32 svar i den här tråden

[Fiddeflygare]

Hejsan, efter att något hackat lite konton och annat för mig så misstänkte jag ett virus eller liknande i hemdatorn.
Körde scanning med AVG utan att det hittade något, har haft lite problem med att iexplorer och firefox inte startat som det ska fram och tillbaka och tyckte att det borde hittat något vid scannen.
Jag drog därför ur hårddiskarna ur datorn och satte dem i en USB-docka till jobbdatorn som har Symantec endpoint protection installerat. Programmet hittade då virus på ena disken som hamnade i karantän och trojanen Backdoor.Tidserv.L i andra disken. Försökte köra symantecs remover för Backdoor.Tidserv för att få bort det och fick svaret att just den trojanen inte fanns på min dator. Men jag uppmärksammade också att programmet endast scannade jobbdatorn och inte den externa disken där skiten finns.

Tog därför och la över programmet på disken och satte tillbaka diskarna i hemdatorn och nu har jag då 2 problem.

1. Hemdatorn slutade att starta windows helt efter allt krabb.
2. Trojanen ligger antagligen och lurar fortfarande i en av diskarna utan att jag kan ta bort den.

Någon som kan hjälpa mig att lösa dessa problem så skulle jag vara väldigt tacksam. Hållt på i 2 dagar nu med denna skiten utan att det går framåt. Försökt hitta en remover som är mer specifik för trojanen utan att lyckas.

Mvh
//Fidde

[mario]

Symnatec har ett removetool, klicka på översta länken:
http://www.google.se...door.Tidserv.L

[si3rra]

Du behöver nog starta upp datorn på din Windows skiva och göra en reparationsinstallation (antar att det gäller XP) för att få datorn att starta normalt igen.

[Cecilia]

Nog kan jag hjälpa till att få även din dator ren från Backdoor.Tidserv. Men jag behöver mer information.

Citat

Programmet hittade då virus på ena disken som hamnade i karantän och trojanen Backdoor.Tidserv.L i andra disken.

Kan du få fram en logg (resultatlista) från Symantecs antivirusprogram där det framgår vilka filer och mappar det gällde?
Vilket finns/fanns på Windows-disken och vilket på den andra hårddisken?

Vad har du för Windows?

Citat

1. Hemdatorn slutade att starta windows helt efter allt krabb.

Starta om datorn och tryck F8 upprepade gånger under uppstarten och välj "Senast fungerande konfiguration" i menyn som kommer upp. Kommer Windows igång då?

[Fiddeflygare]

Cecilia, den 28 maj 2011 - 23:26 , skrev:

Nog kan jag hjälpa till att få även din dator ren från Backdoor.Tidserv. Men jag behöver mer information.

Kan du få fram en logg (resultatlista) från Symantecs antivirusprogram där det framgår vilka filer och mappar det gällde?
Vilket finns/fanns på Windows-disken och vilket på den andra hårddisken?

Vad har du för Windows?

Starta om datorn och tryck F8 upprepade gånger under uppstarten och välj "Senast fungerande konfiguration" i menyn som kommer upp. Kommer Windows igång då?

Hej Cecilia.

Jag lyckas exportera loggarna till .csv filer, konverterat till .xls. Första scan är på första disken där det fanns ett virus, andra scan är disk nr.2 där trojanen finns.
Det står att den är cleaned enligt endpoint men gör man en scan till så kommer den fram igen.

Disk 1 ska ha windows partitionen om jag kommer ihåg rätt.

Problemet med uppstarten är att datorn inte reagerar alls hur mycket jag än trycker F8 eller liknande. Hör inte någon form av aktivitet från hårddiskarna heller. så windows börjar inte starta alls är bara en svart skärm..

Det är Windows XP på datorn.

Bifogade fil(er)

•  Första virusscan.xls   18K   5 Antal nedladdningar
•  Andra virusscan.xls   17,5K   3 Antal nedladdningar

Det här inlägget har redigerats av Fiddeflygare: 29 maj 2011 - 00:06

[Cecilia]

Citat

Problemet med uppstarten är att datorn inte reagerar alls hur mycket jag än trycker F8 eller liknande. Hör inte någon form av aktivitet från hårddiskarna heller. så windows börjar inte starta alls är bara en svart skärm..

