Bootsector Trojan

[Appcon]

Med hjälp av Norton Internet Security så har en (bootsector) trojan identifierats & oskadliggjorts/raderad.

Dock dyker den upp igen, samma fula gubbe. Har någonstans under forumet läst hur man kan komma förbi detta men kan inte hitta vart.

Säkerställa att inte en tidigare backup infekterar igen. Vad var det som skulle "disablas" & var hittar jag det?

[Cecilia]

Min gissning är att det finns något skadligt kvar i datorn som infekterar bootsektorn igen.

Kan du klistra in någon sorts logg eller resultat från Norton där det framgår vad den hittar och gör?

Vi kan se vad DDS visar till att börja med. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

Starta programmet (i Vista högerklicka och Kör som administratör).

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt men inte Attach.txt (den sparar du på skrivbordet så att den finns där om den behövs senare).

[Manneman]

Flyttat till rätt avdelning...

[Appcon]

Här kommer ytterligare information.'

Boot.Mebroot heter skiten som ständigt kommer tillbaka.

DDS Logg.txt

[Cecilia]

Börjar med att klistra in loggen så att den blir lättare att läsa.

DDS (Ver_09-10-12.01) - NTFSx86

Run by Tommy at 14:49:24,44 on 2009-10-12

Internet Explorer: 8.0.7600.16385

Microsoft Windows 7 Ultimate 6.1.7600.0.1252.46.1053.18.2047.1234 [GMT 2:00]

============== Running Processes ===============

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\svchost.exe -k RPCSS

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\svchost.exe -k NetworkService

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation

C:\Program Files\Norton Internet Security\Engine\17.0.0.136\ccSvcHst.exe

C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Windows\system32\SearchIndexer.exe

C:\Windows\system32\taskhost.exe

C:\Program Files\Norton Internet Security\Engine\17.0.0.136\ccSvcHst.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\System32\CtHelper.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Windows\System32\svchost.exe -k LocalServicePeerNet

C:\Windows\system32\taskhost.exe

C:\Windows\system32\svchost.exe -k SDRSVC

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe

C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe

C:\Windows\system32\sdclt.exe

C:\Windows\system32\wbengine.exe

C:\Windows\System32\vds.exe

C:\Windows\system32\vssvc.exe

C:\Windows\System32\svchost.exe -k swprv

C:\Windows\system32\DFDWiz.exe

C:\Users\Tommy\Desktop\dds.scr

C:\Windows\system32\conhost.exe

C:\Windows\system32\wbem\wmiprvse.exe

============== Pseudo HJT Report ===============

uStart Page = hxxp://appcon.se/privatsite1/

BHO: Symantec NCO BHO: {602adb0e-4aff-4217-8aa1-95dac4dfa408} - c:\program files\norton internet security\engine\17.0.0.136\coIEPlg.dll

BHO: Symantec Intrusion Prevention: {6d53ec84-6aae-4787-aeee-f4628f01010c} - c:\program files\norton internet security\engine\17.0.0.136\IPSBHO.DLL

BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program files\google\googletoolbarnotifier\5.2.4204.1700\swg.dll

BHO: Google Dictionary Compression sdch: {c84d72fe-e17d-4195-bb24-76c02e2e7c4e} - c:\program files\google\google toolbar\component\fastsearch_B7C5AC242193BB3E.dll

TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

TB: Norton Toolbar: {7febefe3-6b19-4349-98d2-ffb09d4b49ca} - c:\program files\norton internet security\engine\17.0.0.136\coIEPlg.dll

uRun: [swg] "c:\program files\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"

mRun: [CTHelper] CTHELPER.EXE

mRun: [CTxfiHlp] CTXFIHLP.EXE

mRun: [GroupManager] c:\program files\avast pro 4.8.1335\groupmanager.exe

dRun: [DevconDefaultDB] c:\windows\system32\READREG /SILENT /FAIL=1

mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)

mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)

mPolicies-system: EnableUIADesktopToggle = 0 (0x0)

DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

============= SERVICES / DRIVERS ===============

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\nis\1100000.088\SymDS.sys [2009-9-26 328752]

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\nis\1100000.088\SymEFA.sys [2009-9-26 169008]

R1 BHDrvx86;BHDrvx86;c:\programdata\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_17.0.0.136\definitions\bashdefs\20090921.001\BHDrvx86.sys [2009-9-29 507440]

R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\nis\1100000.088\ccHPx86.sys [2009-9-26 501888]

