Anleitung: http://www.trojaner-board.de/81483-r...entfernen.html

Hallo an alle!

Ende letzter Woche erreichte meine Familie eine Email, in der Telekom uns darauf hinwies, dass über unseren Internetanschluss Spam-Emails verschickt werden. Eine daraufhin erfolgte Prüfung meines Laptops mit Antivir Personal ergab folgenden Fund:

"Objekt: idduzu.sys
Fund: RKIT/Kryptic.763904"

Von Antivir angegebene Möglichkeit nun: "Alles reparieren", was ich auch anklickte.

Nun erschien eine Warnung:

"Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!

C:\WINDOWS\system32\drivers\idduzu.sys

Möglicherweise fehlen Ihnen dazu die nötigen Rechte, oder der Zugriff auf die Datei ist gesperrt. Bitte stellen Sie sicher, dass Sie für die gewünschte Aktion Administrationsrechte haben.

Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904"

Nun gab Antivir folgende Möglichkeiten:

"Gesperrte Datei nach Neustart löschen" und "Ignorieren". Ich wählte natürlich die erstere und es erschien folgende Meldung:

"Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht."

Nach einem daraufhin erfolgten Neustart ist die Datei mit dem Fund wieterhin vorhanden.

Eine Internetrecherche war nicht wirklich erfolgreich, ich fand allerdings folgenden sehr ähnlichen Fall: h**p://forum.chip.de/viren-trojaner-wuermer/rkit-kryptic-763904-entferne-1329192.html

Dort wird Angegeben, dass ein "Neu Aufsetzen" des betriebssystems die einzige Lösung sei.

Da ich dies noch nie vorher gemacht habe und ungern alle Daten verlieren möchte, würde ich gerne wissen ob es noch andere Möglichkeiten gibt, um das Problem zu beheben.

AntiVir erkennt dieses Rootkit nach dieser History ( h**p://www.avira.com/de/threats/section/vdfhistory/ivdf_no/7.10.02.144/7.10.02.144.html ) auch erst seit dem 7.Januar 2010. Sollte ich noch ein paar Tage warten, bis nach einem Update der Antivirsoftware eine Problemlösung eventuell möglich ist? Oder könnte eine anderes Antivirenprogramm eher helfen?

Könnte ich die Datei auch einfach über den Arbeitsplatz markieren und löschen? Wie wichtig ist diese Datei für die Ausführung von Windows? Kann man eine solche Datei eventuell aus dem Internet diownloaden um die alte Datei nach der Löschung zu ersetzen?

Vielen Dank für eure Lösungsvorschläge!

Servus Sweeny Todd, ich hatte diesen Rootkit auch gehabt. Ich habe es folgendermaßen wegbekommen: Lade dir Avenger (by swandog46) von diesem Thread runter: http://www.trojaner-board.de/71818-r...ystem32-2.html
Danach kopierst du dir den darunter stehenden Script und änderst die Parameter ab.

Drivers to delete:
idduzu.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet002\Services\idduzu <-- bei mir hatte sich der Fiesling nicht wie bei dem Orignalcode im ControlSet002 sonder im ControlSet001 und 003 versteckt. Hier musst du besonders aufpassen!!! Am besten gibst du bei cmd -> regedit ein und dann suchst du in HKLM\SYSTEM\ControlSet alles ab nach dieser .sys File.

Folders to delete:
C:\Program Files\Mozilla Firefox\extensions\{FA555011-84A3-4CBE-ADE6-6D30F05A4A89}

Files to delete:
C:\Program Files\Mozilla Firefox\extensions\{FA555011-84A3-4CBE-ADE6-6D30F05A4A89}
C:\WINDOWS\system32\drivers\idduzu.sys
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dat
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dat

Danach ein Neustart und mein AntiVir hat sich gemeldet und mir angezeigt, dass im Avenger Ordner ein Rootkit gefunden wurden ist und ich konnte es löschen. Danach war die verfluchte Datei weg. Ich hatte extrem Traffic und konnte nicht mal richtig ins Internet gehen.

Bei mir ist es jedenfalls weg. Ich hoffe ich konnte dir damit helfen.

Ich wäre natürlich für andere Methoden und Ratschläge sehr dankbar.

Gruß famous_A