Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Apropos Rootkit

Infecties > Archief 0 - E

Dit is een lastig te identificeren infectie.
Alle bestande, mappen en registersleutels worden in de gewone windowsmodus verborgen.
Een hijackthislog toont je niks.
In veilige modus is alles wel zichtbaar.

Hoe kan je nu weten of deze rootkit actief is?
Ik ga dit doen met behulp van een voorbeeldje. Alle bestanden, registersleutels worden willekeurig gekozen. Op elke computer zal dit anders zijn.

Download RegSearch
.
Unzip het.
Start de computer in veilige modus. Hoe je dit doet kan je hier
lezen.
Run het script RegSrch.vbs.
In zoekveld geef je volgende string in: adchannel
Je register wordt nu doorzocht.
Als er wat gevonden wordt, dan opent er een wordpad bestand. Dit bestandje bevat alle registersleutels waarin adchannel voorkomt.
Het resultaat is iets als dit:
[HKEY_LOCAL_MACHINE\SOFTWARE\CqXUtA3oHV65]   
"ServerAddress"="adchannel.contextplus.net"

[HKEY_LOCAL_MACHINE\SOFTWARE\CqXUtA3oHV65]
"LegalNote"="http://adchannel.contextplus.net/legal-note/nonbranded.html"

CqXUtA3oHV65 is een willekeurig gekozen naam en zal bij elke infectie anders zijn.
Wordt er niks gevonden, dan is deze rootkit niet actief.

Hoe deze rootkit verwijderen?

1. Nog steeds in veilige modus, maak je een export van deze registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\CqXUtA3oHV65
Dit doe je op de volgende manier:
Ga naar Start - uitvoeren en tik in:
regedit /e c:\aprps.txt "HKEY_LOCAL_MACHINE\SOFTWARE\CqXUtA3oHV65"
Druk op OK.
Zoek nu het bestand c:\aprps.txt en open het. Het resultaat is iets als dit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\CqXUtA3oHV65]
@="ju34i7sCDDCDDED PMxutPoCDDCSFDmYdTemiDiA45u.JIDt3y7u34D4.s51syLE4A4"
"Device"="\\\\.\\k96hed9Y"
"DriverPath"="C:\\WINDOWS\\System32\\drivers\\smctpci5.sys"
"DriverName"="TersSvc"
"HideUninstallerName"="C:\\Program Files\\Pepmware\\ifmcxpnt.exe"
"HDll"="C:\\WINDOWS\\System32\\rsfgrcoi.dll"
"ServerAddress"="adchannel.contextplus.net"
"LegalNote"="http://adchannel.contextplus.net/legal-note/nonbranded.html"
"PartnerId"="CP.SAV2"
"InstallationId"="{X652cce9-a493-7494-c503-30478e621052}"
"PageFiltering"=dword:00000002
"ClientName"="C:\\Program Files\\Pepmware\\iepos412.exe"
"AutoUpdater"="C:\\WINDOWS\\System32\\conreate.exe"
"Version"="2.0.106"

[HKEY_LOCAL_MACHINE\SOFTWARE\CqXUtA3oHV65\AU2]
"AP"="/DVNM=\"\\\\.\\k96hed9Y\" /INSC=\"AU\""
"SU"="http://au.contextplus.net/services/AUServer"
"NPT"="2005:10:29-14:32:43:390"
@="2005:10:29-08:32:41:499"
"TO"=dword:01499700

[HKEY_LOCAL_MACHINE\SOFTWARE\CqXUtA3oHV65\AU2\RGR]

