Hacktool.Rootkit in SVKP = Fehlalarm | Anleitung zur Behebung

#1 Ich hab jetzt etwa 2 Tage mit deisem Mist rumgemacht und kontte es jetzt schliesslich beheben.

Eingefangen haben werden sich diesen Pseudo-Virus mit grosser Wahrscheinlichkeit vorallem Computerspielespieler (Gothic 2 das bekannteste davon), die SVKP_.sys deint dort nämlich als Kopierschutz oder Startdatei.
Nun seit neustem, bei mir seit dem 19.10 erkennt NAV diese Datei als Virus, Virusbefallen.
Wird die SVKP entfernt müssen Spiele oder Programme komplett neuinstalliert werden und NAV wird weiter Alarme bringen und die Programme nicht startbar bleiben.
Nach langem Suchen habe ich, so denke ich doch die Lösung für dieses Problem gefunde, gar nicht so weit, in einem solchen Gothic 2 Forum.
Auch dort, nicht nur ein Thread über gerade dieses Problem, allesamt erst ab dem 19.10 eröffnet, die meisten davon von NAV Usern.
Hier link zum Gothic Problem:
http://www.worldofgothic.de/gothic2/
http://forum.worldofplayers.de/forum/showthread.php?t=84961&page=1&pp=20
Her zu einem anderen Spiel:
http://www.renegadeforums.com/index.php?t=msg&th=17586&start=0&rid=0

Nun im Gothic2 Forum hab ich neben einigen für mich nicht funktionierenden Lösungen DIE Lösung gefunden! Ich hoffe sie funktioniert für euch genauso gut wie bei mir.

Lösungsvorgang:
Zuerst einmal dieses Archiv hier runterladen:
http://forum.worldofplayers.de/forum/attachment.php?s=ce0fe2d2e45e4e9d21f34a78a2c56846&attachmentid=1419

Nun dieses noch NICHT entpacken, denn sonst würde NAV sofort wieder losspinnen und die Datei sofort löschen.
Geht so vor:
-Öffnet euer Norton Anti Virus
-Klickt oben auf "Optionen"
-Klickt auf "Norton Anti Virus"
-Ihr seht Auto-Protect links ausgewählt, und rechts 2 Häkchen bei "Auto Protect aktivieren (empfohlen)"
-Klickt dort auf dieses Häkchen, sodass keins mehr dort ist
-Klickt unten auf "OK"
-Schliesst NAV, es werden einige WArnungen kommen, ignoriert diese, auch wird Alarmstufe Rot angezeigt werden, ignorieren!

- Nun öffnet das runtergeladene rar-Archiv und entpackt es, auf euer Desktop.
- Startet die DAtei "SVKP_fix.cmd".
- Ein System-Fenster öffnet sich, plus 2 andere Fenster, klickt "ja" bzw. "OK"
- Ihr seht nur noch das schwarze System Fenster vor euch, drückt eine Taste
- Die SVKP wird jetzt ersetzt, sobald der Vorgang abgeschlossen ist, drückt nochmal eine Taste, das Fnester schliesst sich.
- Nun sollte die SVKP_sys ersetzt sein, aktiviert euer Auto-Protect am gleichen Ort wieder wo ihr in deaktiviert habt und das Problem sollte behoben sein.

Ich hoffe es hilft!

#2 Hallo Triladar,
geholfen hats!!!
Danke!!!!!!!!!
Aber bekommt man das auch irgendwie wieder vom Desktop? (das was man entpackt hat)
MfG
Mag

#3 Einfach in Papierkorb schieben...
Oder geht das nicht?

#4 Hallo,
wegbekommen habe ich es aber seit heute kommt bei mir die Warnmeldung von NAV schon wieder und wenn ich das jetzt noch mal enpacke und es in der Registrie hinzufügen will sagt er, das System kann die angegebene Dateien nicht finden.
Systemfehler 2 aufgetreten.

Kannst Du mir da irgendwie weiter helfen?

Vielen Dank im voraus!!!

MfG
Mag

#5 Nun, es ist doch logisch das diese Warnmeldung wieder kommt.

1. Wenn es ein Fehlalarm von Norton ist, dann kommt der auch wieder, wenn ich die SVKP.sys ersetze. Weil ja das Grundproblem, das verirrte Norton, Nach wie Vor vorhanden und nicht abgestellt ist. Logisch!

2. Wenn man überlegt, dann muss man doch wissen, das ein entpacktes Archiv ebenfalls eine Viruswarnmeldung auslösen muss, wenn schon diese zip.Datei das auslöst. Oder etwa nicht?

3. Wäre ich vorsichtig, einfach von irgendeiner Site eine solche Datei zu installieren. Auch wenn du das Gothic-Forum kennst. Den Entwickler dieser zip.fix kennst du nicht, und er ist ja auch kein angestellter dieser Firma, sondern ein stinknormaler Privatuser, oder? Es hätte genauso gut auch ein Trojaner sein können, der deine Schutzsoftware blockiert oder deaktiviert. Oder sonstwas anstellt. Es gibt genug Leute im Netz, die GENAU JETZT die Unsicherheit solcher User ausnutzen.

