Rootkit RKIT/Kryptic entfernen

Da keine sichere Entfernungsmethode bekannt ist...
Empfehlung: http://www.trojaner-board.de/51262-a...sicherung.html

Wer trotzdem möchte, kann eine Bereinigung von Rootkit RKIT/Kryptic versuchen

Dateien von Rootkit RKIT.Kryptic

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\drivers\idduzu.sys
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dat
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dat
c:\windows\system32\drivers\irbcul.sys
c:\windows\system32\drivers\AWLDRPOD.sys
c:\Windows\System32\drivers\azuurs.sys
c:\users\nutzer\AppData\Local\Temp\ZOAVFUEATO.exe
         

Registry-Einträge von Rootkit RKIT.Kryptic

Code: Alles auswählenAufklappen

ATTFilter

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\idduzu
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\idduzu
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\idduzu
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\irbcul
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\azuurs
         

Rootkit RKIT/Kryptic entfernen

Anleitung Avenger (by swandog46)

• Lade dir das Tool Avenger und speichere es auf dem Desktop:
• Doppelklick auf das Avenger-Symbol
• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
idduzu.sys

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\idduzu
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\idduzu
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\idduzu
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\irbcul
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\azuurs

Folders to delete:
C:\Program Files\Mozilla Firefox\extensions\{FA555011-84A3-4CBE-ADE6-6D30F05A4A89}

Files to delete:
C:\Program Files\Mozilla Firefox\extensions\{FA555011-84A3-4CBE-ADE6-6D30F05A4A89}
C:\WINDOWS\system32\drivers\idduzu.sys
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dat
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dat
c:\windows\system32\drivers\irbcul.sys
c:\windows\system32\drivers\AWLDRPOD.sys
c:\Windows\System32\drivers\azuurs.sys
c:\users\nutzer\AppData\Local\Temp\ZOAVFUEATO.exe
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

GMER

• Lade die Datei GMER auf den Desktop und entpacke sie.
• Ordner GMER öffnen.
• gmer.exe doppelklicken.
• Wähle nun den Reiter Rootkit/Malware.
• Alle Haken dort setzen
• Hinweise mit Nein bzw. No beantworten.
• Den Button Scan klicken.
• Wenn der Scan abgeschlossen ist klicke auf Copy, um das Log zu kopieren.

Mit CCleaner System aufräumen


Malwarebytes Anti-Malware

• Installiere Malwarebytes Anti-Malware.
• Führe eine Programmaktualisierung durch.
• Vollständigen Systemscan durchführen.

Systemwiederherstellung deaktivieren: Systemwiederherstellung deaktivieren Tutorial
Windows XP, Windows Vista, Windows 7

Rootkit RKIT/Kryptic immer noch nicht entfernt?

OTH - OTHelper - Kill All Processes


Mit aktualisiertem (!!) Malwarebytes Anti-Malware nach Ausführen von OTH nochmal QUICKSCAN ausführen.

Bitte alle temporären Dateien löschen und Speicherplatz freigeben.

Weitergehende Prüfung

Das System könnte noch nicht vollständig sauber sein.

Daher unbedingt ein Thema erstellen: Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Nicht vergessen mit FRST-Logfiles wie in der Anleitung beschrieben.

Wie man Hilfe bekommt steht auch hier.