Malware Removal Information

Ga naar de inhoud

Hoofdmenu

mxdefdrv.sys

Infecties > Archief F - N

Anti-spywareprogramma's en AV-programma's vinden het bestand mxdefdrv.sys in de system32-map en geven aan dat het schoongemaakt is.
C:\WINDOWS\system32\mxdefdrv.sys -> Backdoor.HacDef.bo : Schoongemaakt met een backup
Na een reboot blijkt het bestand nog steeds aanwezig.
Oorzaak is dat dit bestandje deel uitmaakt van een rootkit variant van Hackdefender.

Alle bestanden waarvan de naam start met mainsafe worden verborgen.
Ook worden 2 services verborgen:

  • Mainsafe Service is de naam de service. Het uitvoerbaar bestand is system32\mainsafe.exe

  • De tweede service is de driverservice MSFIEDrv1. Deze maakt gebruik van het bestand mxdefdrv.sys



Als je de infectie "laat verschijnen", kan je dit zien in de logjes:
In een Hijackthislog:
O23 - Service: MainSafe Service (MSFIE) - Unknown owner - C:\WINDOWS\System32\mainsafe.exe

In een startuplist:
MainSafe Service: C:\WINDOWS\System32\mainsafe.exe C:\WINDOWS\System32\mainsafe.empty.ini (autostart)
MSFIEDrv1: \??\C:\WINDOWS\System32\mxdefdrv.sys (manual start)


Hoe deze infectie verwijderen:

Beide services stoppen en verwijderen is voldoende. Nadien verwijder je de bestanden die bij deze infectie horen en herstart je de computer.
Download mxdefrem.exe
. Unzip het naar je bureaublad en dubbelklik op mxdefrem.bat.
Er opent een dosscherm. Als dit scherm sluit (dit kan even duren) herstart je de computer.

Terug naar de inhoud | Terug naar het hoofdmenu