Med hjälp av Norton Internet Security så har en (bootsector) trojan identifierats & oskadliggjorts/raderad.
Dock dyker den upp igen, samma fula gubbe. Har någonstans under forumet läst hur man kan komma förbi detta men kan inte hitta vart.
Säkerställa att inte en tidigare backup infekterar igen. Vad var det som skulle "disablas" & var hittar jag det?
11 svar i den här tråden
#2
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
Skrivet 12 oktober 2009 - 13:44
Min gissning är att det finns något skadligt kvar i datorn som infekterar bootsektorn igen.
Kan du klistra in någon sorts logg eller resultat från Norton där det framgår vad den hittar och gör?
Vi kan se vad DDS visar till att börja med. Spara DDS på Skrivbordet.
http://download.blee...om/sUBs/dds.scr
Starta programmet (i Vista högerklicka och Kör som administratör).
Tryck Yes/Ja om frågan om Optional Scan dyker upp.
I ditt svar klistrar du in loggen DSS.txt men inte Attach.txt (den sparar du på skrivbordet så att den finns där om den behövs senare).
Kan du klistra in någon sorts logg eller resultat från Norton där det framgår vad den hittar och gör?
Vi kan se vad DDS visar till att börja med. Spara DDS på Skrivbordet.
http://download.blee...om/sUBs/dds.scr
Starta programmet (i Vista högerklicka och Kör som administratör).
Tryck Yes/Ja om frågan om Optional Scan dyker upp.
I ditt svar klistrar du in loggen DSS.txt men inte Attach.txt (den sparar du på skrivbordet så att den finns där om den behövs senare).
#3
Manneman
-
- Moderator
-
- 4 526 inlägg
Moderator
Skrivet 12 oktober 2009 - 14:41
Flyttat till rätt avdelning...
* HP Envy 17-2092eo + Windows 7 x64 SP1 *
* HP Pavilion DV6 1100 + Windows 8 Consumer Preview + Windows 7 x64 SP1 Dual Boot *
* HP 6530b (2st) + Windows 7 x86 SP1 *
* HP Pavilion DV6 1100 + Windows 8 Consumer Preview + Windows 7 x64 SP1 Dual Boot *
* HP 6530b (2st) + Windows 7 x86 SP1 *
#4
Appcon
-
- Medlem
-
- 69 inlägg
Skrivet 12 oktober 2009 - 15:18
Här kommer ytterligare information.'
Boot.Mebroot heter skiten som ständigt kommer tillbaka.
BootMebroot_1.jpg 508,95K
29 Antal nedladdningar
Boot.Mebroot heter skiten som ständigt kommer tillbaka.
BootMebroot_1.jpg 508,95K
29 Antal nedladdningar
Bifogade fil(er)
-
BootMebroot_2.jpg 404,16K
27 Antal nedladdningar
-
DDS Logg.txt 10,76K
5 Antal nedladdningar
#5
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
Skrivet 12 oktober 2009 - 16:50
Börjar med att klistra in loggen så att den blir lättare att läsa.
Spoiler
Det här inlägget har redigerats av Cecilia: 12 oktober 2009 - 16:51
#6
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
Skrivet 12 oktober 2009 - 17:04
Håller du på och kör en backup nu också?
1. Ladda ner och kör detta program:
http://www2.gmer.net/mbr/mbr.exe
Klistra in innehållet i mbr.log som skapas i samma mapp som där mbr.exe ligger (t ex på Skrivbordet om mbr.exe finns på Skrivbordet).
Obs! Dra ur internetanslutningen och inaktivera/stäng av antivirus- och andra säkerhetsprogram innan du kör mbr.exe.
2. Ladda ner Gmer till C:\ från en av dessa sidor:
http://www.gmer.net/files.php välj Gmer application
http://www.majorgeek...GMER_d5198.html
Packa upp filen till Skrivbordet.
Dra ur internetanslutningen.
Stäng alla program, även antivirusprogram och brandvägg.
Starta programmet gmer.exe.
Om det kommer upp en fråga om "scan" så välj Nej/No. Spara loggen och klistra in i ditt svar. Gör inte mer.
Om frågan inte kommer så välj fliken Rootkit/Malware, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på.
Tryck på Save och spara resultatet på Skrivbordet.
Sätt igång antivirusprogram och brandvägg innan du ansluter till internet.
Klistra in resultatet i ditt svar.
1. Ladda ner och kör detta program:
http://www2.gmer.net/mbr/mbr.exe
Klistra in innehållet i mbr.log som skapas i samma mapp som där mbr.exe ligger (t ex på Skrivbordet om mbr.exe finns på Skrivbordet).
Obs! Dra ur internetanslutningen och inaktivera/stäng av antivirus- och andra säkerhetsprogram innan du kör mbr.exe.
