Voorzover ik het weet en kan benaderen is dit niet mogelijk.
Truecrypt versleuteld alles op de hardeschijf en laat alleen een klein deel open om de bootloader te starten.
Als je het juiste wachtwoord intypt na het starten vanaf de hardeschijf dan word het wachtwoord in het geheugen geladen en wordt alles on de fly geëncrypteerd. Als je bootschijf van je antivirus programma deze stap niet kan maken ( lees hier: de mensen van het antivirusbedrijf hebben hier geen rekening meegehouden ) dan is het niet mogelijk. Dit betekend dus ook dat een virus of wat dan ook beschermd is door de excellente encryptie van truecrypt !!!! ( Elk voordeel heeft zijn nadeel !! )

Goeie vraag, zat ik zelf ook al een tijdje mee zonder naar een oplossing gezocht te hebben (tijdgebrek). Nu (nog) vakantie, dus maar even gegoogled.

Het lijkt er op dat "Hiren's BootCD 9.9" (http://www.hiren.info/pages/bootcd) zowel TrueCrypt 6.2 als diverse virusscanners aan boord heeft. Niet getest, geen idee of het werkt.

(Aanvulling 14:29: volgens http://en.wikipedia.org/wiki/Hiren%27s_BootCD kun je Hiren's boot CD hier downloaden: http://www.hirensbootcd.net/

N.B. pas sinds versie 6.1 kun je, volgens http://www.truecrypt.org/docs/version-history, een Windows system partitie mounten vanuit de Linux en Mac OS X versie van TrueCrypt (of dit betekent dat je ook minstens 6.1 op je PC moet hebben weet ik niet).

In het uiterste geval kun je met je TrueCrypt rescue disk (die heb je toch wel he? nou ik het zeg, waar heb ik dat ding gelaten.... ;) je systeem (tijdelijk) decrypten en op de ouderwetse manier scannen (zie http://www.truecrypt.org/docs/rescue-disk).

Hou je ons via dit forum op de hoogte?

(PS als je een account aanmaakt word je niet gemodereerd, dwz je reactie wordt meteen gepubliceerd en deze kun je achteraf ook nog wijzigen indien nodig).

Ik heb TrueCrypt 6.2a op mijn PC. Ik heb tot nu toe alleen de CD van Kaspersky en Eset(die kon op USB-stick) geprobeerd. Kaspersky gaf tijdens het opstarten, als alle activiteiten voorbijkomen(netzoiets als zonder silent boot), redelijk wat fouten maar kon wel opstarten, gaf bij de te scannen objecten alleen de boot sector en geen HDD partities. Boot sector scan was in 1 seconde klaar dus die zal ook wel niet helemaal hebben gewerkt.
Eset startte, zonder foutmeldingen, een windows pre-installed environment en daarin de GUI, die gaf aan dat er iets mis was gegaan en dat windows in herstelmodus was gestart en niet alle opties van Eset beschikbaar waren. Bij het scan-menu werden werd wel de Boot-sector, C schijf, DVD-Drive en USB stick weergegeven, maar een scan van alles was in 0 seconden klaar en gaf 0 gescande objecten aan.
Dan moet ik denk ik toch maar ff decrypten, Rescue disc trouwens niet nodig, ik kan 'm gewoon normaal opstarten, maar ik heb 'm nog wel ergens liggen :P

Reden voor dit alles is een mogelijke rootkit, met GMER op andere pc's zegt ie netjes geen rootkit gevonden na de scan, maar op mijne geeft ie ook geen waarschuwing. RootkitRevealer geeft een lijst met dingen die op rootkits zouden kunnen wijzen, ik ben niet kundig genoeg om dat daaruit op te maken, maar het valt me wel op dat de lijst nogal lang is en bij 1 ding geeft ie aan Acces denied, en de internetpagina van RootkitRevealer aangeeft dat hij dat nooit zou moeten rapporteren.

Hier is iig de uitkomst van de GMER scan:
http://img188.imageshack.us/img188/7580/23646647.jpg

Probeer het eens met een Windows live CD i.c.m. met een traveller disk (Truecrypt: Tools - Traveller Disk Setup)

ubcd4win. Kan je een cd genereren met virusscan en truecrypt er op.

Bedankt Zarco, en anoniem. Zarco's methode was al gelukt dus ik heb die van anoniem niet meer geprobeerd. Ik heb met WinPE een VistaPE cd gebouwd, een traveller disk gemaakt en toen kon ik mijn HDD mounten(standaard manier werkt niet, druk op system en dan op mount without pre-boot authentication.)

Zou iemand nog de uitkomst van de GMER scan voor mij willen bekijken, al zegt ie niet dat er een rootkit gedetecteerd is, zegt ie wel dat er rootkit-like behaviour in sector 63 van Harddisk0\DR0 is.

Zo te zien is dit de virusscanner nod32 die toegang wil krijgen dot de driver sectie van windows.

http://www.file.net/process/amon.sys.html

Als je geen nod32 draait en ook geen proef versie resten hebt op je systeem kan het een mogelijke schuil naam zijn voor een onbekend proces. Draai je wel nod32 dan kun je denk ik gerust zijn !

Op basis van http://img188.imageshack.us/img188/7580/23646647.jpg kan ik niet opmaken wat er aan de hand is.

Je kunt hier: http://mh-nexus.de/en/hxd/ een freeware hexeditor ophalen waarmee je (mits ingelogd als administrator) ook disksectors kunt bekijken (helaas alleen als hexdump, d.w.z. niet geïnterpreteerd afhankelijk van de inhoud).

Zodra HxD is geïnstalleerd kun je HxD.exe uit C:\Program Files\HxD\ naar een USB stick kopiëeren, dat programma werkt zonder installatie hoogstwaarschijnlijk ook wel. Onder menu-item "Extras..." kun je middels "Open Disk..." een "Physical Hard Disk" opnenen, laat voor de zekerheid het vinkje "Read Only" linksonderin staan, en kies dan Hard Disk 1.

Wat kun je doen:

- zelf kijken naar sector 63 (de nummering begint bij 0 te tellen, dus feitelijk is dit de 64e sector vanaf het begin van de schijf; omdat HxD ook bij 0 begint te tellen kun je gewoon naar sector 63 gaan): ZOWEL indien je je PC gewoon opstart als indien je deze vanaf de VistaPE CDROM start. In beide gevallen zou ik er een screenshot van maken. Als er dan verschillen bestaan tussen "beide" sectors 63 dan heb je zo goed als zeker een rootkit te pakken.

- als er geen verschillen bestaan kun je een screenshot van die sector 63 geheel in beeld online zetten, laat dat hieronder even weten, zodra ik tijd heb zal ik er dan even naar kijken. Zet daar SVP dan ook even een screenshot bij van sector 0.

Uitleg: sector 0 is het zogenaamde MBR (Master Boot Record); deze sector bevat opstartcode (standaard Windows, nu van TrueCrypt) en de primaire partitietabel.

Normaal gesproken begint op sector 63 de eerste partitie, de eerste sector van een partitie wordt altijd een bootsector genoemd (ook al kun je er helemaal niet van booten). Normaal gesproken is zo'n bootsector wel herkenbaar, deze is nl. ofwel van een NTFS partitie, eventueel FAT32 (maar dat verwacht ik niet meer), ofwel van een (onzichtbare) rescue partitie zoals veel PC-fabrikanten deze aanmaken (Dell, Acer, ...).

Veel rootkits zullen een gemanipuleerde sector "onzichtbaar" maken (met name tegen virusscanners e.d.) door in de plaats van de werkelijke sector een gesimuleerde en malware-vrije te tonen, maar dat gebeurt natuurlijk alleen als de rootkit actief is (niet als je van VistaPE opstart).

Mogelijke oplossing is het gebruik van Combofix, zie http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden
Let wel op, er is niet beschreven wat het exact doet, noch geven de makers support er op.
Je kunt voor hulp terecht op een aantal forums.
Mijn ervaring is dat het tot nu toe iedere keer goed gewerkt heeft om rommel te verwijderen van prutsende familie, vrienden en kennissen :P

Anoniem zei dat die entry in de scan door nod32 kon komen, die heb ik er inderdaad op(Eset Smart Security 4.0.424.0) maar er zijn wel verschillen in de sectoren met HxD.

Gewoon van de HDD geboot zijn sector 1 tm 57 bijna allemaal helemaal vol, 58 t/m 61 leeg, 62 helemaal vol en 63 t/m 2048 helemaal leeg.
Gestart van Vista PE zijn 1 tm 56 bijna helemaal vol, tm 62 leeg en vanaf 63 vol(ook t/m 2048 en hoger)

Ik weet niet of het er mee te maken heb dat ik al vaker heb gedefragmenteerd(voor en na de encryptie met truecrypt, met Diskeeper en Defraggler.

Het leek mij dat als er gewoon een rootkit zat dat sector 63 gewoon anders was, maar zoveel verschil had ik niet gedacht. Hier zijn iig de screens:

Sector 0 met vistaPE
http://img9.imageshack.us/img9/8756/pesector0.jpg
Sector 63 met vistaPE
http://img24.imageshack.us/img24/6238/pesector63.jpg
Sector 0 vanaf HDD
http://img4.imageshack.us/img4/3876/sector0.jpg
Sector 63 vanaf HDD
http://img188.imageshack.us/img188/3434/sector63.jpg

Ik ga morgen 2 weken op vakantie, waarschijnlijk heb ik daar geen tot haast geen internet, dus ik kan helaas niet zo snel reageren.

Oh ja mijn notebook is van Acer, maar vanwege een nieuwe HDD een hele tijd terug had ik een Vista oem gedownload(van Dell, in de PC eigenschappen staan nu dat het een Dell is :P) omdat Acer geen dvd bij de laptop had geleverd, en ik graag met een verse installatie wilde beginnen. Maar voor zover ik weet is er maar 1 partitie en geen verborgen rescuepartitie.

even een kickje

Kickje gevoeld :)

Om de een of andere reden begint de eerste en enige partitie (d.w.z. de bootsector) op jouw harddisk niet op sector 63, maar op sector 2048.

Dat heb ik bepaald door een bestandje van 512 bytes te maken in een hexeditor en daarin de onderste 6x16 bytes uit jouw pesector0 over te nemen (die overigens identiek zijn aan jouw sector0), en dat bestandje als sector in een good old disk-editor ingelezen die wel een MBR kan interpreteren (scheelt rekenen).

Wat uitzoekwerk levert op dat TrueCrypt de hele schijf behalve de eerste 63 sectors versleutelt. De reden dat sector 63 zo anders is als je deze met en zonder TrueCrypt draaiend bekijkt is simpel: versleuteld (TrueCrypt niet actief) bevat hij http://img24.imageshack.us/img24/6238/pesector63.jpg en ontsleuteld bevat hij http://img188.imageshack.us/img188/3434/sector63.jpg. M.a.w. het eerste plaatje krijg je als je met TrueCrypt allemaal nullen versleutelt...

Ik vermoed dat je geen rootkit op je PC hebt. Waarschijnlijk kan GMER je schijf buiten TrueCrypt om lezen, en vergelijkt dit met de normale leesmethode (via TrueCrypt). Ofwel omdat sector 63 de eerste sector is waar een verschil bij optreedt, ofwel omdat sector 63 vaak de actieve bootsector van een schijf bevat, meldt GMER "root-kit like behavior in sector 63". Kennelijk heeft de auteur van GMER geen aanleiding gezien om daarna nog meer te melden.

Zie ook http://www.maximumpc.com/article/howtos/how_to_encrypt_your_entire_hard_drive_for_free_using_true_crypt#comment-19687; de auteur meldt hier dat sector 63 TrueCrypt's bootloader is, maar bij jou is dat sector 2048.

Als je bij jou (terwijl TrueCrypt draait) naar sector 2048 kijkt zul je daar een NTFS bootsector zien. Vanaf byte 3 staan daarin de letters NTFS, en op het einde van de sector zul je teksten zien als "A disk read error occurred", "NTLDR is missing", "NTLDR is compressed" en "Press Ctrl+Alt+Del to restart" (of NL vertalingen daarvan).

Mocht dat niet zo zijn, zet sector 2048 dan nog maar even online. Klopt dat wel, dan zou ik me maar geen zorgen maken!

Erg bedankt :)

Bij mij staat dat er inderdaad, maar ipv van NTLDR staat er BOOTMGR, maar dat komt volgens mij omdat ik Vista erop heb staan.

Bedankt iig, heb ik ook weer wat geleerd :)

Hallo,

Ik gebruik ook truecrypt en heb een (te) groot gedeelte ge-encrypt.
Nu ben ik de encryptie niet meer nodig. hoe kan ik van mijn externe hardeschijf weer 1 schijf maken.
Ik ben TrueCrypt namelijk niet meer nodig.

Graag snel antwoord.
Alvast bedankt,
Gr.