[HKEY_LOCAL_MACHINE\SOFTWARE\CqXUtA3oHV65\AU2\RGR\Properties]
"CP.cv"=hex:43,50,2e,63,76,00,32,2e,30,2e,31,30,36,00,31,36,30,31,3a,30,31,3a,\
 30,31,2d,30,30,3a,30,30,3a,30,30,3a,30,30,30,00,00
"CP.id"=hex:43,50,2e,69,64,00,7b,58,36,35,32,63,63,65,39,2d,61,34,39,33,2d,37,\
 34,39,34,2d,63,35,30,33,2d,33,30,34,37,38,65,36,32,31,30,35,32,7d,00,31,36,\
 30,31,3a,30,31,3a,30,31,2d,30,30,3a,30,30,3a,30,30,3a,30,30,30,00,00
"CP.pc"=hex:43,50,2e,70,63,00,43,50,2e,53,41,56,32,00,31,36,30,31,3a,30,31,3a,\
 30,31,2d,30,30,3a,30,30,3a,30,30,3a,30,30,30,00,00
"CP.st"=hex:43,50,2e,73,74,00,41,00,31,36,30,31,3a,30,31,3a,30,31,2d,30,30,3a,\
 30,30,3a,30,30,3a,30,30,30,00,00
"CP.is"=hex:43,50,2e,69,73,00,4c,52,00,31,36,30,31,3a,30,31,3a,30,31,2d,30,30,\
 3a,30,30,3a,30,30,3a,30,30,30,00,00
"CP.it"=hex:43,50,2e,69,74,00,32,30,30,35,31,30,32,39,30,38,33,32,33,39,00,31,\
 36,30,31,3a,30,31,3a,30,31,2d,30,30,3a,30,30,3a,30,30,3a,30,30,30,00,00
"CP.os"=hex:43,50,2e,6f,73,00,5b,32,5d,20,35,2e,31,2e,32,36,30,30,20,22,22,00,\
 31,36,30,31,3a,30,31,3a,30,31,2d,30,30,3a,30,30,3a,30,30,3a,30,30,30,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\CqXUtA3oHV65\AU2\TDH]

2. Uit deze registerexport halen we alles wat nodig is om deze infectie te verwijderen:
De naam van de service: TersSvc
"DriverName"="TersSvc"

De naam van de driver die door de rootkit geïnstalleerd is: c:\windows\system32\drivers\smctpci5.sys
"DriverPath"="C:\\WINDOWS\\System32\\drivers\\smctpci5.sys"

De naam van de verborgen map onder program files: C:\Program Files\Pepmware
"HideUninstallerName"="C:\\Program Files\\Pepmware\\ifmcxpnt.exe"

De namen van de bestanden die bij de infectie horen en die we moeten verwijderen: C:\WINDOWS\System32\conreate.exe en C:\WINDOWS\System32\rsfgrcoi.dll
"AutoUpdater"="C:\\WINDOWS\\System32\\conreate.exe"
"HDll"="C:\\WINDOWS\\System32\\rsfgrcoi.dll"

3. Verwijder de service:
Open de command prompt (Start - uitvoeren en tik in cmd)
Achter de prompt tik je in:
sc delete TersSvc

Gebruik je windows 2000 dan verwijder je de service via deze regfile:
Open een kladblokbestand.
Kopieer onderstaande (tussen de streepjes) in dit kladblokbestand.
--------
REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TersSvc]

--------
Ga naar Bestand - Opslaan als.
Bij "Opslaan in" kies je: Bureaublad
Bij "Bestandsnaam" zet je: fix.reg
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
Klik op de knop Opslaan.
Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen.

4. Verwijder de volgende bestanden:
c:\windows\system32\drivers\smctpci5.sys
c:\windows\system32\conreate.exe
c:\windows\system32\rsfgrcoi.dll

5. Verwijder deze map:
c:\Program Files\Pepmware

6. Maak volgende regfile aan:
Open een kladblokbestand.
Kopieer onderstaande (tussen de streepjes) in dit kladblokbestand.
--------
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\CqXUtA3oHV65]

--------
Ga naar Bestand - Opslaan als.
Bij "Opslaan in" kies je: Bureaublad
Bij "Bestandsnaam" zet je: fix.reg
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
Klik op de knop Opslaan.
Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen.

7. Herstart de computer in normale windowsmodus.


De infectie kan ook verwijderd worden met AproposFix (credit voor swandog46).
Download AproposFix.
Dubbelklik op aproposfix.exe en unzip het naar je bureaublad.
Gebruik het nog niet.
Start de computer op in veilige modus. Hoe je dit doet kan je hier lezen.
Op je bureaublad zoek je de map aproposfix.
In deze map staat een bestandje dat RunThis.bat noemt.
Dubbelklik er op en volg de instructies.
Wanneer het tooltje klaar is, herstart je de computer in normale windows modus.

Terug naar de inhoud | Terug naar het hoofdmenu