[WinXP/Trojan] IRCBo.112640.1 verwijderen lukt niet

Hi all! Na lang zelf aanmodderen nu toch maar een topic geopend. Ik heb de FAQ gelezen en de tips daar doorgenomen, maar helaas los ik daar het probleem niet mee op.

Symptomen
Onlangs merkte ik dat er iets vreemds aan de hand was met mijn toetsenbord invoer. Ik gebruik de VS-Internationaal tb-indeling, zodat ik bijvoorbeeld 'é' krijg als ik eerst een ' en dan een e intypte. Van de ene op de andere dag gebeurde dit niet meer; de enkele quote (') lijkt gewoon niet meer geregistreerd te worden door het OS. Na wat zoeken op het net vermoedde ik dat er wellicht een keylogger in het spel zou zijn. Inderdaad vond ik in het register een aantal entries (in de Run en RunOnce keys) van een 'winupdate.exe' (dat is de naam van de sleutel) die de file c:\windows\messenger.exe start. Erg verdacht!

Pogingen tot verwijderen
In eerste instantie heb ik geprobeerd de file messenger.exe en de verwijzingen ernaar in het register handmatig te verwijderen. Het register-deel ging prima (althans; dat leek zo), maar de messenger.exe file wordt automtisch door system restore (systeemherstel) teruggeplaatst. Dus geprobeerd system restore uit te schakelen, maar dat heeft totaal geen effect; ik kan messenger.exe nog steeds verwijderen, maar binnen 10sec staat hij er weer. Na een reboot staan ook de registerkeys er weer vrolijk bij. Bovenstaande heb ik ook in safe mode geprobeerd, maar dat helpt niets.

Vervolgens geprobeerd erachter te komen wat voor stukje poep ik nu eigenlijk binnen heb gekregen. Mijn normale scanner, AVG Free, detecteert niets op de bewuste file (messenger.exe.) AntiVir PersonalEdition echter wel (net als ArcaVir en BitDefender); die zegt dat het gaat om de trojan IRCBo.112640.1 (de andere scanners geven andere obscure namen.) Bij het vinden van deze Trojan door AntiVir kan ik er o.a. voor kiezen om de file in quarantaine te plaatsen (de optie 'delete' is om de een of andere reden grijs), maar niets helpt (ja, ook een full system scan onder safe mode geprobeerd). Messenger.exe blijft braaf staan en zijn werk doen. Een google op deze Trojan levert betrekkelijk weinig op en zeker geen bruikbare removal tools.

Ik blijf dus zitten met een irritante Trojan die zich goed heeft genesteld in Windows en vanaf zijn veilige system-restoreplekje steeds opnieuw het systeem kan infecteren. Heeft iemand tips om dit ding resoluut en definitief de nek om te draaien?

Edwin van Cleef schreef op vrijdag 15 september 2006 @ 09:20:
Als je de pc in veilige modus opstart kan je dan wel de files van de trojan verwijderen? <--- dit neem ik terug niet goed gelezen.

In safe mode kan ik (net als in normale mode) de file messenger.exe wel verwijderen, maar system restore plaatst deze (ook in safe mode) binnen enkele seconden weer terug. De registry keys die ik telkens verwijder, worden na de eerstvolgende reboot vanzelf teruggezet. Als ik me niet vergis, is dat ook een 'mooi' stukje functionaliteit van XP zelf.

messenger kan je uninstallen via het software en in het windows onderdelen.
Schakel dat eens uit.

MSN en Windows Messenger heb ik meer dan een jaar geleden al permanent uitgeschakeld. Vandaar dat het me meteen opviel dat er iets niet in de haak was.

Ik weet haast wel zeker dat er meer files verantwoordelijk zullen zijn en niet alleen die messenger.exe.

Dat kan goed, maar AntiVir vindt verder niets. Dat is dan wel raar, want in de file messenger.exe treft AntiVir de genoemde trojan wél netjes aan. Ik vermoed daarom dat deze Trojan zichzelf in stand houdt door slim gebruik van System Restore.

Iig alvast bedankt dat je hiernaar wilt kijken!!

Edwin van Cleef schreef op vrijdag 15 september 2006 @ 09:43:
1 post boven je waarschijnlijk de oplossing

Dat had ik dus al geprobeerd, maar dat hielp niet omdat:
1. Het process messenger.exe staat niet altijd in de lijst van actieve processen (soms wel, soms niet, erg merkwaardig)
2. Na een reboot worden automatisch de registry-keys hersteld
3. Verwijderen van de file messenger.exe (vreemd genoeg staat deze stap niet eens in de 'oplossing') gaat niet omdat System Restore hem vrolijk weer terugplaatst.
Op zich een goede methode dus, ware het niet dat hij in deze situatie niet lijkt te werken.

Vreemd genoeg schijn ik nu overigens even van het probleem af te zijn, hoewel er in de afgelopen weken vaker perioden zijn geweest dat de Trojan 'onder controle' leek, om na een paar dagen toch weer de kop op te steken. Blijkbaar dus een herhaalde besmetting. Ik laat voorlopig even AntiVir naast AVG draaien om te zien of ik kan nagaan waar/wanneer een eventuele nieuwe besmetting optreedt.

Edwin van Cleef schreef op vrijdag 15 september 2006 @ 22:30:
Dan zal ik even verder zoeken voor je.

Nogmaals enorm bedankt voor je moeite!

Het is erop gekomen dus het kan er ook weer af lijkt me

Lijkt me ook! Het rare is trouwens dat momenteel de Trojan weer weg is; geen idee hoe dat precies gekomen is. Het laatste wat ik heb gedaan is het volgende:
- Scan van de Windows-partitie met AntiVir; hierbij werd de Trojan gevonden, maar verwijderen lukte nog steeds niet
- Na reboot begon AntiVir tijdens inloggen meteen te piepen; zodra de desktop verscheen, was er een venster van AntiVir met een melding over de Trojan in messenger.exe. Ik heb toen gekozen voor 'delete'.
- Meteen regedit gestart en de keys waarin naar messenger.exe werd verwezen verwijderd.

Sinds dat moment lijkt de boel weer schoon, ik hoop dat ik er nu definitief vanaf ben. Voorlopig laat ik AntiVir nog maar draaien zodat ik het meteen zie als de machine opnieuw geïnfecteerd raakt.