Abuse von Telekom (openresolvers oder sinkhole)

DK2die4 · 18.07.2013, 15:46

Hallo zusammen,

darf ich mich zu euch setzten?

Wie im Titel zu erkennen haben wir ein Abuse-Fax von der Telekom über eine missbräuchliche Nutzung des Anschlusses durch Spamversand erhalten. Ich habe daraufhin dort angerufen und habe per Mail die "Headers" erhalten.

In diesem Zip-File sind u.a. die Dateien Header.txt:

Code:

ATTFilter

IP-Adresse: 84.184.240.180
Datum/Uhrzeit des Vorfalls: 05 Jul 2013 06:24:18 -0000, entspricht deutscher Zeit: 05.07.2013, 08:24:18 (MESZ)
in den letzten 14 Tagen ermittelte Vorfaelle mit gleicher Kennung: 1

Dieser Vorgang wurde von abuse@t-online.de extrahiert
Offener rekursiver DNS-Resolver, kann ggf. fuer dDOS-Attacken missbraucht werden

Zeile in der Meldung:
2013-07-05 06:24:18	84.184.240.180	3320	openresolvers		DE		
2013-07-06 02:37:04	openresolvers	ripencc	DE	2460961

und eine Datei "Merkblatt_sinkhole.txt":

Code:

ATTFilter

...
> die IP-Zeitstempel welche Ihrem Account zugerechnet werden können
> stammen von der Shadowserver Foundation. Dies ist eine Institution die
> sich mit dem Aufspüren von Bot-Netzen und deren Beteiligten
> Rechnersysteme befasst.
...
> Wir nutzen hier die Mechanismen und das Wissen dieser Organisation um
> unsere Kunden darauf hinzuweisen, dass Ihre Rechnersysteme als sog.
> Zombirechner in einem Botnetz, meist ohne Wissen des Administrators,
> tätig sind.
>
> Zur Präzisierung, was passiert ist: Über Ihren Internetzugang wurde
> zum genannten Zeitpunkt ein sogenanntes "Sinkhole" kontaktiert.
...

Nach Recherche im Netz passt das doch nicht zusammen? Ich bin aber nicht der Experte - Was sagt ihr als Experten dazu? Ein Onlinescanner (thinkbroadband.com/tools/dnscheck.html) sagt:
"Warning! We detected your IP address as 84.184.xxx.xxx and found an open DNS resolver running." Ich vermute, es ist der bintec R3000 Router.

Ich habe nochmals bei der Telekom angerufen - aber nur eine "Flöte" dran gehabt.

wie sollte ich vorgehen?
Danke und Gruß,

schrauber · 18.07.2013, 15:58

hi,

schauen wir mal. Wieviele rechner hängen am Router?

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

DK2die4 · 18.07.2013, 16:59

Hallo,

wieviele Rechner es sind? Das möchtest du nicht wirklich wissen... ca. 20

Bei diesem Rechner habe ich gestern mal Malwarebytes im Quickscan ausgeführt:
Registry Values Detected: 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|aqva (Trojan.BitcoinMiner) -> Data: "C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Anwendungsdaten\aqva\CCleanerstartup.bat" -> Quarantined and deleted successfully.

Hier die geforderten Dateien von FRST

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 17-07-2013 02
Ran by Administrator (administrator) on 18-07-2013 17:23:49
Running from C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop
Microsoft(R) Windows(R) Server 2003 Enterprise Edition Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(brother Industries Ltd) C:\WINDOWS\system32\brsvc01a.exe
(brother Industries Ltd) C:\WINDOWS\system32\brss01a.exe
(Acronis) C:\Programme\Gemeinsame Dateien\Acronis\Agent\agent.exe
(Acronis) C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
(Symantec Corporation) C:\Programme\Symantec\pcAnywhere\awhost32.exe
(LANDesk Software, Ltd.) C:\Programme\LANDesk\Shared Files\residentagent.exe
(LANDesk Software, Ltd.) C:\Programme\LANDesk\LDClient\collector.exe
() C:\Programme\LANDesk\LDClient\LDselmon.exe
(LANDesk Software, Ltd.) C:\Programme\LANDesk\LDClient\LocalSch.EXE
(Sun Microsystems, Inc.) C:\Programme\Java\jre6\bin\jqs.exe
() C:\Programme\LANDesk\LDClient\WDTReset.exe
(McAfee, Inc.) C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe
(McAfee, Inc.) C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
(McAfee, Inc.) C:\WINDOWS\system32\mfevtps.exe
(Microsoft Corporation) C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
() C:\Programme\CDBurnerXP\NMSAccessU.exe
(Constantin Kaplinsky) C:\Programme\ASM\RCAgent\RCAgent.exe
(Microsoft Corporation) C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
(McAfee, Inc.) C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
() C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe
(Dynamic Network Services, Inc.) C:\Programme\DynDNS Updater\DynUpSvc.exe
(Microsoft Corporation) C:\WINDOWS\system32\cmd.exe
(Sun Microsystems, Inc.) C:\Programme\RAID Web Console 2\JRE\bin\javaw.exe
(McAfee, Inc.) C:\Programme\McAfee\VirusScan Enterprise\mfeann.exe
(Intel Corporation) C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
() C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe
(Tobit.Software) C:\Programme\Tobit.ViProtect\TAVFDSrv.exe
(Acronis) C:\Programme\Acronis\TrueImageEchoEnterpriseServer\TrueImageMonitor.exe
(Acronis) C:\Programme\Acronis\TrueImageEchoEnterpriseServer\TimounterMonitor.exe
(Acronis) C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
(Intel Corporation) C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
(LSI Logic) C:\Programme\RAID Web Console 2\MegaPopup\Popup.exe
(Tobit.Software) C:\Programme\Tobit.ViProtect\TAVfD.exe
(Dynamic Network Services, Inc.) C:\Programme\DynDNS Updater\DynTray.exe
(Sun Microsystems, Inc.) C:\Programme\Promise\SmartNAVI\_jvm\bin\javaw.exe
(MySQL AB) C:\wampp13a\mysql\bin\winmysqladmin.exe
(Tobit Software) D:\David\Code\sl.exe
(Tobit Software) D:\David\Apps\Dvgrab\Code\dvgrab.exe
(Tobit Software) D:\David\Apps\Maserver\CODE\maserver.exe
(Tobit Software) d:\David\Apps\mailgate\code\mailgate.exe
(Tobit Software) D:\David\Apps\Postman\Code\postman.exe
(Tobit Software) D:\David\Apps\Replica\Code\replica.exe
(Tobit Software) D:\David\Tld\CODE\CAPI\tld.exe
(Tobit Software) D:\David\Tld\CODE\CAPI\tld.exe
(Tobit Software) d:\David\Apps\Webbox\Code\webbox.exe
() C:\wampp13a\apache\Apache.exe
() C:\wampp13a\apache\Apache.exe
() C:\wampp13a\mysql\bin\mysqld.exe
(Intel(R) Corporation) C:\Programme\Intel\NCS2\WMIProv\NCS2Prov.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Winlogon: [UIHost] %SystemRoot%\system32\logonui.exe [x ] ()
Winlogon\Notify\AtiExtEvent: Ati2evxx.dll [X]
Winlogon\Notify\dimsntfy: dimsntfy.dll (Microsoft Corporation)
Winlogon\Notify\PCANotify: PCANotify.dll (Symantec Corporation)
MountPoints2: {2a640567-7075-11e2-97cb-404e57434431} - F:\AutoRun.exe
HKU\Default User\...\RunOnce: [tscuninstall] - %systemroot%\system32\tscupgrd.exe [ 2003-03-26] (Microsoft Corporation)
Lsa: [Authentication Packages] msv1_0 relog_ap
Lsa: [Notification Packages] RASSFM KDCSVC WDIGEST scecli
Startup: C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Startmenü\Programme\Autostart\WinMySQLadmin.lnk
ShortcutTarget: WinMySQLadmin.lnk -> C:\wampp13a\mysql\bin\winmysqladmin.exe (MySQL AB)
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DynDNS Updater Tray Icon.lnk
ShortcutTarget: DynDNS Updater Tray Icon.lnk -> C:\Programme\DynDNS Updater\DynTray.exe (Dynamic Network Services, Inc.)
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SmartNAVI.lnk
ShortcutTarget: SmartNAVI.lnk -> C:\Programme\Promise\SmartNAVI\_jvm\bin\javaw.exe (Sun Microsystems, Inc.)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/softAdmin.htm
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKCU - DefaultScope {FD36D262-7C35-4FF6-901C-B549316F2D7B} URL = hxxp://www.google.de/search?q={searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKCU - {FD36D262-7C35-4FF6-901C-B549316F2D7B} URL = hxxp://www.google.de/search?q={searchTerms}
BHO: WOT - {9E571C81-21E7-496B-9E6B-127E60263022} - C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Anwendungsdaten\WOT\IE\WOT.dll (WOT Services Oy)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
Toolbar: HKCU -&Links - {F2CF5485-4E02-4F68-819C-B92DE9277049} - C:\WINDOWS\system32\ieframe.dll (Microsoft Corporation)
DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.3.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} hxxp://192.168.1.100/activex/AMC.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Winsock: Catalog5 03 %SystemRoot%\System32\mswsock.dll [258048] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Tcpip\..\Interfaces\{E60D4D8F-C187-492F-89F5-F5F6AB3D1155}: [NameServer]192.168.0.3,192.168.0.250,194.25.2.129,192.168.0.2,8.8.4.4

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Anwendungsdaten\Mozilla\Firefox\Profiles\ppb05d6o.default
FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Extension: No Name - C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Anwendungsdaten\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
FF Extension: Free Download Manager plugin - C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Anwendungsdaten\Mozilla\Firefox\Profiles\ppb05d6o.default\Extensions\fdm_ffext@freedownloadmanager.org
FF Extension: No Name - C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Anwendungsdaten\Mozilla\Firefox\Profiles\ppb05d6o.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
FF Extension: Default - C:\Programme\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] C:\Programme\Java\jre6\lib\deploy\jqs\ff
FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff

