Malware Removal Information

Hoofdmenu

Home
Malware info
- Malware - Securitysuites
- Waarom?
Scanners
Infecties
- Archief 0 - E
- Archief F - N
- Archief O - S
- Archief T - Z
- CLB rootkit
- DNS-hijackers
- Haxdoor - Goldun
- Sinowal
- TDL3
- TDL4
- Virut
- Vundo
- Whistler
Tools
- Hijackthis
  - Hijackthis
  - Hijackthis handleiding
- Rootkitscanners
- ComBoFix
- HaxFix
- LSPFix
- Reglooks
- Roguescanfix
- SmitfraudFix
Informatie
Preventie
- De computer is malware vrij
- Infecties voorkomen

mxdefdrv.sys

Infecties > Archief F - N

Anti-spywareprogramma's en AV-programma's vinden het bestand mxdefdrv.sys in de system32-map en geven aan dat het schoongemaakt is.
C:\WINDOWS\system32\mxdefdrv.sys -> Backdoor.HacDef.bo : Schoongemaakt met een backup
Na een reboot blijkt het bestand nog steeds aanwezig.
Oorzaak is dat dit bestandje deel uitmaakt van een rootkit variant van Hackdefender.

Alle bestanden waarvan de naam start met mainsafe worden verborgen.
Ook worden 2 services verborgen:

Mainsafe Service is de naam de service. Het uitvoerbaar bestand is system32\mainsafe.exe
De tweede service is de driverservice MSFIEDrv1. Deze maakt gebruik van het bestand mxdefdrv.sys

Als je de infectie "laat verschijnen", kan je dit zien in de logjes:
In een Hijackthislog:
O23 - Service: MainSafe Service (MSFIE) - Unknown owner - C:\WINDOWS\System32\mainsafe.exe

In een startuplist:
MainSafe Service: C:\WINDOWS\System32\mainsafe.exe C:\WINDOWS\System32\mainsafe.empty.ini (autostart)
MSFIEDrv1: \??\C:\WINDOWS\System32\mxdefdrv.sys (manual start)

Hoe deze infectie verwijderen:
Beide services stoppen en verwijderen is voldoende. Nadien verwijder je de bestanden die bij deze infectie horen en herstart je de computer.
Download mxdefrem.exe. Unzip het naar je bureaublad en dubbelklik op mxdefrem.bat.
Er opent een dosscherm. Als dit scherm sluit (dit kan even duren) herstart je de computer.