Het gebruik van Combofix kan je beter in samenwerking met een Gekwalificeerd Helper doen.
Zie de fora list, rechts.
For the English version of this explanation,look here.
Don't use Google translation, its teribble.
WAARSCHUWING
Onderstaande is enkel geschikt voor Gekwalificeerde Helpers.
Ga niet op je eentje zitten te fixen !!!
Gebruik deze fix niet indien het gaat om een factory MBR of Multiboot.
Onlangs ben ik tegen de Whistler Bootkit gestoten in het behandelen van Hijackthis logs.
Deze malware neemt aggresief en onmerkbaar bezit van je PC.
Gmer, The Avenger 2, Combofix,.. het heeft niet mogen baten.
Een Systeem Herstel zal eveneens niet werken !
Volgende symptomen zijn van toepassing:
Kaspersky :
HEUR: Trojan.Win32.Generic in de C:\System Volume Information folder
Dr Web :
smss.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 Niet repareerbaar.Verplaatst.
svchost.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 Niet repareerbaar.Verplaatst.
In de Hijackthis logs is er het volgende merkbaar :
Running processes:
C:\System Volume Information\Whistler\svchost.exe
C:\System Volume Information\Whistler\smss.exe
of na een uitgevoerde Systeemherstel :
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe
Combofix toont ons :
------------------------ Andere Aktieve Processen ------------------------
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe
De Startup List van Hijackthis laat ons volgende zien:
Windows NT 'Wininit.ini' :
PendingFileRenameOperations: C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exeC:\System Volume Information\_restore{d5fffa500b1b}\smss.exeC:\System Volume Information\_restore{d5fffa500b1b}\SMSS.EXEC:\System Volume Information\_restore{d5fffa500b1b}\SVCHOST.EXE
De PendingFileRenameOperations waarde onder [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] was niet aanwezig.
Combofix en The Avenger verwijderen wel de twee bestanden, maar deze komen na een reboot onmiddelijk terug.
Identificatie:
Dieper en intesiever zoeken op Google leert me
dat we hier te maken hebben met Whistler Bootkit.
De oplossing:
Vermits deze infectie zich nestelt in de bootsector, is snelheid en accuratie belangrijk.
Stap 1
Downloadt bootkit_remover.rar (INFO)
Unzip het.
Open de map bootkit_remover en dubbelklik op remover.exe.
Post even wat er in het scherm verschijnt.
Stap 2
Een geinfecteerde bootsector kan er alsvolgd uitzien:
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com/
\\.\C: ->
\\.\PhysicalDrive0
MD5: 274955059efe9236c07688c5ff9242b2
Size Device
Name MBR Status
--------------------------------------------
74 GB
\\.\PhysicalDrive0 Unknown boot code
Unknown boot code has been found on
some of your physical disks.
To inspect the boot code manually, dump the
master boot sector:remover.exe dump [output_file]
To disinfect
the master boot sector, use the following command:remover.exe fix
Deze trekt meteen onze aandacht : \\.\PhysicalDrive0
Voor de zekerheid even nachecken met MBRcheck:
Download MBRCheck.exe naar je bureaublad.
Dubbelklik op MBRCheck.exe om het programma te openen.
Als je een melding krijgt, typ dan op N en druk op Enter.
Druk nogmaals op Enter.
Een kladblokbestand genaamd MBRCheck_mm.dd.yy_hh.mm.ss zal op je bureaublad worden opgeslagen.
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
PhysicalDrive0 Model Number: MAXTORSTM380815AS, Rev: 3.AAD
Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: F238F1FE114296B6DC7716517DC1DADB3FF3D5C6
Done!
Bovenstaande output is dus goed.
Indien niet :
We gaan deze verwijderen met een batch waarin we een switch voor remover.exe zetten:
@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
EXIT
Bij het uitvoeren van deze batch, moet de PC ONMIDDELLIJK herstart worden.
Dit is uitermate belangrijk, anders geven we de infectie de kans te herinitializeren.
Je zou hier eveneens het DOS commando SHUTDOWN -r in de batch kunnen implementeren.
De batch wordt dan :
@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
SHUTDOWN -r
EXIT
Eveneens vragen we na een herstart om de remover.exe log.
Je laat dus remover.exe, na de herstart, terug uitvoeren en vraagt om de output.
Als alles goed is gegaan, krijg je dit :
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com
\\.\C: -> \\.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd
Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
Voor de zekerheid en ter controle, even nachecken met Gmer en Hijackthis.
Het is eveneens aan te raden de paswoorden te veranderen.
Emphyrio :)
Met dank aan Marckie voor de ondersteuning in deze toch wel moeilijke infectie.