Virus!? Hur får man bort det?

Tja!

Min dator ser ut att ha drabbats av ett virus. Jag laddade ner en fil som heter C-Organizer_Pro_v3_keygen.zip. Den innehåller följande filer.

ACME.nfo
C-Organizer_Pro_v3_keygen_by_ACME.exe
FILE_ID.DIZ

Jag packade upp ZIP filen till Skrivbordet och körde EXE filen.

Det första tecknet på virus var att EXE filen försvann när jag dubbelklickade på den. Det är ju inte normalt beteende. Dessutom visades inget nytt programfönster.

Det andra tecknet på virus var att när jag högerklickade på en valfri fil eller mapp så hade jag endast några få val att välja på kontext menyn, så som Ta bort alternativet.

Det tredje tecknet på virus var att när jag högerklickade på tomt utrymme på Skrivbordet för att se om jag kan komma åt alternativet Anpassa så kom en BSOD upp.

Första BSOD visade INTERNAL_POWER_ERROR. Jag minns inte den exakta bug check koden.

Jag startade om datorn, track på F8 och valde Felsäkert läge.

När felsäkert läge laddas så blir det ovanligt långt uppehåll först när \windows\system32\hal.dll laddas och sedan när \windows\system32\drivers\crcdisk.sys laddas.

Lyckad inloggning!

I felsäkert läge verkar allt vara normalt. Jag kollar Skrivbordet och hittar inte den tredje filen som är en EXE fil.

Jag kör msconfig, väljer selektiv start och väljer bort systemtjänster och Autostart objekt. Jag startar om datorn.

Windows laddas normalt, men jag märker ett något längre uppehåll innan "Windows Vista" texten dyker upp med animationen som visar att Windows laddas.

Inloggningssidan visas. Jag väljer mitt konto, skriver lösenordet och loggar in. Lyckad inloggning! Men så plötsligt kommer en ny BSOD som visar INVALID_PROCESS_ATTACH_ATTEMPT (0x0000001E).

Jag startar om och loggar in i felsäkert läge. Jag kör msconfig, väljer selektiv start, väljer bort Autostart objekt, visar fliken Tjänster, väljer att aktivera alla tjänster, väljera att dölja alla MS tjänster, inaktiverar alla tjänster som visas, klickar på OK och startar om datorn.

Nu provar jag att logga in i Windows normalt och det fungerar. Lyckad inloggning och inga BSOD.

Nu är frågan, vad är det för ett jävla virus jag har fått? Och hur får jag bort det? Hur gör man för att identifiera det? För jag antar att det är ett virus det handlar om. Har ni andra teorier?

Tack på förhand!

Jag har provat med net start dhcp men får inte igång nätverket.

Vilken eller vilka MS tjänster måste man aktivera för att nätverk ska fungera i normalt Windows läge?

Haha! Ja, jag vet hur dumt det verkar. Jag var ju medveten om riskerna med att köra sånt där skräp. Men på den officiella webbsidan hade de inte vad jag letade efter. Jag var ju inte ute efter ett crack eller keygen för programmet. Jag ville bara få tag på gamla versionen av det.

På webbsidan hade de 4.0.5 och jag behövde 3.x. Jag vet att programmet som en keygen är avsedd för ibland ingår i samma paket. Men den EXE filen var själva keygen och inte programmet i sig. Men jag valde ändå att köra det. Fråga mig inte varför...

Jag laddade ner Malwarebytes' Anti-Malware (mbam-setup.exe) 1.50.1.1100 och installerade det. Databasen uppdaterades från ca version 5400 nånting till 6000. En snabbskanning hittade 1 (ett) infekterat objekt. Jag valde att ta bort det och startade om datorn. Jag gjorde en ny snabbsökning och det hittades inte igen. Men problemsymptomen kvarstod. En ny snabbskanning av de ca 186000 objekten hittade 6 infekterade objekt; 4 filer, 1 registernyckel, 1 registervärde.

