Rootkit? Malwarebytes + Chameleon startet nicht, Installation fehlerhaft - Systemwiederherstellung funktioniert nur bedingt

MickeyD

Servus zusammen,

vor 2 Tagen gab Avira wohl mal eine Meldung raus dass eine Adware/Schadsoftware gefunden wurde.
Das passierte meiner Schwester, die gibt auf solche Meldungen leider nie großartig was und meint eben, wenn sie Avira das in die Quarantäne verschieben lässt passt schon wieder alles. Verführerisch dieses Avira, lässt einfache Anwender glauben, es tauge wirklich etwas

Heute habe ich zufällig mal die Logfiles von Avira durchgeschaut weil eine Meldung kam die ich leider nur halbtransparent und als halbfertiges Popup lesen konnte. Eine Website die Suchanfragen auf potenzielle Schadseiten umleitet - oder so ähnlich im Text - würde in letzter Zeit öfters bemerkt. Ich kriege den Text leider im Wortlaut nicht mehr genau hin, aber so oder so ähnlich lautete die Meldung. Wie gesagt, das Popup buggte und blieb halbtransparent und als ich draufklickte verschwand es ganz. So weit so gut. Das Popup und die fehlerhafte Installation von Mbam lassen mich größtenteils glauben dass da was nicht stimmt.

Also habe ich Mbam laufen lassen wollen. Mbam startet nicht. Auch nicht im abgesicherten Modus.
Deinstall - Reinstall. Jetzt kommen bei der Installation von Mbam Runtime Errors, 5 - 6. "External Exception" und der Code. Leider kann ich nicht sagen was das heißt.

Jedenfalls installiert sich Mbam "scheinbar" funktionsfähig. Nachdem ich Mbam Chameleon laufen lasse zeigt sich aber dass die Runtime Errors wohl ihre Wirkung hatten. "Failed to Update" "Failed to Scan". Mbam ist also praktisch funktionsuntüchtig.

Achso, die Systemwiederherstellung auf einer Zeitpunkt vor dem 15.07. also dem Tag der potenziellen Infizierung funktioniert auch nicht. Zufall, ein kaputtes System oder ein Rootkit?

Das entscheidet Ihr weisen Herren vom IT-Olymp nach Betrachtung folgender Logfiles:


GMER Logfile:
GMER Logfile:
--- --- ---

Avira "Logfile":


16.07.2014 11:18 [Echtzeit-Scanner] Autorun blockiert
Der Administrator hat per Sicherheitsrichtlinie den Zugriff auf die Datei
'\Device\HarddiskVolume1\Autorun.inf' blockiert.

15.07.2014 21:22 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\User\Downloads\xyxyxyxy_-_.xyxyxy.exe'
enthielt einen Virus oder unerwünschtes Programm 'Adware/InstallRex.A.5'
[adware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5254ecf3.qua'
verschoben!

15.07.2014 21:22 [Echtzeit-Scanner] Malware gefunden
In der Datei 'C:\Users\User\Downloads\xyxyxyxy_-_.xyxyxy.exe'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/InstallRex.A.5' [adware]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

15.07.2014 21:22 [Echtzeit-Scanner] Malware gefunden
In der Datei 'C:\Users\User\Downloads\xyxyxyxy_-_.xyxyxy.exe'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/InstallRex.A.5' [adware]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

15.07.2014 21:21 [Echtzeit-Scanner] Malware gefunden
In der Datei 'C:\Users\User\Downloads\xyxyxyxy_-_.xyxyxy.exe'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/InstallRex.A.5' [adware]
gefunden.
Ausgeführte Aktion: Zugriff verweigern


Das Ereignis vom 16.07.2014 sagt mir jetzt nichts konkretes. Weiß nicht ob das anwenderseitig (also von mir) oder von einer externen Schadsoftware geschalten wurde. Ich kenne nicht Bedeutung und Stellenwert.


Zu guter letzt. Per Defogger wurde disabled.

Falls irgendwas nicht passt, bitte lasst es mich wissen. Ich hoffe alles stimmt so.

Grüße Euer Durchlauchtigkeiten.
Mike