========================== Services (Whitelisted) =================

S2 Acronis VSS Provider; C:\WINDOWS\system32\dllhost.exe [5632 2007-02-17] (Microsoft Corporation)
R2 AcronisAgent; C:\Programme\Gemeinsame Dateien\Acronis\Agent\agent.exe [517856 2007-11-12] (Acronis)
R2 AcrSch2Svc; C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [423192 2007-11-12] (Acronis)
R2 Apache; C:\wampp13a\apache\Apache.exe [20480 2002-06-20] ()
R2 awhost32; C:\Programme\Symantec\pcAnywhere\awhost32.exe [136568 2008-09-05] (Symantec Corporation)
R2 Brother XP spl Service; C:\WINDOWS\system32\brsvc01a.exe [57344 2002-04-12] (brother Industries Ltd)
R2 CBA8; C:\Programme\LANDesk\Shared Files\residentagent.exe [155648 2007-11-29] (LANDesk Software, Ltd.)
S3 DavidClipInc001; d:\DAVID\APPS\CLIPINC\CODE\CLIPINC.EXE [385024 2004-08-06] ()
S3 DavidDiscussionServer; d:\DAVID\APPS\DSERVER\CODE\DSERVER.EXE [329728 2009-04-10] (Tobit Software)
R2 DavidGrabbingServer; D:\David\Apps\Dvgrab\Code\dvgrab.exe [448512 2009-12-08] (Tobit Software)
S3 DavidHost; d:\DAVID\APPS\DVHOST\CODE\DVHOST.EXE [245760 2009-04-10] (Tobit Software)
R2 DavidMailAccessServer; D:\David\Apps\Maserver\CODE\maserver.exe [423936 2009-10-28] (Tobit Software)
R2 DavidMailGate; d:\David\Apps\mailgate\code\mailgate.exe [143360 2006-11-08] (Tobit Software)
S3 DavidPBXpense; d:\DAVID\APPS\PBXPENSE\CODE\PBXPENSE.EXE [148480 2009-04-10] (Tobit Software)
R2 DavidPostMan; D:\David\Apps\Postman\Code\postman.exe [661504 2009-11-13] (Tobit Software)
R2 DavidReplica; D:\David\Apps\Replica\Code\replica.exe [448000 2009-03-13] (Tobit Software)
R2 DavidServiceLayer; D:\David\Code\sl.exe [1346048 2010-01-05] (Tobit Software)
S3 DavidShowInterfaceServices; d:\David\Apps\showis\showis.exe [340992 2009-04-10] (Tobit.Software)
R2 DavidTLD001; D:\David\Tld\CODE\CAPI\tld.exe [715264 2009-12-08] (Tobit Software)
R2 DavidTLD002; D:\David\Tld\CODE\CAPI\tld.exe [715264 2009-12-08] (Tobit Software)
S3 DavidTVIndex; d:\DAVID\APPS\TVINDEX\TVINDEX.EXE [113664 2009-04-21] (Tobit Software)
S3 DavidVideoCapture; d:\DAVID\APPS\VIDEOCPT\CODE\VIDEOC~1.EXE [1278976 2009-06-02] (Tobit.Software)
R2 DavidWebBox; d:\David\Apps\Webbox\Code\webbox.exe [1395200 2010-01-07] (Tobit Software)
S3 Dfs; C:\Windows\system32\Dfssvc.exe [164864 2007-02-17] (Microsoft Corporation)
R2 DynDNS Updater; C:\Programme\DynDNS Updater\DynUpSvc.exe [93048 2011-04-15] (Dynamic Network Services, Inc.)
R2 IAANTMON; C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe [354840 2009-06-04] (Intel Corporation)
S3 IDriverT; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [73728 2004-10-22] (Macrovision Corporation)
R2 Intel Local Scheduler Service; C:\Programme\LANDesk\LDClient\LocalSch.EXE [196608 2007-11-29] (LANDesk Software, Ltd.)
S4 IsmServ; C:\Windows\System32\ismserv.exe [40448 2007-02-17] (Microsoft Corporation)
S4 kdc; C:\Windows\System32\lsass.exe [16384 2003-03-26] (Microsoft Corporation)
R2 LANDesk Watchdog Timer Reset; C:\Programme\LANDesk\LDClient\WDTReset.exe [126976 2007-11-29] ()
S4 LicenseService; C:\Windows\System32\llssrv.exe [94720 2007-02-18] (Microsoft Corporation)
S3 LiveUpdate; C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE [3093872 2008-07-22] (Symantec Corporation)
R2 McAfeeEngineService; C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe [21256 2009-10-22] (McAfee, Inc.)
R2 Mcshield; C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe [146448 2009-10-22] (McAfee, Inc.)
R2 McTaskManager; C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe [66896 2009-10-22] (McAfee, Inc.)
R2 MegaMonitorSrv; C:\Programme\RAID Web Console 2\MegaMonitor\mrmonitor.exe [449632 2008-03-17] ()
R2 mfevtp; C:\WINDOWS\system32\mfevtps.exe [70728 2009-10-22] (McAfee, Inc.)
S3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe [117144 2013-06-04] (Mozilla Foundation)
R2 MSMFramework; C:\Programme\RAID Web Console 2\Framework\VivaldiFramework.exe [53248 2006-11-29] ()
R2 MSSQL$DAVID; C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [29263712 2008-11-24] (Microsoft Corporation)
S4 MSSQLServerADHelper; C:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe [45408 2008-11-24] (Microsoft Corporation)
R2 NMSAccess; C:\Programme\CDBurnerXP\NMSAccessU.exe [71096 2012-06-03] ()
S3 NtFrs; C:\Windows\system32\ntfrs.exe [793088 2007-02-17] (Microsoft Corporation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation)
R2 RCAgent; C:\Programme\ASM\RCAgent\RCAgent.exe [552960 2006-04-06] (Constantin Kaplinsky)
S3 RSoPProv; C:\Windows\system32\RSoPProv.exe [67072 2007-02-17] (Microsoft Corporation)
S3 sacsvr; C:\Windows\system32\sacsvr.dll [12288 2003-03-26] (Microsoft Corporation)
S4 SQLBrowser; C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe [239968 2008-11-24] (Microsoft Corporation)
R2 SQLWriter; C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe [87904 2008-11-24] (Microsoft Corporation)
R2 TAVFDService; C:\Programme\Tobit.ViProtect\TAVFDSrv.exe [348672 2010-01-05] (Tobit.Software)
S4 TrkSvr; C:\Windows\system32\trksvr.dll [50688 2003-03-26] (Microsoft Corporation)
S4 Tssdis; C:\Windows\System32\tssdis.exe [71680 2007-02-17] (Microsoft Corporation)
S4 WOTUpdater; C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Anwendungsdaten\WOT\IE\WOTUpdater.exe [18432 2012-01-12] ()
S2 Avsynmgr; "C:\Programme\McAfee\VirusScan TC\Avsynmgr.exe" [x]
R2 Eventlog;  [x]
S4 HidServ; %SystemRoot%\System32\hidserv.dll [x]
R2 JavaQuickStarterService; "C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf" [x]
R2 MySql; C:\wampp13a\mysql\bin\mysqld [x]
S3 WinHttpAutoProxySvc; winhttp.dll [x]

