rootkit entdeckt - lösung möglich oder gleich neu aufsetzen?

welleonda

Hi @all,

habe alle Anleitungen und Threads zum Thema gelesen und deswegen nur eine kurze Frage:

Ich habe mir ein rootkit eingefangen und das bei einem Scan mit Avira bemerkt. Avira meldet:

>>Die Datei 'C:\WINDOWS\system32\drivers\thkwdgds.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453d760d.qua' verschoben!

Würde es helfen, diesen "Treiber" einfach zu löschen?

Ein Scan mit GMER ergibt:

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit quick scan 2010-07-30 18:49:12
Windows 5.1.2600 Service Pack 2
Running: gbivi19y.exe; Driver: C:\DOKUME~1\Windows\LOKALE~1\Temp\kwgdapow.sys


---- Devices - GMER 1.0.15 ----

Device \FileSystem\Fastfat \Fat 84F5C080

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 mouclass.sys (Mausklassentreiber/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [BOOT] thkwdgds <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----



(Scan hier abgebrochen, wie in den Anleitungen empfohlen!) Nach allem, was ich hier gelesen habe, scheint eine Neuaufsetzung des Systems das Beste zu sein - korrekt? Oder gibt es eine andere Lösung?

Großes Board mit toller Hilfe übrigens.

Gruß und Dank,
welle