Rootkit RKIT/Kryptic entfernen

Da keine sichere Entfernungsmethode bekannt ist...
Empfehlung: http://www.trojaner-board.de/51262-a...sicherung.html

Wer trotzdem möchte, kann eine Bereinigung von Rootkit RKIT/Kryptic versuchen

Dateien von Rootkit RKIT.Kryptic

Code: Alles auswählenAufklappen

C:\WINDOWS\system32\drivers\idduzu.sys
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dat
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dat
c:\windows\system32\drivers\irbcul.sys
c:\windows\system32\drivers\AWLDRPOD.sys
c:\Windows\System32\drivers\azuurs.sys
c:\users\nutzer\AppData\Local\Temp\ZOAVFUEATO.exe
         

Registry-Einträge von Rootkit RKIT.Kryptic

Code: Alles auswählenAufklappen

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\idduzu
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\idduzu
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\idduzu
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\irbcul
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\azuurs
         

Rootkit RKIT/Kryptic entfernen

Anleitung Avenger (by swandog46)

• Lade dir das Tool Avenger und speichere es auf dem Desktop:
• Doppelklick auf das Avenger-Symbol
• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

Drivers to delete:
idduzu.sys

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\idduzu
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\idduzu
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\idduzu
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\irbcul
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\azuurs

Folders to delete:
C:\Program Files\Mozilla Firefox\extensions\{FA555011-84A3-4CBE-ADE6-6D30F05A4A89}

Files to delete:
C:\Program Files\Mozilla Firefox\extensions\{FA555011-84A3-4CBE-ADE6-6D30F05A4A89}
C:\WINDOWS\system32\drivers\idduzu.sys
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dat
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dll
C:\WINDOWS\system32\idduzu.dat
c:\windows\system32\drivers\irbcul.sys
c:\windows\system32\drivers\AWLDRPOD.sys
c:\Windows\System32\drivers\azuurs.sys
c:\users\nutzer\AppData\Local\Temp\ZOAVFUEATO.exe
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

GMER

• Lade die Datei GMER auf den Desktop und entpacke sie.
• Ordner GMER öffnen.
• gmer.exe doppelklicken.
• Wähle nun den Reiter Rootkit/Malware.
• Alle Haken dort setzen
• Hinweise mit Nein bzw. No beantworten.
• Den Button Scan klicken.
• Wenn der Scan abgeschlossen ist klicke auf Copy, um das Log zu kopieren.

Mit CCleaner System aufräumen


Malwarebytes Anti-Malware

• Installiere Malwarebytes Anti-Malware.
• Führe eine Programmaktualisierung durch.
• Vollständigen Systemscan durchführen.

Systemwiederherstellung deaktivieren: Systemwiederherstellung deaktivieren Tutorial
Windows XP, Windows Vista, Windows 7

Rootkit RKIT/Kryptic immer noch nicht entfernt?

OTH - OTHelper - Kill All Processes


Mit aktualisiertem (!!) Malwarebytes Anti-Malware nach Ausführen von OTH nochmal QUICKSCAN ausführen.

Weitergehende Prüfung

Das System könnte noch nicht vollständig sauber sein.

Daher unbedingt ein Thema erstellen: Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Nicht vergessen mit OTL Logfiles....