Problemen met opstarten

[VincentD88]

Beste Helpmij'ers,
Over het algemeen ben ik redelijk vaardig met de computer, en mede dankzij andere topics op helpmij.nl heb ik tot nu toe altijd mijn problemen zelf kunnen oplossen. Tot dit moment, ik heb dus echt de hulp van anderen nodig om dit op te lossen. Hier komt het probleem:

Eergisteren wilde ik mijn Acer M3641 opstarten, maar na de weergave van het Acerscherm en een korte opstart, kwam het bekende Windows laadscherm niet in beeld. Ik heb de computer een paar keer opnieuw opgestart en kwam er achter dat ik met behulp van mijn windows recovery disk via het boot setup scherm windows wel kon laden. Hier kreeg ik de melding van avast! dat ik een virus had met bestandsnaam 'MBR: \\.\PHYSICALDRIVE0' met status 'Bedreiging:Rootkit: hidden boot-sector'. Aangezien ik al een tijd van plan was een system recovery te doen heb ik besloten al mijn bestanden op mijn partities te zetten en de C-schijf naar de fabriekswaarden terug te zetten. Deze installatie ging redelijk, al moest ik wel weer telkens mijn CD-speler als boot device kiezen.
Nu heb ik mijn computer weer redelijk aan de praat, maar het rare is dat windows nog steeds niet vanzelf opstart vanaf de oude 'SATA-schijf'. Ik moet elke opstart weer via de boot setup kiezen voor de cd/dvd speler, al zit daar helemaal geen schijf in.
Enkele andere eigenaardigheden zijn:

-mijn computer kan niet meer updaten. Zelfs een handmatige update naar SP2 liep helemaal vast. Gelukkig kon ik nog een systeemherstel doen.
- Mijn computer herkent geen USB-drives meer. Hij zegt dat ze allemaal geformateerd moeten worden, terwijl ze het op andere computers wel doen. Als ik een USB-stick formateer krijg ik het bekende Blue Screen te zien en crasht mijn computer.
- Mijn computer bestaat uit twee harde schijven van 500GB. Op de ene een C- en E- partitie, en op de andere een D-partitie. Nu is na een bepaalde tijd deze 'D-schijf' helemaal niet meer te vinden. Volgens mij is het volkomen willekeurig wanneer dit gebeurd. Ik kan geen bepaalde actie vinden die dit veroorzaakt
- Het raarste van alles: ik hoor te pas en te onpas het geluid van een filmtrailer, terwijl ik soms alleen Google aan heb staan en het daar dus niet vandaan kan komen.

Ik ben met mijn recovery dus helemaal niets opgeschoten, behalve dat ik de CD niet meer nodig heb. Verder wordt het virus nog steeds aangegeven door avast! Zelf heb ik het idee dat het niet werken van de USB-drives en het wegvallen van de D-partitie te maken heeft met het feit dat ik windows vanaf de CD/DVD schijf laad, maar helemaal zeker weten doe ik dit niet.

Heeft iemand een idee hoe dit op te lossen valt? Het belangrijkste is voor mij dat Windows weer automatisch van de SATA-schijf laad en dat mijn virus weg is uit mijn computer.

 

[aloew]

heb je een windows installatie cd , zo ja welke ?

ga naar je bios verander daar dat de computer van de cd-rom drive moet opstarten

en dan krijg je een scherm druk een toets om je computer van de cd-rom te starten en zo begin je een nieuwe installatie

en dan is het enkel een kwestie van je harde schijf formatteren en de windows installatie te installeren
op je harde schijf

Edit :

ik lees het net nog even door je verhaal
je windows installatie staat wel op je harde schijf dus
maar je blijft de melding krijgen elke keer met opstarten dat ie van cd-rom starten wil
probeer is in je bios je harde schijf als eerst te zetten en als 2e je cd-rom

 

[VincentD88]

Mijn Windows is gewoon op mijn computer geïnstalleerd nu ja, daarvoor heb ik de recovery-disk van Acer gebruikt. In mijn Bios staat mijn harde schijf als eerste en mijn CD-drive als tweede, maar dat werkt dus niet, dat is het rare. Ik moet nu in mijn boot-setup kiezen dat ik Windows wil laden van de CD-drive, terwijl daar niets in zit.

