[Windows Vista-32 bit] Schwerer Fall von Virenbefall - PC startet immer wieder neu

[fingon]

Hallo,

ich habe hier einen PC mit Vista 32 Bit, der sofort neu startet, sobald Vista hochgefahren ist. D.h. ich kann nur im Abgesicherten Modus etwas machen. Ich habe da dann schon mal online Virenscanner und Malware Bytes laufen lassen und die Funde gelöscht. Außerdem habe ich schon auffällige Einträge aus dem Autostart entfernt. Aber das Problem ist geblieben.

Ich habe dann nach Eurer Anleitung rsit und Malware Bytes durchlaufen lassen. Hier deren Logs:
File-Upload.net - info.txt
File-Upload.net - log.txt
File-Upload.net - mbam-log-2011-10-11--00-38-24-.txt

Wäre super wenn sich die jemand angucken könnte

Edit: Habe parallel den ESET Online Scanner am Laufen und der hat auch schon 3 Funde.

[AHT]

Sieht extrem Scheiße aus!
Machst du Online Banking?

[fingon]

Nein, kein Online Banking.

[AHT]

Bitte noch LOG von ESET posten.
Am besten wäre es, den Rechner komplett neu aufzusetzen (formatieren). 0Access tauscht in manchen Versionen unter anderem Systemtreiber aus oder modifiziert die. Die Änderungen sind bei den neueren Versionen des Trojaners kaum noch aufzuspüren.
Wenn du möchtest, versuchen wir, den Rechner zu fixen - kann dir aber nicht hundertprozentig garantieren, dass ich alles finde.

Poste noch das LOG von Eset.
Mache danach das:

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

REM->Ordner für die Dateien erstellen!
CREATE_FOLDER->C:\PPFS_Tools
CREATE_FOLDER->C:\PPFS_Scan2
 
REM->MBRCheck.exe herunterladen!
DOWNLOAD->http://ad13.geekstogo.com/MBRCheck.exe>C:\PPFS_Tools\giggle3.exe
SLEEP->60000
REM->MBRCheck.exe herunterladen!
DOWNLOAD->http://ad13.geekstogo.com/MBRCheck.exe>C:\PPFS_Tools\giggle3.exe
REM->MBRCheck starten!
RUN->"C:\PPFS_Tools\giggle3.exe" -c -z -q
COPY_SCANFILES->C:\PPFS_Scan2
END->

• Der Scanner wird versuchen, sich ein Programm aus dem Internet herunterzuladen. Meckert deine Firewall, erlaube dem Scanner den Zugriff auf das Internet.
• Ist der Scan beendet, erscheint auf dem Desktop eine Datei mit dem Namen MBRCHECK_...
• Die Datei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und Downloadlink hier posten.

Entscheide dich danach, ob du neu aufsetzen möchtest, oder ob wir versuchen sollen, den Rechner zu bereinigen.

[fingon]

Hier die beiden von Dir geforderten Reports:

File-Upload.net - eset.txt
File-Upload.net - MBRCheck_10.11.11_15.17.41.txt

Neu Aufsetzen kommt leider nicht in Frage. Treiber CDs sind nicht vorhanden. Außerdem läuft ein Programm, was nicht ersetzbar ist und dass nicht erneut installiert werden könnte.

Danke schonmal im voraus

[AHT]

OK, versuchen wir so:

• Combofix herunterladen, auf dem Rechner abspeichern und ausführen.
• Den GUARD deines Virenscanners vorher stoppen.
• Warten, bis Combofix fertig ist - solange nichts am Rechner machen.
  LOG von Combofix (wird zum Schluss angezeigt) abspeichern, wieder hochladen und Link posten.

[fingon]

Ok, habe ComboFix nun machen lassen. Der sagte irgendwas von Rootkit und dass der TCP/IP Stack befallen wäre. Nachdem es fertig war hat ComboFix das System neu gestartet, und zwar nicht in den abgesicherten Modus, sondern in den normalen. Habe nun seid ca. 5 Minuten keinen Neustart gehabt Allerdings ist das System ziehmlich langsam. Und nach dem Neustart war von ComboFix nix mehr zu sehen und eine Logdatei unter c:\ gibt es auch nicht.

Soll ich ComboFix nochmal ausführen?

[AHT]

Nein, Combofix aus lassen. Schau nach, ob du einen Ordner C:\Qoobox auf dem Rechner hast. Da müssten Textdateien drin sein. Welche Textdateien findest du da?

[fingon]

Ja, der Ordner existiert. Da sind fünf Ordner drin: BackEnv, LastRun, Quarantine, Test, TestC. Textdateien habe ich keine gefunden.

[AHT]

Combofix noch einmal ausführen.

[fingon]

Habe ComboFix nochmal ausgeführt. Diesmal hat er den Rechner nicht neu gestartet. Hier die Log-Datei:
File-Upload.net - ComboFix.txt

Der Rechner ist immer noch sehr langsam, startet aber nicht mehr von selbst neu

[AHT]

Sieht schon gut aus!

Jetzt:

• Download : TDSSKiller.zip
  Lade die TDSSKiller.zip herunter und entpacken es in einen einzelnen Ordner auf dem Desktop.
• Starte die Datei TDSSKiller.exe
• (User von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
• Warte bis zum Ende der Untersuchung und der Desinfektion.
• Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

[AHT]

Danach folgendes:

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• Danach die PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
• Auf Nachfrage Dateien überschreiben lassen.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

[fingon]

So bin mit den beiden durch. Der TDSSKiller hat nichts gefunden, hat aber auch keinen Report erstellt. PPFScan aber schon. Hier der Report:
File-Upload.net - PPF_Scan1.rar

Kann der Rechner eigentlich schon offline ohne Gefahr genutzt werden? Wie siehts aus mit Internet? Ich glaube Sandboxie macht hier auf jedem Fall Sinn?

Danke nochmal

[AHT]

Warte noch etwas, muss mir die LOGs noch durchsehen. Zur Zeit keine Einkäufe und kein Internet Banking über den Rechner tätigen.
Kennst du diese Datei:
C:\Users\Babylon\AppData\Local\oeoiy.bat