My Tools

On Line Scanners

File Scanners

Extra



Whistler bootkit verwijderen.

Zie ook het oorspronkelijk artikel van 21 Mei 2010.

Advanced information: Bitdefender Labs.


ComboFix en TDDSKiller verwijderden deze infectie eveneens.

Opmerking: Het is eveneens aan te raden de paswoorden te veranderen.
Gebruik deze fix niet indien het gaat om een factory MBR of Multiboot.

De Symptomen.

Kaspersky :

HEUR: Trojan.Win32.Generic in de C:\System Volume Information folder

Dr Web :

smss.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 Niet repareerbaar.Verplaatst.
svchost.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 Niet repareerbaar.Verplaatst.

In de Hijackthis logs is er het volgende merkbaar :

Running processes:

C:\System Volume Information\Whistler\svchost.exe
C:\System Volume Information\Whistler\smss.exe

of na een uitgevoerde Systeemherstel :

C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe

Combofix toont ons :

------------------------ Andere Aktieve Processen ------------------------
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe

 

De Startup List van Hijackthis laat ons volgende zien:

Windows NT 'Wininit.ini' :

PendingFileRenameOperations: C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exeC:\System Volume Information\_restore{d5fffa500b1b}\smss.exeC:\System Volume Information\_restore{d5fffa500b1b}\SMSS.EXEC:\System Volume Information\_restore{d5fffa500b1b}\SVCHOST.EXE

De PendingFileRenameOperations waarde onder [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] was niet aanwezig.

 

MBRCheck.exe toont deze infectie:

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: MAXTORSTM3160215A, Rev: 3.AAD  

     Size  Device Name          MBR Status
 --------------------------------------------
   127 GB  \\.\PhysicalDrive0   Known-bad MBR code detected (Whistler / Black Internet)!
           SHA1: 33364FDCC8149BB31030BC6D06E1CAB5630C3AD4

Top

De Oplossing.

Opmerking: Indien je Vista of W7 hebt, alle tools steeds uitvoeren als admin.

Vermits deze infectie zich nestelt in de bootsector, is snelheid en accuratie belangrijk.

Druk nogmaals op Enter.
Een kladblokbestand genaamd MBRCheck_mm.dd.yy_hh.mm.ss zal op je bureaublad worden opgeslagen.

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: MAXTORSTM380815AS, Rev: 3.AAD

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: F238F1FE114296B6DC7716517DC1DADB3FF3D5C6

 

Done!

Top

 

Met dank aan Marckie voor de ondersteuning in deze toch wel moeilijke infectie.