geen "alg.exe"en "csrss.exe" volgens HjT, na rootvirus

Beste lezer(es),

Het gaat over een pentium4, Windows XP SP2 (volledig up-to-date), IE7, Avira’s AntiVir PE Classic, CCleaner, RegCleaner, Windows Defender, Windows Firewall, RootkitRevealer en Blacklight rootkit eliminator en HiJackThis. (Uiteraard alles alles volledig up-to-date).

Ik ben al een "tijdje" bezig met het om zeep helpen van een rootkit-virus, systeem lijkt nu schoon en is stabiel.

Het probleem is als volgt: volgens HjT-log is er geen "alg.exe" en "csrss.exe" actief op deze pc.

"Software Explorers" (deel van Defender, opstartbaar vanuit config-scherm) geeft echter aan dat beide wel actief zijn...

Ook services.msc geeft aan dat de Application Layer Gateway-service wel (handmatig) gestart is.

Met Regedit vindt ik in de map ...\Session Manager\ SubSystems\CSRSS 2 vermeldingen: de eerste: (standaard) type= REG_Z (geen waarde), de tweede: CsrSrvSharedSectionBase type REG_DWORD, 0x7f6f0000 (2137980928)

Het begon met een geïnfecteerd bestand: c:\windows\system32\spmrgaat.exe, en de vondst van 127 geïnfecteerde bestanden in c:\System Volume Information (de lokatie waarin de Windows Herstelpunten staan). Mbv BlackLight vond ik een bestand c:\windows\system32\csbld.exe, dit bleek een variant te zijn van Mohbpork.A of TR/Dld.Agent.UJ.424 (’t is maar net welke scanner je gebruikt,

een aantal scanners herkenden er overigens helemaal geen virus in...)

Zoals aangegeven: ik meen van de infectie af te zijn gekomen. Wat resteerd is het genoemde vreemde verschijnsel met de HjT-logs en dat ik nu geen toegang meer heb tot de "System Volume Information" mappen op c:\ en op d:\ (nog wel op e:\). M’n scanner "pakt" die map op C:\ en D:\ ook niet meer, maar nog wel die op E:\...

Iemand een idee?

(

Vr.gr.

IJzerbroot

(uiteraard is dit verhaal ook op avira’s forum gepost, maar waarom zou hier niet iemand kunnen weten hoe het zit?)