Hallo allerseits,

ich habe mir vor ein paar Tagen auf meinem Rechner die Scareware My Security Shield eingefangen.
Dies brachte u.a. mit sich, dass sich der Taskmanager immer sofort geschlossen hat und ich nichts mehr installieren konnte. Internet hat da noch funktioniert.
Habe also ein wenig gegoogelt und das Ding dann anscheinend auch entfernen können (ein Mix aus manuellem Löschen und Hilfe von Malwarebytes, das ich im abgesicherten Modus installieren konnte...).
Jedenfalls hatte ich erst mal keine offenkundigen Probleme mehr.

1-2 Tage später ist mir dann aufgefallen, dass immer öfter manche Internetseiten nicht mehr funktioniert haben, z.b. autohotkey.*com, leagueoflegends.*com, hxxp://public.avast.com/~gmerek/aswMBR.exe etc. pp.

Mittlerweile ist es auf meinem Hauptrechner sogar soweit, dass die meiste Zeit internettechnisch gar nichts mehr geht, nur ab und an gibts nochmal ne Phase, in der es wieder funktioniert.

An der Proxygeschichte die hier im Board beschrieben wird liegt es übrigens schon mal nicht.

Alles schön und gut, dachte ich mir, hab ich mir wohl noch ein Rootkit oder sonstwas eingfangen, setzte ich den PC halt neu auf...

Problem: Mein Netbook (das ich erstmals seit Monaten wieder an habe) zickt jetzt ebenfalls, genauso wie das Notebook meiner Eltern, sogar mein Android Handy will oben genannten Seiten nicht mehr aufrufen. Alle Geräte stehen eigentlich nicht in direkter Verbindung, sodass eine Übertragung eventueller Schadsoftware wohl unwahrscheinlich ist (insbesondere von Windows-Rechnern auf ein Android Handy?! Das hat mich auf jeden Fall sehr stutzig gemacht...)

Alle greifen lediglich per Wlan über den gleichen Router aufs Internet zu.

Meine Fragen:

1.a) Sehen diese Internetprobleme für euch nach einem Virus aus? Die Sache mit dem Handy passt für mich überhaupt nicht ins Bild, weswegen ich schon daran gedacht habe, dass es vielleicht auf der Seite des Providers Probleme gibt...

1.b) Gibt es Schadsoftware die Router befällt? Vielleicht hats auch den erwischt (da er wie gesagt eigentlich die einzige Gemeinsamkeit/Schnittstelle ist...) Habe den Router Speedport W 500 von T-Com.

2. Meinen Rechner werde ich wie gesagt neu aufsetzten. Ist es ausreichend die Windowspartition C zu formatieren um eventueller Schadsoftware den Garaus zu machen? Die anderen beiden Partionen enthalten nur Daten und Backups dieser Daten. Wie mache ich diese falls notwendig sicher?

3. Da ich auf meinem Netbook wie oben beschrieben nun auch Probleme habe, möchte ich das nun genauer unter die Lupe nehmen und hoffe, ihr könnt mir sagen ob da was im Argen ist. Dazu hier die geforderten Logs:

3.a) defogger Log...keine Ahnung was ich falsch mache, aber es kommt irgendwie immer nur der defogger_disable.log raus, sonst nichts:

Code: Alles auswählenAufklappen

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 01:58 on 09/07/2012 (Tobias)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         

3.b) OTL Log
Muss ich wohl nachreichen, die Seite von OTL scheint momentan down zu sein, kanns also nicht runterladen (503 Service Unavailable - The server is temporarily busy, try again later!)

3.c) Gmer Log:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-09 01:00:02
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 SAMSUNG_HM160HI rev.HH100-06
Running: ol86xwd3.exe; Driver: C:\Users\Tobias\AppData\Local\Temp\kwlcypoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!ZwRollbackEnlistment + 1409                                                         81C3A989 1 Byte  [06]
.text           ntoskrnl.exe!KiDispatchInterrupt + 5A2                                                           81C5A4E2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Mozilla Firefox\plugin-container.exe[1148] USER32.dll!SetWindowLongA            75598BA3 5 Bytes  JMP 64CF5EE6 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\plugin-container.exe[1148] USER32.dll!SetWindowLongW            755A4449 5 Bytes  JMP 64CF5E78 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\plugin-container.exe[1148] USER32.dll!GetWindowInfo             755A4B5E 5 Bytes  JMP 64AE4822 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\plugin-container.exe[1148] USER32.dll!TrackPopupMenu            755B2228 5 Bytes  JMP 64AE4DD6 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\firefox.exe[3772] ntdll.dll!LdrLoadDll                          7716223E 5 Bytes  JMP 6496C930 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\firefox.exe[3772] kernel32.dll!MapViewOfFile                    75AE93DB 5 Bytes  JMP 64B9E083 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\firefox.exe[3772] kernel32.dll!VirtualAlloc                     75AEC43A 5 Bytes  JMP 64B9E0AA C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\firefox.exe[3772] GDI32.dll!CreateDIBSection                    75888850 5 Bytes  JMP 64B9E00D C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                          Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\00000059                                                                halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
Device          \Driver\BTHUSB \Device\0000007b                                                                  bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)
Device          \Driver\BTHUSB \Device\0000007d                                                                  bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\00242cc3cad0                      
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\00242cc3cad0 (not active ControlSet)  

---- EOF - GMER 1.0.15 ----
         

Weder Antivir noch Malwarebytes haben übrigens etwas gefunden.

Vielen Dank schonmal für jegliche Hilfe!

Viele Grüße

Ein Update:
nachdem gestern nacht oben beschriebene Probleme auftraten, hatte sich das dann heute morgen insofern verändert, als dass das Internet zwar einigermaßen ging, aber extrem langsam war. ich habe dann ping -t Google ausgeführt (-t bewirkt, dass alle ~2sec gepingtwird, unendlich oft) um mal zu sehen was da so vor sich geht.

Das Muster hatte sich so verändert, dass 1-2 Pings mit normaler Latenz (in meinem Fall 70ms +/-10ms, sind Erfahrungswerte) durchkamen, dann kamen wieder 1-2 Zeitüberschreitung und das im ständigen Wechsel.

Habe daraufhin die Telekom Hotline angerufen, die haben mir empfohlen, den Router mal 10 Minuten auszuschalten.

Zu meinem Erstaunen hat das sogar geholfen, die Pings nach google kamen wieder alle durch, mit normaler Latenz. Problem war das manche Seiten immernoch nicht funktioniert haben (u.a. telekom.*de, microsoft.*com...)

Einige Stunden später hab ichs jetzt nochmal überprüft: die Pings zu google bleiben konstant, auch habe ich noch keine Seite entdeckt die nicht lädt.

Kann mich momentan also nicht beschweren. Mal sehen wie lange das so bleibt, das ganze scheint mir sehr willkürlich zu sein.

Jedenfalls glaube ich nun kaum noch an einen Virus/Trojaner/whatever. Morgen ruft mich nochmal der Kundenservice zurück, mal sehen was die dann sprechen und ob dann noch alles funktioniert. Melde mich wieder.

Edit2
Noch eine Anmerkung: die OTL Page funktioniert immer noch nicht. Das macht es Hilfesuchenden wie mir recht schwer, die geforderten Logs ranzuschaffen...

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.