Rootkit.Agent.WU - Eingefangen oder nicht?

ErgoSwiss

Hallo,

führe nie Sachen aus unbekannten Quellen aus - mit einem untergeschobenem getarntem Video ist es mir dann leider doch passiert.

Avast Internet Security meldet eine verdächtige Datei, stellt aber nichts fest und dann geht ein Winrar-Verzeichnis auf, das habe ich natürlich beendet. Eine Anfrage auf "spaceschuttle.com.ua" wird blockiert. Nach einem Neustart Fehlermeldung WMIPSRVE.EXE Fehler - Windows sofort beendet.

Habe einen Virentest mit der CD "Desinfec't" ausgeführt (Avira und ESET verwendet), es wurde nichts gefunden. Nach einem Neustart Malwarebytes installiert, nichts gefunden. Der Rechner läuft normal.

Habe dann auf einem Testrechner (frische Windows 7 Installation, mit der Freeware Avast) die Datei gestartet, dort nistet sich eine Datei mit wechselnden Namen im Verzeichnis "c:\ProgramData\Windows Update Service0" ein, die über HKLM\Windows\Run bei jedem Start aufgerufen wird. Zusätzlich wird der geschützte Modus vom Internet Explorer deaktiviert. Malwarebytes findet auf diesem Rechner dann "Rootkit.Agent.WU". Seiten wie z.B. "Botfrei" lassen sich nicht mehr aufrufen.

Zum eigentlichen Rechner zurück:

• Das Verzeichnis gibt es auf dem eigentlichen Rechner (Windows 8.1, aktuell) auch
• Der Registry-Eintrag und die Datei selbst aber fehlen
• Der geschützte Modus vom Internet Explorer wurde für meinen Benutzer deaktiviert, bei meiner Frau ist er weiter aktiv.
• Seiten wie "Botfrei" lassen sich normal aufrufen

Ich habe den geschützten Modus wieder aktiviert, bin mir aber trotzdem irgendwie unsicher, ob ich hier einfach mit einem blauen Auge davongekommen bin - kann ich noch etwas tun, um mit gutem Gefühl am Rechner zu sitzen?