Backdoor.Tidserv.L i hemdatorn, hur f_n får man bort den?

[Fiddeflygare]

Hejsan, efter att något hackat lite konton och annat för mig så misstänkte jag ett virus eller liknande i hemdatorn.

Körde scanning med AVG utan att det hittade något, har haft lite problem med att iexplorer och firefox inte startat som det ska fram och tillbaka och tyckte att det borde hittat något vid scannen.

Jag drog därför ur hårddiskarna ur datorn och satte dem i en USB-docka till jobbdatorn som har Symantec endpoint protection installerat. Programmet hittade då virus på ena disken som hamnade i karantän och trojanen Backdoor.Tidserv.L i andra disken. Försökte köra symantecs remover för Backdoor.Tidserv för att få bort det och fick svaret att just den trojanen inte fanns på min dator. Men jag uppmärksammade också att programmet endast scannade jobbdatorn och inte den externa disken där skiten finns.

Tog därför och la över programmet på disken och satte tillbaka diskarna i hemdatorn och nu har jag då 2 problem.

1. Hemdatorn slutade att starta windows helt efter allt krabb.

2. Trojanen ligger antagligen och lurar fortfarande i en av diskarna utan att jag kan ta bort den.

Någon som kan hjälpa mig att lösa dessa problem så skulle jag vara väldigt tacksam. Hållt på i 2 dagar nu med denna skiten utan att det går framåt. Försökt hitta en remover som är mer specifik för trojanen utan att lyckas.

Mvh

//Fidde

[Marion]

Symnatec har ett removetool, klicka på översta länken:

http://www.google.se/search?q=Backdoor.Tidserv.L+

[si3rra]

Du behöver nog starta upp datorn på din Windows skiva och göra en reparationsinstallation (antar att det gäller XP) för att få datorn att starta normalt igen.

[Cecilia]

Nog kan jag hjälpa till att få även din dator ren från Backdoor.Tidserv. Men jag behöver mer information.

Programmet hittade då virus på ena disken som hamnade i karantän och trojanen Backdoor.Tidserv.L i andra disken.

Kan du få fram en logg (resultatlista) från Symantecs antivirusprogram där det framgår vilka filer och mappar det gällde?

Vilket finns/fanns på Windows-disken och vilket på den andra hårddisken?

Vad har du för Windows?

1. Hemdatorn slutade att starta windows helt efter allt krabb.

Starta om datorn och tryck F8 upprepade gånger under uppstarten och välj "Senast fungerande konfiguration" i menyn som kommer upp. Kommer Windows igång då?

[Fiddeflygare]

Nog kan jag hjälpa till att få även din dator ren från Backdoor.Tidserv. Men jag behöver mer information.

Kan du få fram en logg (resultatlista) från Symantecs antivirusprogram där det framgår vilka filer och mappar det gällde?

Vilket finns/fanns på Windows-disken och vilket på den andra hårddisken?

Vad har du för Windows?

Starta om datorn och tryck F8 upprepade gånger under uppstarten och välj "Senast fungerande konfiguration" i menyn som kommer upp. Kommer Windows igång då?

Hej Cecilia.

Jag lyckas exportera loggarna till .csv filer, konverterat till .xls. Första scan är på första disken där det fanns ett virus, andra scan är disk nr.2 där trojanen finns.

Det står att den är cleaned enligt endpoint men gör man en scan till så kommer den fram igen.

Disk 1 ska ha windows partitionen om jag kommer ihåg rätt.

Problemet med uppstarten är att datorn inte reagerar alls hur mycket jag än trycker F8 eller liknande. Hör inte någon form av aktivitet från hårddiskarna heller. så windows börjar inte starta alls är bara en svart skärm..

Det är Windows XP på datorn.

Första virusscan.xls

Andra virusscan.xls

Redigerad Maj 28, 2011 av Fiddeflygare

[Cecilia]

Problemet med uppstarten är att datorn inte reagerar alls hur mycket jag än trycker F8 eller liknande. Hör inte någon form av aktivitet från hårddiskarna heller. så windows börjar inte starta alls är bara en svart skärm..

Dra ur båda kablarna till båda hårddiskarna och se om datorn startar. Kontrollera också att du inte har råkat få loss någon annan kabel när du har hållit på i datorn. Om datorn kommer igång sätt bara dit kablarna till en av hårddiskarna i taget. Se till att du verkligen får in kontakterna ordentligt. För att en infektion på hårddiskarna kan inte få datorn att inte starta alls.

[Cecilia]

Utdrag ur Excel-filerna

Första hårddisken

ctzapxx.exe W32.Virut.CF g:\Program\Creative\Sound Blaster X-Fi\Program\support\amd64\

The file was quarantined successfully. 2011-05-28 00:07

SP64.EXE W32.Virut.CF g:\Program\InstallShield Installation Information\{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}\

The file was quarantined successfully. 2011-05-28 00:20

Andra hårddisken

Master Boot Record for Physical drive number 1 Boot.Tidserv

The file was left unchanged. 2011-05-28 19:06

Master Boot Record for Physical drive number 1 Boot.Tidserv

The file was repaired successfully. 2011-05-28 19:10

[Cecilia]

Boot.Tidserv påverkar endast om det ligger på den hårddisk som man startar datorn från.

Om Windows-hårddisken verkligen är infekterad med Virut behöver man installera om Windows, men då borde det ha varit många fler infekterade programfiler. Det är möjligt att dessa är falsklarm, men det behöver undersökas närmare.

Observera att Virut är en infektionstyp som ändrar om i alla programfiler det hittar och smittar från fil till fil. Om du har hårddisken ansluten till din jobbdator och råkar starta ett Virut-infekterat program kommer programmen på jobbdatorn att bli infekterade.

[PCfreak]

Bör man inte ta bort alla återställningspunkter och sedan stänga av det innan man rensar?

[Cecilia]

Bör man inte ta bort alla återställningspunkter och sedan stänga av det innan man rensar?

Nej, eftersom att kunna gå tillbaka till en återställningspunkt kan vara enda möjligheten att få igång datorn om det skadliga programmet börjar förstöra mycket i datorn. Gamla återställningspunkter tar man bort när datorn är fri från aktiva skadliga filer för att man inte ska råka återställa till en tidpunkt när datorn var infekterad och därmed få in skadliga filer igen.

[Fiddeflygare]

Dra ur båda kablarna till båda hårddiskarna och se om datorn startar. Kontrollera också att du inte har råkat få loss någon annan kabel när du har hållit på i datorn. Om datorn kommer igång sätt bara dit kablarna till en av hårddiskarna i taget. Se till att du verkligen får in kontakterna ordentligt. För att en infektion på hårddiskarna kan inte få datorn att inte starta alls.

Hmm har testat men det hjälper inte. Fattar inte hur den skulle kunna dö på det viset när jag bara haft dän diskarna och använt dem i en docka. Men jag kanske ska försöka starta via windowsskivan och reparera installationen iallafall? Konstaterade att datorn känner av diskarna iallafall för om man inte har en av dem inkopplade så gnäller han för det.

Windows ligger på disk 2 har jag nu konstaterat. Jag har dessutom inte kört några program från diskarna via jobbdatorn och har gjort scanningar på jobbdatorn efter varje gång som jag har haft diskarna i usb-dockan. Anledningen till att jag blir lite orolig är att trojanen ligger i MBR för andra disken.

Redigerad Maj 29, 2011 av Fiddeflygare

[Cecilia]

Det låter som att BIOS försöker starta Windows, förut trodde jag inte att datorn kom så pass långt i uppstarten. Då kan det vara infektionen som spökar. Ha bara Windows-hårddisken i datorn. Vilken typ av reparation tänker du på? En reparationsinstallation av Windows hjälper inte mot MBR-infektioner.

Om du har standard XP-skiva från Microsoft som inte är beroende av någon återställningspartition eller liknande på hårddisken kan du däremot starta datorn från XP-skivan och välja reparera vid första frågan. Du hamnar då i reparationskonsolen där du kan ge kommandot:

fixmbr

vilket återställer MBR till standard-utseendet och därmed är infektionen borta från MBR i alla fall. Dock leder det till att det inte går att använda återställningspartitioner eller annat som kan finnas i märkesdatorers MBR.

[Fiddeflygare]

Det låter som att BIOS försöker starta Windows, förut trodde jag inte att datorn kom så pass långt i uppstarten. Då kan det vara infektionen som spökar. Ha bara Windows-hårddisken i datorn. Vilken typ av reparation tänker du på? En reparationsinstallation av Windows hjälper inte mot MBR-infektioner.

Om du har standard XP-skiva från Microsoft som inte är beroende av någon återställningspartition eller liknande på hårddisken kan du däremot starta datorn från XP-skivan och välja reparera vid första frågan. Du hamnar då i reparationskonsolen där du kan ge kommandot:

fixmbr

vilket återställer MBR till standard-utseendet och därmed är infektionen borta från MBR i alla fall. Dock leder det till att det inte går att använda återställningspartitioner eller annat som kan finnas i märkesdatorers MBR.

Det jag tänkte på var att se om jag kunde få Disk1 som windows ligger på och som är fri från trojanen enligt endpoint att snurra igång windows med hjälp av windowsskivan. Eller finns det något annat sätt för att se varför det vägrar att starta?

Frågan är om man kan göra en fixmbr på disk 2 med hjälp av windowsskivan isåfall trots att windows inte ligger på den hårddisken. Jag vet inte annars vad jag ska göra eftersom något uppenbarligen har spökat till så att windows inte startar.

Jag är lite lost på anledningar till att operativet inte startar.

Edit:

Nu blev jag riktigt konfunderad.. om jag inaktiverar disk2 i BIOS så säger datorn att det inte finns någon boot-device. Det som förbryllar mig är att windows absolut inte finns på den hårddisken. :S

Redigerad Maj 30, 2011 av Fiddeflygare

[Cecilia]

I inlägg 11 skriver du att Windows finns på hårddisk 2.

Det är kanske bäst att vi tar en hårddisk i taget, så lägg undan en hårddisk och koppla in den andra i jobbdatorn. Väl där så dels skannar du den och dels tittar du efter vad det finns för mappar på den.

[Opptokoppter]

Hej Fidde!

Du nämde att du kunde ansluta diskarna till datorn på jobbet....Suveränt!

Hur du väljer & göra är ju din egen ensak, vi kan egentligen bara ge råd och tips om vilka vägar som kan va bäst.

Inte för att låta gnällig

Har nämt det förut och de handlar om vad som ska betecknas som ett rent tillstånd där man kan känna sig så pass trygg som man bara kan bli.

Hur vet vi just nu vad som är "rent" ?, inget kan med 100% garrantera en användare en total tillbakagång till ett tidigare rent tillstånd ifrån systemet blev installerat.

Att tro på en sådan sak är de samma som - gambla...Att ändå försöka rengöra systemet så gott som det går - är att återställa systemet provisoriskt.

Används en dator som är smittad eller anses smittad och därefter rensats, så bör helst en sådan dator inte användas till viktiga ärenden t.ex inloggningar, mejlkontakter och bankärenden. Man ska aldrig va säker på den punkten!

Mitt råd som jag vill rekommendera i det här läget....- För initialt rädda dem filer som du vill spara och för säkra upp eventuellt smittat innehåll ifrån dessa och därigenom minska riskerna för vidare spridning.

• Gå vidare så långt det kan va vettigt med rensningen.
  
• Satsa därefter på en överföring på allt du vill spara undan t.ex tillfälligt på jobbdatorn eller andra disken.
  
• När det känns färdigt och filer kommit till sin rätt, Skriv över en disk i taget eller båda, om du sparat undan filerna på annan dator.
  

http://www.dban.org/download

http://www.killdisk.com/eraser.htm

http://diskwipe.org/

• Genom allting i detta stadiet är överskrivet på diskarna så återstår arbetet med installera Windows igen, denna gången på en väldigt ren yta som grund att utgå ifrån med allting annat som kommer installeras framöver härifrån. Så rent genuint som ett Microsoft Windows kan erbjuda från ett sprillans nytt installerat system.
  

Jag kollade inte om du hade Windows på skiva eller använder Återställnings-partition. Finns sådana partitioner inblandade så försök spara undan den biten innan språnget görs med skriva över hela klabbet. Ställ isåfall en fråga om den saken här i tråden om du behöver hjälp med flytten.

[Cecilia]

Som jag ser det är det onödigt att försöka få bort skadliga filer om man i alla fall ska installera om allt, utan då kopierar man sina viktiga filer någonstans och sedan ser man till att rätta till MBR följt av en vanlig Windows-installation. Jag inser inte heller varför man ska skriva t ex 0 (nollor) över hela disken.

[PCfreak]

Vidhåller ändå att så länge du har återställningspunkter kvar så är ja säker på att även dom innehåller virus, har själv råkat ut för liknade virus och tog bort ALLA återställningspunkter, stängde av Systemskyddet och på så viss fick igång burken men de va tydligen fel att göra så, enligt Cecilia, ja körde en "fixmbr" och startade burken, körde Malwarebytes, fick bort rubbet..men då tog ja bort ALLA återställningpunkter INNE. Är ingen besserwisser men ja har lyckats på det viset. men hoppas de löser sig.

[Cecilia]

Vidhåller ändå att så länge du har återställningspunkter kvar så är ja säker på att även dom innehåller virus,

Visst är det så, men det gör ju inget så länge man inte gör en systemåterställning.

Att du tog bort systemåterställningspunkterna först påverkade inte dina möjligheter att rensa datorn med fixmbr och MBAM. Däremot hade det blivit tråkigt om MBAM hade tagit bort något på fel sätt och det orsakade att Windows inte kunde startas i något annat än felsäkert läge med kommandotolk (har hänt) när det inte fanns några systemåterställningspunkter.

[Opptokoppter]

Som jag ser det är det onödigt att försöka få bort skadliga filer om man i alla fall ska installera om allt, utan då kopierar man sina viktiga filer någonstans och sedan ser man till att rätta till MBR följt av en vanlig Windows-installation.

MBR kan självklart vara bra & åtgärda om man vill kunna starta sig in till de befintliga systemet, i annat fall så skapas ju ett nytt senare om en installation görs.

Jag skrev helt enkelt så därför att det kan vara dumt att flytta filer som man vet kan ha blivit infekterade, bäst & försäkra sig i förhand

Jag inser inte heller varför man ska skriva t ex 0 (nollor) över hela disken.

Allting är ju valfritt, vill man så är det naturligtvis upp till varje person & tillfälle att skriva 1:or wildcards t.ex som omväxling

Uppriktigt sagt så tillhör den saken något som jag själv ofta föredrar numera, framförallt pga det hjälper till att förbereda en installation som körs efteråt "mindre risk för trubbel" på resans gång. Utöver ovanstående så kan vi ju heller inte blunda för att det börjar krylla av recovery program på marknaden. Vad är de som säger att den tekniken inte skulle användas i syfte av ta sig in på en disk och hämta ut information eller fungera som hjälpande program dolt i bakgrunden till återställa t.ex det som ni nu pysslar med här.

Dessutom om det nu skulle finnas saker på diskarna som ev. kan sätta käppar i hjulet för ett installationsförlopp så vore det ju bättre om detta sker och kan upptäckas vid överskrivningen Än att de sker längre fram under installationen.

Men den saken bestämmer Fidde

[Cecilia]

Vad är de som säger att den tekniken inte skulle användas i syfte av ta sig in på en disk och hämta ut information eller fungera som hjälpande program dolt i bakgrunden till återställa t.ex det som ni nu pysslar med här.

Det är ju lättare att lägga in de skadliga filer på nytt än att ta sig in i en dator med förhoppningen att den har varit infekterad förut samt att de skadliga filerna inte har blivit överskrivna av något under installationen av Windows och övriga program.

[Opptokoppter]

Det är ju lättare att lägga in de skadliga filer på nytt än att ta sig in i en dator med förhoppningen att den har varit infekterad förut samt att de skadliga filerna inte har blivit överskrivna av något under installationen av Windows och övriga program.

Helt klart en hypotetiskt fråga med modifikation utefter varje rådande förhållande & enskilda fall.

Igenting är ju omöjligt & varje nisse som sitter och knackar samman en lömsk applikation utnyttjar såklart alla medel och kunskaper som finns.

Men vänjer man sig vid tanken att man skulle kunna använda en dold modul som "lyfter upp borttagna filer" på direkten, så blir detta ett hyggligt bra komplement till saker som redan använts i flera år d.v.s SystemÅterställningen i Windows och Windows filskydd.....Bara en spekulation om än något skrämmande

(Vissa varianter hade säkert kunnat köras oberoende av vilket OS - version som sitter installerat på disken)

Redigerad Juni 1, 2011 av Opptokoppter

[Fiddeflygare]

Hej igen på er.

Jag har inte hunnit titta närmare på diskarna än då det är lite mycket på jobbet just nu. Men jag planerar att fixa med dem i helgen och kanske redan lite imorgon. Det jag är ute efter är att slippa välja ut vad jag behöver spara av 500 gb och försöka hitta plats för detta någon stans. Det jag vill är att få bort trojanen så att jag kan använda datorn som jag vill och kanske senare rensa bland allt och formatera/installera om Windows. Men i nuläget är jag ute efter en lösning som gör att jag kan ha kvar mina saker på datorn för tillfället.

@Cecilia: Jag ska kontrollera vilken av diskarna som windows ligger på imorgon och postar sen exakt hur det ser ut.

[Opptokoppter]

Titta vad jag hittade på tal om Forensic recovery app's....

Än sålänge bara i beta stadiet men bland de värsta jag sett så här långt bortsett från Linuxdist som Backtrack.

http://www.osforensics.com/index.html

[Fiddeflygare]

Ok, nu har jag dubbelkollat här.

Disk 1 innehåller mina partitioner Windows, mix och spel.

Disk 2 innehåller partitionerna Fiddes och film m.m.

Disk 1 var den som hade W32.virut.CF på sig.

Disk 2 är den som är infekterad av trojanen och dessutom kan datorn inte boota om inte disk 2 sitter i.

Detta innebär att Disk2 enligt mitt BIOS är boot-device men OS:et ligger på disk 1. Detta gör mig lite konfunderad då det känns som att Disk 1 borde vara boot-device eftersom operativsystemet ligger på den disken. Så ser situationen ut just nu.

Så nu är då frågan om det går att få bort skräpet på diskarna på något sätt utan att jag ska behöva formatera dem och förlora all data? Jag har inte möjlighet att kopiera över allt som jag behöver ha kvar från de gamla diskarna då jag inte har så mycket utrymme någonstans och dessutom vill jag inte riskera att det kommer in virus och annan skit på fler diskar än dessa två. Verkar redan vara lite sent då viruset verkar ha kommit in i diverse tmp filer på gamla jobbdatorn. men det reagerar iallafall endpoint på och sätter i karantän.

[Cecilia]

Man kan få det så att boot-disken är en annan disk än den Windows ligger på.

Då börjar vi med hårddisk 2 som datorn bootar från. Stoppa bara in den hårddisken i datorn och boota sedan från XP-skivan. Välj reparera vid första frågan så att du kommer till reparationskonsolen och där ger du kommandot:

fixmbr

Det medför att MBR skrivs över med en standard MBR. Det innebär troligen att den inte klarar av att Windows ligger på en annan hårddisk men det ska ju gå att fixa sedan med hjälp av kommandot bootcfg när båda hårddiskarna är anslutna.

http://support.microsoft.com/kb/314058