==================== Drivers (Whitelisted) ====================

R3 ati2mtag; C:\Windows\System32\DRIVERS\ati2mtag.sys [1431040 2006-04-05] (ATI Technologies Inc.)
R3 AVMCOWAN; C:\Windows\System32\DRIVERS\avmcowan.sys [53248 2005-06-08] (AVM GmbH)
R3 AVMDSLPPPOE; C:\Windows\System32\DRIVERS\avmdsloe.sys [45440 2005-06-08] (AVM GmbH)
R3 AVMNDSL; C:\Windows\System32\DRIVERS\avmndsl.sys [38992 2005-06-08] (AVM GmbH)
R1 awecho; C:\Windows\System32\drivers\awechomd.sys [13368 2007-03-30] (Symantec Corporation)
R1 awlegacy; C:\Windows\System32\Drivers\awlegacy.sys [17848 2007-03-30] (Symantec Corporation)
R1 AW_HOST; C:\Windows\System32\drivers\aw_host5.sys [18232 2007-03-30] (Symantec Corporation)
R2 CISMBIOS; C:\WINDOWS\system32\drivers\cismbios.sys [14848 2007-11-29] (LANDesk Software, Ltd.)
S4 ClusDisk; C:\Windows\System32\DRIVERS\ClusDisk.sys [69120 2007-02-17] (Microsoft Corporation)
R0 DfsDriver; C:\Windows\System32\drivers\Dfs.sys [34816 2007-02-17] (Microsoft Corporation)
R3 FDSLBASE; C:\Windows\System32\DRIVERS\fdslbase.sys [799488 2005-06-08] (AVM Berlin)
R0 Gernuwa; C:\Windows\System32\Drivers\Gernuwa.sys [20536 2007-03-30] (Symantec Corporation)
R3 IPMI; C:\Windows\System32\DRIVERS\IPMI.sys [24064 2007-05-15] (Avocent Corporation.)
R3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [91672 2009-10-22] (McAfee, Inc.)
R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [343664 2009-10-22] (McAfee, Inc.)
S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [65448 2009-10-22] (McAfee, Inc.)
R1 mfetdik; C:\Windows\System32\drivers\mfetdik.sys [63728 2009-10-22] (McAfee, Inc.)
R0 msas2k3; C:\Windows\System32\drivers\msas2k3.sys [21504 2008-07-15] (LSI Corporation)
R3 NAL; C:\WINDOWS\system32\Drivers\iqvw32.sys [30816 2008-02-20] (Intel Corporation )
R2 StarOpen; C:\Windows\System32\Drivers\StarOpen.sys [5504 2012-06-03] ()
R2 tifsfilter; C:\Windows\System32\DRIVERS\tifsfilt.sys [43008 2008-12-11] (Acronis)
S3 WLBS; C:\Windows\System32\DRIVERS\wlbs.sys [175104 2007-02-17] (Microsoft Corporation)
S4 adpu320; No ImagePath
S4 afcnt; No ImagePath
S4 AmdIde; No ImagePath
S4 arc; No ImagePath
S4 cpqarry2; No ImagePath
S4 cpqcissm; No ImagePath
S4 cpqfcalm; No ImagePath
S4 dellcerc; No ImagePath
S4 elxstor; No ImagePath
S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [x]
S4 hpcisss; No ImagePath
S4 hpt3xx; No ImagePath
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S4 iirsp; No ImagePath
S4 IntelIde; No ImagePath
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S4 ipsraidn; No ImagePath
U3 LicenseInfo; No ImagePath
S4 lp6nds35; No ImagePath
S4 nfrd960; No ImagePath
S4 ql2100; No ImagePath
S4 ql2200; No ImagePath
S4 ql2300; No ImagePath
S4 symmpi; No ImagePath
U1 WS2IFSL; 

==================== NetSvcs (Whitelisted) ===================

NETSVC: Sacsvr -> C:\Windows\system32\sacsvr.dll (Microsoft Corporation)
NETSVC: TrkSvr -> C:\Windows\system32\trksvr.dll (Microsoft Corporation)

==================== One Month Created Files and Folders ========

2013-07-18 17:12 - 2013-07-18 17:12 - 00000000 ____D C:\FRST
2013-07-18 17:11 - 2013-07-18 17:11 - 01218860 _____ (Farbar) C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\FRST.exe
2013-07-18 17:11 - 2013-07-18 17:11 - 01218860 _____ (Farbar) C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\FRST.exe
2013-06-28 12:29 - 2013-06-28 12:29 - 00000000 ____D C:\WINDOWS\LastGood
2013-06-25 12:25 - 2013-06-25 12:26 - 04170200 _____ (TeamViewer) C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\TeamViewerQS_de.exe
2013-06-25 12:25 - 2013-06-25 12:26 - 04170200 _____ (TeamViewer) C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\TeamViewerQS_de.exe
2013-06-18 11:57 - 2013-06-18 11:57 - 00046480 _____ C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\TelBook_ESO_2013_0618.txt
2013-06-18 11:57 - 2013-06-18 11:57 - 00046480 _____ C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\TelBook_ESO_2013_0618.txt
2013-06-18 10:24 - 2013-06-18 12:01 - 00000405 _____ C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Eigene Dateien\journal.log
2013-06-18 10:24 - 2013-06-18 12:01 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Anwendungsdaten\ICT
2013-06-18 10:20 - 2013-06-18 10:20 - 00001594 _____ C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\Integral Customer Tool.lnk
2013-06-18 10:20 - 2013-06-18 10:20 - 00001594 _____ C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\Integral Customer Tool.lnk
2013-06-18 10:19 - 2013-06-18 10:19 - 00000000 ____D C:\Programme\Microsoft Office
2013-06-18 10:19 - 2002-03-07 15:21 - 00249856 _____ (ComponentOne LLC) C:\WINDOWS\system32\todgub7.dll

