Rootkit-Verdacht – Schatten-Windows im abgesicherten Modus kopiert, verdächtige .lnk-Dateien (Hash-Check negativ bei VT)

Hallo zusammen,

ich habe ein massives Problem mit einem mutmaßlich tief sitzenden Rootkit.
Damit ihr die Lage nachvollziehen könnt, hier mein Vorgehen:

Ich habe mein System im abgesicherten Modus gestartet.

Dort habe ich den kompletten Windows-Ordner in einen separaten Ordner „Neuer Ordner“ kopiert, um eine Momentaufnahme (Forensik-Dump) zu sichern.

Anschließend habe ich mit PowerShell alle Dateien gehasht und speziell .exe, .dll, .sys und .lnk herausgefiltert.

🔎 Ergebnis:

Es tauchen zwei verdächtige .lnk-Dateien auf, die ich so nicht kenne und die in dieser Form dort nicht hingehören.
Die Hashes habe ich geprüft – VirusTotal liefert keine Treffer (weder sauber noch Malware):

Adobe Creative Cloud.lnk
SHA256: 233939F1C9B8CA2A77651BBCFAB1264C8626C5FA7D45740FB8F7D0F3408BC0A6

GeForce Experience.lnk
SHA256: 215F75EA88C85B00DB71F6B98DB1EA8BE76779A57A6DA573277ED189E9C76E7F

📂 Zusatzmaterial (eigene Analyse):

Ich habe zwei Hashlisten erstellt:

neuer_ordner_hashes.txt → komplette Liste aller Dateien im Dump mit SHA256

neuer_ordner_critical.txt → gefiltert nur kritische Dateien (.exe, .dll, .sys, .lnk)

👉 Ich hänge beide Listen hier als .txt-Dateien an (oder lade sie alternativ auf Pastebin hoch, falls das Forum Anhänge blockiert).

⚠️ Auffälligkeiten insgesamt:

Es wirkt, als sei ein „Schatten-Windows“ angelegt worden (eigene Kopie von Systemdateien).

Diverse Dateien wirken manipuliert oder untypisch (z. B. Batch-/Linux-Artefakte).

Rootkit-Verdacht: sehr hartnäckig, persistiert auch nach Löschversuchen.

❓ Meine Bitte an euch:

Könnt ihr diese Hashes einordnen?

Kennt jemand eine Rootkit-/Malware-Familie, die genau über .lnk-Trigger arbeitet?

Was ist der sicherste nächste Schritt: Neuaufsetzen sofort oder lohnt es sich, weitere Forensik-Logs (FRST, GMER, etc.) nachzureichen?

Ich möchte das Rootkit nicht nur loswerden, sondern auch verstehen, was genau auf meinem System aktiv war.
Daher habe ich den Dump so gesichert, damit ihr eine Basis für Analyse habt.

Vielen Dank schon mal – ich bin für jeden Hinweis offen.

Anbei die logs bzw. dateien
https://pastebin.com/daB7v8BH

https://pastebin.com/jAXQwivR

Zitat:

Zitat von lageno

ich habe ein massives Problem mit einem mutmaßlich tief sitzenden Rootkit.

Und das hast du wie bitte bemerkt?
Bisher hast du nur geschrieben, dass da irgendein rootkit sei. Also erstmal nichts weiter als eine aus der Luft gegriffene Behauptung ohne Anhaltspunkte.

Zitat:

Zitat von lageno

Damit ihr die Lage nachvollziehen könnt, hier mein Vorgehen:

Nachvollziehen kann man so garnix. Was soll der Unsinn mit LNK? Das sind nichts weiter als Verknüpfungen.
Warum bitte soll Adobe Creative Cloud und was von nvidia verdächtig sein?
Sry aber dein Post klingt nach planloser, irrationaler Angst komplett ohne Anhaltspunkte.

