschweren oder gar unmöglich zu machen.