Voor detectie:
F-secure Blacklight, naar (beperkte) eigen ervaring en enkele keer dat je er iets over leest, weinig false positives en prima detectie. Plus Vba antirootkit en uiteraard Trend micro's Hijackthis.
Daarnaast gebruikte ik tot voorheen ook McAfee Stinger nog wel eens, als dubbelcheck.

Voor reparatie:
ultimate boot cd zodat je het systeem weer redelijk betrouwbaar aan de praat krijgt. Om daarna te controleren of de back-up van m'n bestanden helemaal bij is; vervolgens met Norton Ghost/ Acronis True Image een betrouwbare image terugzetten.
Misschien een beetje paranoia, maar vertrouw m'n computer niet helemaal meer na een zware infectie zowel qua malware als stabiliteit ;)

Simpel, machine herinstalleren. Better safe than sorry!

http://www.av-comparatives.org/images/stories/test/summary/summary2010.pdf

Als je zo bezorgd bent over de beveiliging van je machine gebruik je toch wat anders? Linux en Unix smaken genoeg en die zijn in de regel veel makkelijker veilig en rootkit vrij te houden.


Peter

nu teruglezend, heb je op zich gelijk, argumentatie is beperkt :)
bedankt voor het scherp houden!

Voor detectie:
F-secure blacklight: stond een keer op een cd bij een tijdschrift, er toen kennis mee gemaakt en het beviel goed. Snelheid en detectie zijn prima.
Vba antirootkit: lijkt wellicht een wat ongebruikelijke keuze, en juist daarom gekozen. Vanuit de gedachte dat hoe minder gebruikt, hoe groter de kans dat een rootkit geen maskeer-functie heeft die m beschermt tegen detectie door de door jou gebruikte anti-rootkit oplossing.
In zekere zin ben ik een zeer simpele gebruiker: wat werkt, dat werkt om de boel al dan niet tijdelijk (en redelijk schoon) aan de gang te krijgen/houden. Vervolgens de back-up van de gebruikersdocumenten voor het terugzetten goed scannen.
Eigenlijk een aanpak die volledig is geënt op het principe dat je daarna hoe dan ook een betrouwbare image terugzet.

Voor reparatie:
Ultimate Boot cd (UBCD4Win) niet alleen vanwege de zeer grote hoeveelheid tools die gebruikt kunnen worden, maar vooral omdat je de dvd maakt m.b.v. de eigen Windows-installatie. In feite een voor jouw systeem op maat gemaakte bootdisk, waardoor je eigenlijk nooit gedoe met drivers etc. hebt.

Norton Ghost op een oude XP-computer. Acronis True Image voor Windows 7, vanwege de mogelijkheid (via een netwerk) te back-uppen naar een nas of andere netwerklocatie.

Hitman Pro 3.5 was een van de eersten die de 64 bit versie van TDL 3 kon verwijderen, verder zijn TDSS killer van Kaspersky en Rootkit Unhooker ook nog goede tooltjes.

Online Armor ++

Veel rootkits zijn al actief voordat windows start en weten soms anti-virus software te omzeilen.
Daarom maak ik als aanvulling soms gebruik van de rescue disk van Kaspersky om de computer te kunnen scannen voordat windows start. Het is natuurlijk geen software die specifiek gericht is op rootkits maar wel antivirus die er zijn mag.

Van deze live-cd is inmiddels versie 10 verschenen.
De ISO is via onderstaande link voor iedereen gratis te downloaden.

http://support.kaspersky.com/faq/?qid=208282173

Voor het overige: In het geval van rootkits zou ik er toch (net als anoniem 12:05) al snel voor kiezen om de computer opnieuw te installeren.

uiteindelijk is herinstallatie het beste om alles dan uit tegaan dokteren en zo maar ja veel plezier

Voor windows bestaan een stuk of 5 livecd's om op virussen te scannen, deze cd's zijn gebaseerd op linux, werken op alle soorten hardware. Hier kun je van booten en je pc proberen schoon te maken.

Linux heeft ook leuke(en gratis) cd's om te helpen backuppen van files van je win pc, en om een complete backup te maken.

-Parted Magic, live bootcd, http://partedmagic.com/doku.php
Features:
Deze werkt ook snel met 256 geheugen(ubuntu livecd bijv niet).
Format internal and external hard drives.
Move, copy, create, delete, expand & shrink hard drive partitions.
Clone your hard drive, to create a full backup.
Test hard drives for impending failure.
Test memory for bad sectors.
Benchmark your computer for a performace rating.
Securely erase your entire hard drive, wiping it clean from all data.
Gives access to non-booting systems allowing you to rescue important data.
Runs from the CD, no install required.

