Virus upptäckt av ESET Nod32 Antivirus

[Mårten85]

Hej alla,

Jag har stött på problem med ett virus som har upptäckts och som heller inte verkar gå att "ta bort" på ett enkelt sätt. Eset skriver om Firmware uppdatering och "flashing process". Jag förstår givetvis ingenting.

Meddelandet jag får av genomsökningen av datorn: 

\\Uefi Partition » UEFI » uefi:\\Volume 5\Application {057AD6B7-3525-40C8-9D21-552642894E3A} - en variant av EFI/CompuTrace.A potentiellt farligt program

Jag har försökt att hitta genvägen dit men utan framgång och förstår inte riktigt vad detta innebär. Är det en partition som inte har en etikett som jag inte kan se? Jag har två parttioner på min dator. En C : där Windows ligger och annat, samt en D : där jag lägger musik/spel etc.

All hjälp är väldigt välkommen!

Tack på förhand

Mvh
Mårten

[X-Men]

15 minuter sedan, Mårten85 sade:

Hej alla,

Jag har stött på problem med ett virus som har upptäckts och som heller inte verkar gå att "ta bort" på ett enkelt sätt. Eset skriver om Firmware uppdatering och "flashing process". Jag förstår givetvis ingenting.

Meddelandet jag får av genomsökningen av datorn: 

\\Uefi Partition » UEFI » uefi:\\Volume 5\Application {057AD6B7-3525-40C8-9D21-552642894E3A} - en variant av EFI/CompuTrace.A potentiellt farligt program

Jag har försökt att hitta genvägen dit men utan framgång och förstår inte riktigt vad detta innebär. Är det en partition som inte har en etikett som jag inte kan se? Jag har två parttioner på min dator. En C : där Windows ligger och annat, samt en D : där jag lägger musik/spel etc.

All hjälp är väldigt välkommen!

Tack på förhand

Mvh
Mårten

Kan denna information hjälpa dig?

https://support.eset.com/en/kb6567-you-receive-an-eset-uefi-detection

[Mårten85]

Tack för svar!

Jag var in där och läste, men jag blir inte så mycket klokare dessvärre.. Tycker heller inte sajten är glasklar. Försökte även i min klient gå in via "F5" för avancerade inställningar och på den vägen "blocka" just den filen. kom där man kan exkludera, men då fattade jag det som att man kan exkludera filer för att inte bli "stoppade" av ESET. Kanske är jag som är mindre bevandrad/kunnig. 

[X-Men]

Vilken variant av Eset har du?
Jag har Eset Internet Security.

[Cecilia]

33 minuter sedan, Mårten85 sade:

Jag har försökt att hitta genvägen dit men utan framgång och förstår inte riktigt vad detta innebär. Är det en partition som inte har en etikett som jag inte kan se? Jag har två parttioner på min dator. En C : där Windows ligger och annat, samt en D : där jag lägger musik/spel etc.

Ja, det finns dolda partitioner som behövs för att Windows ska kunna starta mm. Man kan se dem genom att starta Diskhantering genom att högerklicka på Start/Windows-knappen och välja Diskhantering. Kan du ta ett skärmklipp med t ex Skärmklippverktyget och bifoga till ditt svar?

Välkommen till forumet också!

[X-Men]

42 minuter sedan, Mårten85 sade:

Hej alla,

Jag har stött på problem med ett virus som har upptäckts och som heller inte verkar gå att "ta bort" på ett enkelt sätt. Eset skriver om Firmware uppdatering och "flashing process". Jag förstår givetvis ingenting.

Vad har du för dator, fabrikat och modell?
Är det en egenbyggd dator, vad har du för moderkort, fabrikat och modell?

Jag har läst igenom Esets hemsida och de anger att en omflashning av moderkortets BIOS kan åtgärda felet. Beroende på vilket moderkort/dator du har görs det på lite olika sätt. Återkommer du med uppgifter om din dator skall vi se om vi kan hjälpa dig med en omflashning och se om det rensar ut ohyran och Eset slutar att meddela dig om infektionen.

