Trojan som låser dator utger sig att vara från polisen

En kund kontaktade oss idag med ett ärende där en dator är låst och visar en varning från polisen. Användaren ombeds att betala 1000 kr i böter för påstådda brott som utförts från datorn.

 

Efter formatering av hårddisken fanns varningen kvar. Det betyder med all sannolikhet att trojanen har installerat sig i partitionssektorn (MBR). Detta är den första sektorn på hårddisken som läses vid uppstart efter att BIOS har laddats. I MBR finns ett program som läser in en partitionstabell för att sedan starta upp operativsystemet i den aktiva partitionen.

En omformatering av en disk rensar inte denna sektor, den rensar ett filsystem i en partition. För att ta bort detta måste man således rensa ut trojanens exekverbara kod som ligger i MBR. Här är några tips hur det kan göras (på engelska):

———

On windows XP:

Insert the Windows XP CD into the CD-ROM drive and restart the computer.
When the “Welcome to Setup” screen appears, press R to start the Recovery Console.
Select the Windows installation that is compromised and provide the administrator password
Issue ‘fixmbr’ command to restore the Master Boot Record
Follow onscreen instructions
Reset and remove the CD from CD-ROM drive.
On Windows Vista and 7:

Insert the Windows CD into the CD-ROM drive and restart the computer.
Click on “Repair Your Computer”
When the System Recovery Options dialog comes up, choose the Command Prompt.
Issue ‘bootrec /fixmbr’ command to restore the Master Boot Record
Follow onscreen instructions
Reset and remove the CD from CD-ROM drive.
——–

När detta är gjort, se till att uppdatera ditt anti-virus och genomför en full skanning av systemet för att ta bort ev andra smittade filer eller rester!

/Mikael

One thought on “Trojan som låser dator utger sig att vara från polisen

  1. Ett annat sätt att lösa problemet (hade det igår!) är att stänga av datorn, starta om trycka F8 och starta upp i “felsäkert läge” med nätverk. Ladda hem Norton Power Eraser. Starta om igen med felsäkert läge med nätverk. Progamet löser problemet och tar bort två filer. Går att ta bort dom själv också. Ena filen är lätt att hitta och ligger under /users/”username” och “random tecken”.exe hit delete. Den andra lite svårare att hitta..

    Men Power Eraser gjorde susen för mig =)

Leave a Reply