RKIT/Kryptic.763904 in Windows Systemverzeichnis

Hallo an alle!

Ende letzter Woche erreichte meine Familie eine Email, in der Telekom uns darauf hinwies, dass über unseren Internetanschluss Spam-Emails verschickt werden. Eine daraufhin erfolgte Prüfung meines Laptops mit Antivir Personal ergab folgenden Fund:

"Objekt: idduzu.sys
Fund: RKIT/Kryptic.763904"

Von Antivir angegebene Möglichkeit nun: "Alles reparieren", was ich auch anklickte.

Nun erschien eine Warnung:

"Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!

C:\WINDOWS\system32\drivers\idduzu.sys

Möglicherweise fehlen Ihnen dazu die nötigen Rechte, oder der Zugriff auf die Datei ist gesperrt. Bitte stellen Sie sicher, dass Sie für die gewünschte Aktion Administrationsrechte haben.

Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904"

Nun gab Antivir folgende Möglichkeiten:

"Gesperrte Datei nach Neustart löschen" und "Ignorieren". Ich wählte natürlich die erstere und es erschien folgende Meldung:

"Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht."

Nach einem daraufhin erfolgten Neustart ist die Datei mit dem Fund wieterhin vorhanden.

Eine Internetrecherche war nicht wirklich erfolgreich, ich fand allerdings folgenden sehr ähnlichen Fall: h**p://forum.chip.de/viren-trojaner-wuermer/rkit-kryptic-763904-entferne-1329192.html

Dort wird Angegeben, dass ein "Neu Aufsetzen" des betriebssystems die einzige Lösung sei.

Da ich dies noch nie vorher gemacht habe und ungern alle Daten verlieren möchte, würde ich gerne wissen ob es noch andere Möglichkeiten gibt, um das Problem zu beheben.

AntiVir erkennt dieses Rootkit nach dieser History ( h**p://www.avira.com/de/threats/section/vdfhistory/ivdf_no/7.10.02.144/7.10.02.144.html ) auch erst seit dem 7.Januar 2010. Sollte ich noch ein paar Tage warten, bis nach einem Update der Antivirsoftware eine Problemlösung eventuell möglich ist? Oder könnte eine anderes Antivirenprogramm eher helfen?

Könnte ich die Datei auch einfach über den Arbeitsplatz markieren und löschen? Wie wichtig ist diese Datei für die Ausführung von Windows? Kann man eine solche Datei eventuell aus dem Internet diownloaden um die alte Datei nach der Löschung zu ersetzen?

Vielen Dank für eure Lösungsvorschläge!

 

einmal ist immer das erste mal.

datensicherung
http://forum.chip.de/viren-trojaner...fizierten-datentraegern-rechnern-1133907.html,
neuaufsetzen
http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html,
passwörter ändern.
bzgl. deines sicherheitskonzeptes schau dir z.b. das
http://forum.chip.de/viren-trojaner-wuermer/leitfaden-pc-sicherheit-968736.html
mal an.

 

Hola Guapos!

Ich weiß wie man den ungeliebten RKIT/Kryptic Genossen wieder loswird. Auch mich hat er ziemlich lange geplagt und schier zum Wahnsinn gebracht. Bis ich endlich die ersehnte Lösung fand, welche einen in die Grundfesten des Betriebssystems führt: MS-DOS

Um den Plagegeist loszuwerden hilft bei Vista (Bei XP oder 7 hab ich keinen Plan) folgenden Methode:

Dem laufenden PC den Strom wegnehmen. Anschließend hochfahren. Dann erscheint ein schwarzer Bildschirm welcher die Optionen "Windows normal starten" und "Fehlerbehebung" (oder so. Kann auch Problembehebung oder so gewesen sein) anbietet. Falls ihr wisst, wie man diesen Bildschirm auch ohne die "Strom-aus-Methode" aufrufen kann, kann das natürlich auch tun. In jedem Fall drückt ihr auf die Fehlerbehebung. Dann startet Vista in dem Modus, der auf XP bezogen in etwa dem abgesicherten Modus entspricht.

Sofort startet danach ein Programm im Stil von Windows 98 welches "Automatische Fehlerbehebung"heißt. Das brauchen wir nicht und klicken auf abbrechen. Ja wirklich abbrechen.
Nun kann man den PC entweder neustarten oder die Option "erweiterte Optionen" wählen. Letzteres sollten man tun um RKIT/Kryptic loszuwerden!
In den Auswahlmöglichkeiten die uns Vista nun offenbart wählen wir "Eingabeauffoderung". Der Bildschirm den wir nun sehen verweist bereits sehr stark darauf, dass wir uns in den Urfesten der Windows Reihe bewegen.
Nun gebt ihr einfach die kursive schrift ein:
del "C:\windows\system32\drivers\mquvq.sys"

Das war zumindest bei mir der Pfad und der Dateiname. Falls der Virus bei euch in einer anderen Datei versteckt war, müsst ihr einfach diesen eingeben. AntiVir zeigt einem den Pfad aber auch an wenn er den Virus entdeckt.
Grundsätzlich gilt also:
del "Pfad\Name der verseuchten Datei"
Wenn ihr das eingegeben habt einfach Enter drücken. Falls der Dialog mit nichts oder mit etwas, was sich nach Erfolg anhört antwortet, seid ihr dieses Bastard-Virus los. Ansonsten überprüft nochmal eure Eingabe! Bei mir hats auf jeden Fall funktioniert.


Viele Grüße und viel sadistische Freude beim Entfernen wünscht,

DonHoldo!

 

und ich weiß, daß die vertrauenswürdigkeit deines systems gegen 0 geht.