Lördagen den 9 mars, 2013
När jag hjälpt lille AJE med kanelbullarna, återgick jag till den bärbara datorn, som fått ett virus. I går kväll öppnade sig en ruta som täckte hela bildskärmen där det stod att Rikspolisstyrelsen krävde mig på böter för att jag brutit mot upphovsrätt eller intresserat mig alltför mycket för zoofili. Jag tycker visserligen om att besöka Skansen, men jag tror inte det kan kallas zoofili. Man ville att jag skulle betala 500 kr eller 100 euro i böter genom systemet som kallas Ukash. Då är 500 kronor billigare tänkte jag och lyckades sedan stänga ner rutan.
Till min förvåning kom samma ruta upp igen när jag i dag på eftermiddagen startade datorn och loggade in i Windows. Nu var den svårare att få bort. Den hade inga knappar eller menyer för att ta bort fönstret, som ett vanligt program i Windows har. Tangentkombinationen alt och F4 fungerade inte. Jag tryckte control, alt och delete och då visade sig de vanliga valen, bland annat task manager som jag klickade på. Men task manager kom inte fram, i stället återgick datorn till att visa den förargliga helskärmsrutan.
Efter en del experimenterande kom jag på att jag bland valen som följer control, alt och delete kunde klicka på log off och då stängdes virusrutan ned och Windows loggade ut mig. Om jag var tillräckligt snabb kunde jag avbryta pågående avloggning och då blev datorn tillgänglig igen för mig.
Nu föresatte jag mig att jag skulle kopiera virusets skärmbild för att dokumentera vad som hänt, i min dagboksblogg.
Jag loggade in i Windows, lät virusrutan starta och tryckte sedan på tangenten prt sc, som betýder ”print screen” och kopierar hela skärmbilden till Windows clipboard. Men när jag sedan log off och avbröt avloggningen fanns ingen bild på clipboarden.
Så jag laddade ner programmet nircmd.exe och skapade en bat-fil med följande kommandon i.
cd c:\users\anders\Desktop nircmd savescreenshot s.jpg exit
Min avsikt var att starta denna bat-fil under det att virusbilden visades, men vad jag kunde se, kunde jag inte skapa snabbtangent för att öppna bat-filen. Därför skapade jag en genväg, en shortcut, på skrivbordet, desktopen. Denna genväg kunde jag lägga in en shortcut key till. När det var klart kunde jag trycka ctrl, alt och X för att starta genvägen, som i sin tur anropade bat-filen, som exekverade kommandot nircmd för att spara aktuell skärmbil till en fil.
Jag provade flera gånger och det verkade inte hända något när jag tryckte på ctrl, alt och X medan virusbilden visades.
Jag kom på att jag kunde lägga in kommandot echo för att skriva ut teckenvärde 7, teckenmässigt benämnt ^G, för att generera ett pipljud i början och slutet av bat-filen.
echo ^7 cd c:\users\anders\Desktop nircmd savescreenshot s.jpg exit echo ^7
Så småningom kom jag på att Windows inte tog emot snabbtangentskommandon medan virusbilden visades, men detta hinder kunde övervinnas genom att jag tryckte ctrl, alt och delete, valde task manager (som fortfarande inte visades) och därefter fick ctrl, alt och X önskad effekt, jag kunde höra pipljuden.
Jag väldigt nöjd med min prestation, men det visade sig att virusmakaren ändå dragit mig vid näsan. Den sparade bilden var en skärmbild från den vanliga Windows-desktopen som tydligen existerade oberoende av virusbilden.
När jag begrundat detta en stund, kom jag fram till att virusprogrammet nog förbigår Windows gränssnitt för att producera skärmbild och lägger in saker i grafikkortets minne på lägre nivå. Det här kändes hopplöst, men efter att jag gjort ytterligare efterforskningar hittade jag hos cybermarshal.com programmet wmr.exe, där wmr står för ”windows memory reader”. Det visade sig att wmr.exe kan skapa en minnesdump från en Windows-dator och inkludera minnesinnehåll från grafikkortet.
Jag provkörde wmr.exe och kom fram till att wmr.exe -D dumpar minnesinnehållet inklusive grafikkortets minne till en fil.
Nu skapade jag en ny bat-fil med wmr i stället för nircmd.
echo ^G c: cd \users\uabansk\Desktop wmr.exe -D gotcha
Lördagen den 9 mars, 2013När jag hjälpt lille AJE med kanelbullarna, återgick jag till den bärbara datorn, som fått ett virus. I går kväll öppnade sig en ruta som täckte hela bildskärmen där det stod att Rikspolisstyrelsen krävde mig på böter för att jag brutit mot upphovsrätt eller intresserat mig alltför mycket för zoofili. Jag tycker visserligen om att besöka Skansen, men jag tror inte det kan kallas zoofili. Man ville att jag skulle betala 500 kr eller 100 euro i böter genom systemet som kallas Ukash. Då är 500 kronor billigare tänkte jag och lyckades sedan stänga ner rutan.
Till min förvåning kom samma ruta upp igen när jag i dag på eftermiddagen startade datorn och loggade in i Windows. Nu var den svårare att få bort. Den hade inga knappar eller menyer för att ta bort fönstret, som ett vanligt program i Windows har. Tangentkombinationen alt och F4 fungerade inte. Jag tryckte control, alt och delete och då visade sig de vanliga valen, bland annat task manager som jag klickade på. Men task manager kom inte fram, i stället återgick datorn till att visa den förargliga helskärmsrutan.
Efter en del experimenterande kom jag på att jag bland valen som följer control, alt och delete kunde klicka på log off och då stängdes virusrutan ned och Windows loggade ut mig. Om jag var tillräckligt snabb kunde jag avbryta pågående avloggning och då blev datorn tillgänglig igen för mig.
Nu föresatte jag mig att jag skulle kopiera virusets skärmbild för att dokumentera vad som hänt, i min dagboksblogg.
Jag loggade in i Windows, lät virusrutan starta och tryckte sedan på tangenten prt sc, som betýder ”print screen” och kopierar hela skärmbilden till Windows clipboard. Men när jag sedan log off och avbröt avloggningen fanns ingen bild på clipboarden.
Så jag laddade ner programmet nircmd.exe och skapade en bat-fil med följande kommandon i.
cd c:\users\anders\Desktop nircmd savescreenshot s.jpg exitMin avsikt var att starta denna bat-fil under det att virusbilden visades, men vad jag kunde se, kunde jag inte skapa snabbtangent för att öppna bat-filen. Därför skapade jag en genväg, en shortcut, på skrivbordet, desktopen. Denna genväg kunde jag lägga in en shortcut key till. När det var klart kunde jag trycka ctrl, alt och X för att starta genvägen, som i sin tur anropade bat-filen, som exekverade kommandot nircmd för att spara aktuell skärmbil till en fil.
Jag provade flera gånger och det verkade inte hända något när jag tryckte på ctrl, alt och X medan virusbilden visades.
Jag kom på att jag kunde lägga in kommandot echo för att skriva ut teckenvärde 7, teckenmässigt benämnt ^G, för att generera ett pipljud i början och slutet av bat-filen.
echo ^7 cd c:\users\anders\Desktop nircmd savescreenshot s.jpg exit echo ^7Så småningom kom jag på att Windows inte tog emot snabbtangentskommandon medan virusbilden visades, men detta hinder kunde övervinnas genom att jag tryckte ctrl, alt och delete, valde task manager (som fortfarande inte visades) och därefter fick ctrl, alt och X önskad effekt, jag kunde höra pipljuden.
Jag väldigt nöjd med min prestation, men det visade sig att virusmakaren ändå dragit mig vid näsan. Den sparade bilden var en skärmbild från den vanliga Windows-desktopen som tydligen existerade oberoende av virusbilden.