Guten Abend und danke für deinen Beitrag, welcher zeigt wie weit wir in deutschen Foren gekommen sind und jeder halbstarke unwissende hier die Autorität auskotzen muss weil er in seinem Leben versagt hat und auch sonst niemanden intressiert :

der huso sagt :Und das hast du wie bitte bemerkt?
Bisher hast du nur geschrieben, dass da irgendein rootkit sei. Also erstmal nichts weiter als eine aus der Luft gegriffene Behauptung ohne Anhaltspunkte.

Weißt du, dein Beitrag ist ein Paradebeispiel dafür, wie jemand mit Null technischem Tiefgang versucht, durch billiges Abwatschen Kompetenz zu simulieren. Peinlich.

Du schreibst allen Ernstes, meine Hinweise seien „irrationale Angst“ und „Unsinn mit LNK“. Gratulation, damit hast du dich selbst als jemand entlarvt, der offensichtlich nie über die Basics hinausgekommen ist. Jeder, der mehr als Klicki-Bunti-Virenscanner versteht, weiß:

.lnk sind nicht „nur Verknüpfungen“. Sie sind eine der ältesten und effektivsten Methoden für Malware-Persistenz. Stichwort Stuxnet, Emotet, QakBot. Falls dir diese Namen nichts sagen: Google ist kostenlos.

Dateinamen wie „Adobe Creative Cloud“ oder „GeForce Experience“ sind Tarnung – aber das zu kapieren setzt voraus, dass man schon einmal ernsthaft mit Malware gearbeitet hat.

Persistente Dateien trotz Löschung und ein zweites Windows-Abbild sind Beweise, keine „aus der Luft gegriffenen Behauptungen“.

Und jetzt kommt’s: Du hast keinen einzigen meiner Hashes analysiert, keine Logs gelesen, nichts überprüft. Du ballerst einfach „planlos“ und „irrational“ raus, weil dir schlicht die Kompetenz fehlt, mehr zu sagen. Das ist nicht nur unprofessionell – das ist erbärmlich.

Du bist das klassische Beispiel für die Sorte Forenclown, die alles, was über ihr Niveau hinausgeht, sofort als „Unsinn“ abtut, um nicht zugeben zu müssen, dass sie überfordert ist. Mit solchen Antworten disqualifizierst du dich selbst – und zwar nachhaltig.

Also, bevor du das nächste Mal versuchst, jemanden öffentlich lächerlich zu machen:
Lern erstmal den Unterschied zwischen einer Verknüpfung und einem .lnk-Loader. Mach dich mit Rootkit-Techniken vertraut. Und vor allem: Lies die Beweise, bevor du dein Maul aufreißt.

Bis dahin bleibst du hier nur eins: der Typ, der von Rootkits keine Ahnung hat, aber glaubt, schlauer Sprücheklopfer zu sein. Spoiler: bist du nicht.



Der Huso sagt:
Nachvollziehen kann man so garnix. Was soll der Unsinn mit LNK? Das sind nichts weiter als Verknüpfungen.
Warum bitte soll Adobe Creative Cloud und was von nvidia verdächtig sein?
Sry aber dein Post klingt nach planloser, irrationaler Angst komplett ohne Anhaltspunkte.[/QUOTE]

Is mir klar das du das nicht kannst, lass dich bitte sterilisieren sowas wie du darf sich bitte nicht vermehren!

Zitat:

Zitat von cosinus

Und das hast du wie bitte bemerkt?
Bisher hast du nur geschrieben, dass da irgendein rootkit sei. Also erstmal nichts weiter als eine aus der Luft gegriffene Behauptung ohne Anhaltspunkte.


Sowas von überholt geh sterben und lass die jungen Leute ran

Nachvollziehen kann man so garnix. Was soll der Unsinn mit LNK? Das sind nichts weiter als Verknüpfungen.
Warum bitte soll Adobe Creative Cloud und was von nvidia verdächtig sein?
Sry aber dein Post klingt nach planloser, irrationaler Angst komplett ohne Anhaltspunkte.

Lass Hirn regnen und sowas bekommt Rente, seit 16 jahren dabei? echt jetzt und wer hört sich deinen Müll noch an, angst hat deine mutter als sie dich das erste mal sah

Hast du nichts Besseres zu tun? Dämlicher Troll.