Malwarebytes und Antivir laufen nicht durch
 

Hallo zusammen!
Habe seit heute den Rechner meiner Mutter hier, ihre Diagnose lautete nur "der fährt nicht mehr hoch". Das tut er mittlerweile, ich habe dann mal Antivir laufen lassen, das hatte 70 Funde, ist aber bei 86 Prozent stehen geblieben. Malwarebytes stürzt auch irgendwann ab, daher kann ich keinen Report posten. CCleaner lief schon durch... Das Hijack-Logfile sieht so aus. Könnt ihr mir helfen?

Edit: Ich habe vorhin auch versucht, RSIT runterzuladen, aber das geht auf dem Rechner meiner Mutter auch nicht. Der zeigt die Seite nicht an. Ebenso alle Seiten, die Google als Download-Quelle ausspuckt. Bei Avira ist es genauso... Weiß nicht weiter...
HiJackthis Logfile:
--- --- ---

Kannst Du die Funde bitte posten?

Wie mache ich das? Antivir hängt sich an einer bestimmten Stelle ja auf, komm ich währenddessen irgendwie an einen Report oder so?
So sieht Filewalker nach dem Absturz aus, ich weiß aber nicht, wie ich an den Report komme. Im Quarantäne-Verzeichnis ist nur eine Datei drin. Ich kriege Antivir aber auch nicht geupdatet, weil das weder automatisch geht, noch komm ich auf die HP...

Hier das Bild, leider etwas größer, aber meine Mum hat nix an Bildbearbeitung hier drauf außer Paint...
Anhang 7674

Probier mal OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Also runtergeladen habe ich es jetzt. Der Downloadlink ließ sich zwar wieder nicht öffnen, aber ich habe OTL über Umwege bekommen.
Aber auch OTL hängt sich auf, beim Scannen der Driver, genau bei "sbsbfvoo". Das ist mir bei Antivir auch schon aufgefallen. Das hängt sich auch bei den Drivers auf. Im Windows-Ordner System32... Sollte ich vielleicht mal nur den Ordner überprüfen?

Setz mal bei den Optionen den Schalter bei Treiber auf Aus und probiers nochmal.

Das gleiche Problem: Er sucht nach "newly created files", findet unter System32 wieder sbsbfvoo.sys und stürzt ab. Google findet gar nichts unter dem Treibernamen... Hast du einen Plan C?

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

So, bei mir war´s genau andersrum. GMER funktionierte, OSAM stürzte ab bei "Reading objects list" bei 80/97. Hier mal, was GMER als Log erstellt hat:

GMER Logfile:
--- --- ---

Und was Bootkit ermittelt hat:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 2 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
153 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
Done;
Press any key to quit...


Danke!

Ich bin leider ab heute nacht im Urlaub und hab auch den Rechner nicht mehr. Vielleicht geb ich meinem Bruder meinen Zugang und er kann versuchen, das Problem zu lösen. Ansonsten würde ich nach meinem Urlaub nochmal hier nachfragen. Bis dahin wäre ich natürlich für weitere Lösungsvorschläge dankbar! Bis hierhin schon mal danke! Joe

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

2.) Falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!
Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen: