User Account wird immer gesperrt

Ich habe 2 Tagen ein komisches Problem. Die Netzwerklaufwerke von meine Kindern funktionieren nicht mehr. Komischerweise war die IP-Adresse des Rechner vom NAS permanent gesperrt. Ich habe mein NAS so eingestellt das alle gebannt werden die innerhalb von 30 Minunten das Passwort 5mal falsch eingeben. Im Systemlog steht dann, das sich User X eingeloggt hat. Kurz danach erscheinen neue Einträge das das Login wg. falschem Passwort abgewiesen wurde. Daraufhin macht das NAS wieder einen Permabann. Rechner ist Virenfrei. Hatte die Netzwerkkennwörter unter den Benutzerkonteneinstellungen von Windows gelöscht. Das Netzwerklaufwerk getrennt und entfernt. Alles wieder neu eingerichtet, Fehler bleibt.

SMB 3 im NAS eingestellt. Betroffen ist ein Windows 10pro Rechner. Die anderen Rechner gehen. Jemand eine Idee ?

Wirklich keiner einen Geistesblitz was das sein kann ?

Das ist der PC von meinem Sohn. Mittlerweile habe ich Teamspeak im Verdacht. Mein NAS bombdiert mich gerade mit :

Typ Datum Uhrzeit Benutzer Quellen-IP Computername Inhalt
Warnung 21-12-2017 21:56:28 System 127.0.0.1 localhost [Security] Added IP: [192.168.2.62] to ban list forever.

im Sekundentakt.

Vorher versucht jemand/etwas sich mit dem Useraccount meine Sohnes am NAS anzumelden. Ohne Erfolg da falsches Passwort. Und bei 5 mal falsch in 30min sagt mein NAS du nie mehr

Das finde ich nicht. Die Zugangsdaten zu den Netzwerlaufwerken sind in Windows hinterlegt (meine Kinder kennen die auch nicht) und werden sofort verbunden. Das heisst eigentlich kann von dort keine falsche Eingabe kommen. Es muss also was anderes sein, etwas das den Usernamne kennt, aber das Passwort nicht. Und da finde ich einen vorläufigen Permaban eigentlich sehr gut. Von der Arbeit bin ich es gewohnt bei 3mal falsch so hilft dir der Admin.

Einen Virus kann ich ausschließen. Bitdefender und die Kaspersky Rescue CD haben nichts gefunden.
Bleibt eigentlich nur ein zerschossenes Windows. KA wie Sohnemann das angestellt hat.

Das gibt es. Und zwar entnehme ich dem Systemverbindungsprotokoll des Qnaps das von dem Rechner meines Sohnes, mit seinem Usernamen der im NAS eingerichtet ist Verbindungsversuche stattfinden und zwar vom Verbindungstyp Samba. Und das im Abstand von 1 sek. und diese scheitern wg. falschem Passwort.

93	Warning	2017-12-22	07:02:19	Robin	192.168.2.62	robinspc	SAMBA	Login Fail
92	Warning	2017-12-22	07:02:19	Robin	192.168.2.62	robinspc	SAMBA	Login Fail
91	Warning	2017-12-22	07:02:19	Robin	192.168.2.62	robinspc	SAMBA	Login Fail
90	Warning	2017-12-22	07:02:19	Robin	192.168.2.62	robinspc	SAMBA	Login Fail
89	Warning	2017-12-22	07:02:19	Robin	192.168.2.62	robinspc	SAMBA	Login Fail

Mehr steht da nicht.

Vorhin ausprobiert. Das passiert schon beim Booten. Ich werde den Platt machen. Habe auch gesehen das es ein Biosupdate fürs Board und ein Sicherheitupdate für die Intel Sicherhetsengine gibt.

Gut möglich Doc, aber dann müsste ich die fehlerhaften Daten in dem Benutzerkonto von Windows sehen. Ich habe jetzt mal den Ban deaktiviert. Komischerweise wird bis jetzt kein fehlerhafter Login protokolliert.
Alles sehr merkwürdig.

@marisse
Muss ich mal schauen ob ich das geregelt bekomme

Ok. Habe den PC neu gemacht und installiere gerade die Software. Mal schauen.

Das hatte ich auch versucht aber keinen Erfolg gehabt. Hatte sogar den home Ordner gesichert und den User gelöscht und neu eingerichtet ohne Erfog. Hab mich dann mal von einem anderen Rechner dran mit den User meines Sohnes angemeldet. Alles i.O. Hatte dann den Ban mal rausgenommen und mich gewundert das keine Meldungen mehr kamen. Später hab ich dann gesehen warum. Ich Hirni habe den Log für Samba deaktiviert. Da hätte ich am liebsten in die Tischkante gebissen. Rechner neu aufgesetzt. Läuft seit Samstag wieder mit alles Software. Keine Meldungen mehr. Ich habe aber keine Ahnung wo Windows da jetzt noch fehlerhafte Logindaten gespeichert hatte. Ich habe nix mehr gefunden. Wenn bis Dienstag nix mehr kommt mach ich einen Haken dran.

Edit 1:
Thema zu und Erledigt.