==================== One Month Modified Files and Folders =======

2013-07-18 17:23 - 2009-10-16 22:58 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop
2013-07-18 17:23 - 2009-10-16 22:58 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop
2013-07-18 17:22 - 2009-10-17 01:18 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Anwendungsdaten\Tobit
2013-07-18 17:22 - 2008-12-11 14:33 - 00008404 _____ C:\WINDOWS\WINCMD.INI
2013-07-18 17:20 - 2012-10-22 10:27 - 00000466 _____ C:\WINDOWS\Tasks\Apache-Dienst_pruefen.job
2013-07-18 17:12 - 2013-07-18 17:12 - 00000000 ____D C:\FRST
2013-07-18 17:11 - 2013-07-18 17:11 - 01218860 _____ (Farbar) C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\FRST.exe
2013-07-18 17:11 - 2013-07-18 17:11 - 01218860 _____ (Farbar) C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\FRST.exe
2013-07-18 16:35 - 2008-12-11 14:24 - 00000128 _____ C:\WINDOWS\system32\config\netlogon.ftl
2013-07-18 16:30 - 2008-12-10 11:08 - 00032342 _____ C:\WINDOWS\Tasks\SchedLgU.Txt
2013-07-18 08:19 - 2008-12-10 11:38 - 00000000 ____D C:\WINDOWS\security
2013-07-17 22:00 - 2009-10-14 16:01 - 00001004 _____ C:\WINDOWS\Tasks\Backup David Mo+Mi+Fr.job
2013-07-17 21:00 - 2009-01-26 18:19 - 00000932 _____ C:\WINDOWS\Tasks\Backup David.job
2013-07-17 20:00 - 2009-07-27 13:23 - 00000926 _____ C:\WINDOWS\Tasks\Backup Wamppp.job
2013-07-17 19:16 - 2013-06-04 18:19 - 00000000 ____D C:\Programme\Mozilla Firefox
2013-07-17 18:49 - 2009-03-24 16:32 - 00000000 ____D C:\Programme\SuperScan
2013-07-17 18:07 - 2013-02-25 13:08 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Anwendungsdaten\Malwarebytes
2013-07-14 10:53 - 2008-12-11 08:46 - 00000000 ____D C:\WINDOWS\system32\NtmsData
2013-07-14 10:52 - 2009-11-06 22:31 - 00000968 _____ C:\WINDOWS\Tasks\David-Mo.job
2013-07-01 13:58 - 2012-11-07 18:26 - 00003740 _____ C:\WINDOWS\SynState.ini
2013-07-01 13:58 - 2012-11-07 18:26 - 00000798 _____ C:\WINDOWS\Syn.ini
2013-07-01 13:58 - 2012-11-07 18:26 - 00000445 _____ C:\WINDOWS\SynSpell.ini
2013-07-01 13:45 - 2008-12-10 12:44 - 00000000 ____D C:\Programme\totalcmd
2013-06-28 12:29 - 2013-06-28 12:29 - 00000000 ____D C:\WINDOWS\LastGood
2013-06-28 12:29 - 2008-12-10 10:44 - 00124826 _____ C:\WINDOWS\setupapi.log
2013-06-26 09:33 - 2008-12-10 15:02 - 00001405 _____ C:\WINDOWS\tobit.ini
2013-06-26 09:20 - 2009-10-16 22:59 - 00000190 ___SH C:\Dokumente und Einstellungen\Administrator.ESO-TEX\ntuser.ini
2013-06-26 09:20 - 2009-10-16 22:59 - 00000190 ___SH C:\Dokumente und Einstellungen\Administrator.ESO-TEX\ntuser.ini
2013-06-26 09:19 - 2008-12-10 10:45 - 01087902 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2013-06-26 09:18 - 2008-12-10 10:54 - 00000000 ____D C:\WINDOWS\Registration
2013-06-26 09:15 - 2008-12-10 11:08 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2013-06-26 09:15 - 2008-12-10 10:58 - 00712009 _____ C:\WINDOWS\WindowsUpdate.log
2013-06-26 09:15 - 2003-03-26 03:00 - 00002206 _____ C:\WINDOWS\system32\wpa.dbl
2013-06-26 09:12 - 2009-10-16 22:58 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator.ESO-TEX
2013-06-25 12:26 - 2013-06-25 12:25 - 04170200 _____ (TeamViewer) C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\TeamViewerQS_de.exe
2013-06-25 12:26 - 2013-06-25 12:25 - 04170200 _____ (TeamViewer) C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\TeamViewerQS_de.exe
2013-06-18 12:01 - 2013-06-18 10:24 - 00000405 _____ C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Eigene Dateien\journal.log
2013-06-18 12:01 - 2013-06-18 10:24 - 00000000 ____D C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Anwendungsdaten\ICT
2013-06-18 11:57 - 2013-06-18 11:57 - 00046480 _____ C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\TelBook_ESO_2013_0618.txt
2013-06-18 11:57 - 2013-06-18 11:57 - 00046480 _____ C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\TelBook_ESO_2013_0618.txt
2013-06-18 10:20 - 2013-06-18 10:20 - 00001594 _____ C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\Integral Customer Tool.lnk
2013-06-18 10:20 - 2013-06-18 10:20 - 00001594 _____ C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop\Integral Customer Tool.lnk
2013-06-18 10:19 - 2013-06-18 10:19 - 00000000 ____D C:\Programme\Microsoft Office
2013-06-18 10:19 - 2008-12-10 10:45 - 00000000 ____D C:\Programme\Gemeinsame Dateien\Microsoft Shared
2013-06-18 10:19 - 2008-12-10 10:45 - 00000000 ____D C:\Programme

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2007-02-17 06:54] - [2007-02-17 06:54] - 1056768 ____A (Microsoft Corporation) F1E59B4F2F9277A30C7110C30326C7A0

C:\Windows\System32\winlogon.exe
[2007-02-17 06:48] - [2007-02-17 06:48] - 0534528 ____A (Microsoft Corporation) 89F3B79026477E24B46A986CD54E0F36

C:\Windows\System32\svchost.exe
[2007-02-17 06:40] - [2007-02-17 06:40] - 0014848 ____A (Microsoft Corporation) B8DAF8F87218757D332EA3EF831015E4

C:\Windows\System32\services.exe
[2007-02-17 06:50] - [2007-02-17 06:50] - 0111616 ____A (Microsoft Corporation) 3178AA59CD316236B253F2D6159EAEE8

C:\Windows\System32\User32.dll
[2008-12-10 12:55] - [2008-07-29 10:21] - 0586240 ____A (Microsoft Corporation) EE3956DD059DD7F653227E01D1F85887

C:\Windows\System32\userinit.exe
[2007-02-17 06:51] - [2007-02-17 06:51] - 0026624 ____A (Microsoft Corporation) 6B864349448336D9660B9E2B47B8AEAE

C:\Windows\System32\Drivers\volsnap.sys
[2007-02-17 06:51] - [2007-02-17 06:51] - 0156160 ____A (Microsoft Corporation) 1F946569F38935B5E4497620BC39E17C

C:\Windows\system32\codeintegrity\Bootcat.cache IS MISSING <==== ATTENTION!.