-Clonezilla Live, om backup te maken. http://www.clonezilla.org/
-SystemRescueCD, http://www.sysresccd.org/Main_Page
-GParted LiveCD, http://gparted.sourceforge.net/livecd.php

Alles gratis, geen virussen, geen spyware, geen serial nummers ingeven, alles legaal.

http://download.cnet.com/Stream-Armor/3000-8022_4-75372891.html

http://support.kaspersky.com/faq/?qid=208283363

https://www.gdatasoftware.com/support/main-subjects/upgrade-service/download.html

http://www.gdata.de/support/downloads/tools.html

http://www.malwarecity.com/

http://www.antirootkit.com/software/Radix-Antirootkit.htm

enjoy!!

Wat een ellende allemaal.
De oplossing: www.ubuntu.com

Wordt toch eens wakker!!!! Waarom blijft iedereen aan dat Windows hangen!?!?!?!?!?

@EDLIN 15:35

Natuurlijk, gewoon alles even opnieuw installeren. Eitje, en dan zijn we weer safe.......
Ik draai al sinds 1995 alleen nog Linux op mijn systemen en ik kan je vertellen dat ik nooit mijn hele systeem om de 3 maanden moet herinstalleren vanwege ellende.

Wat een rommel, en er ,maar dik voor blijven betalen en het allemaal maar accepteren...........
Word eens wakker!!!!

@Ina Rootkits komen ook voor bij Linux ! Je kunt het mooi brengen, maar er zijn heel wat servers die onder linux draaien vandaag de dag die ook gewoon gehackt worden !

ComboFix doet ook wonderen.
NL-handleiding zie: http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden
Op die website vind je ook een forum met experts (aanrader!)

niet op wazige links klikken.
niet op wazige links in emails klikken.
geen wazige emails openen.
geen internet explorer gebruiken..
en vooral je kinderen uit de buurt van je pc houden...

Je bent hier wel een beetje off topic.
De vraag was "Hoe krijg je Windows rootkit-vrij"

"delpart" als tool werkt ook 100% maar dan wel extern opstarten.

Er kleeft echter wel 1 nadeel aan ;-)

Alweer zo'n halve gare die vindt dat we wakker moeten worden! Lees de vraag, geef een constructief antwoord en ga dan pas janken over Linux. Want hoe hou jij je Linux rootkit-vrij?

OT: Opnieuw installeren is niet afdoende voor een rootkit. Dev Null laat terecht zien dat je de MBR ook moet aanpakken.

Op zich zijn de verschillende tools en scanners alleen in detail verschillend. Het is belangrijk dat je vooral al nadenkt over preventie. Werk dus niet of zo min mogelijk met admin rechten. Een rootkit heeft rechten nodig en uiteraard zijn die via een lek of bug wel te verkrijgen, maar over het algemeen ben je een hoop ellende voor door met beperkte rechten te werken.

Maak backups, maar hou er ook rekening mee dat een backup besmet kan zijn. ;)

Ik heb zelf goede ervaringen met de NOD32 Rescue CD wanneer het om opschonen gaat. Deze zal echter weinig verschillen van de andere aanbieders.

Weet niet of het je verder helpt met iets genuanceerder denken over Windows, maar in mijn geval gebruik ik Windows XP, omdat het noodzakelijk is voor mijn opleiding.
Die opleiding verplicht tot het werken met bepaalde software, en juist, die draait alleen op Windows.
Sterker t moet nog specifieker, Windows XP met Office 2003 is voor mij noodzakelijk, omdat instructies voor opdrachten anders niet kloppen en diverse plug-ins voor Office niet op de versies van 2007 en 2010 draaien. Ken genoeg mensen die er mee moeten klooien, omdat zij Windows 7 op hun laptop hebben staan.

Toch nog iemand die zijn verstand gebruikt.

Installeer dan gewoonweg een dual boot windows/linux en boot de computer met Linux. Vanuit Linux kun je een windows partitie benaderen en infectie zelf gaan verwijderen. Hoe denk je dat lekken gedicht worden in windows?

Lol, nooit van wine gehoord? Heb je ook nog open office maar okay...

OT: ik gebruik zelf Avast als av, maar rootkits (goede teminste ._.) zijn niet zo gemakelijk te verwijderen. Ik installeer gewoon opnieuw mijn Windows partitie (:

Detectie: GMER
Verwijderen; kan je dan zelf.... ;)

Alleen het noodzakelijke onder windows xp down, en windows geen verbinding met internet laten maken.
En als je kijkt op http://appdb.winehq.org/objectManager.php?sClass=application&iId=31 dan heeft
word 2003 zilver, excel 2003 zilver, access 2003 goud, powerpoint 2003 zilver, publisher2003 brons
ok, niet alles werkt: one note, outlook, frontpage, visio zouden niet werken, maar oudere tests van visio geven weer aan dat hte wel zou werken.

Open Office en Sharepoint gaan niet samen. Wine is te veel geklooi voordat je je spelletje fatsoenlijk hebt draaien.

OT: Je partitie opnieuw installeren is vaak niet afdoende voor een rootkit.

Offtopic, wij gebruiken windows omdat we willen gamen, en linux daar niet geschikt voor is op enkele games na natuurlijk.

Ontopic, Deze tools Combofix, Hijackthis, en daarna Hitmanpro, misschien nog een Malwarebytes of een Search&Destroy

Interessante tools allemaal.
Maar voor de eerste twee geldt wel dat de gebruiker goed moet weten waar hij mee bezig is.

Combofix bv verwijdert in sommige gevallen systeembestanden om een infectie te bestrijden.
Overigens is er nog geen ondersteuning voor 64 bit en het lijkt er ook niet op dat die er spoedig gaat komen.

En wat betreft Hijackthis: Het verassingseffect uit de begintijd van dit slimme tooltje is er nu niet meer. Nieuwe ontwikkelingen blijven uit.

Zijn er allemaal die je beter niet op je PC gooit dacht ik.(ComboFix, begin er liever niet aan)

Rootkit scan gebruikte ik al: F-secure BlackLight

Als handige vervanger voor HijackThis gebruik ik HijackFree dat in het zelfs Free pack zit bij emsisoft vrij uitgebreide scans, ook een on-line waarna je zelf kan gaan kijken wat je al dan niet gaat oplossen of van de pc afgooien.

http://www.emsisoft.nl/

Prima malware scan ook in het Free packet.

Als je dus niet weet waar je mee bezig bent doe het dan niet, combofix is een geweldig programma heeft ook 64bit ondersteuning. Gebruik deze tools op mijn werkplek ook om klanten pc`s te schonen nooit problemen gehad.
Hijackthis is een super tool om al die rotte toolbars in IE weg te plunderen, ook andere vieze dlls kan er je er uit gooien.
Zullen best betere programma`s zijn maar ik heb hier goede ervaring mee :-)

Ik ben even gaan kijken op de website van bleepingcomputer. En inderdaad de 64 bit ondersteuning is er vanaf 14-12 2010.
Bedankt voor de tip.

Ik heb het gelijk getest op een schone W7 64 bit.Resultaat: .exe bestand verwijderd wat niks met malware van doen had, De ixquick startpagina in de browser vervangen door Microsoft en een autorun.inf bestand (wat ik zelf heb gemaakt) verwijderd van een externe HD.En dat vind ik het probleem met combofix.Het gaat als een buldozer aan de slag er is geen enkele interactie mogenlijk van de gebruiker.

Over hijackthis: Er wordt veel over gediscussieerd.Ik gebruik het al vanaf de begin periode.Het is nog steeds een nuttige tool, maar je kunt er niet meer zoals vroeger gegarandeerd een Spyware infectie mee verhelpen.

Feit is dat Trend micro niets meer aan de ontwikkeling heeft gedaan sinds het Hijackthis overnam van Merijn.Malware heeft zich in een paar jaar enorm ontwikkeld en Hijackthis niet.Inmiddels zijn er alternatieven beschikbaar zoals bv OTL van oldtimer. Fijn detail is hier dat Trend micro een tijd lang OTL.exe verwijderde als zijnde malware en de website Geeks to Go aanmerkte als een "Bad site"

rootkitrevealer en gmer, en ik morgen maar eens aan http://www.deftlinux.net/ proeven.

Daarmaast raad ik je aan een soort windows rescuecd (zoals bartpe en verwanten) te maken, want een rootkit opruimen op een draaiend systeem ? My $0,02..

Verrassingseffect Hijackthis? Gewoon een handige tool om alle troep uit je opstartprocedure te halen, die hoeft niet te verrassen hoor, gewoon een geavanceerdere msconfig!

Verder is combofix gewoon compatible met:
Windows XP (32-bit only)
Windows 2000 (32-bit only)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Trollmode: Dus alweeeeeer een softwarepakket wat niet onder Linux draait :P

Wel grappig, dat de stelling niet is:Wat houdt het meeste rootkits tegen.

@Marco
Ik weet niet of je veel ervaring hebt met de bestrijding van Spyware in het verleden, maar als dat zo is dan zou je kunnen weten dat aan de hand van een HJT-log het mogenlijk was om handmatig een infectie met Spyware volledig te cleanen.
En dat is iets anders dan -je zegt het zelf al- HJT te gebruiken als een soort veredelde Msconfig.


Toen HJT werd geschreven hadden gebruikers in ene een tool in handen om zelf de locatie van een infectie te achterhalen en daarmee ging het programma een stap verder dan de Malwarescanners van die tijd.
Dat noem ik een verassingseffect en Spywareschrijvers hadden daar een tijd lang geen antwoord op.
Tegenwoordig is de situatie uiteraard totaal anders.