OPMERKING: Onderstaand is een verslag van een TDL4 behandeling
bedoeld voor malware analysten.
Het is geenszins de bedoeling deze procedure te gebruiken als gewone gebruiker.
Naar aanleiding van een rogue besmetting (Anti Malware Doctor), zette ik rkill en MBAM (volledige scan) in.
MBAM log was clean.
TDSSKiller gaf echter aanduiding van een TDL besmetting.
Uit de TDSSKiller log las ik dat hij deze verwijderde.
Omdat de TS géén antivirus had geinstalleerd, advizeerde ik hem/haar dit alsnog te doen.
Avira Antivir melde een aanwezigheid van een Rootkit en een Vundoinfectie.
Starting master boot sector scan:Master boot sector HD0
[DETECTION] Contains code of the BOO/TDss.M boot sector virus
[NOTE] The boot sector was not written!Master boot sector HD1
[INFO] No virus was found!
Start scanning boot sectors:Boot sector 'C:\'
[DETECTION] Contains code of the BOO/TDss.M boot sector virus
[NOTE] The boot sector was not written!
Starting to scan executable files (registry).
The registry was scanned ( '1711' files ).
Starting the file scan:
Begin scan in 'C:\Windows\system32'C:\Windows\system32\dsdmol.dll
[DETECTION] Is the TR/Vundo.Gen2 Trojan
Beginning disinfection:C:\Windows\system32\dsdmol.dll
[DETECTION] Is the TR/Vundo.Gen2 Trojan
[WARNING] The file could not be copied to quarantine!
[WARNING] The file could not be deleted!
[NOTE] The file is scheduled for deleting after reboot.
The repair notes were written to the file 'C:\avrescue\rescue.avp'.
Was opzich merkwaardig omdat MBAM hier geen melding van had gemaakt.
CF ingezet en een ongeldige Netsvc gevonden.
.....
R2 cchdohew;Crcdisk Filter Helper;c:\windows\System32\svchost.exe [2009-07-14 20992]
.....
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
cchdohew
Deze verwijderdt met een CFScript gevolgd door een tweede maal TDSSKiller.
De CF log was clean, TDSSKiller vertoonde de zelfde handelingen als ervoor.
Blijkbaar was TDSSKiller niet instaat deze te verwijderen.
aswMBR.exe ingezet.
Deze toonde netjes de Rootkit (TDL4) infectie en verwijderde die na een aswMBR fix.
aswMBR version 0.9.5.256 Copyright(c)
2011 AVAST SoftwareRun date: 2011-05-10 21:40:35-----------------------------
21:40:35.762 OS Version: Windows 6.1.7600
21:40:35.762 Number of processors: 2 586 0xF0B
21:40:35.764 ComputerName: FRANCA-PC UserName: Franca
21:40:36.212 Initialize success
21:40:42.836 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
21:40:42.838 Disk 0 Vendor: WDC_WD16 04.0 Size: 152627MB BusType: 3
21:40:42.853 Disk 0 MBR read successfully
21:40:42.856 Disk 0 MBR scan
21:40:42.859 Disk 0 TDL4@MBR code has been found
21:40:42.862 Disk 0 Windows 7 default MBR code found via API
21:40:42.866 Disk 0 MBR hidden
21:40:42.869 Disk 0 MBR [TDL4] **ROOTKIT**
21:40:42.873 Disk 0 trace - called modules:
21:40:42.878 21:40:42.882 Scan finished successfully
21:41:06.713 Disk 0 MBR has been saved successfully to "C:\Users\Franca\Desktop\MBR.dat"
21:41:06.714 The log file has been saved successfully to "C:\Users\Franca\Desktop\aswMBR.txt"
TDSSKiller was na deze handeling eveneens "clean".
http://www.nucia.eu/forum/showthread.php?t=63609
