1
De afgelopen dagen zijn er veel meldingen omtrent AVG dat het programma "Rootkits" detecteert die niet door AVG verwijderd kunnen worden, een voorbeeld hiervan kunt u zien op de onderstaande afbeelding.
Voor het detecteren van rootkits is AVG uitgerust met een onderdeel genaamd Anti-Rootkit. Dit onderdeel kan rootkits herkennen aan de hand van een vooraf gedefinieerde set richtlijnen, echter detecteert het ook items die gebruik maken van rootkit-achtige technieken of programma's die zich gedragen als een rootkit zoals een bepaald stuurprogramma van een driver installeert op "kernel-niveau" of CD / DVD-emulator software dat gebruik maakt van "Kernel-mode drivers".
Afbeelding

Code: Selecteer alles

Rootkits
;"File";"Infection";"Result"
;"C:\Windows\System32\Drivers\spup.sys";"pci.sys, hooked import ntoskrnl.exe IoAttachDeviceToDeviceStack -> spup.sys +0x62650";"Object is hidden"
;"C:\Windows\System32\Drivers\spup.sys";"pci.sys, hooked import ntoskrnl.exe IoDetachDevice -> spup.sys +0x625DC";"Object is hidden"
;"C:\Windows\System32\Drivers\spup.sys";"atapi.sys, hooked import ataport.SYS AtaPortReadPortBufferUshort -> spup.sys +0x2D35C";"Object is hidden"
;"C:\Windows\System32\Drivers\spup.sys";"atapi.sys, hooked import ataport.SYS AtaPortReadPortUchar -> spup.sys +0x2D224";"Object is hidden"
;"C:\Windows\System32\Drivers\spup.sys";"atapi.sys, hooked import ataport.SYS AtaPortWritePortUchar -> spup.sys +0x2DA24";"Object is hidden"
;"C:\Windows\System32\Drivers\spup.sys";"atapi.sys, hooked import ataport.SYS AtaPortWritePortBufferUshort -> spup.sys +0x2DBA0";"Object is hidden"
;"C:\Windows\System32\Drivers\spup.sys";"Inline hook ataport.SYS DllUnload -> spup.sys +0x5E360";"Object is hidden"
In dit geval gaat het om spup.sys wat door AVG wordt aangezien als rootkit, echter is deze driver niet te verwijderen. Dat wil zeggen dat het na een reboot wel is verwijderd maar de driver onder een andere naam opnieuw is aangemaakt. Hierdoor zal AVG de verborgen driver blijven detecteren.

Code: Selecteer alles

ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa80046cd2c0]<<spnw.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys
Rootkit gedetecteerd wat nu?
Als AVG een rootkit detecteert of een verborgen driver die zich als een rootkit gedraagt hoef je je niet direct zorgen te maken, maar negeer deze melding niet want uw computer kan natuurlijk wel degelijk geïnfecteerd zijn met een rootkit.
Wat u zeker niet moet doen is zomaar allerlei "Anti-Rootkit" tools en specialistische malwarescanners op het systeem loslaten zoals bijvoorbeeld TDSSKiller, ComboFix. Bij verkeerd gebruik kunnen deze tools namelijk meer schade aanrichten dan dat deze goed doen.
Wilt u uw computer toch controleren met bijvoorbeeld TDSSKiller dan raad ik aan om eerst de onderstaande handleiding door te nemen, zodat u weet hoe dit programma werkt. Het complete stappenplan om uw computer op "Rootkits" te laten controleren vindt u op de onderstaande link.
Deamon Tools en andere CD en DVD emulatie software uitschakelen.
Doordat de drivers van dit soort programma's als een rootkit aangezien kunnen worden is het raadzaam om als eerste dit soort software programma's uit te schakelen dit kan met bijvoorbeeld het programma "Defogger".
Het is echter beter om dit soort software tijdelijk even geheel van de computer te verwijderen, zodat u er zeker van bent dat dit soort programma's de resultaten en detectie van een beveiligingsproduct niet kunnen beïnvloeden.
  • Download Defogger en plaats het op je bureaublad.
  • Dubbelklik op Defogger.exe om de tool te starten.
  • In het scherm dat verschijnt klik je op de knop "Disable".
  • In het volgende scherm klik je op Ja (Yes) om verder te gaan.
  • Wacht tot je de melding 'Finished' krijgt en klik in dat scherm op "Ok".
  • Indien DeFogger vraagt om de computer te herstarten doe je dit.
NOTA: Krijg je een foutmelding wanneer je Defogger gebruikt, dan zoek je op het bureaublad naar het bestand defogger_disable en post je de inhoud van dit bestand.

CD-emulator software kan je weer inschakelen met behulp van Defogger door de tool te starten en op de knop "Re-enable" te klikken.


Deamon Tools en andere CD - DVD emulatie verwijderen.
Ga naar start>configuratiescherm>software of programma's en onderdelen en verwijder daar het onderstaande.
  • Deamon Tools
  • Alcohol 120%
  • Overige CD - DVD emulatie software indien aanwezig.
Download : SPTD-Uninstaller 32-Bit
Download : SPTD-Uninstaller 64-Bit
Support : Windows 2000/XP/2003/Vista/Windows 7/Windows 8 (32 bit) http://www.duplexsecure.com/en/downloads" onclick="window.open(this.href);return false;
  • Dubbelklik SPTDinst-v183-x**.exe om de tool te starten. In het scherm dat verschijnt klik je op de uninstall knop.
  • Let op!!! Windows Vista & 7 gebruikers dienen SPTDinst-v183-x**.exe als administrator uit te voeren "Rechtermuisknop uitvoeren als", Afbeelding
    This program will remove SCSI Pass Through Direct (SPTD) layer from your computer.
    WARNING - uninstallation of SPTD will cause malfunction of any application that depends on it!
    Are you sure you want to remove SPTD from this machine?
    Afbeelding
  • Klik bij het bovenstaande scherm op "OK"
  • Klik nu bij de melding You need to reboot for changes to take effect. nogmaals op "OK" om de computer te herstarten.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)

Maak een account aan of log in om deel te nemen aan de discussie

Je moet lid zijn om een ​​reactie te kunnen plaatsen

Maak een account aan

Geen lid? Registreer om lid te worden van onze community
Leden kunnen hun eigen onderwerpen starten en zich abonneren op onderwerpen
Het is gratis en duurt maar een minuut

Registreer

Log in

Gebruikersnaam
Wachtwoord

Terug naar “Beveiliging & Privacy”