Hallo ihr Lieben,

Ich benötige eure Hilfe!

Avast zeigt mir seit gestern die Meldung, dass ein Rootkit gefunden wurde (siehe Anhang Rootkit), mit der Empfehlung diese zu löschen und anschließend eine Neustart-Prüfung durchzuführen.

Das habe ich bereits mehrfach getan. Bei der Neustart-Prüfung findet er keine Probleme.

Wenn ich einen Virensuchdurchlauf über Avast mache, findet er die in oben genannter Meldung angesprochene „Datei“. Bei der Aktion „in den Quarantäne Container“ verschieben tritt dann die Fehlermeldung „Diese Anforderung wird nicht unterstützt (50)“. Ich kann aber auch nach neuen Virussuchen diese Datei nicht löschen oder reparieren. Nichts geht.

Dann tritt alle paar Stunden wieder die Meldung auf, das ein Rootkit gefunden wurde mit oben beschriebenen Empfehlungen.

Ich habe bereits Malwarebytes runtergeladen und inkl. Des Hakens bei der Suche auch nach „Rootkits“ (unterEinstellungen) eine Bedrohungsssuche durchgeführt.

Er findet 196 Elemente, aber keine bedrohlichen laut Report (siehe weiterer Anhänge).

Ich muss dazu sagen, dass ich eine absolute Computerkrücke bin und mich überhaupt nicht auskenne, auch nicht mit den 196 angezeigten Elementen.

Das kann ich jetzt tun? Die Malware/ Rootkit, wenn es eine ist, ist nach wie vor auf meine Laptop vorhanden. Ich schiebe leicht Panik und kenne keine Computerprofi, den ich ansprechen kann.

Der PC stürzt jetzt auch schneller ab, allerdings vielleicht auch, weil ich diverse Programme runtergeladen hab wie Sophos Anti Rootkit und Spyware Terminator.

Könnt ihr mir helfen, was ich tun kann? und sorry für alle Fehler, die ich hier mache :-[

Liebe Grüße, Mel

Lass mal Malwarebytes die 196 Funde bereinigen. Sind die nicht markiert, dann markiere diese damit sie in Quarantäne gelöscht werden können. Mach dann nach Malwarebytes eine Überprüfung mit AdwCleaner starte den, dann Suche, dann Bericht anschauen und dann löschen wählen und danach das System rebooten lassen(bei Malwarebytes auch das System nach Bereinigung rebooten lassen). Unabhängig von dem Rootkit Verdacht auf deinem System hast du dir einiges an PUP ungewollt mitinstalliert das jetzt von Malwarebytes erkannt wurde. Also lass das mit Malwarebytes bereinigen, dann nochmal AdwCleaner wie beschrieben und wegen dem Rootkit überprüf dein System mal mit Kaspersky Tool TDSSKiller: http://www.bleepingcomputer.com/download/tdsskiller/

Hallo Simracer,

danke für deine Hilfestellung! Ich hab alles gemacht und rebootet, aber leider ist der Rootkit-Verdacht immernoch da und wird auch von Avast gemeldet.

Der Kaspersky Tool TDSS Killer hatte hingegen nichts gefunden.

Hast du noch andere Ideen / kann es einfach ein Fehlalarm sein? Und was sind eingentlich diese Pup, die ich mir eingefangen habe?

Wie kann ich mich dauerhaft schützen? Viele Grüße mel

Hallo,

erstelle bitte deine Basis-Logs (MBAM, FRST und aswMBR).
https://forum.avast.com/index.php?topic=102616.msg821671#msg821671
Ich werde dann einen Malware-Experten verständigen.

Willkommen im Forum
TerraX

EDIT: Wenn ich nicht anwesend bin um einen Experten zu verständigen, werden das bestimmt Asyn oder DJBone übernehmen.

Ich vermute mal das es ein FP von Avast ist ;)warte mal ab bis sich andere User wie DJBone, Asyn oder auch TerraX hier melden und die evtl. einen Experten für Malware hinzuziehen der sich deiner und den vermeintlichen Fund annimmt.

Und was sind eingentlich diese Pup, die ich mir eingefangen habe?

Das ist so: heutzutage sind sehr viele Installer von Freeware vollgepackt mit sogenannter unerwünschter Zusatzsoftware die PUP genant werden. Diese PUP's sind meistens Toolbars, irgendwelche nutzlose Programme und Tools die sich in deinem Browser vor allem einnisten und zum Beispiel da den Suchanbieter ändern, eine andere Startseite erstellen und dein Surfverhalten ausspiomieren und die Daten verkaufen und sich aber auch auf Windows negativ auswirken könnn. Schützen kannst du dich eigentlich nur wenn du das gewünschte Programm idealerweise beim Hersteller runterlädst und immer beim Ausführen des Installers hellwach bist und alles an Zusatzsoftware/Tools abwählst so das nur das eigentliche Programm installiert wird.

Gut so TerraX, darauf hatte ich gehofft

Bitte bei VT testen und den Ergebnislink posten.
→ https://www.virustotal.com/de/

Willkommen im Forum,
Asyn

Hallo Terra X, hallo Simracer und hallo Asyan,

Ihr seid so gut und danke für die Willkommensgrüße!

Ich hab jetzt seit Stunden versucht alles hinzubekommen, aber…

Angehangenes Protokoll Malewarebyte ist das, welches ich gestern gespeichert hab, bevor ich die Daten in den Container hab verschieben lassen und so vorgegangen bin, wie es Simracer mir ganz oben beschrieben hatte. Hoffe das ist so ausführlich genug mit dem Protokoll. Das war also die Ausgangssituation.

Mit Avast Rootkit bekomme ich keinen umfassenden Scan hin. Das System stürzt regelmäßig ab. Ich habe es lediglich geschafft direkt nach dem Start einen Log zu speichern, der auch den Fund des Rootkit um das es mir geht anzeigt und das direkt am Anfang. Weiter bin ich leider nicht gekommen auch nach 10 Versuchen nicht.

Mein System ist absolut instabil/ überlastet. Nur das Bedienen des Explorers lässt das System teils abstürzen, Jede Aktion führt dazu, dass nichts mehr geht. Nochnichtmal runterfahren über den TaskManager.

Heute Vormittag bei der Benutzung von Avast Rootkit kam sogar eine englische Textmeldung auf blauem Hintergrund á la „A Problem hast been detected and - irgenddwas mit Windows - shut down to your Computer…

Konnte die Meldung nicht ganz lesen, weil sie sehr schnell weg war. PC macht dann nen Neustart und bleibt dann wieder hängen.

Ich bin schon dankbar, wenn ich für 5 Minuten diese Seite ansteuern kann.

Lieber Asyn, ich poste jetzt erstmal die ersten Protokolle. Hatte heute früh schon versucht deinen Scan (toller Link) durchzuführen, aber ich kann diese “Datei” wie ich sie nenne nicht im Explorer finden. Sie heisst doch TVDService.exe oder? Oder watchmi/TvdService.exe ?

Wenn mein Post jetzt funktioniert wäre ich schon enorm dankbar! Danke Euch!

Ein Experte ist informiert, bitte etwas Geduld.

Das System stürzt regelmäßig ab. Ich habe es lediglich geschafft direkt nach dem Start einen Log zu speichern, der auch den Fund des Rootkit um das es mir geht anzeigt und das direkt am Anfang. Weiter bin ich leider nicht gekommen auch nach 10 Versuchen nicht.

Mein System ist absolut instabil/ überlastet. Nur das Bedienen des Explorers lässt das System teils abstürzen, Jede Aktion führt dazu, dass nichts mehr geht. Nochnichtmal runterfahren über den TaskManager.

Heute Vormittag bei der Benutzung von Avast Rootkit kam sogar eine englische Textmeldung auf blauem Hintergrund á la „A Problem hast been detected and - irgenddwas mit Windows - shut down to your Computer…

Konnte die Meldung nicht ganz lesen, weil sie sehr schnell weg war. PC macht dann nen Neustart und bleibt dann wieder hängen.

Ich schreib das jetzt nicht gerne happychic79, aber so wie sich dein PC jetzt verhält das er quasi nicht mehr zu gebrauchen ist, solltest du eine Datensicherung dir wichtiger Dateien machen die nicht verloren gehen sollen und Windows neu aufsetzen bzw neu aufsetzen lassen von jemanden aus deinem mfeld der sich damit auskennt. Ausserdem hab ich mir gerade dein Malwarebytes Log angeschaut das erschreckend viele Infizierungen aufweist und nirgends hab ich lesen können das die Infizierungen in Quarantäne bereinigt wurden. Hast du die Infizierungen nicht bereinigen(in Quarantäne löschen)lassen?

Ich widerspreche dir ja ungern Asyn, aber in einem solchen Fall wie hier ist die beste Lösung leider Windows neu aufsetzen und wenn der Experte sich hier meldet, hoffe ich er kommt zum selben Schluß.

Keine Panikmache simracer, wir bekommen das schon hin.

Ich will keine Panik machen Asyn, aber was Sie schreibt über ihr System, hört sich übelst an für mich.

Dann beobachte die Bereinigung und lerne.

Edit: Und in Zukunft bitte keine Tools, wie TDSSKiller vorschlagen. Danke.

Neuer Versuch:

Lieber Asyn,

Hab doch die Datei gefunden. Hier ist der Link:

https://www.virustotal.com/de/file/256cf5427706912090abe67e7eaab09fee6692a610839baee233cfc403702b9c/analysis/

Bevor ich im Forum gepostet habe, habe ich viele Programme probiert und runtergeladen. Alles was ich bisher gemacht habe und Sophos Anto Rootkit, Spyware Terminator 2012… Etc. Ggf. machen diese Programme auf einmal das Absturzproblem! Oder gelöschte Dateien die Malewarebyte gefunden hatte, die ich entfernt habe? Vorher war das nicht so.

Lieber Simracer,

Das Protokoll ist das von gestern, bevor ich die Aktion Quarantäneordner durchgeführt habe und das System hab rebooten lassen. Muss ich danach noch mal in den Quarantäneordner, da noch mal explizit alles löschen und wieder rebooten - also 2x bei Malwarebyte mit rebooten aktiv werden?

Nach diesem Post, werde ich noch im Quarantäneordner nachschauen.

Gut, es dürfte sich dabei (mit hoher Wahrscheinlichkeit) um ein FP handeln.
Da du aber ziemlich viel “Krempel” auf deinem System hast, bitte auf den Experten warten.

LG Asyn

Ich ahnte das. FP wäre eine Fehlmeldung wegen zu langer Wartezeiten?

Soll ich den Quarantäneordner von Malewarebytes auch noch unangetastet lassen? Den hatte ich nicht separat geleert/ Inhalte gelöscht (die PUPs). Ich kann auch erstmal alles so lassen.

Warte bitte auf Essexboy, er wird dir weitere Anweisungen geben.

Schönen Tag,
Asyn

Hier noch ein Link der unterstreicht das es wohl ein FP warder angebliche Rootkit Fund: http://www.herdprotect.com/tvdservice.exe-f06635ae8ff5ca4ce2795df88908db4fc722eeaf.aspx

Dann beobachte die Bereinigung und lerne.

Ich behalte den Thread im Auge.

Bevor ich im Forum gepostet habe, habe ich viele Programme probiert und runtergeladen. Alles was ich bisher gemacht habe und Sophos Anto Rootkit, Spyware Terminator 2012.. Etc. Ggf. machen diese Programme auf einmal das Absturzproblem!

Das wäre möglich und die Gefahr ist gegeben, aber warte auf essexboy.

Oder gelöschte Dateien die Malewarebyte gefunden hatte, die ich entfernt habe? Vorher war das nicht so.

Glaub ich nicht denn Malwarebytes hat dein System "nur" von PUP Infizierungen bereinigt und die gehören nicht zu Windows.

Okay ich bin brav und warte.

Bin grad mal im Internetcafe, weil mein Ego mal einen Aufenthalt an einem PC brauchte, der funktioniert. Reicht ja nicht, dass ich selber krank bin, jetz auch noch der PC buhuu

Ihr seid toll!! (wenn ich das mal sagen darf)