Problem efter virusangrepp...

[MattiasN]

Jag blev i förrgår drabbad av viruset w95.cih (el win95.cih). Det första som gjorde mig misstänksam var att det tog ca 30 sek för Outlook Express att laddas in jämfört med ca 5 sek som det tagit tidigare. Mitt Internet Explorer 5 uppträdde också skumt i den bemärkelsen att det var precis som om programmet hängde sig när man skrivit in något i nåt formulär eller sökfält.

 

För att förhoppningsvis avhjälpa detta körde jag Scandisk och Defrag under natten, eftersom jag då inte tänkte på att det kunde vara virus jag drabbats av.

 

Därefter skulle jag köra Norton AV 5, men det gick inte igång. En dialogruta dök istället upp som berättade att filen "NAVW32.EXE was altered" och att jag skulle starta om med mina rescuedisketter, vilket jag gjorde. Mycket riktigt hittade rescuedisketterna viruset w98.cih och reparerade de (många) infekterade filerna.

 

Jag körde också McAfeens Antivirusprogram och en fil vid namn kill.cih.exe, som jag hämtade från nortons hemsida.

 

Det verkar som om jag nu rensat datorn helt och hållet från viruset, eftersom ingen av ovanstående metoder visar på att något ytterligare virus skall existera.

 

Problemen med Outlook Express och Internet Explorer 5 kvarstår dock ännu, vilket är väldigt enerverande. Vad gäller IE5 så kan det dröja ca 20 sekunder innan det man skrivit in i formulärfältet tas emot av programmet, och under tiden är det precis som om det har hängt sig, eftersom man inte kan göra något alls i själva programmet. Vad gäller Outlook Express så tar det fortfarande lika långt tid att ladda in det, och det tar också extra lång tid efter att man klickat på exvis "Ny E-post"-knappen tills dess att ett nytt brev kan börja skrivas. Jag har även försökt att ominstallera dessa komponenter, utan att det förbättrats. Och jag har inte märkt av någonting skumt med mina andra program (ännu).

 

Vad jag undrar nu, är vad som kan ha hänt, och vad jag kan göra för att avhjälpa problemet, UTAN att formatera hårddisken? Hur kan jag med någon annan metod än ovan nämda med SÄKERHET få reda på att inget virus existerar längre, varken på hd:n eller i minnet? Och slutligen, är det någon annan som råkat ut för nåt liknande, och hur/vad gjorde ni då?

 

Tacksam för alla svar!!

 

//Mattias N

[Per Hellqvist]

Hej!

 

CIH är besvärligt på mer än ett sätt.

 

Viruset är det värsta vi sett på mycket länge. Det dödar i princip datorn när det aktiverar. Beroende på vilken version av viruset du har (hade) kommer det att aktivera den 26/4, 26/6 eller den 26 dagen varje månad. Den försöker då skriva över Flash BIOS, vilket "dödar" datorn. BIOS måste då "flashas" om.

 

CIH infekterar också på ett jobbigt sätt. Det delar upp sin kod i en massa små delar som är länkade med varandra. Viruset lägger sig i de tomrum som normalt finns i EXE-filer. Det innebär att viruset på en hel massa olika ställen i de infekterade filerna. Detta gör virusrensningen mycket besvärlig.

 

Antivirusföretagen har löst detta på ett par olika sätt. En del rensar ut viruskoden så mycket det går, andra stänger av den del av viruset som gör att det fungerar. Viruset fungerar inte, men hela viruskoden finns kvar i filen.

 

Viruset infekterar så många EXE-filer det kan under den tiden den finns i datorn innan det aktiverar. Det som gör virusrensning svårt är att den ofta infekterar

Windows egna filer. Detta gör att man måste starta om datorn i DOS för att kunna komma åt att rensa dessa filer (då hålles låsta av Windows så länge Windows är startat).

 

Min gissning är att du är virusfri, eftersom du har använt två olika antivirusprogram, och inget av dem nu larmar.

 

Vad som kan ha hänt med dina program som uppträder konstigt kan inte ens kvalificera sig som en gissning... Kanske ligger det kvar "skräpkod" efter virusrensningen som stör programmen eller något sådant. Kanske blev filen

skadad redan vid infektionen. Det är svårt att säga. Det bör dock lösa sig genom att installera om programmen.

 

I allmänhet kan man säga att formattering av hårddisken mycket sällan behövs. Det finns kanske tre eller fyra virus som inte kan rensas på annat sätt. Dessa visur finns vad jag vet inte ens på fältet. CIH är inte ett av dessa.

I många fall kommer en formattering inte ens att rensa datorn från infektioner.

 

Hoppas att detta var till hjälp.

 

Med vänliga hälsningar,

 

Per Hellqvist

DFCAE

www.atremo.se

[Henrik Sjölin]

Per Hellqvist du verkar förstå ganska mycket om virus. Jag hade nämligen sänt ett program till Mattias via icq som jag själv har haft länge dels hade jag kört programet men nu låg den i en .zip fil och har legat där rätt länge själv har jag inte haft något problem med CIH på min dator. Mattias mistänkte att det var det programet eftersom han hade skickat den vidare till en kompis som kort efteråt också fick problem. Fick sedan höra att virus kan smitta sig själv men hur detta fungerar vet jag inte. Så frågan är om jag ha ett virus utan att få några problem utan det först dyker upp långt senare pga viruset smittat sig själv?

