32 svar i den här tråden

[Opptokoppter]

Cecilia, den 31 maj 2011 - 23:53 , skrev:

Det är ju lättare att lägga in de skadliga filer på nytt än att ta sig in i en dator med förhoppningen att den har varit infekterad förut samt att de skadliga filerna inte har blivit överskrivna av något under installationen av Windows och övriga program.

Helt klart en hypotetiskt fråga med modifikation utefter varje rådande förhållande & enskilda fall.
Igenting är ju omöjligt & varje nisse som sitter och knackar samman en lömsk applikation utnyttjar såklart alla medel och kunskaper som finns.

Men vänjer man sig vid tanken att man skulle kunna använda en dold modul som "lyfter upp borttagna filer" på direkten, så blir detta ett hyggligt bra komplement till saker som redan använts i flera år d.v.s SystemÅterställningen i Windows och Windows filskydd.....Bara en spekulation om än något skrämmande

(Vissa varianter hade säkert kunnat köras oberoende av vilket OS - version som sitter installerat på disken)

Det här inlägget har redigerats av Opptokoppter: 01 juni 2011 - 20:45

[Fiddeflygare]

Hej igen på er.
Jag har inte hunnit titta närmare på diskarna än då det är lite mycket på jobbet just nu. Men jag planerar att fixa med dem i helgen och kanske redan lite imorgon. Det jag är ute efter är att slippa välja ut vad jag behöver spara av 500 gb och försöka hitta plats för detta någon stans. Det jag vill är att få bort trojanen så att jag kan använda datorn som jag vill och kanske senare rensa bland allt och formatera/installera om Windows. Men i nuläget är jag ute efter en lösning som gör att jag kan ha kvar mina saker på datorn för tillfället.

@Cecilia: Jag ska kontrollera vilken av diskarna som windows ligger på imorgon och postar sen exakt hur det ser ut.

[Opptokoppter]

  

Titta vad jag hittade på tal om Forensic recovery app's....

Än sålänge bara i beta stadiet men bland de värsta jag sett så här långt bortsett från Linuxdist som Backtrack.

http://www.osforensics.com/index.html

[Fiddeflygare]

Ok, nu har jag dubbelkollat här.

Disk 1 innehåller mina partitioner Windows, mix och spel.

Disk 2 innehåller partitionerna Fiddes och film m.m.

Disk 1 var den som hade W32.virut.CF på sig.

Disk 2 är den som är infekterad av trojanen och dessutom kan datorn inte boota om inte disk 2 sitter i.

Detta innebär att Disk2 enligt mitt BIOS är boot-device men OS:et ligger på disk 1. Detta gör mig lite konfunderad då det känns som att Disk 1 borde vara boot-device eftersom operativsystemet ligger på den disken. Så ser situationen ut just nu.

Så nu är då frågan om det går att få bort skräpet på diskarna på något sätt utan att jag ska behöva formatera dem och förlora all data? Jag har inte möjlighet att kopiera över allt som jag behöver ha kvar från de gamla diskarna då jag inte har så mycket utrymme någonstans och dessutom vill jag inte riskera att det kommer in virus och annan skit på fler diskar än dessa två. Verkar redan vara lite sent då viruset verkar ha kommit in i diverse tmp filer på gamla jobbdatorn. men det reagerar iallafall endpoint på och sätter i karantän.

[Cecilia]

Man kan få det så att boot-disken är en annan disk än den Windows ligger på.

Då börjar vi med hårddisk 2 som datorn bootar från. Stoppa bara in den hårddisken i datorn och boota sedan från XP-skivan. Välj reparera vid första frågan så att du kommer till reparationskonsolen och där ger du kommandot:

fixmbr

Det medför att MBR skrivs över med en standard MBR. Det innebär troligen att den inte klarar av att Windows ligger på en annan hårddisk men det ska ju gå att fixa sedan med hjälp av kommandot bootcfg när båda hårddiskarna är anslutna.
http://support.microsoft.com/kb/314058

[Fiddeflygare]

Cecilia, den 04 juni 2011 - 13:47 , skrev:

Man kan få det så att boot-disken är en annan disk än den Windows ligger på.

Då börjar vi med hårddisk 2 som datorn bootar från. Stoppa bara in den hårddisken i datorn och boota sedan från XP-skivan. Välj reparera vid första frågan så att du kommer till reparationskonsolen och där ger du kommandot:

fixmbr

Det medför att MBR skrivs över med en standard MBR. Det innebär troligen att den inte klarar av att Windows ligger på en annan hårddisk men det ska ju gå att fixa sedan med hjälp av kommandot bootcfg när båda hårddiskarna är anslutna.
http://support.microsoft.com/kb/314058

Detta är nu gjort så nu kan vi ta nästa steg. Skall jag koppla in båda diskarna och se om det går att starta datorn? Eller ska jag sätta disken i usb-dockan och se om endpoint ser trojanen eller om den är ren?