Dra ur båda kablarna till båda hårddiskarna och se om datorn startar. Kontrollera också att du inte har råkat få loss någon annan kabel när du har hållit på i datorn. Om datorn kommer igång sätt bara dit kablarna till en av hårddiskarna i taget. Se till att du verkligen får in kontakterna ordentligt. För att en infektion på hårddiskarna kan inte få datorn att inte starta alls.

[Cecilia]

Utdrag ur Excel-filerna

Första hårddisken
ctzapxx.exe W32.Virut.CF g:\Program\Creative\Sound Blaster X-Fi\Program\support\amd64\
The file was quarantined successfully. 2011-05-28 00:07

SP64.EXE W32.Virut.CF g:\Program\InstallShield Installation Information\{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}\
The file was quarantined successfully. 2011-05-28 00:20

Andra hårddisken
Master Boot Record for Physical drive number 1 Boot.Tidserv
The file was left unchanged. 2011-05-28 19:06

Master Boot Record for Physical drive number 1 Boot.Tidserv
The file was repaired successfully. 2011-05-28 19:10

[Cecilia]

Boot.Tidserv påverkar endast om det ligger på den hårddisk som man startar datorn från.

Om Windows-hårddisken verkligen är infekterad med Virut behöver man installera om Windows, men då borde det ha varit många fler infekterade programfiler. Det är möjligt att dessa är falsklarm, men det behöver undersökas närmare.

Observera att Virut är en infektionstyp som ändrar om i alla programfiler det hittar och smittar från fil till fil. Om du har hårddisken ansluten till din jobbdator och råkar starta ett Virut-infekterat program kommer programmen på jobbdatorn att bli infekterade.

[PCfreak]

Bör man inte ta bort alla återställningspunkter och sedan stänga av det innan man rensar?

[Cecilia]

PCfreak, den 29 maj 2011 - 09:15 , skrev:

Bör man inte ta bort alla återställningspunkter och sedan stänga av det innan man rensar?

Nej, eftersom att kunna gå tillbaka till en återställningspunkt kan vara enda möjligheten att få igång datorn om det skadliga programmet börjar förstöra mycket i datorn. Gamla återställningspunkter tar man bort när datorn är fri från aktiva skadliga filer för att man inte ska råka återställa till en tidpunkt när datorn var infekterad och därmed få in skadliga filer igen.

[Fiddeflygare]

Cecilia, den 29 maj 2011 - 00:31 , skrev:

Dra ur båda kablarna till båda hårddiskarna och se om datorn startar. Kontrollera också att du inte har råkat få loss någon annan kabel när du har hållit på i datorn. Om datorn kommer igång sätt bara dit kablarna till en av hårddiskarna i taget. Se till att du verkligen får in kontakterna ordentligt. För att en infektion på hårddiskarna kan inte få datorn att inte starta alls.

Hmm har testat men det hjälper inte. Fattar inte hur den skulle kunna dö på det viset när jag bara haft dän diskarna och använt dem i en docka. Men jag kanske ska försöka starta via windowsskivan och reparera installationen iallafall? Konstaterade att datorn känner av diskarna iallafall för om man inte har en av dem inkopplade så gnäller han för det.
Windows ligger på disk 2 har jag nu konstaterat. Jag har dessutom inte kört några program från diskarna via jobbdatorn och har gjort scanningar på jobbdatorn efter varje gång som jag har haft diskarna i usb-dockan. Anledningen till att jag blir lite orolig är att trojanen ligger i MBR för andra disken.

Det här inlägget har redigerats av Fiddeflygare: 29 maj 2011 - 10:08

[Cecilia]

Det låter som att BIOS försöker starta Windows, förut trodde jag inte att datorn kom så pass långt i uppstarten. Då kan det vara infektionen som spökar. Ha bara Windows-hårddisken i datorn. Vilken typ av reparation tänker du på? En reparationsinstallation av Windows hjälper inte mot MBR-infektioner.

