str.sys rootkit virus blijft terugkomen na verwijdering...

Stab schreef op zondag 13 mei 2012 @ 01:45:
Hoe krijg ik ze permanent weg?

Herinstalleer je OS.

Maak regelmatig een volledige backup met een (speciaal) backup programma.
Mocht er dan ooit wat mis gaan dan kun je altijd de backup terug zetten.

Ik weet niet of het overbodig is te melden dat je i.i.g. na een rootkit infectie nooit zeker bent dat 1) er geen andere zaken zijn achtergebleven die zijn binnengekomen met de besmetting (bijv. achterdeurtjes) 2) het volledig weg is. Een zorgvuldige en volledige herinstallatie van het systeem (en daarbij sluit ik voor het gemak virus besmettingen in systeem componenten als BIOS en hardeschijf even uit) is de enige oplossing die deze zekerheid wel bied.

Zelfs na een herinstallatie kan de malware weer terugkomen. Velen denken onterecht dat een herinstallatie alle problemen oplost. Maar vergeten wordt dat ook de MBR (Master Boot Record) geïnfecteerd kan zijn. Een herinstallatie heeft geen invloed op de MBR.

Dus, na een herinstallatie zal de eventueel op de MBR aanwezige malware al vrij snel de systeempartitie herinfecteren. Beveiligingssoftware zal over het algemeen alleen de op de partities' aanwezige infecties opruimen maar het MBR ongemoeid laten. De truc is om eerst de alle malware op te ruimen en pas daarna het MBR te schonen/ repareren.

MBR's worden bij moderne schijven zelden geinfecteerd, in 999/1000 gevallen is een complete format + herinstall afdoende, slechts die en 0,01% van de gevallen heeft iets in z'n MBR zitten.

Neem maar van mij aan dat elke pc techneut regelmatig een klant heeft die een geïnfecteerde MBR heeft. Dit soort zaken mag je nooit uitsluiten. Althans niet als professional.

Hence "Zelden". Een herinstall is altijd een betere manier om dit te testen als een of ander progrje om het te verwijderen.

Er zijn wel een aantal tools waarmee je de mbr status kunt bekijken zonder dat je er direct werk van maakt.
Bijvoorbeeld: MBRCheck.

Als je dit runt dan krijg je in het geval van een Windows 7 installatie:

"Windows 7 MBR code detected".

Krijg je andere/ vreemde resultaten dan heb je wat uit te zoeken. Het is vrij vervelend om na een herintallatie erachter te komen dat het voor niets is geweest Maar dit is slechts 1 tooltje.

Anyways, de meer conventionele malware komt idd vaker voor maar bij mij krijgt elke geïnfecteerde pc die onder mijn handen komt standaard een controle op MBR rariteiten.

Je kunt mbrcheck.exe eens draaien en zien wat het resultaat is.
Combofix is trouwens een link stukje software. Prima als je weet wat je doet maar het kan misgaan. Gelukkig ging het bij jou goed.

Als je Malwarebytes nog een volle test laat doen, SuperAntispyware ook en TDSSKiller dan moet je toch wel van de problemen af zijn. Je zou nog handmatig door de Windows folder, de System32 folder en de System32/Drivers folder kunnen speuren en zie of je rariteiten tegenkomt. Maar wat ervaring is dan wel gewent.

Kijk ook eens hier: http://www.selectrealsecurity.com/malware-removal-guide
Goede en heldere uitleg en procedures. Kijk ook de andere onderdelen van Selectrealsecurity.com eens door. Ben erg gecharmeerd van deze site.

Good luck

Edit: Rkill downloaden en draaien voordat je gaat scannen vergroot de kans dat verborgen malware vindbaar wordt voor de scanners. Na Rkill en de scans wel even een reboot want Rkill zet wat services uit.

[ Voor 12% gewijzigd door Sebas1974 op 17-05-2012 02:25 ]

HitmanPro wilt ook nog wel eens helpen en helpt ook tegen boot/rootkits die je MBR infecteren: http://www.surfright.nl/