RKIT/Kryptic.763904 in Windows Systemverzeichnis

#0
11.01.2010, 21:18
...neu hier

Beiträge: 1
#1 Hallo an alle!

Ende letzter Woche erreichte meine Familie eine Email, in der Telekom uns darauf hinwies, dass über unseren Internetanschluss Spam-Emails verschickt werden. Eine daraufhin erfolgte Prüfung meines Laptops mit Antivir Personal ergab folgenden Fund:

"Objekt: idduzu.sys
Fund: RKIT/Kryptic.763904"

Von Antivir angegebene Möglichkeit nun: "Alles reparieren", was ich auch anklickte.

Nun erschien eine Warnung:

"Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!

C:\WINDOWS\system32\drivers\idduzu.sys

Möglicherweise fehlen Ihnen dazu die nötigen Rechte, oder der Zugriff auf die Datei ist gesperrt. Bitte stellen Sie sicher, dass Sie für die gewünschte Aktion Administrationsrechte haben.

Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904"

Nun gab Antivir folgende Möglichkeiten:

"Gesperrte Datei nach Neustart löschen" und "Ignorieren". Ich wählte natürlich die erstere und es erschien folgende Meldung:

"Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht."

Nach einem daraufhin erfolgten Neustart ist die Datei mit dem Fund wieterhin vorhanden.

Eine Internetrecherche war nicht wirklich erfolgreich, ich fand allerdings folgenden sehr ähnlichen Fall: h**p://forum.chip.de/viren-trojaner-wuermer/rkit-kryptic-763904-entferne-1329192.html

Dort wird Angegeben, dass ein "Neu Aufsetzen" des betriebssystems die einzige Lösung sei.

Da ich dies noch nie vorher gemacht habe und ungern alle Daten verlieren möchte, würde ich gerne wissen ob es noch andere Möglichkeiten gibt, um das Problem zu beheben.

AntiVir erkennt dieses Rootkit nach dieser History ( h**p://www.avira.com/de/threats/section/vdfhistory/ivdf_no/7.10.02.144/7.10.02.144.html ) auch erst seit dem 7.Januar 2010. Sollte ich noch ein paar Tage warten, bis nach einem Update der Antivirsoftware eine Problemlösung eventuell möglich ist? Oder könnte eine anderes Antivirenprogramm eher helfen?

Könnte ich die Datei auch einfach über den Arbeitsplatz markieren und löschen? Wie wichtig ist diese Datei für die Ausführung von Windows? Kann man eine solche Datei eventuell aus dem Internet diownloaden um die alte Datei nach der Löschung zu ersetzen?

Vielen Dank für eure Lösungsvorschläge!
Seitenanfang Seitenende
11.01.2010, 21:34
Member

Beiträge: 3716
#2 hallo,
wenn der pc nicht unbedingt am netz hängen muss, sollte er es nicht tun, bis wir fertig sind.
http://board.protecus.de/t23188.htm
beginne mit combofix, damm malwarebytes, dann gmer und dann hijackthis.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: