telekom Abuse Meldung malware

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 25. September 2012  16:57

Es wird nach 4259544 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : JIIMBO
Computername   : BOOK

Versionsinformationen:
BUILD.DAT      : 12.0.0.1199    40869 Bytes  07.09.2012 22:14:00
AVSCAN.EXE     : 12.3.0.33     468472 Bytes  23.08.2012 01:03:45
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  22.08.2012 01:04:10
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 10:43:53
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 01:03:42
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 17:36:13
VBASE007.VDF   : 7.11.41.251     2048 Bytes  06.09.2012 17:36:13
VBASE008.VDF   : 7.11.41.252     2048 Bytes  06.09.2012 17:36:13
VBASE009.VDF   : 7.11.41.253     2048 Bytes  06.09.2012 17:36:13
VBASE010.VDF   : 7.11.41.254     2048 Bytes  06.09.2012 17:36:13
VBASE011.VDF   : 7.11.41.255     2048 Bytes  06.09.2012 17:36:13
VBASE012.VDF   : 7.11.42.0       2048 Bytes  06.09.2012 17:36:13
VBASE013.VDF   : 7.11.42.1       2048 Bytes  06.09.2012 17:36:13
VBASE014.VDF   : 7.11.42.65    203264 Bytes  09.09.2012 18:28:21
VBASE015.VDF   : 7.11.42.125   156672 Bytes  11.09.2012 18:28:42
VBASE016.VDF   : 7.11.42.171   187904 Bytes  12.09.2012 18:28:40
VBASE017.VDF   : 7.11.42.235   141312 Bytes  13.09.2012 18:29:15
VBASE018.VDF   : 7.11.43.35    133632 Bytes  15.09.2012 18:41:57
VBASE019.VDF   : 7.11.43.89    129024 Bytes  18.09.2012 18:41:08
VBASE020.VDF   : 7.11.43.141   130560 Bytes  19.09.2012 18:41:16
VBASE021.VDF   : 7.11.43.187   121856 Bytes  21.09.2012 01:07:15
VBASE022.VDF   : 7.11.43.251   147456 Bytes  24.09.2012 01:07:52
VBASE023.VDF   : 7.11.43.252     2048 Bytes  24.09.2012 01:07:52
VBASE024.VDF   : 7.11.43.253     2048 Bytes  24.09.2012 01:07:52
VBASE025.VDF   : 7.11.43.254     2048 Bytes  24.09.2012 01:07:52
VBASE026.VDF   : 7.11.43.255     2048 Bytes  24.09.2012 01:07:52
VBASE027.VDF   : 7.11.44.0       2048 Bytes  24.09.2012 01:07:53
VBASE028.VDF   : 7.11.44.1       2048 Bytes  24.09.2012 01:07:53
VBASE029.VDF   : 7.11.44.2       2048 Bytes  24.09.2012 01:07:53
VBASE030.VDF   : 7.11.44.3       2048 Bytes  24.09.2012 01:07:53
VBASE031.VDF   : 7.11.44.24     62464 Bytes  24.09.2012 01:07:54
Engineversion  : 8.2.10.172
AEVDF.DLL      : 8.1.2.10      102772 Bytes  22.08.2012 01:04:08
AESCRIPT.DLL   : 8.1.4.56      459131 Bytes  25.09.2012 01:08:04
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.12      606578 Bytes  22.08.2012 01:04:09
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.3.0.36      811382 Bytes  14.09.2012 18:29:24
AEOFFICE.DLL   : 8.1.2.48      201082 Bytes  25.09.2012 01:08:03
AEHEUR.DLL     : 8.1.4.104    5280119 Bytes  25.09.2012 01:08:03
AEHELP.DLL     : 8.1.23.2      258422 Bytes  22.08.2012 01:04:00
AEGEN.DLL      : 8.1.5.36      434549 Bytes  25.08.2012 01:03:36
AEEXP.DLL      : 8.1.0.86       90484 Bytes  07.09.2012 18:07:33
AEEMU.DLL      : 8.1.3.2       393587 Bytes  22.08.2012 01:03:59
AECORE.DLL     : 8.1.27.4      201078 Bytes  22.08.2012 01:03:58
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.15      51920 Bytes  01.05.2012 22:44:31
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.15     211408 Bytes  01.05.2012 22:21:32
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  23.08.2012 01:03:45
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  23.08.2012 01:03:39
RCTEXT.DLL     : 12.3.0.31     100088 Bytes  23.08.2012 01:03:39

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Dienstag, 25. September 2012  16:57

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'WajamUpdater.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'KeNotify.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'pg_ctl.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '147' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '3315' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'
C:\Program Files\WinRAR\rarnew.dat
  [WARNUNG]   Das Archiv ist unbekannt oder defekt
C:\Users\JIIMBO\AppData\Local\Temp\JDownloaderSetup.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/InstallCore.Gen

Beginne mit der Desinfektion:
C:\Users\JIIMBO\AppData\Local\Temp\JDownloaderSetup.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/InstallCore.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56ab7893.qua' verschoben!


