Hallo, ich habe seit ein paar Tagen genauer gesagt, seit ich verschiedene Bitcoin-Minerprogramme ausprobiert habe ein seltsames Phänomän im Netzwerk: Meine Fritzbox zeigt immer wieder ein, mir unbekanntes Netzwerkgerät an. Angezeigt wird ein Android_xxxxxyyyy (xy ist immer wieder eine neue Zahlenkombination) mit LAN Zugriff.
tracert und Ping deuten darauf hin, dass sich das Gerät auf meinem PC befindet.
Malwarebytes findet aber ausser der CGminer-Software nichts ungewöhnliches, auch Avast und Kapersky-Scan finden nichts.
Wenn ich dem Gerät über die Fitzbox das Internet entziehe, taucht kurz darauf ein neues Gerät auf.
Was kann das sein und wie werde ich das wieder los? Der CGMiner ist es nicht, denn wenn ich den stoppe ist das Gerät weiterhin aktiv. Es scheint sich auch wahllos IP-Adressen zu holen ohne auf den dhcp zurück zu greifen.

Hier mal das Malwarebytes-Log:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.02.04.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476

Schutz: Aktiviert

04.02.2014 18:29:37
MBAM-log-2014-02-04 (23-36-26).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 272081
Laufzeit: 10 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\.......\cgminer.exe (PUP.Optional.Cgminer) -> Keine Aktion durchgeführt.

(Ende)
         

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Vielen Dank für die Hilfe, das Problem scheint nun doch woanders zu liegen.

Ich habe mit Malwarebytes Malware & Rootkit gescannt und keine Probleme gefunden, auch die anderen Virenscanner hatten keine Befunde. (Bis auf den CGminer, was aber nicht als Virus sondern als potentieller Schädling bezeichnet wird)
Das Netzwerkgerät konnten wir jetzt durch die Internetsperre als Handy identifizieren. Unklar ist allerdings, warum sich das Handy immer unter anderem Namen, mit anderer Mac-Adresse und für allem als Gerät mit festem LAN-Anschluss anmeldet. Sobald das Handy ausser Haus ist, verschwindet auch dieser Eintrag - das scheint also ziemlich eindeutig zu sein. Ich werde nun das Handy untersuchen, ob das Gerät einen Schädling hat.

Halte mich mal auf dem Laufenden bitte, klingt intressant