Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten

herr nachbar

/// Gleich als erstes bitte ich um Entschuldigung für eventuelle Formatierungsfehler und fehlende Logs.
Ich versuch mein bestes mich an die Vorgaben zu halten
(Sobald ich nach dem Windows Neuaufsetzen ins Internet geh, haut der mir nach etwa 10 Minuten alle IP´s durcheinander. Daher schreib ich das jetzt in nem Textdokument vor und habe die Files so gut es geht vorbereitet)
OTL kann ich leider nicht laden. Ich habe es von 3 oder 4 Mirrors probiert, aber alle meine Internetfähigen Geräte steuern wohl einen anderen DNS Server oder so an und verhindern den Download.
Auf einen sauberen Rechner kann ich aber auch nicht, da der USB stick sofort alles infiziert.
Ehrlich gesagt hab ich die ganze Hardware auch fast schon aufgegeben nach dem was ich über "Hardware Backdoors" gelesen habe ( hxxp://www.google.com/url?sa=t&source=web&cd=1&ved=0CDEQFjAA&url=http%3A%2F%2Fwww.extremetech.com%2Fcomputing%2F133773-rakshasa-the-hardware-backdoor-that-china-could-embed-in-every-computer&ei=rT6gUJ-VEomPswbH7oGgDw&usg=AFQjCNHZmHUuiPoh7nand1Aji_K1MnxgPw). Aber vielleicht liege ich ja falsch ////


Die "Story":

Offenbar war ich in ein Botnetz eingebunden und habe ein wenig im System geforscht und Prozesse beendet. Fand nen Logfile was rund 2 monate zurück datiert war. wurden also schön alle meine Daten gesammelt und hochgeladen. Na Super.
Hatte Malwarebytes, AVG Free Antivirus und Windows Firewall drauf, aber die waren schon längst unterwandert und zeigten immer schön "alles sauber" an.
Offenbar wurd der Rechner in meiner Abwesenheit auch mal hochgefahren etc.
Ich war auch ein wenig angeschwipst den Abend und anstatt vernünftigerweise den Rechner auszumachen und mich bei euch zu melden, hab ich natürlich die ganze Nacht rumgespielt und versucht rauszufinden was da alles gemacht wird.
Und natürlich auch nix gespeichert von den Logs -.- (DAU halt)

Hab dann im Laufe des Abends die Festplatte formatiert. Vorher war Win7 x64 vom USB Stick drauf , aber ich hatte nur noch ne neue 32bit xp home edition hier (super. den oem-key bin ich dann auch los)
Bei dem ersten Start von Win XP wurden viele Dateien auf meinem Rechner installiert und "neue hardware gefunden". Lauter Ordner im Win Ordner die da sonst eigentlich nicht sein sollten.
Naja mein smartphone war mittlerweile auch ferngesteuert und wurde neu gerootet mit nem manipulierten gingerbread ohne dass ich es mitbekommen hab.


Was ich gemacht hab:

- Dem Log hab ich entnommen, dass Sie anfangs an den Treibern der Soundkarte was gemacht haben. -> Soundkarte ausgebaut
- Hatte manipuliertes BIOS gefunden nachm Neustart -> Neues BIOS raufgeflasht -> Keinen Effekt
- Festplatte formatiert (mehrmals auch übers Repairtool mit fixmbr, fixboot und bootcfg /rebuild) -> Nach jedem Neustart wieder manipulierter Bootsektor
- Soundkarte+festplatte+dvd-laufwerk ausgebaut+bios geflashed. AUch in Kombination mit Strom-aus und cmos reset. Und nachm Neustart war wieder alles beim alten -.-
- regedit+Ereignisprotokolle(Infos sammeln; Einstellungen wurden eh resettet nach Neustart), msconfig , abgesichterter Modus etc.
- Router resettet, Wlan aus, neue Passwörter. Kein PC dran bis alles sauber ist. Deshalb häng ich hier jetzt auch mit UMTS
- hab probiert mit Ubuntu CD zu booten -> wird vom Laufwerk gefressen und Laufwerk verschwindet ausm Explorer

Bin mittlerweile zu dem Schluss gekommen, dass absolut jede Firmware infiziert sein könnte und man jedes einzelne Bauteil/Gerät in sauberer Umgebung neu flashen müsste um dem Herr zu werden.
Sogar die Firmware von meiner Digicam die ich vor nem Monat am USB hatte is neu...

Hoffentlich krieg ich wenigstens mein Handy wieder hin (vielleicht weiß jemand wo ich damit am besten hingehen kann? Selber machen würd ich eher ungern. Hab weder einen sauberen PC noch Ahnung vom "rooten").
Wenn ich das an Samsung schick werden die mich auch auslachen^^


Was noch fraglich ist:
- Ist der W-lan router auch infiziert? Hab schon öfter von manipulierter Firmware gehört wo man dann Vollzugriff auf die Einstellungen kriegen kann und auch DNS server ändern kann usw.
Da an dem W-Lan auch noch andere PC´s hingen oder von Besuch etc. befürchte ich dass da jetzt nen Botnet ordentlich zuwachs bekommen hat...
- Was sollte ich tun wenn ich mit einem neuen Gerät wieder ins Internet will und den nicht auch gleich anstecken will?
- Wo war die Schwachstelle? Aber ich denk mal allein durchs Smartphone hatten sie schon genug Angriffsfläche. Kann gut sein, mal ne falsche App angeklickt zu haben die mir auf den Desktop kopiert wurde
- Welche Geräte sind noch brauchbar? Also ich glaub selbst ne Maus hat ein BIOS oder?
- Andere noch nicht formatierte Festplatten sind auch verseucht. Backup am besten alles ins Internet hochladen und dann mit dem sauberen PC wieder runterladen oder?


Die Logs sind vom Win XP mit treibern für grafikkarte, soundkarte und Lan.
Muessen noch kurz warten inet zu langsam. sorry alles in einem ordner jetzt.
lg