R1 IDSVix86;IDSVix86;c:\programdata\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_17.0.0.136\definitions\ipsdefs\20090911.001\IDSvix86.sys [2009-9-26 342576]

R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\nis\1100000.088\Ironx86.sys [2009-9-26 114736]

R1 SYMTDIv;Symantec Vista Network Dispatch Driver;c:\windows\system32\drivers\nis\1100000.088\symtdiv.sys [2009-9-26 338480]

R2 NIS;Norton Internet Security;c:\program files\norton internet security\engine\17.0.0.136\ccSvcHst.exe [2009-9-26 126392]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\common files\symantec shared\eengine\EraserUtilRebootDrv.sys [2009-9-26 102448]

R3 SrvHsfPCI;SrvHsfPCI;c:\windows\system32\drivers\VSTBS23.SYS [2009-7-14 266752]

R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\drivers\VSTDPV3.SYS [2009-7-14 980992]

R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\drivers\VSTCNXT3.SYS [2009-7-14 661504]

S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888]

S3 getPlusHelper;getPlus® Helper;c:\windows\system32\svchost.exe -k getPlusHelper [2009-7-14 20992]

=============== Created Last 30 ================

2009-10-12 14:46 <DIR> --d----- c:\windows\pss

2009-09-28 01:27 <DIR> --dsh--- C:\$RECYCLE.BIN

2009-09-28 01:17 44,080 a----r-- c:\windows\system32\drivers\SymIMV.sys

2009-09-28 01:13 <DIR> --d----- c:\users\tommy\appdata\roaming\Tific

2009-09-26 11:08 124,976 a------- c:\windows\system32\drivers\SYMEVENT.SYS

2009-09-26 11:08 7,443 a------- c:\windows\system32\drivers\SYMEVENT.CAT

2009-09-26 11:08 805 a------- c:\windows\system32\drivers\SYMEVENT.INF

2009-09-26 11:08 <DIR> --d----- c:\program files\Symantec

2009-09-26 11:07 <DIR> --d----- c:\windows\system32\drivers\NIS

2009-09-26 11:07 <DIR> --d----- c:\program files\Norton Internet Security

2009-09-25 13:05 <DIR> --d----- c:\program files\common files\Symantec Shared

2009-09-25 12:27 <DIR> --d----- c:\programdata\Symantec

2009-09-25 12:27 <DIR> --d----- c:\programdata\Norton

2009-09-25 12:27 <DIR> --d----- c:\progra~2\Symantec

2009-09-25 12:27 <DIR> --d----- c:\progra~2\Norton

2009-09-25 12:27 <DIR> --d----- c:\programdata\NortonInstaller

2009-09-25 12:27 <DIR> --d----- c:\program files\NortonInstaller

2009-09-25 12:27 <DIR> --d----- c:\progra~2\NortonInstaller

2009-09-25 12:26 <DIR> --d----- c:\windows\system32\Adobe

2009-09-25 12:25 <DIR> --dsh--- c:\windows\Installer

2009-09-25 12:24 <DIR> --d----- c:\programdata\Google

2009-09-25 12:24 <DIR> --d----- c:\programdata\NOS

2009-09-25 12:20 4,958,588 a------- c:\windows\{00000002-00000000-0000000A-00001102-00000004-005B1102}.BAK

2009-09-25 12:08 30,264 a------- c:\windows\system32\BMXStateBkp-{00000002-00000000-0000000A-00001102-00000004-005B1102}.rfx

2009-09-25 12:08 30,264 a------- c:\windows\system32\BMXState-{00000002-00000000-0000000A-00001102-00000004-005B1102}.rfx

2009-09-25 12:08 27,816 a------- c:\windows\system32\BMXCtrlState-{00000002-00000000-0000000A-00001102-00000004-005B1102}.rfx

2009-09-25 12:08 27,816 a------- c:\windows\system32\BMXBkpCtrlState-{00000002-00000000-0000000A-00001102-00000004-005B1102}.rfx

2009-09-25 12:08 11,564 a------- c:\windows\system32\DVCState-{00000002-00000000-0000000A-00001102-00000004-005B1102}.rfx

2009-09-25 12:07 <DIR> --d----- c:\windows\Panther

2009-09-25 12:00 1,060,864 a------- c:\windows\system32\MFC71.dll

2009-09-25 12:00 499,712 a------- c:\windows\system32\MSVCP71.dll

2009-09-25 12:00 348,160 a------- c:\windows\system32\MSVCR71.dll

2009-09-25 12:00 <DIR> --d----- c:\windows\AVAST Pro 4.8.1335

2009-09-25 11:50 1,442,452 a------- c:\windows\system32\PerfStringBackup.INI

2009-09-25 11:50 4,958,588 a------- c:\windows\{00000002-00000000-0000000A-00001102-00000004-005B1102}.CDF

