My Tools

• Online Armor Free
• AntiVir Free
• SpywareBlaster
• MBAM
• CCleaner
• HijackThis
• Revo Uninstaller
• Secunia PSI
• PC Info

On Line Scanners

• ESET
• HouseCall

File Scanners

• Virus Total
• Jotti

Extra

• Verwijderen van...
• Compatibiliteit
• ShieldsUp
• Herstelpunten opruimen
• McAfee verwijderen

Whistler bootkit verwijderen.

Zie ook het oorspronkelijk artikel van 21 Mei 2010.

Advanced information: Bitdefender Labs.

ComboFix en TDDSKiller verwijderden deze infectie eveneens.

Opmerking: Het is eveneens aan te raden de paswoorden te veranderen.
Gebruik deze fix niet indien het gaat om een factory MBR of Multiboot.

De Symptomen.

Kaspersky :

HEUR: Trojan.Win32.Generic in de C:\System Volume Information folder

Dr Web :

smss.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 Niet repareerbaar.Verplaatst.
svchost.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 Niet repareerbaar.Verplaatst.

In de Hijackthis logs is er het volgende merkbaar :

Running processes:

C:\System Volume Information\Whistler\svchost.exe
C:\System Volume Information\Whistler\smss.exe

of na een uitgevoerde Systeemherstel :

C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe

Combofix toont ons :

------------------------ Andere Aktieve Processen ------------------------
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe

 

De Startup List van Hijackthis laat ons volgende zien:

Windows NT 'Wininit.ini' :

PendingFileRenameOperations: C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exeC:\System Volume Information\_restore{d5fffa500b1b}\smss.exeC:\System Volume Information\_restore{d5fffa500b1b}\SMSS.EXEC:\System Volume Information\_restore{d5fffa500b1b}\SVCHOST.EXE

De PendingFileRenameOperations waarde onder [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] was niet aanwezig.

 

MBRCheck.exe toont deze infectie:

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: MAXTORSTM3160215A, Rev: 3.AAD  

     Size  Device Name          MBR Status
 --------------------------------------------
   127 GB  \\.\PhysicalDrive0   Known-bad MBR code detected (Whistler / Black Internet)!
           SHA1: 33364FDCC8149BB31030BC6D06E1CAB5630C3AD4

Top

De Oplossing.

Opmerking: Indien je Vista of W7 hebt, alle tools steeds uitvoeren als admin.

Vermits deze infectie zich nestelt in de bootsector, is snelheid en accuratie belangrijk.

• Download MBRCheck.exe naar je bureaublad.
• Dubbelklik op MBRCheck.exe om het programma te openen.
• Als je een melding krijgt, typ dan op N en druk op Enter.

Druk nogmaals op Enter.
Een kladblokbestand genaamd MBRCheck_mm.dd.yy_hh.mm.ss zal op je bureaublad worden opgeslagen.

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: MAXTORSTM380815AS, Rev: 3.AAD

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: F238F1FE114296B6DC7716517DC1DADB3FF3D5C6

 

Done!

Top

 

Met dank aan Marckie voor de ondersteuning in deze toch wel moeilijke infectie.