2. Ladda ner Gmer till C:\ från en av dessa sidor:
http://www.gmer.net/files.php välj Gmer application
http://www.majorgeek...GMER_d5198.html
Packa upp filen till Skrivbordet.
Dra ur internetanslutningen.
Stäng alla program, även antivirusprogram och brandvägg.
Starta programmet gmer.exe.
Om det kommer upp en fråga om "scan" så välj Nej/No. Spara loggen och klistra in i ditt svar. Gör inte mer.
Om frågan inte kommer så välj fliken Rootkit/Malware, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på.
Tryck på Save och spara resultatet på Skrivbordet.
Sätt igång antivirusprogram och brandvägg innan du ansluter till internet.
Klistra in resultatet i ditt svar.
#7
Appcon
-
- Medlem
-
- 69 inlägg
Skrivet 15 oktober 2009 - 11:59
Cecilia, den 12 oktober 2009 - 17:04 , skrev:
.
1. Ladda ner och kör detta program:
.
2. Ladda ner Gmer till C:\ från en av dessa sidor:
.
1. Ladda ner och kör detta program:
.
2. Ladda ner Gmer till C:\ från en av dessa sidor:
.
Jag inser nu, när jag har att göra med ett så allvarligt problem, att det nog går snabbare för mig att formatera om mina diskar & gå till ruta 1 igen.
Jag skall också skicka en blänkare till Symantec vad gäller deras rekommendation - att de inte fungerar.
Tack för ditt engagemang. /Mvh
#8
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
Skrivet 15 oktober 2009 - 12:11
Programmen som jag listade förut rättar inte till det på egen hand utan är till för att man ska kunna se om det finns någon fil i datorn som återinfekterar MBR (eftersom Norton säger att det fixas) så man vet vad som ska bort.
Men visst kan det gå fortare att installera om Windows. Notera då att detta sitter i MBR så det är viktigt att MBR tas bort (skrivs över), dvs det räcker inte att bara ta bort partitioner och skapa dem på nytt.
Men visst kan det gå fortare att installera om Windows. Notera då att detta sitter i MBR så det är viktigt att MBR tas bort (skrivs över), dvs det räcker inte att bara ta bort partitioner och skapa dem på nytt.
#9
Appcon
-
- Medlem
-
- 69 inlägg
Skrivet 15 oktober 2009 - 12:43
Cecilia, den 15 oktober 2009 - 12:11 , skrev:
Programmen som jag listade förut rättar inte till det på egen hand utan är till för att man ska kunna se om det finns någon fil i datorn som återinfekterar MBR (eftersom Norton säger att det fixas) så man vet vad som ska bort.
Men visst kan det gå fortare att installera om Windows. Notera då att detta sitter i MBR så det är viktigt att MBR tas bort (skrivs över), dvs det räcker inte att bara ta bort partitioner och skapa dem på nytt.
Men visst kan det gå fortare att installera om Windows. Notera då att detta sitter i MBR så det är viktigt att MBR tas bort (skrivs över), dvs det räcker inte att bara ta bort partitioner och skapa dem på nytt.
Tack för den sista kommentaren. Jag trodde att det skulle försvinna om man tar bort partitionerna, skapar nya & formaterar. Vilket man inte gör nuförtiden, men står denna infection även emot en "low level" formatering?
#10
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
Skrivet 15 oktober 2009 - 13:05
Den skadliga fil som finns dold någonstans försvinner vid en formatering av partitionen. Du får förstås se till att du inte lägger tillbaks filer från säkerhetskopian som är infekterade, men det bör ju en skanning med några olika program kunna avslöja.
En lågnivåformatering eller användning av Killdisknollställer hela disken inklusive MBR så det ska få bort den infekterade MBR också. Du har väl en Windows-skiva så att det inte är en återställningspartition du använder för att ominstallera Windows för den försvinner ju också vid lågnivåformatering/Killdisk.
En lågnivåformatering eller användning av Killdisknollställer hela disken inklusive MBR så det ska få bort den infekterade MBR också. Du har väl en Windows-skiva så att det inte är en återställningspartition du använder för att ominstallera Windows för den försvinner ju också vid lågnivåformatering/Killdisk.
#11
Appcon
-
- Medlem
-
- 69 inlägg
Skrivet 21 oktober 2009 - 19:36
En liten "slutrapport"! Har nu formaterat om alla (4 st) diskar (några gånger) tillika installerat XP, Vista & Win7 ett antal gånger. Varför!? Jag har hela tiden fått rapport från (senaste uppdaterade Norton) att det finns ett boot-sektor-virus. Till slut, efter uteslutningsmetoden XP/Norton, Vista/Norton W7/Norton etc. så har jag lyckats få rapport om felaktigheter på en disk. Mao, ett fysiskt fel på en disk kan alltså i Nortons ögon uppträda som ett bootsektor-virus. Tänk på det om Du får problem någon gång.
#12
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
