Hilfe zu mchInjDrv.sys
 

Hallo,

ich bin neu hier und versuche mein bestes, Euch mein "Trojaner-Problem" zu schildern.

Es fing alles damit an, als ich nach einem AVG-AntiRootkit Free 1.1.0.42 Scan folgenden Hinweis bekam:

hidden driver file
mchInjDrv.sys
C:\windows\system32\drivers\mchInjDrv.sys (183)

Diese Datei lässt sich weder durch AntiRootkit löschen, noch am angegebenen Pfad finden.

Etliche Internet-Recherchen ergaben Hinweise auf einen Rootkit oder Trojaner.
Mit Mühe und Not konnte ich den Registry-Eintrag finden:
HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\ENUM\Root\LEGARCY_MCHINJDRV\0000
Auch dieser lässt sich nicht löschen (manuell)

Ich habe Windows Vista Home Premium (ohne SP1). Scans mit GData-Internetsecurity 2008, Spyware Doctor und Spybot ergaben keine Funde. Auch mit den neusten Updates nicht.

Ich habe hijackthis installiert und die logfiles online analysieren lassen. Auch da war nix auffälliges aufgeführt.

Nun habe ich diesen Registry-Eintrag und weiß nicht, ob sich ein Schädling dahinter verbirgt. Ich brauche dringend Informationen, was mchInjDrv.sys verursacht und wie ich es entferne ohne alles zu formatieren.

Eine Formatierung ergab zwar, dass der Registry-Eintrag verschwunden war. Jedoch sobald ich ins Internet gehe, ist der Eintrag wieder da und wird bei AVG-AntiRootkit angezeigt.

Ich hoffe, Ihr könnt mir weiter helfen,
Lg SamtSuse

Wie hast du formatiert?

Wenn du es richtig gemacht hast dann ist dein Rechner danach definitiv sauber!
Eine ordentliche Anleitung zum Schluss.. ;)

Wenn du eh grade formatiert hast dann rate ich dir das nach der NAleitung zu wiederholen und dir danach keinen Kopf mehr zu machen.

Der Treiber wird auch von div. Sicherheitsanwendungen genutzt und muss daher nicht unbedingt schädlich sein!!

Neuaufsetzten

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch.

Neuaufsetzten des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzten nicht ganz genau befolgst ist das Neuaufsetzten sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateieendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Hallo undoreal,

danke für Deine Antwort und die Ratschläge.

Ich habe per Wiederherstellungs-CD für mein Notebook (Samsung R60+) formatiert. Diese CD war im Lieferumfang und enthält das Betriebssystem Windows Vista Home Premium.

Ich habe zwei Partitionen, beide formatiert und danach Windows neu installiert.
Alles von dieser CD aus.

Danach war der Registry-Eintrag um "mchInjDrv.sys" nicht mehr vorhanden. Erst, als ich wieder online gegangen bin für ein GData-Update war der Eintrag sofort wieder da. Für mich wirkt es so, dass ich diesen Eintrag erhalte, sobald der Laptop online geht.

Nun, ich habe leider nicht so viel Ahnung von Treiber und Co. Kannst du mir erklären was "mchInjDrv.sys" eigentlich ist?
Denn im Netz steht nix Gutes dazu.

Und gibt es eine Möglichkeit zu erkennen, ob letztendlich ein Schädling dahinter steckt, um eine weitere Formatierung zu verhindern?
Es kann ja nicht sein, dass wenn ich jedes Mal online gehe, ich mir diesen Eintrag einfange ... oder?

Gruß SamtSuse

Nein, das ist nicht möglich! Jedenfalls nicht wenn du nichts installierst oder verseuchte Seiten besuchst.
Du hast ein aktuelles Betriebssystem, hängst bestimmt hinter einem Router und hast zusätzlich noch G-Data drauf. Damit ist es unmöglich, dass du einfach so infiziert wirst ohne das du etwas installierst!

Der Treiber wird zu G-Data gehören und sich beim ersten Update einschreiben. Das ist ganz normal. Also keine Panik. Dein Rechner ist sauber!

Ich hoffe Du hast Recht.

Aber warum meint AVG AntiRootkit Free dann, dass "mchInjDrv.sys" zu einem Rootkit gehört?

Das meint er ja garnicht.. ;)

Er sagt ja nur, dass die Datei versteckt ist. Das ist ganz normal.
Dieser Dateiname wird von vielen Security Programmen und leider auch von einigen Schädlingen benutzt aber nochmal: Dein Rechner aknn garnicht infiziert sein! Wie sollte ein Schädling auf die Platte gekommen sein? Das ist nach deiner BEschreibung der Umstände unmöglich!

Ok.

Sorry, hab leider nicht die beste Ahnung, wenn es um solche Systemdinge geht. Kam mir nur ziemlich suspekt vor, das Ganze.

Danke für Deine Hilfe,
Gruß SamtSuse

Hallo, bin ebenfalls Neuling und habe bzw. hatte das gleiche Problem.
Betriebssystem Windows Vista Ultimate, AVG Internet-Security Version 8.0.131. Habe im April 08 Spyware Doctor 5.5 E installiert und bis 02.07.08 keine Probleme gehabt. Nach einem Smart-Update zwischen dem 02.07.08-10:00 und 04.07.08-09:00 erhielt ich laufend Warnungen beim Internet Explorer 7. Ein Voll-Scan ergab, dass ein Rootkits als versteckter Treiber - verstecktes Objekt wie folgt gemeldet wurde:
C:\Windows\system32\Drivers\mchInjDrv.sys
ließ sich partout nicht löschen; bin auf den Dreh gekommen, Spyware Doctor zu deinstallieren. Danach Neustart und kompletter Computer-Scan. Ergebnis: Rootkit mchInjDrv.sys ist weg, InternetExplorer zeigt keine Warnmeldungen mehr an; alles paletti. Hat jedenfalls bei mir so geklappt.
Gruß
Ernesto AC

Hi,

danke für den Hinweis. Spyware Doctor ist da schon länger unter Verdacht. Allerdings sieht es generell so aus, dass immer mehr Security Software die gleichen Techniken wie Malware einsetzt. Manchmal muss sie erstmal vollständig vom Rechner entfernt werden um zu sehen, ob noch was übrig ist, was dann echte Malware ist.

Gruß, Karl