Det här inlägget har redigerats av Fiddeflygare: 04 juni 2011 - 14:50

[Cecilia]

Du kan ju kolla med Symantecs antivirus först. Om den fortfarande anser att det är något skadligt så kör följande program i jobbdatorn:

Spara MBRCheck.exe av a_d_13 på Skrivbordet.
Kör programmet.
Vänta tills programmet är klart eller till texten "Enter 'Y' and hit ENTER for more options, or 'N' to exit:" visas. I det senare fallet tryck på N följt av Enter.
När det är klart skapas en loggfil på Skrivbordet som heter MBRCheckxxxxxx.txt där xxxxxx är klockslaget för körningen. Öppna loggen i Anteckningar genom att dubbelklicka på loggen och klistra in innehållet i ditt svar.

[Fiddeflygare]

Scanen av disk2 är nu färdig och endpoint hittar inte längre någon trojan. Men nu saknar BIOS en boot-device igen eftersom MBR på disk 2 är omgjord.
Så nu behöver jag veta hur jag får datorn att förstå vad som är boot-device.

[Cecilia]

Pröva först med kommandot:

fixboot enhetsbokstav:

där du då stoppar in enhetsbokstaven för hårddisken med Windows på. Du kan kolla att du väljer rätt bokstav genom att skriva:

dir C:
dir D:

och se var mappen \windows finns.

Om det inte hjälper så pröva med:

bootcfg /rebuild

/scan och /add är också möjliga parameterar, se http://support.microsoft.com/kb/314058

[Fiddeflygare]

Hej igen på er.
Cecilia och ni andra, jag tackar så mycket för er hjälp.
Jag har nu äntligen fått igång datorn igen efter en del meck och kanske misstag.
Jag gjorde som du sa Cecilia och enligt datorn så gick det inte att varken köra bootcfg /add eller bootcfg /rebuild.
Tillslut tröttnade jag och gjorde ytterligare en windowsinstallation i en ny mapp och fixade och funderade efter det på om jag hade mixat SATA kablarna.
Så jag testade att byta plats på dem och då helt plötsligt hoppade den gamla windowsinstallationen igång igen, så jag kan ha klantat mig eller så var det det som behövdes eftersom det gnällde på att det inte gick att hitta någon windowsinstallation på diskarna innan jag gjorde en ny installation.
Jag vet inte men nu fungerar det iallafall och jag är nöjd och tacksam för all hjälp :-). Får se hur länge den gamla häcken orkar den här gången men nu kommer jag vara mer vaksam på när program börjar strula iallafall och se om jag kan hitta virus och annan skit med dockan kopplad till jobbdatorn.

[Cecilia]

Kul att du fick ordning på installationen!

Men om du inte har åtgärdat mer än det som Symantec klagade på enligt ditt tidigare inlägg undrar jag om där inte finns fler skadliga filer i datorn. Detta därför att en MBR-infektion brukar åtföljas av flera skadliga filer.

Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:
http://www.malwareby...am-download.php
http://majorgeeks.co...fd909666f809b26
http://dw.com.com/re...2ae9ce030ef5c99
http://fileforum.bet...re/1186760019/1
Dubbelklicka på mbam-setup för att installera programmet.

Se till i slutet av installationen att det är bockar för:
Uppdatera Malwarebytes' Anti-Malware
Starta Malwarebytes' Anti-Malware
Klicka på Slutför
Om det finns någon uppdatering så kommer den att laddas ner och installeras.

När programmet startar så välj Utför snabb skanning och klicka på Skanna.
Skanningen tar ett tag.
När den är klar så klicka på OK och sedan Visa resultat.
Bocka för allt och tryck sedan Ta bort markerade.
När borttagningen är klar så öppnar Anteckningar med en logg.

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.
Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.
Om programmet inte kommer igång efter omstarten så starta det.

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.
Kopiera loggen och klistra in den i ditt svar.

[Fiddeflygare]

Hej Cecilia.
Här är loggen från Malwarebytes. Körde en fullständig genomscanning och en snabbscanning. Samma resultat på båda.

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Databasversion: 6872

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2011-06-18 03:09:27
mbam-log-2011-06-18 (03-09-27).txt

Skanningstyp: Fullständig skanning (C:\|D:\|I:\|L:\|M:\|)
Antal skannade objekt: 386400
Förfluten tid: 1 timme(ar), 8 minut(er), 54 sekund(er)

Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 0
Infekterade registernycklar: 0
Infekterade registervärden: 0
Infekterade registerdataposter: 0
Infekterade mappar: 0
Infekterade filer: 0

Infekterade minnesprocesser:
(Inga skadliga poster hittades)

Infekterade minnesmoduler:
(Inga skadliga poster hittades)

Infekterade registernycklar:
(Inga skadliga poster hittades)

Infekterade registervärden:
(Inga skadliga poster hittades)

Infekterade registerdataposter:
(Inga skadliga poster hittades)

Infekterade mappar:
(Inga skadliga poster hittades)

Infekterade filer:
(Inga skadliga poster hittades)

[Cecilia]

Det var ju bra. Som en extra kontroll kan du göra följande om du vill.

Skanna datorn online på http://www.eset.com/onlinescan/
För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

Avbocka alternativet Remove found threats
Bocka för Scan Archives

Klicka på Advanced Settings
Bocka för:
Scan for potentially unwanted applications
Scan for potentially unsafe applications
Enable Anti-Stealth Technology

Klicka på Scan

När skanningen är klar skapas loggfilen C:\Program\Eset\Eset Online Scanner\log.txt. Öppna den i Anteckningar och klistra sedan in innehållet i ditt svar om något hittas.