Unbekanntes Rootkit
 

Hallo zusammen,

Da Ich schon öfters hilfe in diesem Forum gefunden habe, erstmal ein grosses Lob an alle :daumenhoc.

Aber nun bin ich leider über ein problem gestolpert, dass ich nicht mit der forum-suche und google lösen kann. Nach einem regulären Check mit AdAware / SpyBot / HijackThis / Avast hab ich auch einen RootKit-Scan mit AVG Anti-RootKit Ver 1.1.0.42 gemacht, und hab unerwartet was gefunden (da die anderen progs nichts angezeigt haben). Habe sofort die datei löschen lassen, und neustart gemacht. Das ergebnis hatt mich verwundert, da ich die selbe datei erwartet habe, was aber nicht ganz der fall ist: Selbes verzeichnichs (C:\Windows\System32\Drivers), aber andere datei. Einzige gemeinsamkeit mit der gelöschten war dass die Datei-Endung Grossgeschrieben war: ".SYS".
Ich habe daraufhin sofort mit anderen RootKit scannern gesucht, aber nur gmer und IceSword haben diese datei gefunden, folgende nicht:
- Sophos Anti-Rootkit
- Rootkit Hook Analyser (dieser hatt mich aber auf eine "spuu.sys" aufmerksam gemacht, über die ich in google nichts finden kann, die aber sonst von keinem anderen Anti-Rootkit tool angezeigt wird)
- Sysinternals Rootkit Revealer
- Avira Antivir PE

Nach einem Neustart ist mir nach erneuten scan mit AVG aufgefallen dass die datei sich nach jedem Neustart "umbenennt". Sie scheint jedesmal mit "a" anzufangen, dann kleine buchstaben und zahlen, und hat eine Grossgeschriebene Dateiendung ".SYS".

Habe danach Malwarebytes' Anti-Malware und eScan AntiVirus laufen lassen wobei letzteres sehr viel gefunden hatt, wobei ich aber viles als komisch empfinde:
zB.: Eine .lnk datei im startmenü ist ein potenzieller Virus ??
Ein verwaister RegSchlüssel ist ein Trojaner ??
Sonst wurden keine weiteren hinweise gefunden dass ich mir was eingefangen habe.
HijackThis, Gmer und eScan logs sind anhängend, wobei letzeres stark editiert, und aufgrund von forum beschränkungen ind 2 teile geteilt ist und nur die wesentlichen funde beinhaltet. Falls das Original 7MB log-file gebraucht wird, bitte bescheid geben.

Der aktuelle name des Schädlings ist "aa4x6c4q.SYS", würde sich aber wahrscheinlich nach einem Neustart wieder ändern.

Da nur 4 dateianhänge erleubt sind, ist hier der auszug aus dem mbam log, der einen fund anzeigt:

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{85589b5d-d53d-4237-a677-46b82ea275f3} (Unknown.Malware) -> No action taken.



Hoffe irgendjemand hatt eine Idee was das für ein Schädling ist.

EDIT: Habe vergessen zu sagen dass ich alle von eScan beanstandete datein mit VirusTotal geprüft habe, aber bei keiner wurde etwas gefunden, habe aber trotzdem zur sicherheit iun6002.exe und moveex.exe, gelöscht(die anderen dateien brauche ich noch, waren aber laut VirusTotal eh keine Schädlinge).

Einfach Escan in die Tonne treten und die Deamontools deinstallieren, dann sollte dein beschriebenes Phaenomen verschwunden sein.

Ok habe Deamontools deinstalliert, neugestartet, und AVG nochmals scannen lassen, mit dem ergebnis:
C:\windows\System32\Drivers\a6bf9rnc.SYS

Problem ist also noch da.
(Hätte mich auch gewundert wenn die Deamontools schuld wären, da ich diese version schon seit jahren nutze, und die letzten scanns mit AVG waren immer clean)