2009-09-25 11:50 409,600 a------- c:\windows\system32\wrap_oal.dll

2009-09-25 11:50 114,688 a------- c:\windows\system32\OpenAL32.dll

2009-09-25 11:50 86,016 a------- c:\windows\system32\cttele.dll

2009-09-25 11:49 <DIR> --d----- c:\windows\system32\data

2009-09-25 11:48 <DIR> --d----- c:\windows\system32\wbem\Performance

2009-09-25 11:44 <DIR> --dsh--- c:\users\tommy\Start-meny

2009-09-25 11:44 <DIR> --dsh--- c:\users\tommy\Skrivare

2009-09-25 11:44 <DIR> --dsh--- c:\users\tommy\Programdata

2009-09-25 11:44 <DIR> --dsh--- c:\users\tommy\Nätverket

2009-09-25 11:44 <DIR> --dsh--- c:\users\tommy\Mina dokument

2009-09-25 11:44 <DIR> --dsh--- c:\users\tommy\Mallar

2009-09-25 11:44 <DIR> --dsh--- c:\users\tommy\Lokala inställningar

2009-09-25 11:44 <DIR> --d----- c:\users\Tommy

2009-09-25 11:42 3 a------- c:\windows\7Loader.TAG

2009-09-25 11:40 <DIR> --dsh--- c:\programdata\Start-meny

2009-09-25 11:40 <DIR> --dsh--- c:\programdata\Skrivbord

2009-09-25 11:40 <DIR> --dsh--- c:\programdata\Programdata

2009-09-25 11:40 <DIR> --dsh--- c:\programdata\Mallar

2009-09-25 11:40 <DIR> --dsh--- c:\programdata\Favoriter

2009-09-25 11:40 <DIR> --dsh--- c:\programdata\Dokument

2009-09-25 11:40 <DIR> --dsh--- c:\program files\Delade filer

2009-09-25 11:40 <DIR> --dsh--- C:\Program

2009-09-25 11:40 <DIR> --dsh--- c:\progra~2\Start-meny

2009-09-25 11:40 <DIR> --dsh--- c:\progra~2\Skrivbord

2009-09-25 11:40 <DIR> --dsh--- c:\progra~2\Programdata

2009-09-25 11:40 <DIR> --dsh--- c:\progra~2\Mallar

2009-09-25 11:40 <DIR> --dsh--- c:\progra~2\Favoriter

2009-09-25 11:40 <DIR> --dsh--- c:\progra~2\Dokument

2009-09-24 13:15 <DIR> --d----- C:\ATI

2009-09-23 20:25 <DIR> --d----- C:\Ägaren

2009-09-17 07:50 <DIR> --d----- C:\FU_Backup

2009-09-16 12:46 <DIR> --d----- C:\WUTemp

2009-09-16 12:42 <DIR> --d----- C:\823c92b660822a9cc80

2009-09-15 18:59 <DIR> --d----- C:\Program1

2009-09-13 11:20 <DIR> --d----- C:\5f2c3ac758185f94880e5f0eb04df784

==================== Find3M ====================

2009-10-01 16:18 617,232 a------- c:\windows\system32\perfh01D.dat

2009-10-01 16:18 120,596 a------- c:\windows\system32\perfc01D.dat

2009-07-14 10:15 294,764 a------- c:\windows\inf\perflib\041d\perfi.dat

2009-07-14 10:15 294,764 a------- c:\windows\inf\perflib\041d\perfh.dat

2009-07-14 10:15 37,052 a------- c:\windows\inf\perflib\041d\perfd.dat

2009-07-14 10:15 37,052 a------- c:\windows\inf\perflib\041d\perfc.dat

2009-07-14 06:41 174 a--sh--- c:\program files\desktop.ini

2009-07-14 02:34 291,294 a------- c:\windows\inf\perflib\0000\perfi.dat

2009-07-14 02:34 291,294 a------- c:\windows\inf\perflib\0000\perfh.dat

2009-07-14 02:34 31,548 a------- c:\windows\inf\perflib\0000\perfd.dat

2009-07-14 02:34 31,548 a------- c:\windows\inf\perflib\0000\perfc.dat

2009-06-10 23:26 9,633,792 a--shr-- c:\windows\fonts\StaticCache.dat

============= FINISH: 14:51:36,26 ===============

Redigerad Oktober 12, 2009 av Cecilia

[Cecilia]

Håller du på och kör en backup nu också?

