Virus som konverterar mappar till .exe-filer!

[Alictrav]

Jag har drabbats av det värsta virus jag någonsin har varit med om. Alla mappar på Flashminnet har konverterats till .exe-filer och om man klickar på dessa så står det bara att programmet har upphört att fungera. Jag kommer alltså inte åt det mycket värdefulla innehållet (mina filer) i mapparna!

Mitt antivirusprogram (NOD32) identifierade viruset som W32/hider.I och satte nästan alla filer i karantän. Jag förde dock tillbaka dem till minnet eftersom jag ju måste kunna reparera mapparna och komma åt filerna. Nu har jag läst jättemycket om det här viruset genom Google och även försökt använda program som Flash disinfector och Autorun virus remover, men dessa hittar inget virus trots att komponenterna, autorun.inf och recycler, finns där. Dessa båda filer är också omöjliga att ta bort manuellt när man väljer att visa dolda filer.

Finns det något enda sätt som jag kan rädda mina filer i de förvandlade mapparna på?

 

[927]

om eller hur det går att få mappar av exe filerna vet jag inte (det är väl inte så enkelt att ta bort filändelsen?) men när det gäller själva problemet med infektionen så testa stinger, den är uppdaterad mot ett flertal varianter av autorun worm. se till att plugga i alla externa enheter först

http://vil.nai.com/vil/stinger/

 

[Alictrav]

Tack för svaret. Jo, jag snubblade över den sidan/det programmet tidigare när jag sökte information. Vad jag undrar är dock: Vad gör Stinger egentligen? Måste jag stänga av NOD32 när det körs, och verkligen ta bort System Restore? Jag försökte nämligen med Combofix innan och då sabbades hela datorn. Bara System Restore kunde återställa den. Därför känns det olustigt om man skall behöva göra detta.

Vidare: En dum fråga kanske men hur gör jag egentligen i Vista om jag vill döpa om en .exe-fil till en mapp? Man tar helt enkelt bara bort filändelsen - eller? Men kan man verkligen fixa detta via "Egenskaper"?

 

[927]

vad det gäller mapparna så tror jag inte att det bara räcker att tex byta namn från mapp.exe till mapp. exe filerna ser väl inte ut som gula mappar nu? finns recycler.exe och autorun.inf i usb minnet så ta bort dessa

stäng även av auto-play/run i vista för cd/usb

http://www.howtogeek.com/howto/windows-vista/disable-autoplay-in-windows-vista/

http://www.howtogeek.com/howto/windows/disable-autoplay-of-audio-cds-and-usb-drives/

 

det största problem kan va hur stor skada masken gjort, det kan tex va så att systemfiler är infekterade men det finns så många varianter.

så det är kanske bäst att scanna med ett uppdaterat nod32 först (så filer kan flyttas till karantän). stinger kommer kommer scanna och ta bort filer så om du inte vill att filerna på usbminnet ska försvinna så bör du väl inte ha usb inkopplad, då heller. prio ett måste ju va att få datorn ren sen kan man ju fundera på hur man ska göra med filer/mappr på usb.

 

nackdelen när man scannar med ett program och redan har ett annat program som jobbar i bakgrunden så kommer det ju oxå reagera på dåliga filer och kanske på samma gång. så därför är det alltid bäst att inaktivera det "andra" programmet och förhopningsvis använder man ett antivirusprogram som går att inaktivera via ett högerklick (vilket iallafall inte varit möjligt i tidigare versioner av nod32).

 

 

[Alictrav]

Tackar hjärtligast igen! Jag körde Stinger och den "rengjorde" en himla massa (samma) virus av typen Virut (som väl tyvärr är ett överjävligt rootkit?). Nu går det tydligen att komma åt de gamla filerna om man väljer att även visa dolda filer i Vista. Alla virusprogramfilerna (dvs de konverterade mapparna) finns dock kvar, dvs Stinger bet inte på "viruset". Tydligen har det alltså skapat kopior på samtliga originalmappar i "virusformat" och sedan dolt originalen. Men virusprogramfilerna, inklusive Recycler och autorun.inf går inte att ta bort, vare sig med Stinger, något antivirus som jag provat, eller manuellt. Inte heller skall det tydligen ens hjälpa om man formaterar om minnet/hårddisken! Hur kan det komma sig?

 

Tack för länkarna. Jag har dock läst att det skall gå att inaktivera autostart genom att hålla inne Shift samtidigt som man sätter in USB-pinnen, men det tycks inte funka. Är det månne min tajming som är fel?

 

[927]

ja det ska tydligen funka med att hålla ner shift men de andra sätten verkar ju säkrare

 

virut, det är en annan historia!

stäng inte av datorn, jag skulle även föreslå att du tar bort nod32 så det inte kan ta bort några filer för vilka exe som helst kan alltså vara infekterade (om winlogon.exe tas bort så kommer du inte kunna logga in igen). du behöver spara ner allt som du anser va viktigt (förslagsvis på en cd om du inte kan fixa till ditt usb minne eller har ett annat) men spara inga exe filer och sen formaterar du datorn.

vad händer om du försöker formatera usbminnet via högerklick?

 

vill absolut inte formatera så kan det gå att scanna bort virut men det är omständigt och tar tid. vill du försöka så kolla här, när du scannar med dr web så välj cure på alla filer

http://www.freedrweb.com/livecd/

 

[Alictrav]

Tack, jag skall nog försöka med det (Dr Web). Ingenting har jag dock formaterat ännu eftersom det ju tydligen inte hjälper, enligt vad andra har skrivit. Infektionen är nämligen kvar ändå. Sedan vet jag inte ens vad det är för infektion jag har. Kanske är det flera stycken. Jag hade redan tagit bort alla mappar manuellt (i "visa dolda filer"-läge) men nu igår när jag satte in USB-minnet i en ny dator så visade det sig att de fanns kvar där och NOD32 började genast "tugga" bort dem i karantän igen! Vad jag förstår så har den här infektionen en förmåga att återskapa sig själv, men hur går detta egentligen till? Ligger infektionen kvar på hårddisken i de datorer som man satt in USB-minnet i? Bör jag kanske köra en ny viruskoll av HDD:n (med NOD?) i felsäkert läge och med System restore avslaget? (Nu hittades nämligen inga virus på HDD:n)?

 

[927]

kan du få fram ett par filer som stinger ansåg vara virut?

 

1:

http://www.besttechie.net/tools/mbam-setup.exe

installera och uppdatera detta program, välj scan, ta bort det som hittas, posta loggen som visas då.

 

 

2:

http://download.bleepingcomputer.com/sUBs/dds.scr

spara filen på skrivbordet och kör den. det kommer skapas två loggar, du postar innehållet från den som heter dds.txt

 

surfa hit http://www.virustotal.com/sv/

och kolla dessa två filer där, posta länken till dessa två sidor när scanningen är klar

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

 

infektionen startar säkert från usbstickan och planteras i systemet, om man har autorun aktiverat. det finns säkert hundra varianter, låt oss säga att din heter autorun.worm.abc så kanske man kunde googla sig till en lösning