Malware Removal Information

Ook gekend als Rootkit.TDSSserv, Trojan.TDSS, WinNT-Alureon, Win32/Rootkit.Agent.ODG, TDSS2

Een lastige infectie om te verwijderen, aangezien deze variant geupdate wordt om het de verwijdertools en rootkitscanners moeilijk te maken.
Verwijdertools weigeren te starten of starten met foutmeldingen.

Symptomen van deze infectie zijn:

• Foutieve zoekresultaten.
  

• Windows update werkt niet meer.
  

• Securityprogramma"s starten niet meer op of weigeren te updaten.
  

• Security gerelateerde websites zijn onbereikbaar.
  

• Security programma's blijven geïnfecteerde bestanden vinden en kunnen deze niet verwijderen.
  

De rootkit maakt gebruik van een semi-random service (driver), en semi-random bestandsnamen. Het uitvoerbaar bestand van de service verwijderen en daarna scannen met een geupdate antivirusprogramma of een anti-malwareprogramma (vb MBAM) lost de problemen op.
Zolang de driver actief is worden de andere bestanden die bij de rootkit horen beschermd.
Het uitvoerbaar bestand van de service/driver verwijderen doe je best met een anti-rootkitprogramma. Na een herstart kan het antivirusprogramma of de antimalwarescanner de rest van de infectie opruimen.

Opbouw van de semi-random namen: vast deel + willekeurig deel + .extensie (.dll, .dat, .log of .sys).
Het eerste deel (vast deel) van de bestandsnamen of van de service bestaat uit één de volgende delen:

• 4DW4R3
  

• ESQUL
  

• GAOPDX
  

• gasfky
  

• geyekr
  

• gxvxc
  

• H8SRT
  

• hjgrui
  

• kbiwkm
  

• kungsf
  

• MSIVX
  

• ovfst
  

• rotscx
  

• Seneka
  

• SKYNET
  

• TDSS
  

• UAC
  

• ytasfw
  

• _VOID
  

• vsfoce
  

• wzszx
  

Achter dit deel volgt nog een random gedeelte (willekeurig deel van een willekeurig aantal letters) en de extensie (.dll, .dat, .log of .sys voor de service)
Vbn:
tdssserv.sys
ESQULoqkqcemwasjmlqahydcgqxywwvhtxpbx.sys

Dit is zo voor alle varianten: vast deel + willekeurig deel + .extensie (.dll, .dat of .sys voor de service).

Hoe verwijderen?
TDSSKiller is geupdate om deze infectie te verwijderen.

Een andere mogelijkheid is deze:
Download de rootkitscanner RootRepeal.
rechtstreekse downloadlinks:

• http://ad13.geekstogo.com/RootRepeal.zip
  

• http://ad13.geekstogo.com/RootRepeal.rar
  

• http://rootrepeal.psikotick.com/RootRepeal.zip
  

• http://rootrepeal.psikotick.com/RootRepeal.rar
  

Unzip de gedownloade RootRepeal.zip of RootRepeal.rar in een eigen map.
Dubbelklik op RootRepeal.exe om het programma te starten.
Klik op de knop "Scan".
Plaats een vinkje bij: Files
Klik op OK.
Selecteer de systeempartitie (dit is de partitie waarop je windows geïnstalleerd is, meestal de C-schijf).
Klik op OK om de scan te starten.

Wanneer de scan klaar is krijg je een overzicht van gevonden bestanden.
tussen de gevonden bestanden waarop achter staat "Hidden for Windows API!" zoek je naar een bestand dat start met één van deze delen, gevolgd door een random deel dat de extensie .sys heeft:

• 4DW4R3
  

• ESQUL
  

• GAOPDX
  

• gasfky
  

• geyekr
  

• gxvxc
  

• H8SRT
  

• hjgrui
  

• kbiwkm
  

• kungsf
  

• MSIVX
  

• ovfst
  

• rotscx
  

• Seneka
  

• SKYNET
  

• TDSS
  

• UAC
  

• ytasfw
  

• _VOID
  

• vsfoce
  

• wzszx
  

Rechtsklik op dit bestand en kies voor "Wipe File".
Herstart nu je computer onmiddellijk, zodat de infectie niet de gelegenheid krijgt zich te herstellen.
Na een herstart scan je met een geupdate anti-virusprogramma of anti-malwareprogramma (bv MBAM).
De tools zouden de gerelateerde bestanden moeten kunnen identificeren en ook verwijderen. De meeste tools hebben een reboot nodig om de bestanden te kunnen verwijderen.
Best dat je na deze reboot opnieuw een scan uitvoert en controleert of de bestanden nog gevonden worden.

Heb je de infectie kunnen verwijderen en windows update faalt nog, dan kan je deze tool runnen: WUS_Fix.exe.
Sommige varianten passen de paden aan van een aantal belangrijke windowsservices. WUS_Fix.exe tracht deze te herstellen.