Malwarebytes eingehende Verbindung?

[PigFanner]

Hallo,

Ich habe vorhin diese Benachrichtigung unten rechts von Malwarebytes bekommen das anscheinend eine eingehende Verbindung sich versucht hat zu verbinden? Es gibt kein Pfad, noch Domäne wie man unten sieht. Kann es sein das ich eine Backdoor oder so auf mein PC hab?

Malwarebytes
www.malwarebytes.com


-Protokolldetails-
Datum des Schutzereignisses: 26.08.22
Uhrzeit des Schutzereignisses: 22:15
Protokolldatei: c4edd90c-257b-11ed-b9a0-00d861a3f039.json


-Softwaredaten-
Version: 3.6.1.2711
Komponentenversion: 1.0.482
Version des Aktualisierungspakets: 1.0.27052
Lizenz: Testversion


-Systemdaten-
Betriebssystem: Windows 10 (Build 19041.1889)
CPU: x64
Dateisystem: NTFS
Benutzer: System


-Einzelheiten zu blockierten Websites-
Bösartige Website: 1
, , Blockiert, [-1], [-1],0.0.0


-Website-Daten-
Kategorie: Trojaner
Domäne:
IP-Adresse: 5.189.188.23
Port: [50753]
Typ: Eingehend
Datei:

 

[BFF]

Auf welcher Webseite warst Du als die Meldung kam?
Die Software hat verm. nichts weiter gemacht als irgendwas von irgendeiner Seite zu blockieren.

 

[Nickel]

Panikmache Software.
Wie als wenn du dir einen Security-Mann vor die Haustür stellst
der bei jedem der vorbeigeht ruf: Einbrecher, Einbrecher!

 

[Schlaflos]

Die IP 5.189.188.23 gehört zu einem Hoster (contabo.com).
Es besteht die Möglichkeit, dass dort in der Vergangenheit etwas Malicious gehostet wurde. Und dadurch ist die IP auf die Blacklist von Malwarebytes gelandet. Aktuell scheint diese IP aber keiner Kampagne oder dergleichen zugeordnet zu sein.

Interessant finde ich eher, dass der Vorfall am 26.08. war, du aber erst heute benachrichtigt wirst.

 

[mcdexter]

@Schlaflos war schneller.
google sagt zur IP das sie zu contabo.com gehört.
Whois sagt

# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/resources/registry/whois/tou/
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/resources/registry/whois/inaccuracy_reporting/
#
# Copyright 1997-2022, American Registry for Internet Numbers, Ltd.
#


NetRange: 5.0.0.0 - 5.255.255.255
CIDR: 5.0.0.0/8
NetName: RIPE-5
NetHandle: NET-5-0-0-0-1
Parent: ()
NetType: Allocated to RIPE NCC
OriginAS:
Organization: RIPE Network Coordination Centre (RIPE)
RegDate: 2010-11-30
Updated: 2010-12-13
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
Ref: https://rdap.arin.net/registry/ip/5.0.0.0

ResourceLink: https://apps.db.ripe.net/search/query.html
ResourceLink: whois.ripe.net


OrgName: RIPE Network Coordination Centre
OrgId: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
RegDate:
Updated: 2013-07-29
Ref: https://rdap.arin.net/registry/entity/RIPE

ReferralServer: whois://whois.ripe.net
ResourceLink: https://apps.db.ripe.net/search/query.html

OrgAbuseHandle: ABUSE3850-ARIN
OrgAbuseName: Abuse Contact
OrgAbusePhone: +31205354444
OrgAbuseEmail: abuse@ripe.net
OrgAbuseRef: https://rdap.arin.net/registry/entity/ABUSE3850-ARIN

OrgTechHandle: RNO29-ARIN
OrgTechName: RIPE NCC Operations
OrgTechPhone: +31 20 535 4444
OrgTechEmail: hostmaster@ripe.net
OrgTechRef: https://rdap.arin.net/registry/entity/RNO29-ARIN


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/resources/registry/whois/tou/
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/resources/registry/whois/inaccuracy_reporting/
#
# Copyright 1997-2022, American Registry for Internet Numbers, Ltd.
#
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '5.189.176.0 - 5.189.191.255'

% Abuse contact for '5.189.176.0 - 5.189.191.255' is 'abuse@contabo.de'

inetnum: 5.189.176.0 - 5.189.191.255
netname: CONTABO
descr: Contabo GmbH
country: DE
org: ORG-GG22-RIPE
admin-c: MH7476-RIPE
tech-c: MH7476-RIPE
status: ASSIGNED PA
mnt-by: MNT-CONTABO
mnt-lower: MNT-CONTABO
mnt-domains: MNT-CONTABO
mnt-routes: MNT-CONTABO
created: 2014-04-27T12:56:48Z
last-modified: 2014-04-27T12:56:48Z
source: RIPE

organisation: ORG-GG22-RIPE
org-name: Contabo GmbH
country: DE
org-type: LIR
remarks: * Please direct all complaints about Internet abuse like Spam, hacking or scans *
remarks: * to abuse@contabo.de . This will guarantee fastest processing possible. *
address: Aschauer Strasse 32a
address: 81549
address: Munchen
address: GERMANY
phone: +498921268372
fax-no: +498921665862
abuse-c: MH12453-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-ref: MNT-CONTABO
mnt-ref: MNT-OCIRIS
mnt-by: RIPE-NCC-HM-MNT
mnt-by: MNT-CONTABO
created: 2009-12-09T13:41:08Z
last-modified: 2021-09-14T10:49:04Z
source: RIPE # Filtered

person: Wilhelm Zwalina
address: Contabo GmbH
address: Aschauer Str. 32a
address: 81549 Muenchen
phone: +49 89 21268372
fax-no: +49 89 21665862
nic-hdl: MH7476-RIPE
mnt-by: MNT-CONTABO
mnt-by: MNT-GIGA-HOSTING
created: 2010-01-04T10:41:37Z
last-modified: 2020-04-24T16:09:30Z
source: RIPE

% Information related to '5.189.176.0/20AS51167'

route: 5.189.176.0/20
descr: CONTABO
origin: AS51167
mnt-by: MNT-CONTABO
created: 2014-04-27T12:57:54Z
last-modified: 2014-04-27T12:57:54Z
source: RIPE

% This query was served by the RIPE Database Query Service version 1.103 (ANGUS)

Würde einfach mal im Taskmanager schauen, welches Programm die IP Adresse benutzt. Oder in der Firewall.
Finde denn Port ziemlich ungewöhnlich.

 

[Helge01]

Um mal schnell eine IP-Adresse zu prüfen ist AbuseIPDB hilfreich.
5.189.188.23
Da sieht man das die IP-Adresse noch immer aktiv für Missbrauch genutzt wird. Meist sind das sowieso immer die selben Hacker Provider, OVH, Hetzner und Contabo.

 

[PigFanner]

Auf welcher Webseite warst Du als die Meldung kam?
Die Software hat verm. nichts weiter gemacht als irgendwas von irgendeiner Seite zu blockieren.

Garkeine. Die Meldung kommt meistens abends, manchmal auch öfters, als ob sich jemand ganze Zeit versuchen würde zu verbinden.

Panikmache Software.
Wie als wenn du dir einen Security-Mann vor die Haustür stellst
der bei jedem der vorbeigeht ruf: Einbrecher, Einbrecher!

Ich glaube aber trotzdem das da irgendwas ran ist. Fast auch zu 100% weil es sein kann das ich mir mal etwas falsches runtergeladen habe, da in meiner Registry zwei Werte gefunden wurden die hießen "DONTREPORTINFECTINFORMATION"

Die IP 5.189.188.23 gehört zu einem Hoster (contabo.com).
Es besteht die Möglichkeit, dass dort in der Vergangenheit etwas Malicious gehostet wurde. Und dadurch ist die IP auf die Blacklist von Malwarebytes gelandet. Aktuell scheint diese IP aber keiner Kampagne oder dergleichen zugeordnet zu sein.

Interessant finde ich eher, dass der Vorfall am 26.08. war, du aber erst heute benachrichtigt wirst.

Ich habe heute einfach nur nachgefragt, ich wurde schon rechtzeitig benachrichtigt.

@Schlaflos war schneller.
google sagt zur IP das sie zu contabo.com gehört.
Whois sagt

Würde einfach mal im Taskmanager schauen, welches Programm die IP Adresse benutzt. Oder in der Firewall.
Finde denn Port ziemlich ungewöhnlich.

Wie schaue ich das denn im Task-Manager oder in der Firewall nach?

Um mal schnell eine IP-Adresse zu prüfen ist AbuseIPDB hilfreich.
5.189.188.23
Da sieht man das die IP-Adresse noch immer aktiv für Missbrauch genutzt wird. Meist sind das sowieso immer die selben Hacker Provider, OVH, Hetzner und Contabo.

Was sollte ich jetzt machen?

 

[Nickel]

da in meiner Registry zwei Werte gefunden wurden die hießen "DONTREPORTINFECTINFORMATION"

Die gehören wohl zum Microsoft Tool:
"Tool zum Entfernen bösartiger Software"
das jeden Patchday heruntergeladen und ausgeführt wird.

(Google → DONTREPORTINFECTIONINFORMATION)

 

[BFF]

Bau Dir einen USB-Stick mit dem Du booten kannst und scanne einfach mal Deine Datentraeger.

DONTREPORTINFECTINFORMATION

Kannst Du mal den vollstaendigen Registrywert zeigen bitte?

 

[Nickel]

"malwarebytes DONTREPORTINFECTIONINFORMATION"
Ich habe den Eintrag zwar jetzt auch nicht, aber wenn man ein wenig liest hier,
weiß man warum er da ist oder eben auch nicht ("MS Tool zum Entfernen bösartiger Software").
Ist jedenfalls wohl nichts bösartiges.

 

[BFF]

Liest sich fast so, dass die Malwarebyte Software das anlegt.

 

[Nickel]

Tools wie OOShutUP scheinen den Eintrag auch anzulegen
je nachdem wo man in den Tools ein Häkchen setzt um Informationen nicht an MS zu senden.

Ergänzung (30. August 2022)

dass die Malwarebyte Software das anlegt.

Malewarebytes würde sich dann an sich selbst beißen (Malewarebite).

 

[PigFanner]

Bau Dir einen USB-Stick mit dem Du booten kannst und scanne einfach mal Deine Datentraeger.



Kannst Du mal den vollstaendigen Registrywert zeigen bitte?

HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT I DONTREPORTINFECTIONINFORMATION
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\MRT I DONTREPORTINFECTIONINFORMATION

Ich weiß aber immer noch nicht was ich machen soll und wie ich vorgehen soll. Der Port ändert sich auch immer wenn die Meldung kommt.

 

[BFF]

Bau Dir einen USB-Stick mit dem Du booten kannst und scanne einfach mal Deine Datentraeger.

Das kann z.B. desinfect sein
https://www.heise.de/download/product/desinfect-71642

oder halt was Anderes was in der Lage ist Datentraeger nach Schadsoftware zu durchsuchen.

 

[purzelbär]

Alternative zu desinfect wenn man ein Antivirus Live Medium will mit verschiedenen Scannern: https://www.sarducd.it/de/rescue-cd-antivirus-de.html