1. Ladda ner och kör detta program:

http://www2.gmer.net/mbr/mbr.exe

Klistra in innehållet i mbr.log som skapas i samma mapp som där mbr.exe ligger (t ex på Skrivbordet om mbr.exe finns på Skrivbordet).

Obs! Dra ur internetanslutningen och inaktivera/stäng av antivirus- och andra säkerhetsprogram innan du kör mbr.exe.

2. Ladda ner Gmer till C:\ från en av dessa sidor:

http://www.gmer.net/files.php välj Gmer application

http://www.majorgeeks.com/GMER_d5198.html

Packa upp filen till Skrivbordet.

Dra ur internetanslutningen.

Stäng alla program, även antivirusprogram och brandvägg.

Starta programmet gmer.exe.

Om det kommer upp en fråga om "scan" så välj Nej/No. Spara loggen och klistra in i ditt svar. Gör inte mer.

Om frågan inte kommer så välj fliken Rootkit/Malware, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på.

Tryck på Save och spara resultatet på Skrivbordet.

Sätt igång antivirusprogram och brandvägg innan du ansluter till internet.

Klistra in resultatet i ditt svar.

[Appcon]

.

1. Ladda ner och kör detta program:

.

2. Ladda ner Gmer till C:\ från en av dessa sidor:

.

Har nu hittat tillbaka till den rätta tråden igen (sorry om jag strulat till det för någon). Har utan större framgång kört igenom dina rekommendationer.

Jag inser nu, när jag har att göra med ett så allvarligt problem, att det nog går snabbare för mig att formatera om mina diskar & gå till ruta 1 igen.

Jag skall också skicka en blänkare till Symantec vad gäller deras rekommendation - att de inte fungerar.

Tack för ditt engagemang. /Mvh

[Cecilia]

Programmen som jag listade förut rättar inte till det på egen hand utan är till för att man ska kunna se om det finns någon fil i datorn som återinfekterar MBR (eftersom Norton säger att det fixas) så man vet vad som ska bort.

Men visst kan det gå fortare att installera om Windows. Notera då att detta sitter i MBR så det är viktigt att MBR tas bort (skrivs över), dvs det räcker inte att bara ta bort partitioner och skapa dem på nytt.

[Appcon]

Programmen som jag listade förut rättar inte till det på egen hand utan är till för att man ska kunna se om det finns någon fil i datorn som återinfekterar MBR (eftersom Norton säger att det fixas) så man vet vad som ska bort.

Men visst kan det gå fortare att installera om Windows. Notera då att detta sitter i MBR så det är viktigt att MBR tas bort (skrivs över), dvs det räcker inte att bara ta bort partitioner och skapa dem på nytt.

Norton tar bort boot.mebroot vid scanning men jag förstår nu att det gäller att hitta den fil som kickar igång skiten igen. Om den finns kvar så torde väl inte ens ompatitionering/formatering hjälpa? Dvs om man därefter på nytt installerar sina program & lägger tillbaka sitt data.

Tack för den sista kommentaren. Jag trodde att det skulle försvinna om man tar bort partitionerna, skapar nya & formaterar. Vilket man inte gör nuförtiden, men står denna infection även emot en "low level" formatering?

[Cecilia]

Den skadliga fil som finns dold någonstans försvinner vid en formatering av partitionen. Du får förstås se till att du inte lägger tillbaks filer från säkerhetskopian som är infekterade, men det bör ju en skanning med några olika program kunna avslöja.

En lågnivåformatering eller användning av Killdisknollställer hela disken inklusive MBR så det ska få bort den infekterade MBR också. Du har väl en Windows-skiva så att det inte är en återställningspartition du använder för att ominstallera Windows för den försvinner ju också vid lågnivåformatering/Killdisk.

[Appcon]

En liten "slutrapport"! Har nu formaterat om alla (4 st) diskar (några gånger) tillika installerat XP, Vista & Win7 ett antal gånger. Varför!? Jag har hela tiden fått rapport från (senaste uppdaterade Norton) att det finns ett boot-sektor-virus. Till slut, efter uteslutningsmetoden XP/Norton, Vista/Norton W7/Norton etc. så har jag lyckats få rapport om felaktigheter på en disk. Mao, ett fysiskt fel på en disk kan alltså i Nortons ögon uppträda som ett bootsektor-virus. Tänk på det om Du får problem någon gång.

[Cecilia]

Tack för det Appcon, det var intressant.