Hardnekkig virus

[michel3000]

Vanmorgen gaf mij toen nog functioneerde nod32 een melding van een chinese site die iets probeerde te installeren. Ik heb onmiddelijk afgebroken, maar een paar minuutjes later hing mijn computer.

Na een herstart blijk nod32 te zijn verdwenen en in normale mode hangt de computer binnen 30 seconden na opstarten volledig. Zelfs de startknop of control-alt-delte werkt niet meer. (werk met windows xp)

In safe mode opstarten lukt gelukkig nog wel, met swdoctor heb ik wel wat verwijderd maar het blijkt niet het probleem te zijn, want bij normaal opstarten hangt de computer nog steeds vrijwel direct.

Kunnen jullie hulp bieden ?

 

[puppie]

http://www.helpmij.nl/forum/showthread.php?t=389661

doe maar eens wat er in bovenstaande link staat.

 

[michel3000]

lukt niet

hallo puppie

downloaden van mbam-setupp is geen probleem
maar in safe mode lukt het mij niet op dit programma op te starten

ik kan klikken wat ik wil maar programma start niet op (verschijnt ook geen foutmelding)

 

[michel3000]

update naar het programma te hernoemen kon ik het wel opstarten

 

[puppie]

en dan scannen maar.
suc6

 

[michel3000]

Beide programma's meerdere malen gedraaid maar ik krijg het helaas niet weg, althans het is direct weer terug

27-12-2009 0:55:47
mbam-log-2009-12-27 (00-55-47).txt

Scan type: Volledige Scan (C:\|)
Objecten gescand: 628051
Verstreken tijd: 1 hour(s), 55 minute(s), 43 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 1
Registersleutels geïnfecteerd: 1
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 1

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
\\?\globalroot\systemroot\system32\H8SRThtpkcxedoh.dll (Trojan.FakeAlert) -> Delete on reboot.

Registersleutels geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
\\?\globalroot\systemroot\system32\H8SRThtpkcxedoh.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Wat zou ik nog meer kunnen doen ?

 

[Ellasar]

Ja TDSS is een pokke ding. Ik zie op het net dat het programma SpywareBlaster (http://www.javacoolsoftware.com/spywareblaster.html) hem kan verwijderen maar misschien is het het handigst om even langs www.nucia.nl te gaan om je daar door een handmatig proces te laten leiden.

 

[mrmusic]

Kijk even hier voor een tooltje om het probleem op te lossen:

http://bias9.blogspot.com/2008/11/tdss-rootkit-removal.html

In de post van Alisa Sh May 25, 2009 11:27 AM staat een linkje naar de
free TDSS removal utility

 

[Ellasar]

@mrMusic lollige link trouwens
de bouwers van die tool hebben een complete case study op hun site van TDSS staan. altijd interresant om te lezen

http://www.esagelab.com/files/AlisaS-VBMay09.pdf

 

[michel3000]

ja mss dat deze oplossing in mei nog werkte
maar nu haalt tie het wel weg, maar bij de volgende reboot, staat het er weer

 

[michel3000]

opgelost door het andere forum waar naar jullie mij verwijzen hebben :thumb: