Rootkit-Verdacht – Schatten-Windows im abgesicherten Modus kopiert, verdächtige .lnk-Dateien (Hash-Check negativ bei VT)

Hallo zusammen,

ich habe ein massives Problem mit einem mutmaßlich tief sitzenden Rootkit.
Damit ihr die Lage nachvollziehen könnt, hier mein Vorgehen:

Ich habe mein System im abgesicherten Modus gestartet.

Dort habe ich den kompletten Windows-Ordner in einen separaten Ordner „Neuer Ordner“ kopiert, um eine Momentaufnahme (Forensik-Dump) zu sichern.

Anschließend habe ich mit PowerShell alle Dateien gehasht und speziell .exe, .dll, .sys und .lnk herausgefiltert.

🔎 Ergebnis:

Es tauchen zwei verdächtige .lnk-Dateien auf, die ich so nicht kenne und die in dieser Form dort nicht hingehören.
Die Hashes habe ich geprüft – VirusTotal liefert keine Treffer (weder sauber noch Malware):

Adobe Creative Cloud.lnk
SHA256: 233939F1C9B8CA2A77651BBCFAB1264C8626C5FA7D45740FB8F7D0F3408BC0A6

GeForce Experience.lnk
SHA256: 215F75EA88C85B00DB71F6B98DB1EA8BE76779A57A6DA573277ED189E9C76E7F

📂 Zusatzmaterial (eigene Analyse):

Ich habe zwei Hashlisten erstellt:

neuer_ordner_hashes.txt → komplette Liste aller Dateien im Dump mit SHA256

neuer_ordner_critical.txt → gefiltert nur kritische Dateien (.exe, .dll, .sys, .lnk)

👉 Ich hänge beide Listen hier als .txt-Dateien an (oder lade sie alternativ auf Pastebin hoch, falls das Forum Anhänge blockiert).

⚠️ Auffälligkeiten insgesamt:

Es wirkt, als sei ein „Schatten-Windows“ angelegt worden (eigene Kopie von Systemdateien).

Diverse Dateien wirken manipuliert oder untypisch (z. B. Batch-/Linux-Artefakte).

Rootkit-Verdacht: sehr hartnäckig, persistiert auch nach Löschversuchen.

❓ Meine Bitte an euch:

Könnt ihr diese Hashes einordnen?

Kennt jemand eine Rootkit-/Malware-Familie, die genau über .lnk-Trigger arbeitet?

Was ist der sicherste nächste Schritt: Neuaufsetzen sofort oder lohnt es sich, weitere Forensik-Logs (FRST, GMER, etc.) nachzureichen?

Ich möchte das Rootkit nicht nur loswerden, sondern auch verstehen, was genau auf meinem System aktiv war.
Daher habe ich den Dump so gesichert, damit ihr eine Basis für Analyse habt.

Vielen Dank schon mal – ich bin für jeden Hinweis offen.

Anbei die logs bzw. dateien
https://pastebin.com/daB7v8BH

https://pastebin.com/jAXQwivR

Zitat:

Zitat von lageno

ich habe ein massives Problem mit einem mutmaßlich tief sitzenden Rootkit.

Und das hast du wie bitte bemerkt?
Bisher hast du nur geschrieben, dass da irgendein rootkit sei. Also erstmal nichts weiter als eine aus der Luft gegriffene Behauptung ohne Anhaltspunkte.

Zitat:

Zitat von lageno

Damit ihr die Lage nachvollziehen könnt, hier mein Vorgehen:

Nachvollziehen kann man so garnix. Was soll der Unsinn mit LNK? Das sind nichts weiter als Verknüpfungen.
Warum bitte soll Adobe Creative Cloud und was von nvidia verdächtig sein?
Sry aber dein Post klingt nach planloser, irrationaler Angst komplett ohne Anhaltspunkte.