Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Rustock

Infecties > Archief O - S

Een backdoor trojan, die ook door door het leven gaat als Spam-Mailbot.
Deze infectie maakt gebruik van rootkittechnologie om zich te verbergen.
Rootkitscanners hebben vaak problemen om deze infectie op te sporen en zeker om te verwijderen.
Rustock maakt gebruik van een service en koppelt zich als een Alternate Data Stream (ADS) aan de system32 map.
Service en ADS worden verborgen.
Deze infectie verbergt zich ook, wanneer bepaalde rootkitscanners actief worden zodat detectie door deze scanners onmogelijk wordt.

Rootkitscans, tools die deze infectie wel detecteren kunnen dit tonen:
C:\WINDOWS\system32:lzx32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ msguard
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ lzx32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ xpdt


Gekende services zijn: pe386, msguard, lzx32, xpdt

Hoe verwijderen:

Verschillende tools zijn in staat deze infectie te verwijderen:

Combofix
(gemaakt door sUBs)
Combofix is een tooltje dat heel wat lastige infecties kan verwijderen, waaronder ook de rustockvarianten.
Download ComBofix.exe
.
Plaats het op je bureaublad.
Dubbelklik er op om het programma te starten.
In het scherm dat verschijnt tik je een Y in om het cleaningsprocess te starten.
Volg de instructies op het scherm.
Als het tooltje klaar is, opent er een logfile (combofix.txt).
Indien Rustock aanwezig is/was op de computer, zal de logfile dit aangeven.

Rustbfix
(gemaakt door ejvindh)
Rustbfix is een tooltje dat speciaal gemaakt is om deze infectie te verwijderen.
Download rustbfix
.
Plaats het op je bureaublad.
Dubbelklik op rustbfix.exe om het programma te starten.
Indien Rustock.b gevonden is, dan zal je de melding krijgen om je computer opnieuw te laten opstarten.
Het opstarten kan wat langer duren dan normaal en in sommige gevallen zal de computer 2 keer opnieuw starten. Dit proces gebeurt automatisch.
Na het opstarten zullen er 2 logs openen (C:\avenger.txt & c:\rustbfix\pelog.txt).
Beide logjes geven aan of de infectie van de computer verwijderd is.

Terug naar de inhoud | Terug naar het hoofdmenu