Utfärdare           Kategori       Övrigt
-------------------------------------------------------------------------------------------------
Trojan.Nebuler      File           winbfi32.rom
Trojan.Nebuler      Registry Value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSSMSGS
Trojan.Nebuler      File           c:\Windows\System32\winbfi32.rom
Trojan.Nebuler      File           c:\Windows\SysWOW64\winbfi32.rom
Rogue.AntiVirusPro  File           c:\Users\X\AppData\Roaming\adddefaultvaluefordevicepathkey.reg
Trojan.Downloader   Registry Key   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR

Jag startade om datorn. Jag valde mitt användarkonto och skrev lösenordet och loggade in. Direkt så kom det upp en BSOD! Det var IRQL_NOT_LESS_OR_EQUAL (0x0000000A).

Jag startade om datorn igen och kunde då logga in. En ny snabbskanning returnerade inga infektioner.

Jag gjorde en fullständig skanning av ca 438000 objekt som tog 52 minuter. Den hittade då Trojan.Dropper.PGen i en EXE fil i en av mina användarmappar. Men det var ett falskt positiv.

Jag laddade ner F-Secure Internet Security 2011 (fs2011.exe) i felsäkert läge med nätverk. Den var 53,8 MB. Jag passade även på att ladda ner Kaspersky Internet Security 2011 (kis11.0.1.400sv_se.exe).

Jag provade först att installera F-Secure IS 2011 men det verkade som att den inte ville bli installerad i felsäkert läge och/eller med en massa Windows tjänster stoppade eller inaktiverade. Installationen påbörjar men efter en kort stund dyker det upp ett meddelande i installationsguiden som säger att viktiga komponenter inte kunde installeras.

Den listar alla komponenter, det är typ alla viktiga komponenter så som brandväggen, pop-up blockerare med mera som inte kunde installeras. Jag ombeds starta om datorn. Jag startar om datorn i felsäkert läge i hopp om att installationen ska fortsätta, men det gör den inte. Jag provar en gång till och det är samma fel.

Jag återvände till normalt Windows läge för att försöka installera F-Secure IS 2011 men där var det samma sak. I msconfig ser jag att några F-Secure tjänster har installerats som är stoppade eller inaktiverade. Jag försöker rätta till detta och startar om datorn i normalt Windows läge igen. Återigen, samma problem! Där gav jag upp F-Secure.

I normalt Windows läge provade jag att installera Kaspersky IS 2011. Så fort jag klickade på EXE filen och den packade upp sig så kom det upp en informationsruta som talade om att datorn var infekterad.

Jag svarade ja på det och det kom upp en Spara som dialog där jag skulel välja var jag ville spara den nya EXE filen till AVPTool. Jag valde plats och klickade på Spara. Det stod att den etablerar anslutning och så kom det upp ett felmeddelande.

Men jag hade ju åtkomst till Internet även i normalt Windows läge nu. Jag vet inte varför den inte etablerade anslutning. Jag läste om de olika Windows tjänsterna på Speedyvista och aktiverade följande tjänster för att få igång Internet i normalt Windows läge.

• Base Filtering System

• DHCP Client

• DNS Client

• Group Policy Client

• Internet Connection Sharing (ICS)

• IP Helper

• IPsec Policy Agent

• Link-Layer Topology Discovery Mapper

• Network Access Protection Agent

• Network Connections

• Network List Service

• Network Location Awareness

• Network Store Interface Service

Är det ingen som vet vilka Windows tjänster som är minimum krav för att aktivera nätverket i normalt Windows läge?...

Med en sökning på Google hittade jag nedladdningssidan för Kaspersky Virus Removal Tool 2010. Jag laddade ner version 9.0.0.722 på 84,1 MB (setup_9.0.0.722_18.03.2011_20-05.exe) vilket inte alls är ett litet program. Jag har för mig att det krävde installation, men det är knappt så jag märkt det (det var en en-klicks-process). Installationen gick snabbt och det var inga problem och tjat om virus.