==================== End Of Log ============================

--- --- ---

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x86) Version: 17-07-2013 02
Ran by Administrator at 2013-07-18 17:24:15
Running from C:\Dokumente und Einstellungen\Administrator.ESO-TEX\Desktop
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

Acronis License Server (Version: 1.0.15)
Acronis True Image Echo Enterprise Server (Version: 9.5.8018)
Adobe Flash Player 10 ActiveX (Version: 10.1.53.64)
Apple Application Support (Version: 1.2.0)
Apple Software Update (Version: 2.1.1.116)
ASM eXpress Console (Version: 1.0)
ASM Remote Windows Console Agent (Version: 1.2)
ATI Display Driver (Version: 8.24.3-060405a-038923C-Intel)
AXIS Media Control Embedded
Brother Driver Deployment Wizard (Version: 1.09.000)
CDBurnerXP (Version: 4.4.1.3341)
Color LaserJet 2600n
David Client  (Version: 11.00a)
David.fx  (Version: 11.00a)
DynDNS Updater (Version: 4.1.4)
Foxit Reader
HP Color LaserJet 2600 series
IBM_msi_server (Version: 1.00.0000)
Integral Customer Tool (Version: Version  ICT-V5.014)
Intel(R) Network Connections 13.0.44.0 (Version: 13.0.44.0)
Intel® Matrix Storage Manager
Java Auto Updater (Version: 2.0.2.4)
Java(TM) 6 Update 23 (Version: 6.0.230)
LANDesk(R) Common Base Agent 8 (Version: 8.8.0.21)
LiveUpdate 3.3 (Symantec Corporation) (Version: 3.3.0.69)
Malwarebytes Anti-Malware Version 1.75.0.1300 (Version: 1.75.0.1300)
Microsoft .NET Framework 2.0 Service Pack 1 (Version: 2.1.21022)
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU (Version: 2.1.21022)
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Access database engine 2007 (English) (Version: 12.0.4518.1031)
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Express Edition (DAVID) (Version: 9.3.4035.00)
Microsoft SQL Server 2005-Abwärtskompatibilität (Version: 8.05.2309)
Microsoft SQL Server Native Client (Version: 9.00.4035.00)
Microsoft SQL Server Setup Support Files (English) (Version: 9.00.4035.00)
Microsoft SQL Server VSS Writer (Version: 9.00.4035.00)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.56336)
Mozilla Firefox 21.0 (x86 de) (Version: 21.0)
Mozilla Maintenance Service (Version: 21.0)
MSXML 6.0 Parser (Version: 6.10.1129.0)
RAID Web Console 2 (Version: 2.63.0000)
RAID Web Console 2 v2.63-00 (Version: 2.63.0000)
Safari (Version: 5.31.22.7)
SelectLine Warenwirtschaft SQL (Version: 11.5.4.3)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127) (Version: 1)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838) (Version: 1)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) (Version: 1)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) (Version: 1)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows Server 2003 (KB924667-v2) (Version: 2)
Sicherheitsupdate für Windows Server 2003 (KB925902-v2) (Version: 2)
Sicherheitsupdate für Windows Server 2003 (KB926122) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB929123) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB930178) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB932168) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB933729) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB933854) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB935839) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB935840) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB936782) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB938127) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB938464) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB941569) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB943055) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB943460) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB943485) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB944338-v2) (Version: 2)
Sicherheitsupdate für Windows Server 2003 (KB944653) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB945553) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB946026) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB950762) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB950974) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB951066) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB951698) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB951748) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB952069) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB952954) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB954211) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB954600) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB955069) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB956391) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB956802) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB956803) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB956841) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB957095) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB957097) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB958215) (Version: 1)
Sicherheitsupdate für Windows Server 2003 (KB958644) (Version: 1)
SmartNAVI (Version: 1.0.0.23)
Symantec pcAnywhere (Version: 12.5.0)
TightVNC (Version: 2.6.4.0)
Tobit.ViProtect (Version: 8.7.1)
Total Commander (Remove or Repair) (Version: 8.01)
Unlocker 1.9.2 (Version: 1.9.2)
Update für Windows Server 2003 (KB925876) (Version: 2)
Update für Windows Server 2003 (KB927891) (Version: 5)
Update für Windows Server 2003 (KB936357) (Version: 1)
Update für Windows Server 2003 (KB943729)
Update für Windows Server 2003 (KB948496) (Version: 1)
Update für Windows Server 2003 (KB955839) (Version: 1)
Visual C++ 9.0 ATL (x86) WinSXS MSM (Version: 9.0)
Windows Internet Explorer 7 (Version: 20070813.185237)
WinRAR
 

==================== Restore Points  =========================

Could not list Restore Points.