 

[aloew]

dat is wel vreemd ja

en avast krijgt het virus er niet uit ?

probeer anders dit is : Malwarebytes-AntiMalware

 

[minal]

Zie ook onder andere http://www.helpmij.nl/forum/showthread.php/553290-hoe-kom-ik-van-de-besmetting-af?p=3526540

 

[Ragdoll]

Hoi VincentD88,

Dit is een intresant geval en je zou eigenlijk wat bezorgd moeten zijn over die melding van Avast.
Ik zal proberen uit te leggen waarom.
Met 'MBR: \\.\PHYSICALDRIVE0' is MBR een map en PHYSICALDRIVE0 een bestand.
De Bedreiging:Rootkit is geen virus maar een rootkit ,en rootkit is een cloaking programma ,hij maakt dus iets onzichtbaar voor de anderen (zoals anti-virus ,windows enz).
Dat geeft Avast ook meteen aan met hidden boot-sector.
Op jou computer word het besturing systeem niet meer opgestart op vanuit de normale MBR (Master Boot Record) maar dat word meteen overgenomen door infectie en door de rootkit verborgen.

Herstellen ,installeren ,formateren het heeft allemaal geen enkele zin ,je computer blijft onaangetast geinfecteerd.
Maar denk niet dat dit alles is.

Als mogelijke oplossing moet je dus als eerste naar een anti-rootkit programma gaan kijken.
En zou het met TDSSkiller van Kaspersky proberen.

Hieronder staan 2 screenshots waar TDSSkiller met succes deze infectie heeft verwijderd en je dan ook meteen dat daar nog een Backdoor Sinowal achter zit.

Win32/Sinowal is a family of password-stealing and backdoor Trojans. The Trojan may try to find a cryptographic certificate on the infected computer and install a certificate on the computer to mislead users in Secure Sockets Layer (SSL) Web transactions. The Trojan may also capture user data such as banking credentials from various user accounts and send the data to Web sites specified by the attacker. Some Win32/Sinowal components may also open a backdoor on a TCP port. Win32/Sinowal may try to perform certain operations from the context of a trusted process such as explorer.exe in order to bypass local software-based firewalls.

Ik hoop dat ik het zo een beetje goed heb uitgelegd en het je helpt met het probleem en beetje meer veiligheid.

Veel succes toegewenst.

 

[VincentD88]

De scan van TDSSkiller leverde helemaal geen infecties op. Het rare was dat direct na de scan avast! wel weer een melding gaf van de rootkit.

Heb ook alles uit de link van minal geprobeerd. Malwarebytes Anti-malware vindt helemaal niets en SUPERAntiSpyware komt niet verder dan een paar tracking cookies.

 

[aloew]

Heb je Malwarebytes Anti-malware ook in safe mode proberen te starten en dan te scannen

Je kan ook het programma combo fix proberen

Link Website Combo-Fix

Maar ik lees inderdaad op internet zoals Ragdoll al zei , dat bijna iedereen het oplost door TDSSkiller gebruiken

misschien moet je die ook vanuit veilige modus draaien

 

[VincentD88]

Ook in de veilige modus wordt helemaal niets gevonden door de programma's. Het rare is dat avast! in de veilige modus ook helemaal niets vindt, terwijl in de normale modus wel de rootkit wordt gevonden. Ik zal later vandaag even ComboFix proberen.

 

[aloew]

je hebt niet toevallig een echte windows installatie cd ? (dus niet de recovery cd)

want ik denk dat je het misschien zo ook wel kan oplossen door windows opnieuw te installeren

 

[VincentD88]

Nee die heb ik helaas niet. Maar dan nog denk ik niet dat het probleem bij het opstarten is opgelost (dat ik de CD-schijf als opstartschijf moet kiezen).

Ik heb net trouwens nog tot twee keer toe Combofix geprobeerd te installeren, maar allebei de keren kreeg ik een blue screen met melding 'invalid process detach attempt'.

 

[aloew]

dat programma tdds killer run je die als adminstrator ?

hier een link hoe je het gebruikt

Website uitleg TDDS killer

 

[Ragdoll]

Hoi VincentD88,

Er was inderdaad een behoorlijk redelijke kans dat het niet zou lukken.
Opnieuw installeren zoals ik al had gepost heeft geen zin ,je installeerd windows dan in het al gespreide bedje van die rootkit en je maakt hem daarmee alleen maar sterker.
Wat ook gebeurd als je allerlij anti-malware en spyware programma's gaat gebruiken die rootkit kan daarop gaan reageren en ander malware erbij gaan halen.
Dit is geen simpele malware infectie waar de meeste mensen zelf om vragen maar een ver onwikkeld en geavanceerde infectie ,dus onderschat het niet.

