Infectie probleemen H8srt opgelost maar blijft in register

[Edwin1978]

Na een besmetting was mijn pc onbruikbaar geworden. Mcafee was niet meer toegankelijk. Hij starte niet meer normaal op zonder te crashen. Alleen in de veilige modus met netwerk mogelijkheden starte hij onder de administrator wel op. Allen kon ik daarin in schijfbheer mijn harde schijf niet meer zien. Ook waren mijn branders uitgeschakeld.

Hierna heb ik handmatig verbinding met het internet kunnen maken. Toen heb ik een online scanner (house call) gebruikt en die vond meteen een flink aantal infecties. Na verwijdering was er al weer wat meer mogelijk maar normaal opstarten bleef onmogelijk. Hij vond steeds opnieuw "H8srtuacuon~ TROJJ TDSS.SMA". Dit zou na opstarten verwijderd worden maar dat gebeurde niet.

Na veel gezoek op internet had ik een aantal vemoedens van wat het probleem kon zijn.
Een ervan was een door de infectie geinstalleerde rootkit. Dit was dus het geval. Ik gebruikte rootkitbuster om dit op te sporen.

Dit was het resultaat.

--== Dump Hidden MBR, Hidden Files and Alternate Data Streams on C:\ ==--
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\drivers\H8SRTjkilalsvnl.sys
FullPathLength: 47
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\H8SRTavquxoeexd.dat
FullPathLength: 39
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\H8SRTnegnbdytnk.dll
FullPathLength: 39
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\H8SRTppliwubaoj.dll
FullPathLength: 39
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\h8srtshsyst.dll
FullPathLength: 35
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\H8SRTtxqklcuhhs.dll
FullPathLength: 39
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:


Na dit door het programma te laten verwijderen werden mijn harde schijf en branders na opstarten weer toegankelijk. Het systeem voerde nu bij opstarten ook meteen een chkdisk uit die ik handmatig via start>uitvoeren niet kon aanroepen.

Daarna heb ik met geavanceerd zoeken de volgende 3 bestanden gevonden

H8SRTcc17.tmp
h8srtkrl32mainweq.dll
h8srtmainqt.dll

en handmatig verwijderd.


Nu lijken voorlopig mijn problemen voorbij allen twijffel ik over het volgende:

In mijn register blijven H8srt en Malware defense entries zichtbaar.
Deze worden door rootkit, hijackthis ccleaner of wat dan ook niet gezien.

Kan ik deze handmatig verwijderen?

mvg

Edwin

 

[Gammo123]

Hallo Edwin en welkom op Helpmij.nl!

Sorry voor het late antwoord.

H8SRT is een variant van de TDSS-rootkit en Malware Defense is een nep anti-spywareprogramma. Beide infecties zijn niet makkelijk te verwijderen. Ik denk dat je daarom het beste je pc even kan laten controleren door een getrainde security helper, om te controleren of alle infecties wel écht helemaal verwijderd zijn.

Hier op het Helpmij.nl Forum helpen we alleen met het verwijderen van de wat mildere infecties. Een aantal Nederlandstalige fora die je hiermee wel kunnen helpen zijn:

• Nucia Security Forums
• BlueMedicine Security Forum
• HijackThis.nl

Ik stel voor dat je je op één van de bovenstaande forums registreert en daar je probleem uitlegt. :thumb:

Handmatig sleutels of waarden uit het Windows Register verwijderen/wijzigen zou ik niet doen, tenzij je echt weet waar je mee bezig bent. Een foutje kan namelijk al snel leiden tot problemen, zoals bepaalde programma's, of zelfs de hele pc die niet meer op wilt starten.

Van registersleutels of -waarden die gerelateerd zijn aan malware zou ik sowieso afblijven.
Infecties maken vaak gebruik van legitieme registerwaarden. Zulk soort registerwaarden verwijderen i.p.v. herstellen naar de standaarddata kan ernstige problemen opleveren. Bij infecties zal je sowieso de hele infectie moeten verwijderen, want anders worden de bijbehorende registersleutels/-waarden weer opnieuw aangemaakt.

Mocht je toch een keer iets in het register willen wijzigen, dan is het altijd een goed idee om eerst een registerback-up te maken met ERUNT. Zo kan je het register herstellen naar een oudere staat, mocht er iets mis gaan.

HijackThis en RootkitBuster verwijderen niets uit zichzelf. Er is altijd user input nodig. Deze programma's uit de wilde weg regels laten verwijderen, moet je trouwens al helemaal niet doen, want veel (doorgaans de meeste) objecten die deze programma's tonen zijn gewoon legitiem.

CCleaner is een temp-cleaner - niet een programma om infecties mee te verwijderen. Het kan hoogstens infecties uit de tijdelijke mappen van je computer verwijderen.

 

[Edwin1978]

bedankt voor je reactie

bedankt voor je reactie, ik zal zeker even op die forums gaan kijken.

 

[Arretje]

Download link MalwareBytes' Anti-Malware

Dubbelklik op mbam-setup.exe om het programma te installeren.

Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.
Ga naar tabblad "Scanner" en kies voor "Volledige Scan".
Klik vervolgens op "Scannen" om de scan te starten.
Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".

 

[Gammo123]

Arretje, de gebruiker is inmiddels al hulp gaan zoeken op één van de eerdergenoemde forums.

Die MBAM-scan is dus niet meer nodig.