Paules-PC-Forum.de Anzeige:

Microsoft Windows Intune: PC-Verwaltung und -Sicherheit in der Cloud: Updateverwaltung, Anti-Virus und vieles mehr!


Zurück   Paules-PC-Forum.de > Infothek - die große Wissensdatenbank > Die Infothek > 4. PC-Sicherheit
RKIT.Kryptic Entfernen RKIT.Kryptic Entfernen
Startseite Registrieren Hilfe Kalender Suchen Heutige Beiträge Alle Foren als gelesen markieren

4. PC-Sicherheit Artikel und Anleitungen zur richtigen Absicherung Deines Systems

EM-Tippspiel

Paule bei Facebook


Paule bei Twitter

Navigation

Letzte Forenthemen
Gehe zum ersten neuen Beitrag Xp Update geht nicht weg
Aufrufe: 824, Antworten: 12
Schnäppchen Thread ... von...
Aufrufe: 7272, Antworten: 35
Internetseite nicht Erreichbar
Aufrufe: 174, Antworten: 13
Keine Konnektivität bzw....
Aufrufe: 193, Antworten: 14
DB, Tabellen, anlegen mit...
Aufrufe: 35, Antworten: 1
bluescreen nach msconfig...
Aufrufe: 53, Antworten: 2
Neues Netzwerk?
Aufrufe: 23, Antworten: 2
PPF - Spiel "Wörter weiter...
Aufrufe: 26065, Antworten: 4130
EM-2012 Tippspiel!
Aufrufe: 263, Antworten: 7
Fußkrank
Aufrufe: 403, Antworten: 21
Zeige:

Anzeige:




Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 15.01.2010, 12:36   #1 (Direktlink)
Moderator
 
Benutzerbild von Paule
 
Registriert seit: 27.10.2008
Beiträge: 4.376
Standard RKIT.Kryptic Entfernen
Autor Markusg

RKIT.Kryptic Entfernungsanleitung

Warnung:
Diese Anleitung ist nur für erfahrene Anwender! Wer mit ihr nicht zurecht kommt, sollte sich bei uns im Viren-Forum melden und um Unterstützung bei der Entfernung bitten.


Was ist ein Rootkit?
Definition: Rootkit ? Wikipedia

Wer Online Banking betreibt sollte im Falle einer Infizierung dringend seine Bank informieren und bis zu einer vollständigen Bereinigung des Rechners kein Online Banking mehr betreiben. Am Schluss sind alle Passwörter zu ändern.

Erkennung:

Folgende Dateien und Registry-Einträge sind unter anderem auf einem infizierten System zu finden:

Dateien:
c:\windows\system32\drivers\irbcul.sys
c:\windows\system32\drivers\AWLDRPOD.sys
c:\Windows\System32\drivers\azuurs.sys

Registry-Einträge:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\azuurs]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\irbcul]

Die Rootkit Services sind zu finden unter:
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\..........]
[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\..........]
[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\..........]

Bevor wir beginnen, solltest Du alle wichtigen Daten sichern!
Wenn Du eine externe Festplatte oder sonstige externe Datenträger verwendest, deaktiviere die Autorun-Funktion!
http://www.wintotal.de/tipparchiv//?id=548

Da die meisten Antiviren-Programme Schwierigkeiten haben das Rootkit zu entfernen, nutzen wir Combofix. Dieses Tool sollte nur von erfahrenen Anwendern verwendet werden. Combofix

Bitte auch den Abschnitt "Combofix umbenennen" beachten, da das Rootkit die Combofix.exe blockieren könnte!

Auch wenn Combofix schon einige Dateien löschen sollte, bleibt meist noch etwas übrig. Hier erkläre ich es an einem Beispiel:

Zitat:
S3 ZOAVFUEATO;ZOAVFUEATO;c:\users\nutzer\AppData\Local\Temp\ZOAVFUEATO.exe --> c:\users\nutzer\AppData\Local\Temp\ZOAVFUEATO.exe [?]
*NewlyCreated* - AWLDRPOD
*Deregistered* - awldrpod
*Deregistered* - irbcul
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-12 13:42
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0
************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\irbcul]

Erstellen eines Combofix-Scripts:
1. Öffne den Editor, über Start - Programme - Zubehör - Editor und kopiere die folgenden Zeilen als Script ein:
Zitat:
Rootkit::
File::
c:\windows\system32\drivers\irbcul.sys
c:\windows\system32\drivers\AWLDRPOD.sys
c:\users\nutzer\AppData\Local\Temp\ZOAVFUEATO.exe
Driver::
irbcul
DPCUOWWMJM
ZOAVFUEATO
AWLDRPOD
Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\irbcul]
2. Schalte alle laufenden Programme, wie z.b Dein Antivirusprogramm aus. Klicke im Editor auf "Speichern unter", wähle als Dateityp "Alle Dateien" und speichere die Datei direkt auf Deinem Desktop als CFScript.txt ab.
3. Ziehe nun die Datei CFScript.txt per Drag & Drop auf das Combofix Symbol.

So sollte es nach erfolgreicher Löschung aussehen:

Zitat:
(((((((((( Weitere Löschungen )))))))))))

c:\windows\system32\drivers\irbcul.sys
c:\windows\system32\drivers\AWLDRPOD.sys
c:\users\nutzer\AppData\Local\Temp\ZOAVFUEATO.exe

((((((((((( Treiber/Dienste )))))))))))

-------\Legacy_IRBCUL
-------\Service_irbcul
-------\Legacy_AWLDRPOD
-------\Service_DPCUOWWMJM
-------\Service_ZOAVFUEATO
Dieser Eintrag

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\irbcul]

Sollte nun auch nicht mehr auftauchen.

Nach der Säuberung sind noch ein paar Abschlußarbeiten notwendig:
  1. CCleaner anwenden.
    http://www.paules-pc-forum.de/forum/4-pc-sicherheit/104967-ccleaner-systemsaeuberung.html
  2. MalwareBytes ausführen.
    http://www.paules-pc-forum.de/forum/4-pc-sicherheit/107467-malwarebytes-anti-malware.html
  3. Bitte nutze auch Deinen eigenen Virenscanner und überprüfe das System.
  4. Deinstalliere Combofix. Klicke hierfür auf Start - Ausführen, gebe den Befehl combofix /uninstall ein und schließe die Eingabe mit der Eingabe-Taste ab.
  5. De- und Reaktiviere die Systemwiederherstellung im Wechsel:
    Windows XP - Die Systemwiederherstellung komplett abschalten
     Systemwiederherstellung deaktivieren unter Vista - Windows Windows 7 Tipps Tricks Computer PC Hilfe
  6. Aus Sicherheitsgründen sollten nun noch alle Passwörter geändert werden! (Home Banking etc.)
Sollte es Probleme bei der Säuberung geben, wende Dich bitte an unsere Spezialisten im Viren-Forum. Wir helfen Dir gerne weiter.

Bitte beachte auch unsere Empfehlungen für ein sicheres surfen im Internet!
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/114329-paules-10-empfehlungen-zum-sicheren-surfen-im-internet.html
Geändert von markusg (20.01.2010 um 20:41 Uhr)
Paule ist offline   Mit Zitat antworten
Werbung

Windows 7 Tipps und Tricks in Bildern

Antwort

  Paules-PC-Forum.de > Infothek - die große Wissensdatenbank > Die Infothek > 4. PC-Sicherheit

Lesezeichen
Themen-Optionen
Ansicht
Linear-Darstellung Linear-Darstellung

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
RKIT/AGENT.GO final_cut Viren-Forum 1 12.07.2007 08:29



Alle Zeitangaben in WEZ +2. Es ist jetzt 06:01 Uhr.

Kontakt - Paules-PC-Forum.de - Archiv - Nach oben

Powered by vBulletin® Version 3.8.7 (Deutsch)
Copyright ©2000 - 2012, vBulletin Solutions, Inc.
Powered by vBCMS® 2.7.0 ©2002 - 2012 vbdesigns.de
(c) Paules-PC-Forum.de

::: Impressum :::

Search Engine Optimization by vBSEO 3.3.2