Briefe von der Telekom: Wichtige Sicherheitswarnungen zu Ihrem Internetzugang
 

Liebes Trojaner-Board Team,

ich hoffe bei meinem ersten Beitrag hier alles richtig zu machen!

Um was geht es:
Bei meinen Eltern sind in letzter Zeit 3 Briefe von der Telekom eingegangen, welche mitteilen, dass mindestens ein Rechner mit einem Virus/Trojaner infiziert ist.
Zu allen drei Briefen gibt es auch eine Email welche die Zeit, das Datum und die Infektion definiert (außer bei der letzten Mail - da nur Zeitangabe):

Leider können wir mit den Zeitangaben keine PCs/Geräte eingrenzen.

Alle Mails enthalten natürlich den Hinweis, Passwörter zu ändern usw - davor möchte ich logischerweise die PCs bereinigen.

Im Haushalt befinden sich:
- 2 PCs (Windows 10)
- 1 Android Tablet
- 2 Android Phones
- 1 NAS D-Link

Kann es denn sein, dass die Android-Geräte oder das NAS infiziert sind?

Anbei sind die Logs von beiden PCs (FRST und Malewarebytes)

Zusatzinfos:
Bei beiden PCs sind jeweils die neusten Updates (Windows) installiert.
Beim NAS ist die neuste Firmware installiert.
Bei den Android Geräten sind die neusten Updates installiert.

Auf mindestens einem der Telefone (Handy_Vater) und auf dem Tablet ist Sophos Security als Virenscanner installiert

Bei "VaterPC" war bisher Norman als Virenschutz installiert, bei "MutterPC" war Avast installiert.
Da sich der Windows Defender ausschaltet/meckert, sobald andere Virenscanner aktiv sind habe ich diese testweise deinstalliert und den Windows Defender durchlaufen lassen (jedoch ohne Erfolg)

Vielen Dank im Voraus für die Hilfe!
J.H.

Kleiner Nachtrag.

Habe Malewarebyte auf dem Tablet und einem der Androidtelefone installiert. Keine Bedrohungen dort gefunden.

Hab bei beiden PCs noch einmal den Defender komplett durchlaufen lassen!
Auf PCVadder wurde vom Defender eine Bedrohung gefunden! (siehe Anhang)

Gibt es weitere Sachen nach denen ich suchen sollte?

hi,

so ist das zu unübersichtlich. Wir behandeln EINEN PC pro Thread.

Entscheide dich bitte welchen Rechner du zerst untersuchen lassen willst. Davon postest du die Logs hier in CODE-Tags und nicht in irgendwelchen umständlichen Anhängen.

Hallo Cosinus und vielen Dank für die Hilfe!

Ich schlage vor, wir starten mit VATER PC, da dieser auch den Virus beim Defender gefunden hat.

Anbei die Logs, aufgeteilt in 2 Posts da die Logs laut System zu lang sind:

FRST Log

Addition.txt Log:

Log von Malwarebytes:

Du meinst mit das mit mailpassview? Also ihr solltest euch auch schonmal die Meldungen genauer durchlesen. mailpassview ist kein Schädling --> https://www.nirsoft.net/utils/mailpv.html

Ich hab auch schon oft erlebt, dass die Telekom einfach Blödsinn behauptet hat, es war in vielen Fällen einfach nix zu finden auf den Rechnern v.a. waren definitiv keine Hinweise der behaupteten Schädlinge auf den Windows-Kisten.

Ja, das meinte ich in der Tat.

Was meinst du, sollten wir die Kisten trotzdem mal durchleuchten oder sollen wir das jetzt so lassen und einfach vorsichtshalber mal die Passwörter ändern?

Einfach drauflos Passwörter ändern halte ich für Aktionismus...check lieber zuerst mal, ob der Router aktuell ist, also aktuelle Firmware, und das WLAN richtig abgesichert --> WPA2

Manchmal ergibt es sogar mehr Sinn, den Router in die Werkseinstellungen zu resetten.

Ich verschieb mal nach Diskussion, auf den Windows-Rechnern wurde ja nirgends was gefunden oder doch?

Sowohl der Speedport als auch der Wlanrouter haben die neuste Firmware.

WLAN beim Speedlink ist ausgeschaltet - Passwort beim WLanrouter ist WPA2 verschlüsselt.

Vom Defender oder Malwarebyte wurde sonst nichts gefunden.

Hallo Cosinus,

ich weiß nicht, ob du den Thread noch liest, habe aber mal auf eigene Faust ältere Beiträge mit dem Telekom-Betreff durchgelesen und entsprechend gehandelt.

Bei "Vater PC" hat der TDSS Killer angeschlagen.

Teil 1:
Soll ich das getrost ignorieren oder könnte da mehr dahinter stecken?

Teil 2: (weil Logfile zu lang)

TDSS?? :wtf:
Das muss aber was uraltes sein. Hab hier schon ewig keine TDSS-Fälle mehr gesehen :confused:

Starte das Tool erneut und versuch das TDSS-Filesystem zu entfernen.

Danke für die schnelle Antwort!

Anbei die Logs - wieder in 2 Teile aufgeteilt weil zu lang.

Während des Löschens ist der Defender aufgepoppt und hat folgendes gefunden:

Trojan:Win32/Alureon (Bilder anbei als Anhang)

Logfile Teil 2 von TDSS Rootkit

Gut, dann boote mal neu und mach ein neues Log zur Kontrolle.