 

Själva situlationen är ganska olykligt eftersom jag skapade en hel del oro och bekymer hos Mattias och hans kompis vilket de givetsvis är tråkgt när jag inte ens själv viste att programet hade CIH om det nu är möjligt att den bar på viruset.

 

Jag körde Panda antivirus m.m kort efter att Mattias berättade för mig om problemet han hade. Då programet var kvar som jag skickade men inga virus i min dator.

 

Med vänliga hälsningar

 

Henrik Sjölin

[MattiasN]

Tack för ett utförligt och bra svar, Per! Jag har faktiskt precis (förhoppningsvis) åtgärdat mina problem med Outlook och IE5 efter att först helt tagit bort dem och sedan installerat dem igen. Det verkar fungera bra än så länge iaf. : )

 

Behöver jag förresten vara rädd för att det ligger nåt latent virus kvar nånstans på hd:n även om jag kolla ett antal gånger med NAV och McAfee? Man vill ju helst slippa att mötas av en negativ överraskning när man slår på datorn den 26:e...

 

//Mattias

 

[Per Hellqvist]

Du behöver inte vara speciellt rädd för "latenta" virus, under två förutsättningar:

 

1. Du har använt senaste virusuppdateringarna för de antivirusprogram du använt.

 

2. Du har även sökt igenom packade filer (ZIP, ARJ, RAR Etc), virussökaren har sk rekursiv sökning (se annan tråd i detta forum).

 

På detta sätt kan du vara relativt säker på att alla filer som nu finns på din dator är virusfria. Sedan är det "bara" att söka igenom alla nya filer som kommer i datorn. Lite paranoia är nog på sin plats i denna bransch :-)

 

Per Hellqvist

DFCAE

www.atremo.se

 

[Per Hellqvist]

Jag är inte riktigt med på vad du menar med virus som smittar sig själva. De flesta virus har en rutin för att kontrollera om filerna redan är infekterade. Detta för att just undvika att infektera samma fil flera gånger. Har man flera olika virus kan detta förstås inträffa.

 

Man kan ha massor med virus på sin dator som inte gör någonting alls. Man måste aktivt köra ett infekterat program, eller öppna en infekterad fil för att virusen skall infektera vidare. Det finns mig veterligen inget virus som "av sig själv" sätter igång och infekterar.

 

Däremot kan ett virus aktivera "helt plötsligt" efter en viss tidsperiod eller liknande. Ta CIH t ex, den gör till synes inget under ett helt år (beroende på variant). Den 26/4 skriver den helt plötsligt över Flash BIOS och dödar datorn.

Man blir ganska ställd av detta. Vad man kanske inte märkt är att viruset i bakgrunden infekterat så många EXE-filer som den hunnit under den tid viruset funnits aktivt i datorn.

 

Andra virus infekterar filer och väntar på att en viss tangenbordskombination infaller, eller att man tryckt ned tangenten "G" 37 gånger under en dag, eller i princip vad som helst. Det beror helt på vad virusförfattaren drömt ihop när han skrev viruset. Melissa t ex har en aktiveringsrutin som sänder e-post när man stänger det infekterade dokumentet. Den har även en andra rutin som, när minuten i timmen är samma som dagen i månaden (t ex 19.20 den 20 i månaden), klipper in en textfras från TV-serien Simpsons.

 

Vad som kan ha hänt i ditt fall är att du haft en CIH-infekterad fil på din dator utan att du rört den, t ex i en ZIP-fil som du inte använt. Ditt antivirusprogram har sedan inte varit inställt på att söka i packade filer, eller inte kunnat det av annan anledning. Sedan när du använder programmet för första gången på ett halvår, eller sänder det till någon annan, så "dyker viruset plötsligt upp".

 

Vad tror du?

 

Per Hellqvist

DFCAE

www.atremo.se

 

 

[Henrik Sjölin]

Tack Per!

 

Det kanske stämmer i vad du säger. Om .zip filerna och allt det andra. Tyvärr är programet slängt så jag har ingen möjlighet nu att studera det närmare. förutom att den ligger i min backup fil. vilket jag kan återgå till och studera närmare på hur det igentligen var med detta program som var en palm pilot-emulator.

 

MVH Henrik

 

 

[Per Hellqvist]

Där är ytterligare ett exempel på hur virus kan dyka upp igen efter en tids frånvaro.

 

Återställer man backupper med infekterade filer kommer eventuella virus fram igen.

 

Det är jätteviktigt att man viruskontrollerar filer innan man tar backup, bara för att vara på den säkra sidan.

 

Per Hellqvist

[MattiasN]

Innan vi "lägger ner" detta ämne så tänkte jag kolla en sak till. Jag kanske bara är paranoid, men det är lika bra att fråga det jag undrar över;

 

Efter mitt virusangrepp "hackar" musiken jag spelar i winamp till när jag exvis bytar hemsida, vilket den inte gjort innan (förutsatt att jag inte har ett par tunga program igång vid samma tidpunkt).

 

Så vad jag undrar är om detta kan ha något med virusinfektionen att göra, och vad som kan ha hänt i så fall?

 

//Mattias