AVG meldet Anti-Rootkit infektion unknown NtMapViewOfSection...
 

Hallo,

hatte kürzlich die komische Abo Email von Media Center deren Anhang beim Öffnen der Mail! plötzlich verschwunden ist.
Danach habe ich gescannt mit meinem Norton 360 (hatte nie angeschlagen), mit Malwarebytes (ohne Ergebnis) und jetzt parallel AVG installiert und der findet 4 "infizierte" Systemdateien die er nicht löschen kann:

"";"Dienstfunktion NtMapViewOfSection-Hook -> 0xFFFFFFFF89DCBCC0, <unknown>";"Infiziert"
"";"Dienstfunktion NtCreateThreadEx-Hook -> 0xFFFFFFFF89DCB108, <unknown>";"Infiziert"
"";"Dienstfunktion NtAlpcConnectPortEx-Hook -> 0xFFFFFFFF89C31228, <unknown>";"Infiziert"
"";"Dienstfunktion NtAlpcConnectPort-Hook -> 0xFFFFFFFF89C31378, <unknown>";"Infiziert"

Beim Anschauen der Details bei AVG steht infiziert durch Anti-Rootkit....

Jetzt frage ich mich, hat mich wirklich ein Rootkit erwischt oder ist das ein Fehlalarm durch vielleicht einen der vielen anderen Virenscanner ?
Ich hatte vorher nur Norton 360 installiert und immer aktuell. Nach dieser E-Mail Geschichte hatte ich zunächst Malwarebytes installiert, danach ADWCleaner und nun zuletzt AVG.

Alle! diese Programme sind noch installiert.

Was würdet ihr tun?
Soll ich den Laptop lieber neu aufsetzen?
Mache mir auch etwas um meine Daten auf meinem Netzwerklaufwerk sorgen -das habe ich sofort ausgeschaltet nach dem mir das vor zwei Tagen seltsam vorkam mit dieser Mail.

Davon abgesehen überlege ich bei der Polizei Strafanzeige zu stellen - aber bringt das denn was ?

Ich freu mich über jeden Ratschlag. Danke vorab.

Gruß
free-eagle

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

FRST Logfile:
--- --- ---

Unsere Tools brauchen immer Adminrechte.

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Schick das Log mal bitte an den AVG Support, ich denke es ist ein Fehlalarm.

Hi,

das hab ich getan - mir wurde vom deutschen AVG Support empfohlen die Dateien an AVG zu senden, um diese zu prüfen. Ein Fehlalarm sei möglich. Ist eine englisch sprachige seite.

Das Problem: wo kann ich denn diese Dateien finden?

edit: In einem anderen aktuellen Thread hier Betreff: "Abo Falle per E-Mail oder nicht, hab kein Plan" hat einer wohl diegleiche E-Mail wie ich erhalten und den Anhang geöffnet - es wäre interessant ob und wenn ja welcher Virus/Trojaner gefunden wurde? Das geht aus dem Thread auch nicht hervor....

schon komisch - vielleicht ist der so gut getarnt/neu, dass ihn noch kein Virenprogramm erkennt?

Übrigens habe ich soeben eine weitere dieser E-Mails erhalten, inkl. Anhang. Habe die Mail noch nicht mal angerührt, mich würde aber sehr die Analyse des Anhangs interessieren - gibt es denn eine Möglichkeit diese Datei irgendwo hinzusenden?
Es gibt ja schon einige Seiten die vor dieser Abo Mail warnen - aber keine berichtet, welche Art von Schadsoftware sich hier hinter dieser Rechnung verbigrt.

Gruß
free-eagle

Leite mir die mail mal weiter an schrauber(at)trojaner-board.de

edit: Mist, zu früh gefreut: Mail kam zurück mit Fehlermeldung:
this e-mail is considered spam. Therefore, the server rejects it

Konnte ich dir also leider nicht senden an o.g. E-Mail Adresse.

"ok - soeben versendet. Bin sehr gespannt, was sich dahinter verbirgt.
Danke."

Gruß
free-eagle

Nix bekommen. Kannste die Mail als Anhang weiterleiten?

Hi,

habe versucht die Mail mit web.de zu speichern, aber er speichert lediglich eine HTML Mail und scheinbar nicht den Anhang.....wenn das überhaupt ne Zip ist - sind tausend "hieroglyphen" als Dateiname.

Also irgendwie ist die Zusendung so schwierig - ich könnte höchstens probieren, nur den ZIP Anhang zu speichern und dir zuzusenden. Hoffe ich fange mir dann aber nicht allein durch den Speichervorgang schon was ein ?

Gruß
free-eagle

Solange du das ZIP nicht öffnest passiert da nix.

Hi,

also beim Versuch per Outlook die Datei zu speichern ist sie plötzlich verschwunden. Das neu installierte AVG hatte angeschlagen und wortlos die Mail in den Mülleimer und einen Trojaner in Quarantäne geschoben!

Dort habe ich sie gefunden mit dem Hinweis von AVG, dass der Trojaner Sheur4.BUOP sich in Quarantäne befindet.

Also ist das wohl der betreffende. Kann sich dieser damals nur beim öffnen der Mail (html mail) doch geöffnet haben als AVG noch nicht installiert war ?

Steht der Trojaner vielleicht in Zusammenhang mit dem Befall der Eingangs genannten Dateien?
Weil noch steht ja ein Fehlalarm im bereich des möglich. Eine Zip datei (wenn es denn überhaupt je eine war) habe jedenfalls niemals geöffnet.

Ist bekannt was der Trojaner anstellt? Sicherheitshalber doch Laptop platt machen?

Eigentlich passiert beim reinen Öffnen der Mail erstmal nix. DU musst den Anhang schon laden und explizit öffnen/entpacken/ausführen.

Wenn es denn dieser Trojaner ist, und wenn er denn je auf dem Rechner aktiv war, ausser jetzt in dem Anhang der Mail, sollte man Passwörter und Co ändern. Deine Logs sind aber alle sauber.