[X-Men]

Vet du inte vad du har för dator/moderkort kan du använda ett litet program som Belarc Advisor. Det kostar inget.
Belarc Advisor avslöjar dina licensnycklar till vissa av dina program. Publicera således inget som har med sådana att göra!

Här hämtar du Belarc Advisor på deras hemsida:

https://www.belarc.com/products/belarc-advisor/download

Du behöver ange en e-postadress. Mitt förslag är att du hittar på en för det gör jag och det fungerar ändå.

Du kan också hämta Belarc Advisor på andra sidor, som den här, utan att ange en e-postadress:

https://download.cnet.com/Belarc-Advisor/3000-2094_4-10007277.html

[Mårten85]

Hej @Cecilia

Tack för svar.

 

Här kommer en skärmbild med diskhanteringen. Har du något mer förslag på hur jag kan gå tillväga?

[Mårten85]

@X-Men Tack!

Jag körde en "system". Finns all relevant info här?

Den är egenbyggd men alla komponenter köpt via Inet.se.

[Cecilia]

19 minuter sedan, Mårten85 sade:

Här kommer en skärmbild med diskhanteringen.

Där kan du se att den lagringsenheten som du har C : på också har två andra partitioner.

19 minuter sedan, Mårten85 sade:

Har du något mer förslag på hur jag kan gå tillväga?

Jag tror att det X-Men tar upp är en framkomlig väg.

[X-Men]

1 timme sedan, Mårten85 sade:

@X-Men Tack!

Jag körde en "system". Finns all relevant info här?

Den är egenbyggd men alla komponenter köpt via Inet.se

Ja, det mesta jag behöver finns i den bild du publicerat.
Vad jag ser är att du inte uppdaterat BIOS sedan du köpte moderkortet. När jag kikar i historiken för BIOS för ditt moderkort har det, genom åren, kommit ett antal uppdateringar. I dessa uppdateringar finns också uppdateringar för att täppa till säkerhetshål.
Intels processorer är kända för att ha en uppsjö av säkerhetshål som täpps till genom att man fixar med BIOS-mjukvaran (firmware) samt uppdateringar till Windows. 
AMDs processorer lider också av säkerhetshål men inte i lika stor omfattning som Intels.

Din BIOS-version är från 2018-06-20. 
Den senaste är från 2021-07-24.
Enligt Esets hemsida kan den infektion du har kanske åtgärdas med en uppdatering, eller omskrivning av BIOS. I ditt fall är det en uppdatering och det är en uppdatering som jag varmt rekommenderar! Detta med tanke på att det har kommit åtgärder för att täppa till vissa säkerhetshål i Intel-processorn du har.

Här är en länk till Asus hemsida för ditt moderkort:

https://www.asus.com/motherboards-components/motherboards/prime/prime-b360m-a/helpdesk_bios/?model2Name=PRIME-B360M-A

För att uppdatera BIOS är det av vikt att du inte stänger av datorn under processen. Det kommer att göra att moderkortet slutar fungera.
Du behöver en USB-enhet, USB-minne, disk eller annan lagringsenhet som har USB-anslutning.
Denna enhet behöver inte vara särskilt stor. 1GB räcker för det du behöver göra. Det fungerar självklart med större minne också.
USB-enheten skall formateras till FAT32 för att säkerställa att det fungerar.
När allt detta är klart är det dags att hämta BIOS-versionen.

Här är en direktlänk till BIOS-versionen du skall använda dig av (hoppas den fungerar):

https://dlcdnets.asus.com/pub/ASUS/mb/BIOS/PRIME-B360M-A-ASUS-3202.ZIP?model=PRIME B360M-A

Spara filen i en mapp på en disk i din dator. Det är viktigt att du skapar en mapp för filen.
Packa upp filen.
I mappen kommer du att ha en fil som heter:

PRIME-B360M-A-ASUS-3202.CAP

samt en fil som heter:

  BIOSRenamer.exe

Starta BIOSRenamer.exe
och ett kommandofönster öppnas. Den ber dig att trycka på valfri tangent för att fortsätta, vilket du hör.
När det är klar kommer programmet att ha bytt namn på filen:

PRIME-B360M-A-ASUS-3202.CAP

till

PB360MA.CAP

Kopiera filen PB360MA.CAP till ditt USB-minne (USB-disk).

