| |
| |||||||
Mülltonne: Rootkit Master, Die komplette Windows Manipulation und ich bekomme sie nicht mehr wegWindows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne... |
21.08.2025, 20:02
| #1 |
| |  Rootkit Master, Die komplette Windows Manipulation und ich bekomme sie nicht mehr weg Rootkit-Verdacht – Schatten-Windows im abgesicherten Modus kopiert, verdächtige .lnk-Dateien (Hash-Check negativ bei VT) Hallo zusammen, ich habe ein massives Problem mit einem mutmaßlich tief sitzenden Rootkit. Damit ihr die Lage nachvollziehen könnt, hier mein Vorgehen: Ich habe mein System im abgesicherten Modus gestartet. Dort habe ich den kompletten Windows-Ordner in einen separaten Ordner „Neuer Ordner“ kopiert, um eine Momentaufnahme (Forensik-Dump) zu sichern. Anschließend habe ich mit PowerShell alle Dateien gehasht und speziell .exe, .dll, .sys und .lnk herausgefiltert. 🔎 Ergebnis: Es tauchen zwei verdächtige .lnk-Dateien auf, die ich so nicht kenne und die in dieser Form dort nicht hingehören. Die Hashes habe ich geprüft – VirusTotal liefert keine Treffer (weder sauber noch Malware): Adobe Creative Cloud.lnk SHA256: 233939F1C9B8CA2A77651BBCFAB1264C8626C5FA7D45740FB8F7D0F3408BC0A6 GeForce Experience.lnk SHA256: 215F75EA88C85B00DB71F6B98DB1EA8BE76779A57A6DA573277ED189E9C76E7F 📂 Zusatzmaterial (eigene Analyse): Ich habe zwei Hashlisten erstellt: neuer_ordner_hashes.txt → komplette Liste aller Dateien im Dump mit SHA256 neuer_ordner_critical.txt → gefiltert nur kritische Dateien (.exe, .dll, .sys, .lnk) 👉 Ich hänge beide Listen hier als .txt-Dateien an (oder lade sie alternativ auf Pastebin hoch, falls das Forum Anhänge blockiert). ⚠️ Auffälligkeiten insgesamt: Es wirkt, als sei ein „Schatten-Windows“ angelegt worden (eigene Kopie von Systemdateien). Diverse Dateien wirken manipuliert oder untypisch (z. B. Batch-/Linux-Artefakte). Rootkit-Verdacht: sehr hartnäckig, persistiert auch nach Löschversuchen. ❓ Meine Bitte an euch: Könnt ihr diese Hashes einordnen? Kennt jemand eine Rootkit-/Malware-Familie, die genau über .lnk-Trigger arbeitet? Was ist der sicherste nächste Schritt: Neuaufsetzen sofort oder lohnt es sich, weitere Forensik-Logs (FRST, GMER, etc.) nachzureichen? Ich möchte das Rootkit nicht nur loswerden, sondern auch verstehen, was genau auf meinem System aktiv war. Daher habe ich den Dump so gesichert, damit ihr eine Basis für Analyse habt. Vielen Dank schon mal – ich bin für jeden Hinweis offen. Anbei die logs bzw. dateien https://pastebin.com/daB7v8BH https://pastebin.com/jAXQwivR |
| Themen zu Rootkit Master, Die komplette Windows Manipulation und ich bekomme sie nicht mehr weg |
| .dll, abgesicherten, aktiv, analyse, arbeitet, blockiert, ergebnis, erstellt, forum, gmer, hartnäckig, liefert, loswerden, malware, mas, modus, nicht mehr, offen, problem, rootkit, system, systemdateien, virus, virustotal, windows |
Baum-Darstellung