Med Kaspersky Virus Removal Tool på plats så var det bara att starta sökningen. Den var förinställd på att söka i Dolda startobjekt, Systemminne, Startsektorer på disk, och jag valde till C disk. Den tog på sig duktiga 3 timmar och 7 minuter! Efter bara 18 minuter hittade den Trojan-Downloader.Java.Agent.hx.

I tur och ordning har den hittat följande (några listas flera gånger vilket beror på att de hittades i flera objekt).

• Trojan-Downloader.Java.Agent.hx

• Exploit.JS.Pdfka.chz

• Trojan-Downloader.Java.Agent.ij

• Trojan-Downloader.Java.OpenConnection.cg

• Trojan-Downloader.Java.Agent.bm

• Trojan-Downloader.Java.OpenConnection.ay

• Trojan-Downloader.Java.OpenConnection.cg

• Trojan-Downloader.Java.OpenConnection.ay

• Trojan-Downloader.Java.Agent.bm

• Trojan-Downloader.Java.OpenConnection.cg

• Trojan-Downloader.Java.Agent.bm

• MEM:Rootkit.Win64.TDSS.fa

Där kom det! Rootkit! Efter 2 timmar och 56 minuter och 99% in i skanningen. Jag tror inte att detta verktyg är mer långsamt än Malwarebytes' Anti-Malware. Det är snarere så att denna gör en mer grundlig genomsökning av datorn.

Rekommenderad åtgärd var att desinficera och det var det jag valde. Jag kunde ha valt att ta bort det också eller hoppa över.

Men den kunde inte ta bort det.

Jag följde rekommendationen igen och startade om datorn sedan.

Efter omstarten laddede jag ner TDSS Killer version 2.4.21.0 (tdsskiller.zip). Det är ett gratis verktyg från Kaspersky speciellt framtaget för att döda rootkits och det råkar även fungera för MEM:Rootkit.Win64.TDSS.fa. Det är ett fristående program på 1,31 MB. Den genomsökte 260 objekt (Services and drivers, Boot sectors) och hittade inte infektionen. Förmodligen för att Kaspersky Virus Removal Tool redan har tagit hand om det.

Virus Removal Tool uppdaterats senast den 2011-03-18 så de har väl bakat in funktionen från TDSS Killer även i Virus Removal Tool. Men TDSS Killer kan till skillnad från Virus Removal Tool köras fristående, det kräver inte installation. Det är en stor fördel när man brottas med den här typen av virus och åtkomsten till systemet är minimal.

Ryssarna har alltså räddat min dator och min dag! Igen! För det här är inte första gången! Jag har normalt sett Kaspersky IS på datorn, sedan version 6.0 eller nåt sånt (ca IS 2004). Men licensen gick ut för några månader sedan och jag har struntat i att förlänga så jag tog bort den från datorn. Jag testade fram olika andra alternativ och tänkte faktiskt byta till F-Secure. Men nu är jag i skuld till Kaspersky och nu blir det nog en förlängd licens trots allt.

Så nu har jag inte MEM:Rootkit.Win64.TDSS.fa längre! Ryssen tog kål på det!

Att erbjuda såna här verktyg helt gratis, bara en sån sak är ju guldvärd. Trots att man inte har en giltig licens längre så får man ändå hjälp med att bli av med virus. Det känns som att de ser det här som deras ansvar. De tänker inte bara på sitt eget bästa och intäckter från sålda licenser. De bidrar till att göra Internet till en säkrare plats och hindrar på det här sättet spridning av virus och annan skadlig programvara. Tack Kaspersky!

Nu slipper jag förmodligen installera om Windows på ett tag till. Jag har dragit mig med samma installation i över 1 år och 3 månader nu. Vilket är ovanligt! Det är som någon slags personligt rekord. För jag brukar installera om minst 4 gånger inom loppet av ett år. Jag får se hur långt den här installationen orkar innan den totalt havererar och jag tvingas installera om.

