Hi,

folgende Datei mal bei virustotal.com überprüfen lassen und die Ergebnisse hier posten:
C:\Windows\system32\conime.exe

Außerdem mal mit Malwarebytes' Anti Malware das System prüfen lassen. Alle externen Laufwerke + die Festplatten.

Gruß,
b.exe

Danke erstmal für die schnelle Antwort! Malwarebytes' Anti Malware lass ich gleich noch durchlaufen.

VirusTotal spuckt folgende Ergebnisse aus:


Datei conime.exe empfangen 2009.10.07 17:25:25 (UTC)
Status: Beendet
Ergebnis: 0/41 (0%)


File size: 69120 bytes
MD5...: 6080a176d09435fc8e6e800996656e18
SHA1..: 32a54f7cb5fae9842851556a15375afdda36e0e3
SHA256: 2e661732f83521ab1e33749de7e1478a05bc182b14f101531e908b1b555aca18
ssdeep: 1536:GeK3UJyk12FWz/38xD88BTopBbvAmyIqhzFC5Ap:3hyk12F+/qD88BTSRyI
SCK
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xecc0
timedatestamp.....: 0x49e01b39 (Sat Apr 11 04:23:21 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf288 0xf400 6.57 99b39bab8ff66bede7998c52df56235e
.data 0x11000 0x56c 0x200 3.36 20158b2f9f494cf851576891812f7786
.rsrc 0x12000 0x8d0 0xa00 2.88 7ccdd2a7b80bb0f03ecdd586636a2c9e
.reloc 0x13000 0x9cc 0xa00 5.80 48d6173a996ecc345c7493153b21a308

( 10 imports )
> ADVAPI32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey
> KERNEL32.dll: lstrlenA, MultiByteToWideChar, VirtualQuery, RegisterConsoleIME, InterlockedExchange, Sleep, GetSystemInfo, VirtualAlloc, VirtualProtect, GetVersionExW, InterlockedDecrement, InterlockedIncrement, lstrlenW, WideCharToMultiByte, GetCommandLineW, RegisterApplicationRestart, HeapSetInformation, SetEvent, CreateThread, GetCurrentThreadId, OpenEventW, WaitForSingleObject, CloseHandle, GetACP, LocalAlloc, LocalReAlloc, LocalFree, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedCompareExchange, UnregisterConsoleIME
> GDI32.dll: GetStockObject, TranslateCharsetInfo
> USER32.dll: IsWindowEnabled, EnableWindow, UnregisterClassW, CreateWindowExW, RegisterClassW, LoadCursorW, SetForegroundWindow, RegisterWindowMessageW, DispatchMessageW, TranslateMessage, GetMessageW, GetKeyState, GetKeyboardLayoutNameW, PostQuitMessage, DefWindowProcW, GetGUIThreadInfo, IsWindow, DestroyWindow, SetTimer, LoadIconW, PostMessageW, SendMessageTimeoutW, KillTimer, AttachThreadInput, ActivateKeyboardLayout
> msvcrt.dll: _vsnwprintf, memset, malloc, free, _amsg_exit, memcpy, _local_unwind4, __getmainargs, _cexit, _exit, _XcptFilter, _ismbblead, _acmdln, _initterm, _controlfp, _terminate@@YAXXZ, _onexit, _lock, __dllonexit, _unlock, _except_handler4_common, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, memmove, exit
> ole32.dll: CoUninitialize, CoCreateInstance, CoInitializeEx
> OLEAUT32.dll: -, -, -, -, -, -, -
> UxTheme.dll: SetThemeAppProperties
> IMM32.dll: ImmCreateContext, ImmReleaseContext, ImmGetContext, ImmGetGuideLineW, ImmGetConversionStatus, ImmGetOpenStatus, ImmSetConversionStatus, ImmGetProperty, ImmAssociateContext, ImmSimulateHotKey, ImmTranslateMessage, ImmCallImeConsoleIME, ImmGetIMEFileNameW, ImmEscapeW, ImmNotifyIME, ImmGetCandidateListW, ImmGetCompositionStringW, ImmGetHotKey, ImmSetActiveContextConsoleIME, ImmDestroyContext, ImmSetOpenStatus
> MSCTF.dll: TF_IsCtfmonRunning, TF_WaitForInitialized, TF_Notify

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Console IME
original name: CONIME.EXE
internal name: Console
file version.: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=6080a176d09435fc8e6e800996656e18' target='_blank'>http://www.threatexpert.com/report.aspx?md5=6080a176d09435fc8e6e800996656e18</a>

So hier das Ergebnis von Malwarebytes' Anti Malware:
Lag es daran?


Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2921
Windows 6.0.6002 Service Pack 2

07.10.2009 20:42:02
mbam-log-2009-10-07 (20-42-02).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 269861
Laufzeit: 1 hour(s), 6 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\ogg.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\vorbis.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\vorbisenc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\vorbisfile.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Kann ich nicht sagen. Ich denke aber eher nicht.
Was meintest Du eigentlich ganz am Anfang mit "[...], dass über unseren Anschluss Spam versendet werden soll."?
Wird das ganze über eure IP getätigt, oder eure Mail-Adresse?

Die Frage stelle ich mir auch. Im Brief steht, dass über unseren Anschluss der Spam versendet wird.

Weiterhin steht dort: "[...] haben wir den Hinweis vorliegen, dass über eine auf ihrem Computer genutzte Kennung (T-Online Account-Kundenkonto) E-Mail-Werbung (Spam) versendet wurde [...]"

So ganz werde ich daraus nicht schlau, vielleicht liegts auch an einem der beiden anderen PCs, die auf das Internet zugreifen.