Kennt jemand die agvhoeel.sys

Hallo,
ich habe mein Virenprogramm Steganos Internet Security nun auch mal nach Rootkits suchen lassen und es hat dabei einen versteckten Treiber unter C:\windows\system32\drivers entdeckt. Er heißt agvhoeel.sys. ich habe nach der Datei gegoogelt, aber nichts gefunden. das problem ist, ich kriege diese Datei auch nicht gelöscht. Steganos bietet mir dazu keine Option und da sie (die Datei) versteckt ist(Extras->Ordnerotionen->Ansicht->versteckte Dateien anzeigen ist schon aktiviert)kriege ich sie nicht weg. Weiß jemand Rat?

Vielen dank im Voraus
Iljuschin

 

poste bitte mal den genauen Scanreport von Steganos

 

Na ja, da gibt es keine Protokolldatei. Ich habe gestern abend den kompletten Scan begonnen, ihn dann weil ich ins Bett wollte, abgebrochen. In der Ergebnisliste meldete er mir dann die o.g. Datei. Heute habe ich den Scan wieder neu begonnen und da meldet er mir gleich eine Datei Namens a6neab2r.sys im gleichen Verzeichnis. Ich werde den Scan heute mal durchlaufen lassen. Mir erscheint das aber sehr merkwürdig. Ist das nicht das typische Verhalten eines Rootkits? Sich selbst umbenennen?

 

Steganos und andere AV-Scanner sind da wenig hilfreich, da sie die laufenden Prozesse offensichtlich nicht beenden können, um die Schadsoftware zu entfernen. Außerdem ist der mit zufälligen Namen generierte Treiber kaum die einzige Schadsoftware.
Mach mal bitte einen Scann mit RSIT und lade beide Logdateien im Anhang hoch.
http://virus-protect.org/artikel/tools/random.html

 

Also hier die beiden Dateien

 

VideoLAN VLC media player 0.8.6 kannst du mal aktualisieren.
Java 1.6.0_03 ist auch veraltet.

Alcohol 120 benutzt versteckte Treiber.

Die AskBar kannst du auch mal beseitigen (Adware)

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

Die beiden Einträge sind verdachtig:
Möglicherweise Kopierschutz mit Rootkittechnologie.
(DIE SIEDLER 6 - Aufstieg eines Königreichs benutzt TAGES 5.5)

O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///O:/components/hidinputmonitorx.ocx

O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///O:/components/A9.ocx

 

(DIE SIEDLER 6 - Aufstieg eines Königreichs benutzt TAGES 5.5)

O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///O:/components/hidinputmonitorx.ocx

O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///O:/components/A9.ocx

Ja das könnte sein! o: bezieht sich auf mein DVD-Laufwerk. Du meinst, wenn ich die lösche, kann ich das Spiel nicht mehr spielen. Aber die CD lag zum Zeitpunkt des Scans nicht im Laufwerk.

 

Kopierschutz wird üblicherweise beim ersten Benutzen der CD/DVD installiert und bleibt dann drauf.
Ohne ihn wird das Spiel auch nicht funktionieren.
Es gibt auch Filme auf DVD, die Kopierschutz über die Autorun-Funktion installieren.

 

Das ist ja wieder toll. Wie soll man denn nun "gute" von "bösen" Rootkits unterscheiden?

 

Da gibt es eigentlich nur Suchen, Suchen, Suchen, bis man auf brauchbare Infos trifft.
Rootkitscanner können ja auch nur mit Signaturen genau angeben, um was es sich handelt und dann kann es auch ein Fehlalarm sein.
Und verdächtige Sachen, kann man ja auf Verdacht entfernen und gucken, was passiert...

 

Und wie kann ich diesen versteckten Treiber der ständig seinen Namen ändert entfernen.

 

Im laufenden Betrieb wohl kaum.
Damit schon eher http://www.pcwelt.de/forum/1894641-post8.html