Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 15.06.2012, 20:10   #1
Gandalf333
 
AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen - Standard

AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen



Hallo zusammen,

ich fürchte jetzt hat es mich nach jahrelanger Internetzeit auch mal erwischt. Sicher bin ich mir da aber noch nicht.

Zur Sache:
Heute hat AVG bei mir Alarm geschlagen. Es zeigt 7 Rootkits im Ordner C:\Windows\System32\drivers an.

Wenn ich die Rootkits mit AVG entfernen wollte, musste ich den PC neustarten. Ich habe nach dem Neustart wieder gescant und zack: wieder 7 Rootkist im selben Ordner, diesmal allerdings mit anderem Namen. Das hab ich dann nochmal probiert mit demgleichen Ergebnis: Nach "Entfernen" per AVG und Neustart wieder 7 Rootkits mit wieder neuem Namen.

Ich hab jetzt OTL und Defogger laut Anleitung durchlaufen lassen. Ich hab jetzt nochmal AVG durchlaufen lassen und jetzt findet er keine Rootkits mehr
Ich trau dem Braten aber noch nicht so recht.

Ich habe nicht die geringste Ahnung, woher die Teile kommen könnten. Das letzte, was ich installiert habe, war vor ein paar Tagen ein Windows Update, sowie das Spiel ARMA2 Free. Das Spiel hatte ich vor vorgestern aber schon wieder deinstalliert.

Ausserdem war ich heute in der Uni an einem PC und habe mit MS Office 2010 an meiner Bachelorarbeit geschrieben, die Dateien auf einen USB-Stick gezogen und heute auf meinen PC gezogen. Das war noch vor dem Alarm.
Bei den Dateien handelt es sich ausnahmslos um Word-Dateien, die allesamt von mir selbst erstellt wurden und ca. 28 PDF-Dokumente aus, wie ich denke, sehr vertrauenswürdigen Quellen.

Ich bin für jede Hilfe dankbar!

edit: Malwarebytes Anti-Malware Log:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.15.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Nils :: OBEN [Administrator]

15.06.2012 21:23:20
mbam-log-2012-06-15 (21-23-20).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 228992
Laufzeit: 2 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Viele Grüße,
Gandalf333

Geändert von Gandalf333 (15.06.2012 um 20:28 Uhr) Grund: Malwaebytes Anti-Malware Log hinzugefügt

Alt 18.06.2012, 13:20   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen - Standard

AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen



Zitat:
Zur Sache:
Heute hat AVG bei mir Alarm geschlagen. Es zeigt 7 Rootkits im Ordner C:\Windows\System32\drivers an.
Schön und wo sind die Virenscanner-Logs dazu?

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 18.06.2012, 20:20   #3
Gandalf333
 
AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen - Standard

AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen



Vielen Dank schonmal, dass du mir antwortest! :-)

Die Logs sind scheinbar weg.
Ich benutze AVG Free. Keine Ahnung, ob es daran liegt, aber da wo eigentlich die Logs stehen sollten steht immer nur der Log vom letzten Scan. Seit ich Defogger aktiviert habe, wird von AVG keine Bedrohung mehr angezeigt. Zu dem Zeitpunkt wusste ich noch nicht, dass immer nur der aktuellste Log angezeigt wird. Dementsprechend habe ich den Log auch nicht extra gespeichert.

Lange Rede, kurzer Sinn: Logs sind, aus welchen Gründen auch immer, nicht da oder ich bin wirklich dumm und hab sie nicht gefunden. Aber davon geh ich nicht aus. Ich hab eigentlich alles abgesucht.

Ich frage mich jetzt:
1. Kann das Nichtvorhandensein der Logs auf die Rootkits zurückzuführen sein?
2. Kann es sein, dass durch Aktivieren von Defogger die Rootkits weg sind? Defogger ist immer noch aktiviert. D.h. ich habe nicht den "Re-enable"-Button gedrückt.
__________________

Alt 18.06.2012, 21:36   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen - Standard

AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen



Zitat:
1. Kann das Nichtvorhandensein der Logs auf die Rootkits zurückzuführen sein?
Ohne Logs überhaupt keine Aussage möglich
Hat außer AVG noch ein anderes Tool etwas gefunden?


Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.06.2012, 10:17   #5
Gandalf333
 
AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen - Standard

AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen



Weder Malwarebytes, noch ESET haben irgendwas gefunden. Ich bin grade nicht an meinem PC. Logs folgen noch.

Ein netter User hat mir folgende PN geschrieben:

Zitat:
Kann leider nicht in deinem Post Antworten.

Heißen die befallenen Dateien imm sp**.sys (wobei ** für 2 sich ändernde Buchstaben steht).
Hast DU evtl. eine ältere Version von Daemon Tools installiert? Hatte das gleiche Problem. Hab es mit defogger deaktiviert, Rootkits weg. Reaktiviert wieder da.