4. Ersetzt sich diese SVKP.sys Datei automatisch, entweder durch das Betriebssystem, wenn es das braucht, oder das entsprechende Programm. Daher brauchst du diese Zip.Datei gar nicht. Es ist nur schön einfach. Nur, der Hersteller hat auch keine Ahnung vom dahinter steckenden Problem, sonst würde er so einen Mist nicht verzapfen. Daher taucht ja auch die Warnmeldung selbst nach Neuinstallation des kompletten Betriebssystems und Registry Löschung immer wieder auf. Das ist ebenfalls logisch.
Man sollte Foren auch mal lesen, dazu sind sie ja da. Hier steht nun wahrlich genug dazu, auch zu dieser Zip.Datei von Gothic. Zumal unten die ähnlichen Themen hier wunderbar gelistet sind.

5. Was deine Meldung nun mit dem Systemfehler soll weiß ich auch nicht. Hoffentlich hat dir diese Zip. nicht am System was verändert, was wir nun nicht herausfinden können. Das hast du nun davon wenn du unkritisch einfach irgendwelche Zip.Dateien entpackst und blind installierst. Mach das Bitte in Zukunft nicht wieder. * Mit dir doll Schimpf*
Du kannst ja versuchen, in der Systemwiederherstellung den PC zu einem früheren Zeitpunkt wiederherzustellen. Das ist jedenfalls das, was ich empfehlen würde, wenn du dich mit deinem System nicht so gut auskennst. Ich weiß ja nicht. Rumfriemeln in der Registry ist immer heikel.

Sorry

Ohne diese Zip Datei zu kennen, ahne ich was diese macht: Sie löscht einfach den reg. Eintrag der SVKP und installiert sie neu. Es gibt dazu EINEN bestimmten reg.Eintrag den man bei deaktivierter Systemwiederherstellung löschen muss (HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Service\SVKP, bzw. unter Controlset003. NUR DIESEN LÖSCHEN !). Aber ACHTUNG: Mach ne Sicherungskopie deiner Registrierung, falls die instabil ist. Sonst kann es passieren das dein System nicht mehr ordentlich startet oder andere Fehler auftauchen.
(Und noch ein Warnhinweis: Du musst selber entscheiden was du machst, aber wenn du den SVKP Eintrag per Hand aus der Registry löschen willst, musst du so oder so die Systemwiederherstellung deaktivieren, weil sonst XP die automatisch wieder so herstellt. Wenn du die Systemwiederherstellung deaktivierst, gehen dir alle Systemwiederherstellungspunkte vor der Installation deiner Zip. Datei ebenfalls verloren, sodass du möglicherweise, wenn die einen größeren Fehler verursacht hat, das System nicht mehr vor diesen Zeitpunkt zurücksetzen kannst, und du zwar das SVKP Problem, nicht aber das "Systemfehler2" Problem beheben kannst.)

Ebenfalls komplett das betroffene Spiel löschen, auch alle dessen Registry Einträge. Anschliessend Neustart, Systemwiederherstellung wieder aktivieren, die Software erneut installieren, dann gehts erstmal wieder, theoretisch. ABER: NICHT STARTEN !!!!!!

WENN es WEITER funktionieren soll, bleibt dir vorerst unter Abwägung des Sicherheitsrisikos nur die Wahl, diese SVKP.sys bei Norton von der Suche auszuschliessen.

Wenn du das willst, musst du, nachdem du alles zum Gothic-Programm neu installiert hast, bevor du irgendetwas anderes machst, ERST einen Systemscan durchführen, am besten bei einem deaktivierten AutoProtect, und dann die SVKP.sys, die Norton wieder findet, von der Suche aussschliessen. Machst du das nicht und startest das Spiel und Norton ist aktiv, wird es die Datei sofort wieder isolieren und den gerade angelegten Registry Eintrag löschen, und dein System ist wieder verhunzt und das Spiel läuft wieder nicht, weil die reg. Einträge unvollständig sind.

ICH würde so vorgehen: Wenn es geht, das, was du mit der Zip installiert hast, deinstallieren. Neustart, kucken ob die Systemfehler Fehlermeldung noch kommt. Wenn ja, das System vor diesen Installationszeitpunkt mit der Systemwiederherstellung zurücksetzen. Ich hoffe, du weißt wie das geht. Dann den ganzen zip Scheiss, der noch übrig ist in Ordnern, löschen. Ich hoffe, du weißt, wo das hin installiert wurde. Neustart. Dann wie oben beschrieben den SVKP Eintrag in der Registry löschen, das Gothic-Prog, dessen Registry etc etc. wie oben beschrieben.

Viel Glück.

gruss spooky

#6 hi leute mein pc ist auch von dem virus betroffen ich wollte euch fragen ob der virus auch von anderen games kommen kann
zb:Guildwars,Counterstrike 1.6 oder source??

bei mir war das nähmlich so, dass ich mein NAV prüfen gelassen hab er etwas gefunden hat und dann hab ich es anschließend isoliert.

hoffe auf schnelle antword. °_°