Rootkit.Win32.Agent.p

ordell1234

Öhm *hust, räusper* Ich war wohl etwas voreilig und habe komplett vergessen, dass GMER ja was fand: und zwar Treiber von ZA. Dazu passen dann die Ergebnisse des debugging. Sorry dafür und für meinen harschen Ton. (wobei du deine Einstellung in puncto Infektionen dringend überdenken solltest )

Gegenprobe: Deinstalliere ZA (deaktivieren genügt nicht) und starte windbg erneut mit dem Befehl "!chkimg -d nt" erneut -> siehe wie oben


Nun gut, da ist das Thema Fehlalarm schon wieder etwas aktueller. Dies umso mehr, da ich mir mal dein Antispywareprogramm installiert und für schlecht befunden habe: 4 Fehlalarme! (nach einem Neustart waren es schon 6) Das Ding scannt lediglich nach Namen, ohne eine inhaltliche Prüfung vorzunehmen. Die sog. "Funde" sind also mit Vorsicht zu genießen. An deiner Stelle würde ich bei Antivir bleiben und gut ist. Weitere Schutzsoftware ist überflüssig und gehört imho schon deshalb nicht auf den Rechner (ZA eingeschlossen )

wget: Ob die Einträge von Bifrose stammen, lässt sich nur erahnen, vllt legt auch andere Software solche Schlüssel an. Keine Ahnung...

Interessant bleibt der vermeintliche Treiber rdriv.

- Lade mal den ERD-Commander, brenne das Image und boote neu (hier habe ich das schon mal geschrieben)

- gehe auf Administrative tools -> services & drivers -> und suche einen Treiber mit der Beschreibung/Description "rdriv" Die Treiberdatei selbst kann durchaus anders heißen. Sofern du fündig wirst (ich glaub schon nicht mehr daran ) Doppelklick auf den betreffenden Eintrag, lass dir den Pfad zur Datei anzeigen und setze das Ding auf disable.

- Dann navigiere zu der Datei und kopiere sie nach c:\ERDUserprofile\Meine Dateien und benenne sie in rdriv.ren um -> Anschließend prüfe sie bei virustotal.com