Hallo zusammen,

ich fürchte jetzt hat es mich nach jahrelanger Internetzeit auch mal erwischt. Sicher bin ich mir da aber noch nicht.

Zur Sache:
Heute hat AVG bei mir Alarm geschlagen. Es zeigt 7 Rootkits im Ordner C:\Windows\System32\drivers an.

Wenn ich die Rootkits mit AVG entfernen wollte, musste ich den PC neustarten. Ich habe nach dem Neustart wieder gescant und zack: wieder 7 Rootkist im selben Ordner, diesmal allerdings mit anderem Namen. Das hab ich dann nochmal probiert mit demgleichen Ergebnis: Nach "Entfernen" per AVG und Neustart wieder 7 Rootkits mit wieder neuem Namen.

Ich hab jetzt OTL und Defogger laut Anleitung durchlaufen lassen. Ich hab jetzt nochmal AVG durchlaufen lassen und jetzt findet er keine Rootkits mehr
Ich trau dem Braten aber noch nicht so recht.

Ich habe nicht die geringste Ahnung, woher die Teile kommen könnten. Das letzte, was ich installiert habe, war vor ein paar Tagen ein Windows Update, sowie das Spiel ARMA2 Free. Das Spiel hatte ich vor vorgestern aber schon wieder deinstalliert.

Ausserdem war ich heute in der Uni an einem PC und habe mit MS Office 2010 an meiner Bachelorarbeit geschrieben, die Dateien auf einen USB-Stick gezogen und heute auf meinen PC gezogen. Das war noch vor dem Alarm.
Bei den Dateien handelt es sich ausnahmslos um Word-Dateien, die allesamt von mir selbst erstellt wurden und ca. 28 PDF-Dokumente aus, wie ich denke, sehr vertrauenswürdigen Quellen.

Ich bin für jede Hilfe dankbar!

edit: Malwarebytes Anti-Malware Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.15.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Nils :: OBEN [Administrator]

15.06.2012 21:23:20
mbam-log-2012-06-15 (21-23-20).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 228992
Laufzeit: 2 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Viele Grüße,
Gandalf333

Zitat:

Zur Sache:
Heute hat AVG bei mir Alarm geschlagen. Es zeigt 7 Rootkits im Ordner C:\Windows\System32\drivers an.

Schön und wo sind die Virenscanner-Logs dazu?

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Vielen Dank schonmal, dass du mir antwortest! :-)

Die Logs sind scheinbar weg.
Ich benutze AVG Free. Keine Ahnung, ob es daran liegt, aber da wo eigentlich die Logs stehen sollten steht immer nur der Log vom letzten Scan. Seit ich Defogger aktiviert habe, wird von AVG keine Bedrohung mehr angezeigt. Zu dem Zeitpunkt wusste ich noch nicht, dass immer nur der aktuellste Log angezeigt wird. Dementsprechend habe ich den Log auch nicht extra gespeichert.

Lange Rede, kurzer Sinn: Logs sind, aus welchen Gründen auch immer, nicht da oder ich bin wirklich dumm und hab sie nicht gefunden. Aber davon geh ich nicht aus. Ich hab eigentlich alles abgesucht.

Ich frage mich jetzt:
1. Kann das Nichtvorhandensein der Logs auf die Rootkits zurückzuführen sein?
2. Kann es sein, dass durch Aktivieren von Defogger die Rootkits weg sind? Defogger ist immer noch aktiviert. D.h. ich habe nicht den "Re-enable"-Button gedrückt.

Zitat:

1. Kann das Nichtvorhandensein der Logs auf die Rootkits zurückzuführen sein?

Ohne Logs überhaupt keine Aussage möglich
Hat außer AVG noch ein anderes Tool etwas gefunden?


Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Weder Malwarebytes, noch ESET haben irgendwas gefunden. Ich bin grade nicht an meinem PC. Logs folgen noch.

Ein netter User hat mir folgende PN geschrieben:

Zitat:

Kann leider nicht in deinem Post Antworten.

Heißen die befallenen Dateien imm sp**.sys (wobei ** für 2 sich ändernde Buchstaben steht).
Hast DU evtl. eine ältere Version von Daemon Tools installiert? Hatte das gleiche Problem. Hab es mit defogger deaktiviert, Rootkits weg. Reaktiviert wieder da.

Installier die neueste Daemon Tool und es sollte weg sein.

Siehe auch hier: hxxp://de.comp.security.virus.narkiv...ity-essentials

Ich habe eine alte Version von Daemon Tools intalliert. Soll ich bei Defogger mal reenable klicken und schauen ob die Rootkitwarnung dann wieder auftaucht?

Ja DaemonTools ist hier gut möglich.
Sofern die Annahme stimmt, dass der Virenscanner sp??.sys bemängelt

(?? => zwei Platzhalter für genau zwei beliebige Zeichen )

Soll ich bei Defogger mal auf "Re-enable" klicken und dann schauen, ob AVG die Rootkits wieder findet?

Ja, da es sich um einen Fehlalarm handelt bzw. "hysterische" Warnung, kannst du ruhig den Fall als erledigt betrachten und mittels defogger re-enablen

Also nachdem ich bei Defogger "Re-enable" geklickt habe, und AVG nochmal durchlaufen lassen habe, findet er komischerweise nichts mehr.

Kann ich davon ausgehen, dass mein System sauber ist?

Und vielen, vielen Dank für eure Hilfe! Find ich echt super, dass ihr das hier kostenlos anbietet!