Om du har standard XP-skiva från Microsoft som inte är beroende av någon återställningspartition eller liknande på hårddisken kan du däremot starta datorn från XP-skivan och välja reparera vid första frågan. Du hamnar då i reparationskonsolen där du kan ge kommandot:

fixmbr

vilket återställer MBR till standard-utseendet och därmed är infektionen borta från MBR i alla fall. Dock leder det till att det inte går att använda återställningspartitioner eller annat som kan finnas i märkesdatorers MBR.

[Fiddeflygare]

Cecilia, den 29 maj 2011 - 10:28 , skrev:

Det låter som att BIOS försöker starta Windows, förut trodde jag inte att datorn kom så pass långt i uppstarten. Då kan det vara infektionen som spökar. Ha bara Windows-hårddisken i datorn. Vilken typ av reparation tänker du på? En reparationsinstallation av Windows hjälper inte mot MBR-infektioner.

Om du har standard XP-skiva från Microsoft som inte är beroende av någon återställningspartition eller liknande på hårddisken kan du däremot starta datorn från XP-skivan och välja reparera vid första frågan. Du hamnar då i reparationskonsolen där du kan ge kommandot:

fixmbr

vilket återställer MBR till standard-utseendet och därmed är infektionen borta från MBR i alla fall. Dock leder det till att det inte går att använda återställningspartitioner eller annat som kan finnas i märkesdatorers MBR.

Det jag tänkte på var att se om jag kunde få Disk1 som windows ligger på och som är fri från trojanen enligt endpoint att snurra igång windows med hjälp av windowsskivan. Eller finns det något annat sätt för att se varför det vägrar att starta?


Frågan är om man kan göra en fixmbr på disk 2 med hjälp av windowsskivan isåfall trots att windows inte ligger på den hårddisken. Jag vet inte annars vad jag ska göra eftersom något uppenbarligen har spökat till så att windows inte startar.

Jag är lite lost på anledningar till att operativet inte startar.

Edit:
Nu blev jag riktigt konfunderad.. om jag inaktiverar disk2 i BIOS så säger datorn att det inte finns någon boot-device. Det som förbryllar mig är att windows absolut inte finns på den hårddisken. :S

Det här inlägget har redigerats av Fiddeflygare: 30 maj 2011 - 21:54

[Cecilia]

I inlägg 11 skriver du att Windows finns på hårddisk 2.

Det är kanske bäst att vi tar en hårddisk i taget, så lägg undan en hårddisk och koppla in den andra i jobbdatorn. Väl där så dels skannar du den och dels tittar du efter vad det finns för mappar på den.

[Opptokoppter]

Hej Fidde!

Du nämde att du kunde ansluta diskarna till datorn på jobbet....Suveränt!

Hur du väljer & göra är ju din egen ensak, vi kan egentligen bara ge råd och tips om vilka vägar som kan va bäst.

Inte för att låta gnällig
Har nämt det förut och de handlar om vad som ska betecknas som ett rent tillstånd där man kan känna sig så pass trygg som man bara kan bli.

Hur vet vi just nu vad som är "rent" ?,  inget kan med 100% garrantera en användare en total tillbakagång till ett tidigare rent tillstånd ifrån systemet blev installerat.

Att tro på en sådan sak är de samma som - gambla...Att ändå försöka rengöra systemet så gott som det går - är att återställa systemet provisoriskt.

Används en dator som är smittad eller  anses smittad och därefter rensats, så bör helst en sådan dator inte användas till viktiga ärenden t.ex inloggningar, mejlkontakter och bankärenden. Man ska aldrig va säker på den punkten!


Mitt råd som jag vill rekommendera i det här läget....- För initialt rädda dem filer som du vill spara och för säkra upp eventuellt smittat innehåll ifrån dessa och därigenom minska riskerna för vidare spridning.

• Gå vidare så långt det kan va vettigt med rensningen.
  
• Satsa därefter på en överföring på allt du vill spara undan t.ex tillfälligt på jobbdatorn eller andra disken.
  
• När det känns färdigt och filer kommit till sin rätt, Skriv över en disk i taget eller båda, om du sparat undan filerna på annan dator.

http://www.dban.org/download

http://www.killdisk.com/eraser.htm

http://diskwipe.org/

• Genom allting i detta stadiet är överskrivet på diskarna så återstår arbetet med installera Windows igen, denna gången på en väldigt ren yta som grund att utgå ifrån med allting annat som kommer installeras framöver härifrån. Så rent genuint som ett Microsoft Windows kan erbjuda från ett sprillans nytt installerat system.