Jag rekommenderar verkligen alla att ladda ner TDSS Killer och Virus Removal Tool från Kaspersky. De är bra att ha till hands har jag märkt, när det går åt helvete.

Nu kör jag i normalt Windows läge och datorn är till synes helt fri från virus. Man kan aldrig vara 100% säker, men 99% är bra nog för mig.

Men nu är det en hel del saker som inte fungerar längre normalt. Men jag får se det som konsekvensen av att ha haft virus, och rootkit. Samt min egen dumhet också.

Det här winbfi32.rom relaterade problemet har jag haft länge. Det började tror jag med att jag installerade eller förmodligen avinstallerade ett helt vanligt och lagligt program som jag vet används av många. Sedan dess har jag fått något felmeddelande om att winbfi32.rom saknas eller är skadad varje gång jag startade datorn. Så vitt jag vet så är winbfi32.rom en helt legitim Windows fil. Men jag märkte inte att Windows betedde sig konstigt pga. det så jag ignorerade det och klickade bara på OK varje gång. Jag planerade att installera om Widows så småningom och ville därför inte bry mig.

Men det kan alltså varit så att jag redan då har haft ett annat virus innan jag fick rootkit då. För jag såg ett märkligt värde i MSSMSGS nyckeln tror jag igår, där det stod winbfi32.rom följt av en sträng med slumpmässiga bokstäver. Jag har för mig att Shell32.dll också stod inom samma värde. Jag hittar inte MSSMSGS nyckeln nu längre för att veta exakt hur det såg ut. Antagligen har Malwarebytes eller Kaspersky tagit bort den nyckeln helt.

DCOM Server Process Launcher och Remote Procedure Call (RPC) kan man normalt sett inte inaktivera då de krävs för i stort sett alla Windows tjänster. Så dessa behövde jag inte aktivera då de redan var aktiverade. Men en intressant sak i sammanhanget är att jag inte kunde skriva ut en bild i Windows Fotogalleri.

Jag får fortfarande det felet. Jag kan inte skriva ut något, varken någon bild eller något dokument, oavsett vilket program jag väljer. Jag vet att skrivaren är installerad, men inga skrivare visas i mappen Skrivare på Kontrollpanelen, inte ens den inbyggda virtuella Microsoft XPS skrivaren.

Så jag vet inte, det är som om RPC har blivit inaktiverat trots allt. Men varken RPC eller DCOM SPL listas i msconfig så att man kan aktivera eller inaktivera det. Så det är väl inget som användaren kan påverka i alla fall. Jag skulle tro att det är något som är sabbat i den här Windows installationen så att RPC inte fungerar längre normalt. För kollar jag på msconfig så är det en väldig massa tjänster som saknas där, som alltså inte listas där.

Merparten av alla Microsoft tjänster saknas. Samtliga tredjeparts tjänster saknas förutom 3 tjänster från F-Secure. Jag saknar bl.a. Desktop Window Manager Session Manager som är den viktigaste tjänsten för att Aero gränssnittet ska fungera. Så jag sitter fast med ett enkelt grått och tråkigt Windows gränssnitt nu.

I princip endast de tjänster som jag hade aktiverat och som var igång i normalt Windows läge när jag körde Kaspersky är tillgängliga, och några obligatorisk eventuellt så som Cryptographic Services.

• Base Filtering Engine

• Cryptographic Services

• DHCP Client

• DNS Cleint

• F-Secure Anti-Virus Firewall Daemon

• F-Secure ORSP Client

• FSMA

• Group Policy Client

• Human Interface Device Access

• IP Helper

• IPsec Policy Agent

• Link-Layer Topology Discovery Mapper

• Network Access Protection Agent

• Network Connections

• Network List Service

• Network Location Awareness

• Network Store Interface Service

• Protected Storage

• Task Scheduler

Jag ska försöka dra igång en reparation från Windows skivan nu och se om det hjälper.

En intressant sak är att samtliga Windows tjänster listas i services.msc, men inte i msconfig alltså. Har ni någon metod för att reparera tjänster vid såna här fel?