Installier die neueste Daemon Tool und es sollte weg sein.

Siehe auch hier: hxxp://de.comp.security.virus.narkiv...ity-essentials
Ich habe eine alte Version von Daemon Tools intalliert. Soll ich bei Defogger mal reenable klicken und schauen ob die Rootkitwarnung dann wieder auftaucht?


Alt 21.06.2012, 13:22   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen - Standard

AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen



Ja DaemonTools ist hier gut möglich.
Sofern die Annahme stimmt, dass der Virenscanner sp??.sys bemängelt

(?? => zwei Platzhalter für genau zwei beliebige Zeichen )
__________________
--> AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen

Alt 22.06.2012, 09:05   #7
Gandalf333
 
AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen - Standard

AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen



Soll ich bei Defogger mal auf "Re-enable" klicken und dann schauen, ob AVG die Rootkits wieder findet?

Alt 22.06.2012, 10:55   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen - Standard

AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen



Ja, da es sich um einen Fehlalarm handelt bzw. "hysterische" Warnung, kannst du ruhig den Fall als erledigt betrachten und mittels defogger re-enablen
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.06.2012, 10:00   #9
Gandalf333
 
AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen - Standard

AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen



Also nachdem ich bei Defogger "Re-enable" geklickt habe, und AVG nochmal durchlaufen lassen habe, findet er komischerweise nichts mehr.

Kann ich davon ausgehen, dass mein System sauber ist?

Und vielen, vielen Dank für eure Hilfe! Find ich echt super, dass ihr das hier kostenlos anbietet!

Antwort

Themen zu AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen
ahnung, alarm, anleitung, arma2, avg, c:\windows, dateien, dateisystem, entfernen, ergebnis, erstellt, hallo zusammen, heuristiks/extra, heuristiks/shuriken, installiert, kis, ms office 2010, neuem, office, ordner, rootkits, sache, spiel, system, system32, update, windows, windows update, zusammen



Ähnliche Themen: AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen


  1. Datei in System32/Drivers kann nicht gelöscht werden
    Plagegeister aller Art und deren Bekämpfung - 24.04.2015 (7)
  2. acedrv01-03 sys in C:\windows\system32\drivers\acedrv01.sys, Entfernung nicht möglich, CD Laufwerk funktioniert nicht.
    Plagegeister aller Art und deren Bekämpfung - 08.09.2014 (8)
  3. Windows 8 - SpyBot findet Maleware C kann diese aber nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 18.12.2013 (9)
  4. AVG findet 32 Rootkits,kann sie aber nicht eliminieren ,Malwarebytes findet nichts
    Plagegeister aller Art und deren Bekämpfung - 16.10.2013 (5)
  5. C:\Windows\System32\Drivers\spxi.sys
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (2)
  6. C:\Windows\System32\drivers\Wdf01000.sys - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 19.12.2011 (3)
  7. Rootkit C:\windows\system32\drivers\volmgr.sys
    Plagegeister aller Art und deren Bekämpfung - 01.02.2011 (8)
  8. Datei in System32/Drivers kann nicht gelöscht werden
    Plagegeister aller Art und deren Bekämpfung - 22.09.2010 (5)
  9. Rootkit in C:\Windows\system32\drivers\afkw4fu9.sys ?
    Log-Analyse und Auswertung - 08.08.2010 (4)
  10. Kann Virus nicht entfernen - WINDOWS\system32\rcpnsta.dll
    Plagegeister aller Art und deren Bekämpfung - 23.07.2010 (5)
  11. Datei aus windows/system32/drivers entfernen
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (21)
  12. Antivir findet Trojaner: "TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\vevemzh.sys
    Plagegeister aller Art und deren Bekämpfung - 19.06.2010 (7)
  13. TR/Rootkit.Gen in C:\WINDOWS\system32\drivers\herbh.sys
    Plagegeister aller Art und deren Bekämpfung - 01.06.2010 (16)
  14. Datei C:\Windows\System32\drivers\mhpccj.sys
    Plagegeister aller Art und deren Bekämpfung - 28.05.2010 (19)
  15. Rootkit.Agent bringe ich nicht los C:\Windows\system32\Drivers\rlmij.sys
    Plagegeister aller Art und deren Bekämpfung - 24.05.2010 (12)
  16. AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys
    Plagegeister aller Art und deren Bekämpfung - 05.11.2009 (10)
  17. Hosts Datei in windows/system32/drivers
    Plagegeister aller Art und deren Bekämpfung - 19.09.2006 (3)

Zum Thema AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen - Hallo zusammen, ich fürchte jetzt hat es mich nach jahrelanger Internetzeit auch mal erwischt. Sicher bin ich mir da aber noch nicht. Zur Sache: Heute hat AVG bei mir Alarm - AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen...
Archiv
Du betrachtest: AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.