Jag kollade inte om du hade Windows på skiva eller använder Återställnings-partition. Finns sådana partitioner inblandade så försök spara undan den biten innan språnget görs med skriva över hela klabbet. Ställ isåfall en fråga om den saken här i tråden om du behöver hjälp med flytten.

[Cecilia]

Som jag ser det är det onödigt att försöka få bort skadliga filer om man i alla fall ska installera om allt, utan då kopierar man sina viktiga filer någonstans och sedan ser man till att rätta till MBR följt av en vanlig Windows-installation. Jag inser inte heller varför man ska skriva t ex 0 (nollor) över hela disken.

[PCfreak]

Vidhåller ändå att så länge du har återställningspunkter kvar så är ja säker på att även dom innehåller virus, har själv råkat ut för liknade virus och tog bort ALLA återställningspunkter, stängde av Systemskyddet och på så viss fick igång burken men de va tydligen fel att göra så, enligt Cecilia, ja körde en "fixmbr" och startade burken, körde Malwarebytes, fick bort rubbet..men då tog ja bort ALLA återställningpunkter INNE. Är ingen besserwisser men ja har lyckats på det viset. men hoppas de löser sig.

[Cecilia]

Citat

Vidhåller ändå att så länge du har återställningspunkter kvar så är ja säker på att även dom innehåller virus,

Visst är det så, men det gör ju inget så länge man inte gör en systemåterställning.

Att du tog bort systemåterställningspunkterna först påverkade inte dina möjligheter att rensa datorn med fixmbr och MBAM. Däremot hade det blivit tråkigt om MBAM hade tagit bort något på fel sätt och det orsakade att Windows inte kunde startas i något annat än felsäkert läge med kommandotolk (har hänt) när det inte fanns några systemåterställningspunkter.

[Opptokoppter]

Cecilia, den 31 maj 2011 - 18:35 , skrev:

Som jag ser det är det onödigt att försöka få bort skadliga filer om man i alla fall ska installera om allt, utan då kopierar man sina viktiga filer någonstans och sedan ser man till att rätta till MBR följt av en vanlig Windows-installation.

MBR kan självklart vara bra & åtgärda om man vill kunna starta sig in till de befintliga systemet, i annat fall så skapas ju ett nytt senare om en installation görs.
Jag skrev helt enkelt så därför att det kan vara dumt att flytta filer som man vet kan ha blivit infekterade, bäst & försäkra sig i förhand

Cecilia, den 31 maj 2011 - 18:35 , skrev:

Jag inser inte heller varför man ska skriva t ex 0 (nollor) över hela disken.

Allting är ju valfritt, vill man så är det naturligtvis upp till varje person & tillfälle att skriva 1:or  wildcards t.ex som omväxling

Uppriktigt sagt så tillhör den saken något som jag själv ofta föredrar numera, framförallt pga det hjälper till att förbereda en installation som körs efteråt "mindre risk för trubbel" på resans gång.   Utöver ovanstående så kan vi ju heller inte blunda för att det börjar krylla av recovery program på marknaden. Vad är de som säger att den tekniken inte skulle användas i syfte av ta sig in på en disk och hämta ut information eller fungera som hjälpande program dolt i bakgrunden till återställa t.ex det som ni nu pysslar med här.
Dessutom om det nu skulle finnas saker på diskarna som ev. kan sätta käppar i hjulet för ett installationsförlopp så vore det ju bättre om detta sker och kan upptäckas vid överskrivningen Än att de sker längre fram under installationen.

Men den saken bestämmer Fidde

[Cecilia]

Citat

Vad är de som säger att den tekniken inte skulle användas i syfte av ta sig in på en disk och hämta ut information eller fungera som hjälpande program dolt i bakgrunden till återställa t.ex det som ni nu pysslar med här.

Det är ju lättare att lägga in de skadliga filer på nytt än att ta sig in i en dator med förhoppningen att den har varit infekterad förut samt att de skadliga filerna inte har blivit överskrivna av något under installationen av Windows och övriga program.