Problem mit Internet - auch nach Formatierung

[da_blubb]

Hallo Community,

ich kämpfe schon seit ein paar Tagen mit einem Problem, ich hoffe, ihr könnt mir weiterhelfen...

Ich fange mal von vorne am Besten an:
Ich war ganz normal im Internet, als plötzlich meine WLan-Verbindung getrennt wurde. Dachte mir nichts bei, WLan kann ja mal zusammenbrechen. Als es nach ein paar Minuten nicht mehr ging, habe ich geschaut - mein WLan wurde deaktiviert, und zwar nicht von mir.
Ich hab an meinem Laptop geschaut, der WLan-Hebel war noch auf On.
Ich hab es ausgemacht und wieder an - nichts passierte, es sah so aus, als wäre WLan deaktiviert.

Als ich das Internet startete, und irgendwann nichts mehr ging, ich konnte meine Antivirenprogramme weder updaten, noch ein neues installieren - dachte ich sofort an Conficker.
Sofort hab ich einen Scann gemacht, und siehe da, Viren haben sich wohl eingeschlichen gehabt - unter anderem Conficker.

Gesucht, gefunden, gelöscht.

Internet hat kurzzeitig funktioniert.
Nach einem "neustart" der so aussieht, das der Laptop nicht mehr hinunterfahren kann, ist das Gleiche.
Ich kann eine zeitlang (die Zeit variiert) im Internet sein, bis es von ein auf die andere Sekunde nichts mehr passiert, der Browser lädt sich dumm und dämlich.

Natürlich habe ich auch andere Browser ausprobiert, von meinem normalen FF, IE über Opera bis hin zum Netzcape Navigator - überall das Gleiche.

Okay, ich hab meinen Laptop formatiert, alles komplett nackt gemacht (außer natürlich die "tolle" Recovery-Partition), da ich sonst kein Vista installieren kann.
Gleich von anfang an Avira, AVG und ZoneAlarm drauf geknallt, bevor das Internet läuft.

Es funktioniert - es funktioniert, Pustekuchen, der ganze Scheiß beginnt wieder von vorne..

Hier ist mal das Logfile von Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:31:51, on 08.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\AVG\AVG8\avgui.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\AVG\AVG8\avgscanx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ASUSTeK Computer Inc.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ASUSTeK Computer Inc.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ASUSTeK Computer Inc.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 4647 bytes

und hier ein Screen, was mein AVG anzeigt, die Viren können nur zum Teil in die Quarantäne-station geschoben werden, aber nach jedem Scan sind sie da:

die hocken immer im AppData/Roaming Ordner:





Programme, die ich schon von Anfang an ausprobiert habe:

AVG, CCleaner, Spybot search and destroy, McAfee Conficker Tool (beide), Avira, Ad-Aware.

Den Test über den Online-scanner von ActiveScan/Pandasecurity hab ich auch gemacht, kam eigentlich nichts neues bei rum:

Cookie/Atwola Tracking Cookie
Latent
Anzeigen + Info
1. C:\Users\Marvin\AppData\Roaming\Microsoft\Windows\Cookies\marvin@atwola[1].txt
Cookie/Mediapl... Tracking Cookie
Latent
Anzeigen + Info
1. C:\Users\Marvin\AppData\Roaming\Microsoft\Win...ows\Cookies\marvin@mediaplex[2].txt
Cookie/Doublec... Tracking Cookie
Latent
Anzeigen + Info



Betriebssystem: Windows Vista Home Premium


Ich hoffe, es kann mir jemand helfen, ich bin echt am Verzweifeln

Hat sich der Virus vielleicht in die Recovery-Partition hineingefressen?



Viele Grüße und vielen Dank im Voraus!

 

[Robo32]

Gut möglich - versuche es mit einem Virenscanner von CD.

 

[Pitt_G.]

was habtn ihr für Probs, das sieht doch nach 08/15 Tracking Cookies aus, ist hier jemand total paranoid?

 

[da_blubb]

also, wenn alle paar Minuten sich das Internet in den Browsern aufhängt, und eigentlich nur noch ICQ geht, die Cookies nicht gelöscht werden können und sie dort weiterhin rumhängen, wenn Conficker vorher auf meinem Rechner war, und diese Probleme verursacht hat, denke ich nicht, das es paranoid ist, zu glauben, das irgendwas mit dem System nicht stimmt.


Danke für die hilfreiche Antwort.

 

[enteon]

wenn das wlan auch mit einem live-linux (z.b. knoppix) nach kurzer zeit aussetzt, liegt es wohl sehr sicher an der hardware.

 

[QXARE]

Vielleicht war auch nur das Internet für ein paar Minuten down... Dann hat sich der Aufwand tierisch gelohnt. Dass es ein Virus sein soll bezweifle ich allerdings.

 

[da_blubb]

Dann ist das Internet seit Donnerstag Nacht down, phasenweise, und nach einem "Neustart" der nicht funktioniert, geht es für ein paar Minuten, und sobald man ein paar Browserfenster offen hat, ist es wieder down..?
Es lief ja sonst vorher (ca 1/2 Jahr) stabil..