==================== Hosts content: ==========================

2003-03-26 03:00 - 2003-03-26 03:00 - 00000820 ____A C:\WINDOWS\system32\Drivers\etc\hosts
127.0.0.1       localhost

==================== Scheduled Tasks (whitelisted) =============

Task: C:\WINDOWS\Tasks\Apache-Dienst_pruefen.job => ?
Task: C:\WINDOWS\Tasks\Backup David Mo+Mi+Fr.job => C:\WINDOWS\system32\ntbackup.exe
Task: C:\WINDOWS\Tasks\Backup David.job => C:\WINDOWS\system32\ntbackup.exe
Task: C:\WINDOWS\Tasks\Backup Wamppp.job => C:\WINDOWS\system32\ntbackup.exe
Task: C:\WINDOWS\Tasks\David-Mo.job => C:\WINDOWS\system32\ntbackup.exe

==================== Faulty Device Manager Devices =============

Name: Intel(R) PRO/1000 EB Network Connection with I/O Acceleration #2
Description: Intel(R) PRO/1000 EB Network Connection with I/O Acceleration
Class Guid: {4D36E972-E325-11CE-BFC1-08002BE10318}
Manufacturer: Intel
Service: e1express
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Event log errors: =========================

Application errors:
==================
Error: (07/16/2013 07:54:57 PM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Error: (07/13/2013 01:53:18 PM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Error: (07/12/2013 05:27:56 AM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Error: (07/11/2013 05:34:51 PM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Error: (07/11/2013 05:13:12 PM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Error: (07/11/2013 10:54:49 AM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Error: (07/11/2013 09:10:47 AM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Error: (07/10/2013 01:22:04 AM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Error: (07/09/2013 08:12:01 PM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Error: (07/09/2013 11:48:29 AM) (Source: Userenv) (User: NT-AUTORITÄT)
Description: Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.


System errors:
=============
Error: (07/18/2013 10:33:26 AM) (Source: NETLOGON) (User: )
Description: Der Computer konnte eine sichere Sitzung mit einem
Domänencontroller in der Domäne ESO-TEX aufgrund der folgenden
Ursache: 
%%1722 nicht einrichten.

Dies kann zu Authentifizierungsproblemen führen. Stellen
Sie sicher, dass der Computer mit dem Netzwerk verbunden ist.
Wenden Sie sich an den Domänenadministrator, wenn das Problem
weiterhin besteht.



ZUSÄTZLICHE INFORMATIONEN

Wenn dieser Computer ein Domänencontroller der bestimmten
Domäne ist, wird eine sichere Sitzung zum primären
Domänencontrolleremulator in der bestimmten Domäne eingerichtet.
Andernfalls richtet dieser Computer eine sichere Sitzung zu
einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Error: (07/18/2013 09:22:37 AM) (Source: NETLOGON) (User: )
Description: Der Computer konnte eine sichere Sitzung mit einem
Domänencontroller in der Domäne ESO-TEX aufgrund der folgenden
Ursache: 
%%1311 nicht einrichten.

Dies kann zu Authentifizierungsproblemen führen. Stellen
Sie sicher, dass der Computer mit dem Netzwerk verbunden ist.
Wenden Sie sich an den Domänenadministrator, wenn das Problem
weiterhin besteht.



ZUSÄTZLICHE INFORMATIONEN

Wenn dieser Computer ein Domänencontroller der bestimmten
Domäne ist, wird eine sichere Sitzung zum primären
Domänencontrolleremulator in der bestimmten Domäne eingerichtet.
Andernfalls richtet dieser Computer eine sichere Sitzung zu
einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Error: (07/17/2013 09:11:11 PM) (Source: NETLOGON) (User: )
Description: Der Computer konnte eine sichere Sitzung mit einem
Domänencontroller in der Domäne ESO-TEX aufgrund der folgenden
Ursache: 
%%1311 nicht einrichten.

Dies kann zu Authentifizierungsproblemen führen. Stellen
Sie sicher, dass der Computer mit dem Netzwerk verbunden ist.
Wenden Sie sich an den Domänenadministrator, wenn das Problem
weiterhin besteht.



ZUSÄTZLICHE INFORMATIONEN

Wenn dieser Computer ein Domänencontroller der bestimmten
Domäne ist, wird eine sichere Sitzung zum primären
Domänencontrolleremulator in der bestimmten Domäne eingerichtet.
Andernfalls richtet dieser Computer eine sichere Sitzung zu
einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Error: (07/16/2013 08:04:13 PM) (Source: NETLOGON) (User: )
Description: Der Computer konnte eine sichere Sitzung mit einem
Domänencontroller in der Domäne ESO-TEX aufgrund der folgenden
Ursache: 
%%1722 nicht einrichten.

Dies kann zu Authentifizierungsproblemen führen. Stellen
Sie sicher, dass der Computer mit dem Netzwerk verbunden ist.
Wenden Sie sich an den Domänenadministrator, wenn das Problem
weiterhin besteht.



ZUSÄTZLICHE INFORMATIONEN

Wenn dieser Computer ein Domänencontroller der bestimmten
Domäne ist, wird eine sichere Sitzung zum primären
Domänencontrolleremulator in der bestimmten Domäne eingerichtet.
Andernfalls richtet dieser Computer eine sichere Sitzung zu
einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Error: (07/16/2013 07:54:12 PM) (Source: NETLOGON) (User: )
Description: Der Computer konnte eine sichere Sitzung mit einem
Domänencontroller in der Domäne ESO-TEX aufgrund der folgenden
Ursache: 
%%1311 nicht einrichten.

Dies kann zu Authentifizierungsproblemen führen. Stellen
Sie sicher, dass der Computer mit dem Netzwerk verbunden ist.
Wenden Sie sich an den Domänenadministrator, wenn das Problem
weiterhin besteht.



ZUSÄTZLICHE INFORMATIONEN

Wenn dieser Computer ein Domänencontroller der bestimmten
Domäne ist, wird eine sichere Sitzung zum primären
Domänencontrolleremulator in der bestimmten Domäne eingerichtet.
Andernfalls richtet dieser Computer eine sichere Sitzung zu
einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Error: (07/15/2013 10:35:49 PM) (Source: NETLOGON) (User: )
Description: Der Computer konnte eine sichere Sitzung mit einem
Domänencontroller in der Domäne ESO-TEX aufgrund der folgenden
Ursache: 
%%1311 nicht einrichten.

Dies kann zu Authentifizierungsproblemen führen. Stellen
Sie sicher, dass der Computer mit dem Netzwerk verbunden ist.
Wenden Sie sich an den Domänenadministrator, wenn das Problem
weiterhin besteht.