När jag begrundat detta en stund, kom jag fram till att virusprogrammet nog förbigår Windows gränssnitt för att producera skärmbild och lägger in saker i grafikkortets minne på lägre nivå. Det här kändes hopplöst, men efter att jag gjort ytterligare efterforskningar hittade jag hos cybermarshal.com programmet wmr.exe, där wmr står för ”windows memory reader”. Det visade sig att wmr.exe kan skapa en minnesdump från en Windows-dator och inkludera minnesinnehåll från grafikkortet.
Jag provkörde wmr.exe och kom fram till att wmr.exe -D dumpar minnesinnehållet inklusive grafikkortets minne till en fil.
Nu skapade jag en ny bat-fil med wmr i stället för nircmd.
echo ^G c: cd \users\uabansk\Desktop wmr.exe -D gotcha echo ^GNyare versioner av Windows (i mitt fall Windows 7) har något som kallas UAC. Det står för user account control och medför bland annat att den som startar program som kräver högre priviligier interaktivt godkänner begäran om detta högre privilegium. Vid exekvering av bat-filen med wmr.exe i, poppade det upp ett fönster i vilket jag skulle svara ja, om jag ville tillåta exekvering.’
Detta utgjorde ett nytt hinder, när virusrutan var uppe kunde jag inte se eller komma åt fönstret för godkännande av ökat priviliegium. Nu var jag på väg att ge upp, men efter att jag gjort ytterligare efterforskningar hittade jag vad man kan kalla en bakdörr för exekvering av program som annars kräver interaktivt godkännande av ökat privilegium.
Man kan skapa en task i task schedulern och ifrån den peka ut en bat-fil man vill exekvera. I task schedulern väljer man ”run with highest privileges”. Därefter skapar man en ny genväg på Windows desktop och använder kommandot schtasks.exe för att köra. Jag skapade en task kallad wmrtask och min genväg i Windows såg ut så här.
C:\Windows\System32\schtasks.exe /run /tn wmrtaskTack vare ökat privilegium bestämt i task scheduler kunde jag nu exekvera min bat-fil genom en snabbtangentkombination inlagd på genvägen ovan.
Jag loggade ut, loggade in, lät virusrutan öppnas, tryckte ctrl, alt och X. Jag hörde ett pipljud. Efter en stund kom det andra pipljudet från det andra och sista echo ^G i bat-filen, vilket måste betyda att wmr -D skapat min önskade minnesdumpt inklusive grafikkortets bildminne.
C:\Users\anders\Desktop>wmr -D apansson.dmp Dumping memory ranges: available 0000000000000000 (4.00 KB) Finished available 0000000000001000 (572.00 KB) Finished available 0000000000100000 (2.94 GB) Finished available 00000000bcfff000 (4.00 KB) Finished MemMapIO 00000000c0000000 (256.00 MB) Finished available 0000000100000000 (992.00 MB) Finished Statistics by memory type: available: 5 ranges 0000000000000000-0000000000000fff (4.00 KB) - Page Zero: Dumped 0000000000001000-000000000008ffff (572.00 KB): Dumped 0000000000100000-00000000bc6bcfff (2.94 GB): Dumped 00000000bcfff000-00000000bcffffff (4.00 KB): Dumped 0000000100000000-000000013dffffff (992.00 MB): Dumped Dumped: 4200914944 bytes (3.91 GB) MemMapIO: 1 ranges 00000000c0000000-00000000cfffffff (256.00 MB) - Intel(R) HD Graphics Family: Dumped Dumped: 268435456 bytes (256.00 MB) 4469358592 bytes written. Elapsed time: 75 secEfter att jag gjort log off för att stänga ner virusrutan och återtagit kontrollen över Windows, kunde jag tanka ner Malwalrebytes Anti Malware från http://www.malwarebytes.org och eliminera ”Rikspolisstyrelsen Ukash Scam”.
Nu var jag helt slut och efter att jag läst lite grand om volatility.exe, ett populärt verktyg för analys av minnesdumpar, föll jag i sömn.
![]()