 

[enteon]

und eigentlich nur noch ICQ geht

also ist deine wlan verbindung völlig in ordnung?!

drück dich vielleicht mal etwas genauer aus, das internet ist sehr viel mehr als du weißt

 

[da_blubb]

Dass das Internet mehr ist, als ich weiß, das stell ich nicht in Frage, sonst würde ich hier nicht fragen..

Ja, mein WLan ist in Ordnung, die Verbindung steht auch durchgängig und alle Balken, die die Konnektivität anzeigen, sind auch gefüllt.


Wo soll ich mich genauer ausdrücken..?

 

[Pitt_G.]

Ein WLAN kann 5 Jahre rennen und plötzlich geht was nicht mehr.
Ein DSL Zugang kann 5 Jahre OK sein, und plötzlich geht nix mehr.

Hm warum,
weil irgendeiner in der Nachbarschaft ein falsch konfiguriertes WLAN hat, oder sich nen DSL Zugang zugelegt hat
.
Wenn ich immer hör es hat doch bis vor kurzem getan.
Denn Fall hatte ich neulich erst, entweder is der DSL Router schuld, oder der ISP,
bis dem User ein Licht aufging, dass seine Frau den PowerLan Adapter in ne andere Steckdose gesteckt hat

 

[da_blubb]

Wäre das wirklich eine plausible Erklärung..?
Kann ich mir irgendwie kaum vorstellen...

Was für Möglichkeiten gäbe es denn, es wieder stabil zu Laufen zu kriegen, wenn es Eurer Meinung nach an dem WLan liegt?

Viele Grüße


/Edit: Wenn es am WLan liegen würde, hätte dann ein anderer Rechner, der an dem gleichen Netz hängt, nicht ähnliche Probleme?

 

[QXARE]

Vllt. mal mit Notebook oder so testen falls du eines zur Hand hast.

 

[da_blubb]

So, habe es eben mal so probiert:

Ich bin mit meinem (infizierten) Laptop an meinen Router gegangen, und war über Kabel drin (WLan natürlich deaktiviert), das Problem besteht weiterhin.

Der zweite Rechner, der bei uns parallel läuft, geht auch über's WLan in's Netz, und hat nicht solche Probleme, daher glaube ich da nicht wirklich dran, dass es WLan bedingt ist.

Wäre es denn theoretisch möglich, dass sich Conficker in die Recovery-Partition hineingefressen hatte, und nach dem Formatieren noch drauf ist?
Ist der Recovery-Bereich für Virenscanner überhaupt sichtbar?


Viele Grüße

 

[Pitt_G.]

Kannst Du mal ICQ deinstallieren. Ich hatte auch mal Probs mit Browsern und dann wars die T-Online Toolbar.

Wobei ich in letzter Zeit auf allen möglichen Rechnern speziell mit dem IE7.0 irgendwie immer Ärger mit dem Browser habe. Der hängt für meinen Geschmack viel zu oft

Und hol Dir mal den aktuellsten Flashplayer direct von Adobe, da hatte ich auch noch Ärger damit

Und etwas weniger Security Software wäre zum testen auch nicht schlecht. Nicht dass die sich noch gegenseitig beissen.

 

[da_blubb]

Soo,

hab ICQ deinstalliert, den neusten FlashPlayer installiert, AVG deinstalliert.

Somit wären jetzt noch Avira und ZoneAlarm drauf.

Das Problem besteht leider immer noch


Viele Grüße

 

[enteon]

So, habe es eben mal so probiert:

Ich bin mit meinem (infizierten) Laptop an meinen Router gegangen, und war über Kabel drin (WLan natürlich deaktiviert), das Problem besteht weiterhin.

Der zweite Rechner, der bei uns parallel läuft, geht auch über's WLan in's Netz, und hat nicht solche Probleme, daher glaube ich da nicht wirklich dran, dass es WLan bedingt ist.

_so_ drückt man sich besser aus

also: da es nun wohl unweigerlich an der software liegt und zwar eher an malware, töten wir diese mal dazu wäre die aktuelle knoppicillin-cd (dvd?) aus dem c't magazin ideal. wenn nicht vorhanden erstellst du dir eine live-cd (oder einen usb stick) mit bartpe und schmeißt da mal munter virenscanner drauf. genaue anleitungen dafür sollte es wie sand am meer geben ^^ davon bootest du dann das befallene notebook und suchst die platte ab. hintergrund ist der, dass eine malware die was auf sich hält einen rootkit benutzt, sodass man sie vom infizierten system aus überhaupt nicht entfernen kann.

weidmannsheil

 

[MaverickM]

Wenn es wirklich Conficker war, ist die Wahrscheinlichkeit sehr hoch, dass der Virus auch auf der Recovery Partition ist, denn er kopiert sich selbständig auf alle verfügbaren Laufwerke, also auch beschreibbare Partition, USB Sticks, Bootmedien etc.