Ende des Suchlaufs: Dienstag, 25. September 2012  18:02
Benötigte Zeit: 54:18 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  33110 Verzeichnisse wurden überprüft
 848013 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 848012 Dateien ohne Befall
   2439 Archive wurden durchsucht
      1 Warnungen
      1 Hinweise
 498330 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Sehr geehrter Herr XXX,

Über Ihren Internetzugang wurde ein "Sinkhole" kontaktiert. Das ist ein Server, der als Falle für durch Schadsoftware befallene Rechner dient, indem er einen Command&Control-Server eines Botnets simuliert. Ein Command&Control-Server ist ein Bestandteil eines Botnets, der zwischen dem eigentlichen Verbrecher und seinen "Bots" vermittelt. Unter hxxp://www.elektronik-kompendium.de/sites/net/1501041.htm finden Sie bei Interesse eine gute Erklärung der Struktur eines Botnets sowie eine schematische Darstellung.

Bei den beschwerdegegenständlichen Zugriffen handelt es sich nicht um den Versand von E-Mails. Die Steuerung der Bots erfolgt über die Ports 80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese Ports gesperrt sind. Per HTTP(S) aktualisieren sich die Bots, liefern gestohlene Login-Daten ab und holen sich ihre Aufgabenlisten ab: An DoS-Attacken teilnehmen, rechtswidrige Inhalte verbreiten, Spam versenden, usw. (Insbesondere die rechtswidrige Verbreitung von Inhalten kann ein sehr teurer "Spaß" werden, wenn plötzlich drei, vier kostenpflichtige Abmahnungen (500-800 Euro pro Abmahnung sind durchaus normal) ins Haus flattern.)

Bei anhaltenden Beschwerden setzten wir eine Port-25-Sperre für Ihren Zugang. Wir können mittels einer solchen Mailversandbeschränkung eine Schadsoftware allerdings ausschließlich daran hindern, Spam von Rechnern aus direkt an fremde Mailsysteme zuzustellen. Alles andere, wozu diese Schadsoftware entworfen sein mag, entzieht sich unserem Einfluss. Die Sperre löst daher nur unser Problem, nämlich dass unser Netzbereich wegen eines zu hohen Spam-Aufkommens von anderen Providern als bedeutsame Quelle der Spam-Plage in deren Blacklists landen, was dann allen unseren Kunden zum Nachteil gereichte.

Die Mailversandbeschränkung bestünde lediglich darin, dass der Port 25 in fremde Netze gesperrt wäre. Dieser Port ist nur für die Zustellung von Mailserver zu Mailserver erforderlich. Die für die Endnutzer vorgesehenen Postausgangsserver benötigen diesen Port nicht.

Der E-Mail-Versand über securesmtp.t-online.de und smtpmail.t-online.de wäre nicht eingeschränkt. Informationen zur Konfiguration und Nutzung Ihres t-online.de-Postfachs mit einem E-Mail-Programm finden Sie unter hxxp://hilfe.telekom.de/hsp/cms/content/HSP/de/3370/FAQ/theme-305643298

Zwecks Verwendung von Postausgangsservern anderer Anbieter trotz einer Port-25-Sperre wenden Sie sich bitte an den Support dieses Anbieters.

Die Umgehung dieser Beschränkung wäre also recht einfach. Dies darf aber aufgrund obengenannter Risiken kein Grund dafür sein, nichts zu tun. Nach Beseitigung der Ursache sollte die ggf. gesetzt Port-25-Sperre auch dann aufgehoben werden, wenn Sie dadurch nicht (mehr) behindert würden. Denn solange die Mailversandbeschränkung bestünde, erhielten Sie von unserem System keine Warnungen mehr.

Die Freischaltung erfolgte übrigens, sobald Sie uns bestätigten, das Sicherheitsproblem beseitigt zu haben. Einer speziellen Form bedarf es dabei nicht.

Nun aber zurück von dem, was passieren könnte, zu dem, was passiert ist:

Die beschwerdegegenständlichen Zugriffe fanden über die folgenden, Ihrem Zugang zugewiesenen IP-Adressen zu den angegebenen Zeitpunkten statt, die relevanten Zeitangaben aus den Beschwerden haben wir in die jeweilige deutsche Zeitzone (MESZ/MEZ) umgerechnet:

80.135.XX.XXX Sa, 22.09.2012 10:40:26 MESZ Ermahnung

(...)

Mit freundlichen Grüßen Gustav Brenner