Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

str.sys rootkit virus blijft terugkomen na verwijdering...

Pagina: 1
Acties:

  • Stab
  • Registratie: Juni 2011
  • Laatst online: 30-12-2024
Ik deed vandaag een viruscheck met het programma Malwarebytes en die vond twee 'rootkit' virussen... Allebei genaamd str.sys. 1 in de system32/drivers/ folder en 1 in de syswow64/drivers folder.
Na de scan kan ik de files verwijderen en moet er een reboot plaatsvinden. Ik krijg dan een logfile te zien waarin de files inderdaad zijn verwijderd.

Als ik echter weer een nieuwe scan uitvoer, zijn de rootkits gewoon weer terug!

Hoe krijg ik ze permanent weg?

  • D4NG3R
  • Registratie: Juli 2009
  • Laatst online: 16:18

D4NG3R

kiwi

:)

Stab schreef op zondag 13 mei 2012 @ 01:45:
Hoe krijg ik ze permanent weg?
Herinstalleer je OS.

Komt d'r in, dan kö-j d’r oet kieken


  • Stab
  • Registratie: Juni 2011
  • Laatst online: 30-12-2024
Het is gelukt! Op een ander forum gelezen dat ik het programma ComboFix moest gebruiken... Die heeft het inmiddels opgelost. Briljant.

Verwijderd

Maak regelmatig een volledige backup met een (speciaal) backup programma.
Mocht er dan ooit wat mis gaan dan kun je altijd de backup terug zetten.
;)

  • Primal
  • Registratie: Augustus 2001
  • Laatst online: 15-11 07:34
Ik weet niet of het overbodig is te melden dat je i.i.g. na een rootkit infectie nooit zeker bent dat 1) er geen andere zaken zijn achtergebleven die zijn binnengekomen met de besmetting (bijv. achterdeurtjes) 2) het volledig weg is. Een zorgvuldige en volledige herinstallatie van het systeem (en daarbij sluit ik voor het gemak virus besmettingen in systeem componenten als BIOS en hardeschijf even uit) is de enige oplossing die deze zekerheid wel bied.

"The fastest code, is the code that is never called."


  • Sebas1974
  • Registratie: Maart 2007
  • Laatst online: 30-10 16:24
Zelfs na een herinstallatie kan de malware weer terugkomen. Velen denken onterecht dat een herinstallatie alle problemen oplost. Maar vergeten wordt dat ook de MBR (Master Boot Record) geïnfecteerd kan zijn. Een herinstallatie heeft geen invloed op de MBR.

Dus, na een herinstallatie zal de eventueel op de MBR aanwezige malware al vrij snel de systeempartitie herinfecteren. Beveiligingssoftware zal over het algemeen alleen de op de partities' aanwezige infecties opruimen maar het MBR ongemoeid laten. De truc is om eerst de alle malware op te ruimen en pas daarna het MBR te schonen/ repareren.

The Truth Is Our There ✨🛸✨


  • D4NG3R
  • Registratie: Juli 2009
  • Laatst online: 16:18

D4NG3R

kiwi

:)

MBR's worden bij moderne schijven zelden geinfecteerd, in 999/1000 gevallen is een complete format + herinstall afdoende, slechts die en 0,01% van de gevallen heeft iets in z'n MBR zitten.

Komt d'r in, dan kö-j d’r oet kieken


  • Sebas1974
  • Registratie: Maart 2007
  • Laatst online: 30-10 16:24
Neem maar van mij aan dat elke pc techneut regelmatig een klant heeft die een geïnfecteerde MBR heeft. Dit soort zaken mag je nooit uitsluiten. Althans niet als professional.

The Truth Is Our There ✨🛸✨


  • D4NG3R
  • Registratie: Juli 2009
  • Laatst online: 16:18

D4NG3R

kiwi

:)

Hence "Zelden". Een herinstall is altijd een betere manier om dit te testen als een of ander progrje om het te verwijderen.

Komt d'r in, dan kö-j d’r oet kieken


  • Sebas1974
  • Registratie: Maart 2007
  • Laatst online: 30-10 16:24
Er zijn wel een aantal tools waarmee je de mbr status kunt bekijken zonder dat je er direct werk van maakt.
Bijvoorbeeld: MBRCheck.

Als je dit runt dan krijg je in het geval van een Windows 7 installatie:

"Windows 7 MBR code detected".

Krijg je andere/ vreemde resultaten dan heb je wat uit te zoeken. Het is vrij vervelend om na een herintallatie erachter te komen dat het voor niets is geweest ;) Maar dit is slechts 1 tooltje.

Anyways, de meer conventionele malware komt idd vaker voor maar bij mij krijgt elke geïnfecteerde pc die onder mijn handen komt standaard een controle op MBR rariteiten.

The Truth Is Our There ✨🛸✨


  • Stab
  • Registratie: Juni 2011
  • Laatst online: 30-12-2024
ComboFix heeft de bestanden verwijderd.
MalwareBytes vindt niets meer. GMER uitgevoerd, vindt ook niks.

Mag ik er nu vanuit gaan dat het weg is? Of kan het er nog steeds 'ergens' zijn?

  • Sebas1974
  • Registratie: Maart 2007
  • Laatst online: 30-10 16:24
Je kunt mbrcheck.exe eens draaien en zien wat het resultaat is.
Combofix is trouwens een link stukje software. Prima als je weet wat je doet maar het kan misgaan. Gelukkig ging het bij jou goed.

Als je Malwarebytes nog een volle test laat doen, SuperAntispyware ook en TDSSKiller dan moet je toch wel van de problemen af zijn. Je zou nog handmatig door de Windows folder, de System32 folder en de System32/Drivers folder kunnen speuren en zie of je rariteiten tegenkomt. Maar wat ervaring is dan wel gewent.

Kijk ook eens hier: http://www.selectrealsecurity.com/malware-removal-guide
Goede en heldere uitleg en procedures. Kijk ook de andere onderdelen van Selectrealsecurity.com eens door. Ben erg gecharmeerd van deze site.

Good luck _/-\o_

Edit: Rkill downloaden en draaien voordat je gaat scannen vergroot de kans dat verborgen malware vindbaar wordt voor de scanners. Na Rkill en de scans wel even een reboot want Rkill zet wat services uit.

[ Voor 12% gewijzigd door Sebas1974 op 17-05-2012 02:25 ]

The Truth Is Our There ✨🛸✨


  • photofreak
  • Registratie: Augustus 2009
  • Laatst online: 23-11 08:31
HitmanPro wilt ook nog wel eens helpen en helpt ook tegen boot/rootkits die je MBR infecteren: http://www.surfright.nl/
Pagina: 1