Nou ik had dus al gezegd dat je beste eerst naar een anti-rootkit programma kunt gaan kijken.
En GMER is ook het proberen waard.

Als goed advies bedoeld dat je niet zomaar iets gaat doen maar het gericht gaat aanpakken moet je op dit soort dingen gaan letten.

It scans for:
# hidden processes
# hidden threads
# hidden modules
# hidden services
# hidden files
# hidden disk sectors (MBR)
# hidden Alternate Data Streams
# hidden registry keys
# drivers hooking SSDT
# drivers hooking IDT
# drivers hooking IRP calls
# inline hooks

Dat iets met de MBR te maken had dat was al duidelijk geworden.

N.B. Wil dus absoluut niet zeggen dat iemand iets fout doet hoor dat het niet meteen lukt komt omdat deze tegenstander de anti programma's vaak al een aantal stappen vooruit is.

Natuurlijk zal echt wel een manier weten om het des noods te verwijderen maar dan ben je ook echt alles kwijt ook je windows herstel partitie maar daarvoor is het nog veel te vroeg.

 

[VincentD88]

Ragdoll, toevalligerwijs probeerde ik voordat ik jou bericht las nog één keer TDSSKiller en kreeg toen de melding dat er een update was. Na deze update werd er wél een virus gevonden en deze heb ik laten herstellen. Daarna is de melding van de rootkit is helemaal verdwenen en ook hoef ik niet meer voor de CD-Drive als opstartstation te kiezen! Het ergste is dus verholpen

De enige problemen zijn dat ik nog steeds niet kan updaten en USB-sticks nog steeds niet worden herkend. Ik ga opnieuw een Recovery doen, aangezien dat door de rootkit ook niet helemaal goed is gegaan. Later op de avond zal ik dus melden of alles is opgelost. Voor het grootste deel in ieder geval al bedankt!

 

[Ragdoll]

Haha die vind ik best wel leuk ,en je ziet nu dus meteen dat dit uit mijn vorige post "dat het niet meteen lukt komt omdat deze tegenstander de anti programma's vaak al een aantal stappen vooruit is." ook echt wel zo is.

Het zal nu dan ook wel duidelijk genoeg zijn dat we met iets zijn waar de anti-malware bedrijven nog niet helemaal in bijgewerkt zijn.
Probeer daarom voor je zelf zo exact en duidelijk mogelijk te zijn.
Het gaat tot nu over een rootkit en niet over een virus.

Nou een rootkit is dus met name een cloaking programma waarmee een malware programma zich kan beschermen.
Door eerst die bescherming af te breken kunnen de onderdelen van de aanwezige malware programma (s) zichbaar worden en door de andere programma's gevonden worden.

Daarom had ik gezegd dat je als eerste naar de anti-rootkit programma's moest gaan kijken.
En kunnen dan gaan jagen naar de restanten die eventueel nog gevonden kunnen worden.

Dit is het pad die je naar mijn idee zou moeten volgen.

Maar goed ik zie dat je al meteen aan de windows Recovery begint.
Dus laat het maar horen.

:thumb:

 

[VincentD88]

Mooi voorbeeld ja! Na de recovery en een volledige virusscan is er helemaal niets meer mis met de computer
Hardstikke bedankt!

 

[Ragdoll]

Naja met de manier waarop ik dit heb gepost is het natuurlijk wel mijn bedoeling om je vaardigheid hiermee wat omhoog te krijgen en dit geen probleem meer voor je zal zijn.

Ben blij dat er helemaal niets meer mis is met je computer.

Vond het leuk om met je posten en je hiermee heb kunnen helpen.:thumb:

 

[aloew]

hoi ragdoll

ik kom even om je hulp vragen bij een ander topic

er zijn 2 mensen met het probleem dat uit het niets reclame geluid op hun computer word afgespeeld

nou is er al gescand met MBAM die vond niks

nou word er bij 1 van de 2 aangegeven dat hij waarschijnlijk een rootkit heeft dus gok ik dat die ander het misschien ook kan hebben

en aangezien jij daar wat meer verstand van hebt dacht ik dat ik je misschien wel wil helpen

hier is de link : Help Mij Topic

alvast bedankt

 

[Ragdoll]

Hoi aloew,

Ik kan natuurlijk altijd even kijken.

:thumb: