Hallo zusammen,
Mein Vater (Anschlussinhaber) hat heute folgende Mail bekommen (Auszug)
Zitat:
Sehr geehrte Kundin,
sehr geehrter Kunde,
wir schreiben Ihnen heute aus einem unerfreulichen Grund, denn wir
haben Hinweise erhalten, dass von Ihrem Anschluss aus Spam-Mails
versendet wurden. Das bedeutet konkret: Unbekannte Personen nutzen
möglicherweise Ihren Internet-Zugang missbräuchlich. Eventuell sind
diesen auch bereits Passwörter, Kreditkarten-, Bank- und sonstige Daten
bekannt!
Es besteht kein Zweifel daran, dass Ihr Internet-Zugang die Quelle
dieser Massen-E-Mails ist, denn bei jeder Einwahl ins Internet wird
Ihrem Router eine IP-Adresse zugewiesen. Wir haben verlässlich
ermittelt, dass die genannte IP-Adresse zu dem Zeitpunkt Ihrer
Zugangsnummer zugeordnet war:
IP-Adresse: XX.X.XX.XX
Zeitangabe: 05.02.2013, 21:39:09 (MEZ)
.....
|
Jetzt stellt sich mir die Frage, wie und wo ich bei diesem Problem ansetzen soll. Das Problem ist: Mit dem (Netgear) Router sind 5 PC's und 2 Smartphones über W-LAN angeschlossen. Da ja in der Mail der Telekom nur die IP-Adresse angegeben ist und keine weitern Details, könnte im Grunde genommen jedes Gerät als infizierter Verursacher in Frage kommen...
Im W-LAN sind drei PC's mit Win 7 und zwei mit Win XP. Der Router ist WPA2 verschlüsselt mit einem sehr schweren und langen Passwort.
Möglich wäre es natürlich, dass mein PC der Verursacher ist, da ich in letzer Zeit häufiger mit Warnmeldungen (Avira Free Anti Virus) konfrontiert war. Malwarebytes habe ich auch schon (gestern erst) durchlaufen lassen und es wurden Objekte gefunden. Hierzu mal die Log-Files:
Zitat:
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Datenbank Version: v2012.12.05.09
Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
RK :: RK-PC [Administrator]
05.12.2012 23:36:11
mbam-log-2012-12-05 (23-36-11).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 30100
Laufzeit: 48 Sekunde(n) [Abgebrochen]
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|DC3783F5C9A5758E0000DC36A7C177E4 (Trojan.LameShield) -> Daten: C:\ProgramData\DC3783F5C9A5758E0000DC36A7C177E4\DC3783F5C9A5758E0000DC36A7C177E4.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 5
C:\ProgramData\DC3783F5C9A5758E0000DC36A7C177E4\DC3783F5C9A5758E0000DC36A7C177E4.exe (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-1639801597-1486292251-2158558055-1000\$c235e1cd86a64680f3835956508b189e\n (Trojan.0Access) -> Löschen bei Neustart.
C:\$Recycle.Bin\S-1-5-21-1639801597-1486292251-2158558055-1000\$c235e1cd86a64680f3835956508b189e\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-1639801597-1486292251-2158558055-1000\$c235e1cd86a64680f3835956508b189e\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-1639801597-1486292251-2158558055-1000\$c235e1cd86a64680f3835956508b189e\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
|
,
Zitat:
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Datenbank Version: v2012.12.05.09
Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
RK :: RK-PC [Administrator]
05.12.2012 23:37:48
mbam-log-2012-12-05 (23-37-48).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 430692
Laufzeit: 43 Minute(n), 56 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 1
C:\Users\RK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateien: 9
C:\$Recycle.Bin\S-1-5-21-1639801597-1486292251-2158558055-1000\$c235e1cd86a64680f3835956508b189e\n (Trojan.0Access) -> Löschen bei Neustart.
C:\Users\888\AppData\Local\Temp\XE1wVgWK.exe.part (Adware.Solimba) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\a43vtzgbdgv.exe (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\2528f9b1-1cc6403d (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\Documents\usb stick\stalker cop trainer\S.T.A.L.K.E.R. COP Trainer +10_.exe (HackTool.GamesCheat.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\888\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\888\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\Desktop\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
|
und
Zitat:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org
Datenbank Version: v2013.02.06.07
Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
RK :: RK-PC [Administrator]
06.02.2013 17:39:36
mbam-log-2013-02-06 (17-39-36).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 424065
Laufzeit: 39 Minute(n), 23 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SonyAgent (Trojan.Lameshield.ET) -> Daten: C:\Windows\Temp\temp78.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 6
C:\Downloads\win 7 installation\produkey-x64_1.54\ProduKey.exe (PUP.PSWTool.ProductKey) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Downloads\win 7 installation\produkey_1.54 32bit\ProduKey.exe (PUP.PSWTool.ProductKey) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\a43vtzgbdgv.exe (Malware.Packer.SGX1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\awt43abr.exe (Trojan.Lameshield.124) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\COLSF0X2\WORLD_21_target_5830[1].exe (PUP.Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\5e027e7c-2f02c83a (Malware.Packer.SGX1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
|
Dummerweise bin ich jetzt heute erst auf dieses Board gestoßen. Ich bitte daher um Hilfe, wie ich jetzt rausfinden kann, ob mein PC der Verursacher ist oder ein anderer und wie ich das Problem dann beheben kann :-)
07.02.2013, 21:30
Baum-Darstellung