avg erkennt rootkit - aber zuwenige informationen

[Rocco00]

hi,

beim scannen wurden vorhin rootkits erkannt. zwar steht da mittlerweile "geheilt", aber was mich bei avg stört, ist die tatsache, dass man nicht wirklich sehen kann, welche dateien betroffen waren. das ganze wird immer nur abgekürzt, am ende stehen halt immer nur ein paar pünktchen. egal ob ich das fenster vergrößer oder nicht, da stehen halt nicht alle informationen.

kennt sich da jmd mit avg besser aus und kann mir tipps geben?

hier mal ein screenshot zu meinem anliegen


btw, was soll man unter geheilt verstehen? und wieso steht nichts in der virenquarantäne?
und ist es eurer meinung nach von nöten, dass ich meine festplatte neuaufsetze? das war jetzt das 2. mal innerhalb von 2 wochen, dass avg einen rootkit entdeckt hat.

 

[xxMuahdibxx]

wenn es geheilt also gesund ist muss es ja nicht in quarantäne

 

[Gleipnir]

ohne genaue Infos welchen Dateien/Anwendungen ist es schwierig

Das nervige Problem hatte ich auch vor kurzen bei einem fremden PC mit JRT, das hat auch immer nur gemeldet "böse Module gefunden" ohne genaue Infos (alle anderen Tools fanden gar nichts).

 

[BadBigBen]

Tabellentrennung erweitern, nicht nur das Fenster vergrößern...

ausser AVG, welches andere Anti-Malware Programm hast du im einsatz, bzw. als Gegenscanner?

 

[SpiII]

Log-Datei?

 

[Rocco00]

ansonsten noch spybot (das programm hat zb beim aktuellen fall nicht reagiert) und sophos. die habe ich installiert, nachdem das erste mal ein rootkit entdeckt wurde.

ps. wie erstelle ich eine logdatei, und bringt es überhaupt etwas, nachdem die infizierten dateien eh geheilt wurden?

 

[xxMuahdibxx]

Jup das ist immer Sinnvoll mehre Scanner die sich gegenseitig Stören zu installieren ...

Und eine Log Datei wird normalerweise nach jedem Fund erstellt.

 

[der Unzensierte]

Das mit mehreren scannern auf einem System ist totaler Schwachsinn, die kommen sich gegenseitig ins Gehege (und erkennen sich vielleicht noch gegenseitig als schädliches Programm). Wenn beim ersten rootkit-Alarm nur ein scanner aktiv war können wir das aber mal ausschließen. Zwei rootkit-Alarme hintereinander würde ich mindestens zum Anlass nehmen um mit einer Linux-CD zu booten und mein gesamtes System mal durch zu checken. Wahrscheinlich würde ich aber gleich eine Neuinstallation machen.

 

[BadBigBen]

Jup das ist immer Sinnvoll mehre Scanner die sich gegenseitig Stören zu installieren ...

&

Das mit mehreren scannern auf einem System ist totaler Schwachsinn,

DUH!

Scanner bedeuten nicht unbedingt das sie ACTIVE im Hintergrund mit scannen sollten... zB. MalwareBytes AntiMalware (MBAM) kann man per bedarf einsetzen, OBWOHL es installiert ist und es verträgt sich hervorragend mit ALLEN VirenScanner!

Anmerkung an den OP: Sophos deinstallieren...
und das System mal mit MBAM checken...

 

[firexs]

Da ist sie wieder, die Creme-dela-Creme der Halbwahrheiten.. gute Systeme arbeiten mit bis zu 3-4 Scannern gleichzeitig, ohne das es Probleme gibt.
Was Probleme macht, sind die Security Suites, die den Benutzer an die Hand nehmen, das kann nie gut gehen.

@TE: welches sog. Rootkit soll es denn gewesen sein?

lg
fire

 

[Randy89]

@ Rocco00: ich würd mal gmer (http://www.gmer.net/) (Anleitung: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html) und dabei noch virtuelle Laufwerke von Brennprogrammen und Antiviren-Programme und sonstige Schutzsoftware deaktivieren und/oder beenden, Internetverbindung vorher trennen (am besten das LAN-Kabel abziehen, bzw. den W-Lan-Schalter am Notebook betätigen), nichts während des Scannens machen (also nichtmal Maus bewegen oder so) und nach dem Initial-Durchlauf einmal auf Quickscan gehen und weiterhin warten bis es fertig ist. Sobald das geschehen ist, die Log-Datei speichern und den Computer neustarten. Während des Hochfahrens kannst du dann das LAN-Kabel wieder reinstecken, bzw. den W-Lan-Schalter bestätigen und beim Hochfahren sollte das Antiviren-Programm und sonstiges an Schutzsoftware wieder aktiv sein.

