Hacktool.Rootkit SVKP.sys Norton Viruswarnung - Wer ist noch betroffen?

hi spooky,
habe auch dieses hacktool.rootkit. in Windows/system32/svkp.sys. habe auch norton antivirus drauf und bekomme immer diese fehlermeldung wenn ich z.b. emule starten will. virendefinition ist vom 19.5. und ich hatte das problem erst seit dem datum.habe schon einige scanner drüber laufen lassen, aber keines davon findet diesen fiesling. norton selber natürlich auch nicht.
ich tippe mal das du mit deiner vermutung recht hast, aber warum kann man dann bestimmte progs nicht mehr ausführen wenn es sich um eine fehlerhafte virendefinition handelt?
bin kurz davor mein system neu aufzusetzen, warte aber noch ein paar tage, falls sich deine vermutung als richtig raustellen sollte.
viel glück beim "der sache auf den grund gehen"

ach übrigens, habe irgendwo gelesen, das das jemand recht einfach behoben hat. er hat im abgesicherten modus die svkp.sys gelöscht und eine neue, leere datei des namens erstellt. hat wohl dazu geführt, das dieses rootkit nicht mehr richtig ausgeführt wird. <---- keine haftung für richtigkeit diese aussage  ;-)
gruß caspar

Hi Caspar,

die Aussage stimmt so nicht ganz. Das Problem mit der SVKP.sys ist sehr kompliziert, und von PC zu PC verschieden. Das Problem, das bestimmte Programme nicht mehr starten, entsteht dadurch, das Norton diese Datei nicht nur isoliert, sondern auch einen von mehreren Registry Einträgen löscht. Dadurch werden nur Teile aufgerufen und die von mir oben beschriebene Fehlermeldung seitens Windows ausgelöst.

Das Prolem ist nicht generell einfach zu beheben, auch nicht durch das Erstellen einer leeren "Fakedatei". Dadurch mag zwar die Viruswarnung verschwinden weil Norton den Algorithmus nicht mehr erkennt, aber dadurch werden auch die entsprechenden Programme nicht mehr gestartet. Die SVKP.sys ist für bestimmte Applikationen eine wichtige Datei, und nicht umsonst Systemdatei. Außerdem ist das sowieso nutzlos und dumm, da diese Datei früher oder später sowieso wieder automatisch erstellt wird, spätestens bei einer Neuinstallation der Software. Dann beginnt das ganze Spiel von vorn, denn Norton findet und bemängelt die Datei wieder, löscht wieder den Registry Eintrag, und das Programm startet wieder nicht. Diese Fakedatei eignet sich nur als Crashmethode, um herauszufinden, welche Programme nach ihr verlangen. Aber das merkt man auch so, sobald nämlich beim Programmstart die Viruswarnung kommt.

Ich kann dir eine einfache Notlösung anbieten. Wenn du Emule brauchst, und Norton auf dem System lassen willst. musst du die SVKP bei Norton von der Suche ausschliessen. Mach folgendes:

1. Deaktiviere die Systemwiederherstellung von Windows.
(Einstellungen>Systemsteuerung>System>Systemwiederherstellung und Häkchen setzen bei "Deaktivieren")

2. Gehe in die Registry und lösche folgenden Eintrag:
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Service\SVKP , oder:
HKEY_LOCAL_MACHINE\SYSTEM\Controlset003\Service\SVKP ; Wenn beide da sind, lösche beide. Nur den Ordner SVKP der in der im Baum links steht, den aber komplett.

3. Mach Neustart.
4. Aktiviere wieder die Systemwiederherstellung.
   Deaktiviere nun Autoprotect von Norton. WICHTIG !!!!!!!

5. Starte Emule. Schliesse es wieder.

6. Führe nun mit Norton einen Systemscan durch. Norton findet wieder die SVKP.sys. Schliesse nun die Datei von weiteren Scans aus. Das heißt also, nicht löschen, reparieren oder isolieren, sondern Ignorieren oder ausschliessen, je nachdem, was angezeigt wird.

7. Aktiviere Autoprotect wieder.

Nun sollte Emule wieder laufen. Wenn nicht, melde dich.

Mach bloß keinkomplettes Neuaufsetzen deines Systems, weil das GAR NICHTS bringt. Da Norton fehlerhaft ist, erscheint diese Virusmeldung sowieso wieder sobald die SVKP.sys wieder da ist, und es war alles umsonst. Und vertraue auch nicht auf angebliche "Lösungen". Die gibt es nicht, solange Norton nicht in einer neuen Virendefinition das Problem behebt. Die einzige Möglichkeit ist, Norton beim Start der Programme, die die SVKP brauchen zu deaktivieren, oder aber speziell die SVKP.sys von der Norton Suche ausschliessen.

Greets

Habe das gleiche Problem bei mir ist es auch emule. Habe es seit gestern. Habe die neuste Version von Norten 2005. Das Programm wurde zuletzt am 19.10.05 aktualisiert. Was macht den der angebliche Virus eigentlich???? Muß ich meinen rechner jetzt in irgendeinem computerladen prüfen lassen??? auf der Norten Homepage steht über den Virus folgendes http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-hacktool.rootkit.html

Kann mir jetzt irgendwer was sagen??? Ist der Virus jeztz gefährlich???
MfG Nino

Diese Datei gehört nicht zu eMule!!!

Wer diese Probleme hat, sollte eMule sofort neu installieren.

@ Nino: Das stimmt zwar was dort bei Symantec steht, aber wie es aussieht, ist das eine Falschwarnung. Nachdem was Einige herausgefunden haben, hast du diesen rootkit gar nicht auf deinem Rechner. Du kannst dein Rechner gern neu aufsetzen, aber du wirst die gleiche Fehlermeldung wieder erhalten, weil das Problem beim Virenprogramm liegt, das diese Datei fälschlich als Virus erkennt, und eben nicht an deinem angeblich infiziertem Rechner. Lies mal bitte mein Eingangsposting.

@ Bachsau:
Danke für deinen unqualifizierten Beitrag. Die Datei SVKP.sys ist eine Ssystemdatei, die von Programmen oder dem Betriebssystem beim Start erstellt und gebraucht wird. Manchmal ist sie Starthilfe, sie dient als Treiber oder Drop-Datei beim Packen. Das ist unterscheidlich. Manche haben die gar niht auf ihrem System, weil sie die entsprechenden Programme nicht haben. Lies bitte mein Eingansposting dazu. Daher ist klar, das diese Datei zum Installationspfad von emule nicht gehören kann. Sie ist eine Hilfsdatei die quasi "extern" angelegt wird.
Darüberhinaus ist es völliger Quatsch, Emule neu zu installieren. Erstens ändert das an dem angeblichen Virenproblem gar nichts, das haben nämlich einge Leute seit Tagen hundertfach ausgetestet, und zweitens, wenn du obiges weißt, müßte dir klar sein, das diese Datei sowieso jedesmal neu erstellt wird im Windows Systemordner, und mit den Installationsdateien von Emule gar nichts zu tun hat. Eigentlich habe ich das oben alles beschrieben. Bitte LESEN!

Gruss Spooky

Seit heute Morgen bietet Symantec eine neue Virendefinition per LiveUpdate an. Ich habe die SVKP.sys anschliessend direkt gescannt, und die fehlerhafte Biruswarnung taucht nicht mehr auf. Wenn das so bleibt, dürfte Symantec das Problem also behoben haben.

Greets

Wenn ich dann die neuste Virendefinition installiert habe, und ich die Fehlermeldung nicht mehr bekomme. Kann ich dann sicher sein das der Virus weg ist???? bzw. keinen Schaden mehr anrichtet???
Vielen Dank für die schnelle Beantwortung meines ersten Beitrags.

Kann ich dann auch ohne Bedenken emule weiter nutzen??? Er hat gestern beim komplett Scan auch keinen Virus gefunden. Nur wenn ich die emule.exe Datei gestartet habe. Die beiden Computerläden die ich angerufen habe meinten auch beide was anderes zu dem Thema.

Du hattest nie einen Virus auf dem PC, das habe ich von Anffang an gesagt. Daher konnte beim Scan auch nie etwas gefunden werden. Du konntest die ganze Zeit deinen PC bedenkenlos benutzen. Man muss sich nur vorsichtig ausdrücken. Ich habe schon vor Tagen PC Infektion nahezu ausschliessen können, dazu waren die Umstände nicht zutreffend. Der Fehler lag bei Symantec. So etwas kann vorkommen. Mache LiveUpdate, und der Fehler ist behoben. Symantec hat lobenderweise sehr schnell reagiert. Den Registry Eintrag aber musst du wie oben beschrieben per Hand ändern, denn Norton hat ja auch einen Registry Eintrag gelöscht, das musst du wieder herstellen. Sonst startet dein Programm nicht.