Sätt i USB-minnet i ett av de två svarta USB-anslutningar du har baktill på moderkortet. Undvik att använda de turkosfärgade då de sannolikt är USB3-portar. Det är inte säkert att ditt moderkort stöder dessa portar från BIOS.

Starta om datorn (om du gör allt detta på din dator som har problemet).

När datorn startar om trycker du upprepade gånger på "Del"-knappen tills dess datorn startar upp på moderkortets mjukvara, BIOS.

Så här bör det se ut när du startat din dator och aktiverat BIOS.

Tryck på knappen F5 på tangentbordet.
Du får frågan om du vill ladda in "Default settings".
Svara ja på den frågan.
Tryck på knappen F10 på tangentbordet.
Du får frågan om du vill spara ändringarna och starta om datorn.
Svara ja och datorn startas om.

Återupprepa förfarande att trycka upprepade gånger på "Del"-knappen på tangentbordet så du återkommer till BIOS.

När du åter är i BIOS trycker du på knappen F7 på tangentbordet.
Du kan få frågan om du vill gå in i "Advanced mode" om det inte sker automatiskt.
Svara ja på den frågan.

Det skall se ut som bilden ovan visar.
Klicka i menyraden på "Tool" (gul pil) för att öppna menyn för olika verktyg, bl.a. EZFlash.

Nu börjar det bli lite svårt för mig att berätta exakt hur du skall göra då jag inte har tillgång till ditt moderkort. Jag plockar lite där jag kan.
Du skall kunna hitta något som heter EZ Update, EZ Flash (Utility) EZ Flash 2 eller liknande.
Ser du något av detta, starta funktionen.

Det kan se ut som på bilden ovan.
Klicka på de tre prickarna (1) för att bläddra till USB-minnet med uppdateringsfilen.
Den skall du sedan kunna se i fältet ovanför pilen nummer 2 (2).

Det kan se ut som bilden ovan visar.
Du skall kunna klicka så du kan starta uppdateringen. Tyvärr har jag inte mer att visa dig men jag tror du hittar själv.

När uppdateringen är klar skall datorn starta om själv. Alternativt behöver du starta om den om BIOS ber dig.
Vid omstart gör du om proceduren:

Tryck på knappen F5 på tangentbordet.
Du får frågan om du vill ladda in "Default settings".
Svara ja på den frågan.
Tryck på knappen F10 på tangentbordet.
Du får frågan om du vill spara ändringarna och starta om datorn.
Svara ja och datorn startas om.

Om allt gått bra kommer din dator att starta upp som vanligt.

Se om det här hjälper dig att uppdatera BIOS.

Jag avråder från att välja att uppdatera från internet. Min erfarenhet är att det fungerar bra med vissa bärbara datorer men inte lika bra med moderkort i stationära datorer. Allt utifrån egen erfarenhet.

Får du det inte att fungera skall jag använda min egna dator och ta bilder med kamera.
Återkom med resultatet.

[X-Men]

En förklaring till varför en uppdatering av BIOS, i detta fallet UEFI, kan åtgärda en infektion i systemet.

Eset varnar för att ett virus infekterat UEFI-BIOS. Om ett virus infekterat UEFI-BIOS är en uppdatering/omskrivning av BIOS en bra åtgärd.

När BIOS uppdateras/omskrivs raderar programmet som hanterar uppdateringen allt som finns i CMOS-kretsen, minnet som innehåller BIOS. Därefter skrivs det nya programmet in i CMOS-minnet.

I och med att minnet först raderas kommer även eventuellt virus att raderas.