Dann machst du noch bitte einen Scan mit AswMBR, ohne etwas bei "Fix MBR" oder "Fix" anzuklicken (http://public.avast.com/~gmerek/aswMBR.htm), falls es bei dir durchläuft, TDSS-Killer (2X die Eula bestätigen und bei Funden alles skippen, bzw. das Fenster schließen lassen), Malwarebytes]Malwarebytes 2.0 Threat-/Bedrohungsscan mit aktivierter Anti-Rootkit-Option, Roguekiller (für ein 64 Bit Betriebssystem bitte die x64 herunterladen von "download local x64"), Adwcleaner (jeweils nicht auf löschen klicken) und zu guter Letzt noch einen Scan mit FRST (https://www.computerbase.de/forum/threads/erste-h-lfe-bei-malwareverdacht-infektion-vor-dem-posten-beachten.741157/) machen und alle Log-Dateien in der erweiterten Ansicht über das Büroklammer-Symbol rechts neben dem einzelnen, lächelnden Smiley in der obersten Auswahlreihe hochladen.
Sollte es bei irgendeinem Scan von diesen zu Problemen kommen, deaktiviere vorrübergehend das Antiviren-Programm und versuch es erneut.

Logdateien findest du in so ziemlich allen Fällen übrigens unter %programdata%, %appdata%, %localappdata% (such die Begriffe jeweils im Startmenü oder tipp sie im Ausführenfeld [Windowstaste R] oder im Explorer [Windowstaste E] ein und bestätige) oder im Programmverzeichnis selber, bzw. wenn du im Programm nach "Logs", "History" oder ähnliches Ausschau hälst.
Adwcleaner legt seine Logs direkt auf die Windows-Partition/Laufwerk unter dem Ordner C:\AdwCleaner ab, Gmer und Malwarebytes, dort wo du es hin speicherst/exportierst, Roguekiller in %programdata%, FRST, von wo es gespeichert wird und TDSSKiller direkt auf C:\.

 

[Rocco00]

erst mal danke für die antworten und tipps...

zum thema gmer...dieses programm hatte ich vorhin schon installiert gehabt. es lässt sich auch starten, das scannen beginnt anscheinend auch von alleine, aber nach ein paar sekunden kommt die meldung "gmer funktioniert nicht mehr, bla bla...".

woran liegt das?

edit: habs jetzt nochmal runtergeladen und das programm als admin ausgeführt, diesmal läuft es normal. aber ist es normal, dass der scan so schnell läuft? also nach ein paar sekündchen ist der scan zuende.

btw, es wurde nichts verdächtiges gefunden. gelistet wurden bis jetzt nur textdatein von spybot , avg und sandboxie (benutze ich zum surfen, soll angeblicher so sicherer sein).

 

[Randy89]

Nach dem Initial-Scan kann man noch einen Quickscan machen und außerdem kann man die Log-Dateien ruhig anhängen.

 

[Rocco00]

hab gmer nochmal laufen lassen, also nicht mit quickscan sondern mit dem normalen scan.

hier ist der log als textdatei

http://www.file-upload.net/download-9117520/hggg.txt.html

ich wollte das ergebnis eigentlich hierreinkopieren, aber hat alles nicht reingepasst.

ps. weiß einer wie ich ne logdatei bei avg erstellen kann, bzw wo man die logdateien findet? normalerweile wird doch nach jedem scan automatisch eine logdatei erstellt. im avg ordner wurde ich nicht fündig.

 

[BadBigBen]

How to gather all AVG Log Files
http://forums.avg.com/us-en/avg-forums?sec=thread&act=show&id=168173

 

[Randy89]

@ Rocco00: häng noch bitte die anderen Logs an. Das kannst du wie gesagt über das Büroklammer-Symbol in der Ansicht "erweitert" machen.
Je mehr du zur Verfügung stellst (insbesondere auch Analyse Logs von FRST), umso eher kann man dein PC bezüglich Malware-Befall beurteilen.

Außerdem hab ich dir noch geschrieben, dass Logdateien in der Regel auch in den drei Verzeichnissen mit "%" am Anfang und Ende zu finden sind oder du im Programm selber nach den "Logs" schauen könntest.