ZUSÄTZLICHE INFORMATIONEN

Wenn dieser Computer ein Domänencontroller der bestimmten
Domäne ist, wird eine sichere Sitzung zum primären
Domänencontrolleremulator in der bestimmten Domäne eingerichtet.
Andernfalls richtet dieser Computer eine sichere Sitzung zu
einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Error: (07/15/2013 04:18:18 PM) (Source: NETLOGON) (User: )
Description: Der Computer konnte eine sichere Sitzung mit einem
Domänencontroller in der Domäne ESO-TEX aufgrund der folgenden
Ursache: 
%%1311 nicht einrichten.

Dies kann zu Authentifizierungsproblemen führen. Stellen
Sie sicher, dass der Computer mit dem Netzwerk verbunden ist.
Wenden Sie sich an den Domänenadministrator, wenn das Problem
weiterhin besteht.



ZUSÄTZLICHE INFORMATIONEN

Wenn dieser Computer ein Domänencontroller der bestimmten
Domäne ist, wird eine sichere Sitzung zum primären
Domänencontrolleremulator in der bestimmten Domäne eingerichtet.
Andernfalls richtet dieser Computer eine sichere Sitzung zu
einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Error: (07/15/2013 03:59:32 PM) (Source: W32Time) (User: )
Description: Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen
konfiguriert. Es ist jedoch keine der Quellen verfügbar. Innerhalb
der nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung
mit der Quelle herzustellen.
Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error: (07/15/2013 02:53:52 PM) (Source: W32Time) (User: )
Description: Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen
konfiguriert. Es ist jedoch keine der Quellen verfügbar. Innerhalb
der nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung
mit der Quelle herzustellen.
Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error: (07/15/2013 01:48:12 PM) (Source: W32Time) (User: )
Description: Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen
konfiguriert. Es ist jedoch keine der Quellen verfügbar. Innerhalb
der nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung
mit der Quelle herzustellen.
Der NtpClient verfügt über keine Quelle mit genauer Zeit.


Microsoft Office Sessions:
=========================
Error: (07/16/2013 07:54:57 PM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Error: (07/13/2013 01:53:18 PM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Error: (07/12/2013 05:27:56 AM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Error: (07/11/2013 05:34:51 PM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Error: (07/11/2013 05:13:12 PM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Error: (07/11/2013 10:54:49 AM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Error: (07/11/2013 09:10:47 AM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Error: (07/10/2013 01:22:04 AM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Error: (07/09/2013 08:12:01 PM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Error: (07/09/2013 11:48:29 AM) (Source: Userenv)(User: NT-AUTORITÄT)
Description: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.


==================== Memory info =========================== 

Percentage of memory in use: 55%
Total physical RAM: 2041.82 MB
Available physical RAM: 917.24 MB
Total Pagefile: 3940.52 MB
Available Pagefile: 2906.32 MB
Total Virtual: 2047.88 MB
Available Virtual: 1952.52 MB

==================== Drives ================================

Drive c: (Windows) (Fixed) (Total:97.65 GB) (Free:80.34 GB) NTFS
Drive d: (Daten1) (Fixed) (Total:416.37 GB) (Free:321.45 GB) NTFS
Drive e: (Daten2) (Fixed) (Total:416.37 GB) (Free:119.95 GB) NTFS
Drive q: (Volume) (Network) (Total:499.99 GB) (Free:237.62 GB) NTFS
Drive s: (SICHERUNGEN) (Network) (Total:923.14 GB) (Free:67.88 GB) NTFS
Drive t: (BENUTZER) (Network) (Total:923.14 GB) (Free:67.88 GB) NTFS
Drive x: (Volume) (Network) (Total:499.99 GB) (Free:237.62 GB) NTFS
Drive y: (SICHERUNGEN) (Network) (Total:923.14 GB) (Free:67.88 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 930 GB) (Disk ID: 76FE76FE)
Partition 1: (Active) - (Size=98 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=416 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=416 GB) - (Type=07 NTFS)

==================== End Of Log ============================

Vielen Dank und Gruß,

schrauber · 19.07.2013, 07:22

ist das ein Firmen-NetzwerK?

DK2die4 · 19.07.2013, 08:53

Hallo,

ja ist ein Firmennetz. Ich erwarte aber keinesfalls, dass wir jetzt alle Rechner durchgehen. Darum wollte ich eigentlich im Eingangspost nur mal wissen, ob die beiden 'Schreiben' bzw. Dateien zusammen 'passen' (oder ob Telekom die Merkblatt_sinkhole.txt sozusagen aus versehen dabei gepackt hat).

Also ob sinkhole und open resolver von einem Rechner bzw. einer Schadsoftware auf einem Rechner im Netzwerk stammen können.

Wenn jetzt z.B. der Router falsch konfiguriert ist (open resolver), können ja damit DOS-Angriffe durchgefürt werden aber auch Spamversand?

Danke und Gruß,

schrauber · 19.07.2013, 08:58

Firmenrechner dürfen wir eh nit bereinigen.

Klar, das kann definitiv von einem der Rechner kommen, das gepostete MBAM log zeigt ja schon Befall.

19.07.2013, 07:22	#4
schrauber /// the machine /// TB-Ausbilder	Abuse von Telekom (openresolvers oder sinkhole) ist das ein Firmen-NetzwerK? __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

19.07.2013, 08:58	#6
schrauber /// the machine /// TB-Ausbilder	Abuse von Telekom (openresolvers oder sinkhole) Firmenrechner dürfen wir eh nit bereinigen. Klar, das kann definitiv von einem der Rechner kommen, das gepostete MBAM log zeigt ja schon Befall. __________________ --> Abuse von Telekom (openresolvers oder sinkhole)

Abuse von Telekom (openresolvers oder sinkhole)

Plagegeister aller Art und deren Bekämpfung: Abuse von Telekom (openresolvers oder sinkhole)