Trojan in system32/drivers

[Bommelding]

Hallo mensen,

Sinds 2 weken geleden kreeg ik af en toe als ik mijn pc wilde opstarten een BSOD. Als ik het daarna nog een keer probeerde werkte hij meestal gewoon. Na een tijdje heb ik een systeemherstel gedaan (hersteld naar een punt wat een aantal dagen eerder automatisch aangemaakt was). Toen de pc na deze systeemherstel opnieuw startte, kwam er een melding 'Systeemherstel mislukt' in beeld. Desondanks kwam het BSOD niet meer terug en daarom dacht ik dat het allemaal wel goed zat.
Totdat ik gisteren voor de zekerheid toch maar een virusscan deed (Met AVG). AVG vindt 58 potentieel gevaarlijke threats die 'extra aandacht vereisen' en niet automatisch verwijderd kunnen worden. Ik neem aan dat dit iets met de BSOD's te maken heeft. Als ik op 'adres problemen' druk krijg ik het volgende te zien:

Omdat de geïnfecteerde files zich in de system32-folder begeven, durf ik ze niet zomaar te verwijderen, uit angst dat ik essentiële files verwijder.
Wat kan ik hier het beste aan doen?

Bij voorbaat dank!

 

[edmoor]

In zo'n geval zou ik alles wat ik maar wilde bewaren op een externe harddisk zetten, eventuele andere schijven los koppelen en Windows opnieuw installeren, nadat ik met de extern tool de op de C: schijf aanwezige partities heb verwijderd.

Rigoreus, maar wel de meest efectieve manier om een dusdanig geïnfecteerd systeem schoon te krijgen.
Iedere andere manier zal dit niet volledig verhelpen waardoor je problemen blijft houden.

 

[Bommelding]

Dat is wel heel rigoreus inderdaad.. Dat soort dingen doe ik het liefst alleen als écht niks anders werkt.
Heeft iemand misschien ervaring met de methode die op deze site gebruikt wordt?

 

[vinno97]

Als ik Google op spmq.sys (het bestand waar het om gaat) zijn alle zoekresultaten gerelateerd aan virussen, ik ga er dus van uit dat het werkelijk om een virus gaat. Volgens deze website is het een trojan die hackers in staat stelt je PC over te nemen.

Voor de zekerheid zou ik toch een herstelpunt maken en de map backuppen.
Deze backup zou ik op een USB stick bewaren en niet in een andere windows PC steken mocht het echt een virus zijn. je zal het dan kunnen verwijderen dmv. een linux live USB.

Succes, en ik hoop dat het werkt :thumb:

 

[edmoor]

Volgens het plaatje is de systeem herstel informatie ook geïnfecteerd en zal dat virus dus na evt. verwijdering net zo hard weer worden terug geplaatst, tenzij je systeem herstel uitschakeld. Maar dat wil je ook niet.

 

[Bommelding]

Heeft niemand anders dit ooit meegemaakt of nog suggesties? Anders moet ik toch maar (met grote tegenzin) de grote schoonmaak gaan houden..
Als ik mijn windows CD nog kan vinden..

 

[edmoor]

Je kunt proberen wat vinno97 zei, maar dan zonder het systeemherstel gedeelte. Ook moet je systeemherstel dan eerst uitschakelen.

 

[Bommelding]

Ik zal nu even een herstelpunt maken en de map backuppen, maar wat moet ik verder precies doen? Dat over die linux live USB snap ik niet helemaal..

 

[vinno97]

Mocht het bestand geïnfecteerd zijn, is er een mogelijkheid dat als je hem in een andere PC stopt, die geïnfecteerd raakt. het virus kan echter niks aanrichten op een Linux besturingssysteem. Daarom zal je dan daaruit de USB moeten wissen (ik weet niet of het eigenlijk makkelijker kan) met een programma als op http://www.linuxliveusb.com/ kun je een usb maken waarvan je PC kan opstarten ipv windows

 

[Bommelding]

Als het echt helemaal mis gaat, is er dan een manier om windows opnieuw te installeren zonder CD? Ik heb wel een sticker met product key op mijn pc zitten.

 

[vinno97]

als je de originele installatie CD kwijt bent, kun je een recovery CD maken. hier is een goede hulp daarvoor: http://helpdeskgeek.com/windows-7/lost-windows-7-install-disc-create-a-new-one-from-scratch/

 

[Bommelding]

Ik heb windows vista home premium service pack 2, heb je daar toevallig een soortgelijke link voor?

 

[vinno97]

http://lifehacker.com/5793427/how-to-create-a-custom-windows-installation-dvd-or-usb-install
Al heb ik hier geen enkele ervaring mee en ik weet dus niet zeker of ik ondersteuning kan bieden als je problemen hebt

 

[vinno97]

het lijkt eigenlijk best wel rechtoe-rechtaan

 

[edmoor]

Ik heb windows vista home premium service pack 2, heb je daar toevallig een soortgelijke link voor?

Misschien een goed idee om meteen te upgraden naar Windows 7.
Als Vista er goed op draaide, draait Windows 7 beter.
Je hebt dan ook meteen een goede installatiedisk.
Kost wel geld uiteraard, maar het is een idee:
http://www.beslist.nl/software/d000...ium_N_(_5SC-00001_)_Productupgradepakket.html

 

[Bommelding]

Ik probeer het liefst eerst om windows vista erop te houden.
Het probleem is dat er gevraagd wordt naar WAIK o.i.d. en dat lijkt voor windows 7 te zijn...

EDIT: Zou het probleem verholpen zijn als ik de harde schijf uit een andere, oude (werkende) pc sloop die ik nog thuis heb staan (met windows XP) en deze in mijn huidige pc inbouw?

 

[Maxstar]

Hoi,

Een herinstallatie is helemaal niet nodig, en aan de screenshot te zien is er helemaal geen sprake van malware maar van de bekende "False Positive" van AVG.
AVG detecteert namelijk de kernel mode driver van b.v. Deamon Tools en Alcohol 120% (SPTD) driver als rootkit en dat is dus een valse melding.

Dit is een probleem wat bijna al een jaar bekend is maar nog steeds niet is opgelost, zie ook mijn onderstaande post over AVG en deze detecties.

http://www.pcwebplus.nl/phpbb/viewtopic.php?f=213&t=7975

Groet,

Maxstar

 

[edmoor]

Vreemd.
Ik gebruik ook Daemon Tools en AVG, zonder problemen.

 

[Maxstar]

Hoi,

Het gaat speciaal om een bepaalde SPTD driver, die AVG nog steeds (willekeurig) als een bedreiging ziet, dit gebeurd op basis van bepaalde kenmerken die door AVG als rootkit worden aangezien.
Om exact het probleem in kaart te brengen zijn er wat logbestanden nodig, maar die mogen helaas op HelpMij niet worden opgevraagd.

Aan de bestandsnaam te zien op de screenshot in de eerste post gaat het hier wel om de SPTD driver, alleen welke versie is natuurlijk niet te achterhalen.