[Mårten85]

Hej

stort tack för alla instruktioner, jag har följt till punkt och pricka och uppdateringen blev 100%. Dock stötte jag på ett nytt problem vid omstart.. Dwn verkar inte hitta någon disk att boota ifrån. 
 

mina diskar syns inne i bios både c : och D :

men de ligger som SATA6G_3 respektive 4. När jag väljer ”boot menu” så är den tom.

minns att detta hände försrs gången jag satte ihop sen men då löste jag det själv på ren chans inne i BIOS. Vill helst inte chansa.. Några idéer? 

 

 

 

 

 

Redigerad Juli 29, 2023 av Mårten85

[X-Men]

Jag skulle föreslå att du aktiverar Advanced som inställning. Se om du där kan hitta något som heter "Load Optimized settings". Välj i så fall detta, tryck på F10 för att spara och starta om datorn.

Eventuellt aktiverar du BIOS och väljer Advanced igen.
I menyraderna skall du kunna hitta valet Advanced även där, eventuellt heter det något annat. Det skall handla om inställningar för dina SATA-enheter. Det är möjligt att "Default" ställer om SATA till "Legcy" och jag förmodar att dina inställ för SATA har varit AHCI.

Se om du kan hitta något av detta. 

[Mårten85]

Jag hittar ingenting där jag kan välja SATA.. Det handlar bara om UEFI only eller legacy only / both på vissa. Om jag enablar ”CSM” får jag en del val kring boot device controL, boot from storage, boot from Pci/pci expansion devices, boot from network devices. Kan även välja ”ignore” på samtliga..

 

jag klickar runt mer för att se om jag hittar. Måste väl vara under ”boot” menyn i advanced.. 

 

hittade nu att jag kan välja ”sata mode selection” AHCI eller intel rst with intel optane system. Det sistnämnda är förvalt. Jag kan även disabla de diskar som inte används och som ligger före i bootordningen.. samt så kan jag enabla något som heter ”hot plug” för de plika diskarna. 
 

kan även under boot välja OS type och där emellan ”other OS” eller Windows UEFI ode” 

other är förvalt.
 

Redigerad Juli 29, 2023 av Mårten85

[X-Men]

12 minuter sedan, Mårten85 sade:

Jag hittar ingenting där jag kan välja SATA.. Det handlar bara om UEFI only eller legacy only / both på vissa. Om jag enablar ”CSM” får jag en del val kring boot device controL, boot from storage, boot from Pci/pci expansion devices, boot from network devices. Kan även välja ”ignore” på samtliga..

 

jag klickar runt mer för att se om jag hittar. Måste väl vara under ”boot” menyn i advanced.. 

 

hittade nu att jag kan välja ”sata mode selection” AHCI eller intel rst with intel optane system. Det sistnämnda är förvalt. Jag kan även disabla de diskar som inte används och som ligger före i bootordningen.. samt så kan jag enabla något som heter ”hot plug” för de plika diskarna. 
 

CSM bör du inte aktivera om du inte nödvändigtvis måste det. CSM, Compatible System Mode, gör att säkerhetsfunktioner i UEFI stängs av.

Däremot bör du ändra SATA Mode Selection till AHCI. Inställningen Intel Optaine System skall endast väljas om du har installerat Intels Optaineminnen. 

[X-Men]

Nu såg jag också din sista bild, den svartvita, med valet Intel Optiane "On/Off". Beklagar att jag inte såg den tidigare.

Intel Optaine stänger du av.

[Mårten85]

Nu valde jag att aktivera csm och nu startar datorn/windows, båda diskarna finns med i bootmenyn i bios..

dock får jag lite felmeddelanden av windows. Stoppkod ”inaccessable boot device” windows startade inte korrekt. Den diagnoticeras.  Jag kan starta om/felsöka/eller stänga av.. detta är ju mycket konstigt. 

[X-Men]

4 minuter sedan, Mårten85 sade:

Nu valde jag att aktivera csm och nu startar datorn/windows, båda diskarna finns med i bootmenyn i bios..

dock får jag lite felmeddelanden av windows. Stoppkod ”inaccessable boot device” windows startade inte korrekt. Den diagnoticeras.  Jag kan starta om/felsöka/eller stänga av.. detta är ju mycket konstigt. 

Det är sannolikt fortfarande en inställning i BIOS som avviker. "Hot plug" skall inte aktiveras. Jag får kika mer på det här när morgonen är åter. För min del är det rullgardin ner nu. 
Eftersom jag inte har tillgång till allt om ditt moderkort, har du möjlighet att ta något kort på inställningarna för diskarna och publicera här? Jag återkommer när solen åter gått upp.

[Mårten85]

Hit kommer jag nu. Om jag tar återställningspunkt så riskerar väl hela biosuppdateringen att tas bort? Förslag här?

[Mårten85]

Okej, det har lösts sig vad det verkar!

Jag körde en klassisk "reparation" och då blev allt bra. Kollade Systeminfo och min BIOS-version är den senaste (2021).

 

STORT TACK @X-Men och även @Cecilia För er hjälp och engagemang!!

Lösningen i mitt fall var då uppenbarligen uppdatera firmware/BIOS, aktivera CMS och kör en reparation...  Jag verkar även ha lyckats sätta detekteringen i karantän via ESET. F5 för avancerade inställningar ->Detekteringsmotor -> Exkluderade objekt -> Detekteringsundantag ->Lägg till -> EFI/CompuTrace.A i "Detekteringsnamn". 

Återigen, jag är så tacksam för hjälpen! Dock kvarstår virusresultatet som innan. Men, just nu känns det mer som en seger att fått igång burken igen.

Redigerad Juli 30, 2023 av Mårten85

[X-Men]

Så bra att du löste uppstarten! Du har sannolikt haft CSM aktiverad när du installerade Windows i din dator. Jag har jobbat å min sida på ditt problem. CompuTrace behöver inte vara en infektion utan ett "legitimt" program. Det används för att kunna spåra en dator om den blivit stulen. Nackdelen och orsaken till att det är ett oönskat program är just att en dator går att spåra.

Programmet kan vara inbyggt i BIOS. På någon sida har jag läst att en lösning är att byta moderkort till ett modernare moderkort som inte använder Intels chipset serie 300 och tidigare. En onödig lösning, tycker jag. 
Om CompuTrace ligger inbyggt i BIOS-mjukvaran går den att stänga av (inaktivera) via inställningar i BIOS. Om den har aktiverats går den aldrig att inaktivera. Har den inaktiverats får den aldrig att aktivera igen. Den ligger således latent om den aldrig hanterats.

Du skulle kunna kolla om du har följande filer i mappen System32, som du hittar under mappen Windows i roten på disk C:\. 

rpcnet.exe

rpcnetp.exe

rpcnet.dll

rpcnetp.dll

Om ovanstående filer saknas i mappen innebär det att CompuTrace aldrig aktiverats.
Hittar du inte filerna skall du kunna inaktivera CompuTrace i inställningarna för BIOS.

Ett annat sätt att kontrollera CompuTrace verkligen ligger i BIOS är att koppla ur dina befintliga diskar, koppla in en annan tom disk, installera Windows och Eset och sedan skanna datorn. Om CompuTrace hittas ligger CompuTrace i BIOS. Hittas det inte är Windows infekterad. 
Ovanstående låter sig bara göras om du har en disk som du kan använda utöver de du har. Kanske du kan använda en av de två diskarna du redan har om du kan flytta över allt från den ena till en annan plats.

Du bör dock enbart ha en enda disk inkopplad i datorn när du installerar Windows för att testa. Eset kan du hämta och köra som en 30-dagars testversion utan kostnad. När du testat och fått resultatet raderar du disken och använder den som du brukar. 

Redigerad Juli 30, 2023 av X-Men
Surfplattan ändrade CompuTrace till CompuSafe, vilket nu är korrigerat

[Mårten85]

Okej, tack! Jag hittade inte dessa filer i System32. 

Ska kolla i BIOS om jag hittar någonting om inaktivering. 

[X-Men]

Återkom när du kikat i BIOS.

[Mårten85]

Jag tittade runt i BIOS men hittade ingenting. Provade även sökfunktionen men gav inget resultat.