Og har nu fået denne computer hjem, men nu står der ikke noget tekst, men kun en helt hvid baggrund når man starter. Og kan ikke se ikoner eller noget. Og lige meget hvad jeg trykker på, sker der ikke noget. Genstarter eller slukker jeg, så kommer skrivebordsikoner m.m. kort frem og der slukkes (Så det er inde bag ved).
Har prøvet at boot fra Hirens Boot cd og fra Kaspersky Rescue Disk 10, og scannet for virus samt spyware. Og den fandt da også noget, men resultatet er det samme, når jeg starter pc op igen.
Der findes ikke en mulighed for, en gendannelse til tidligere tilstand via tastekompination i opstart. Kun en fuld fabriks gendannelse, som jeg ikke rigtig gider ud i, hvis det kan undgås.
Malwarebytes Anti-Malware 1.51.1 (07-12-2011) anti-malware application that can thoroughly remove even the most advanced malware.
Remove Fake Antivirus 1.82 a tool to remove virus/malware which disguises itself to be an antivirus and produces fake alert/warnings and urge you to purchase a useless copy of the fake antivirus.
RootkitRevealer 1.7.1 Rootkit Revealer is an advanced patent-pending root kit detection utility.
Spybot - Search & Destroy 1.6.2 (07-12-2011) Application to scan for spyware, adware, hijackers and other malicious software.
SuperAntispyware 5.0.1134 (07-12-2011) Remove Adware, Malware, Parasites, Rootkits, Spyware, Trojan, and Worms (a must have tool).
TDSSKiller 2.6.21.0 To remove malware belonging to the family Rootkit.Win32.TDSS aka Tidserv, TDSServ
Lige pludselig efter jeg havde scannet og fjernet en del så kom muligheden frem under F8 med at gendanne til tidligere tilstand så problemet er lykkes.
På Hirens Boot cd brugte jeg Avira og SuperAntispyware (prøvede også Malwarebytes Anti-Malware, men som altid har jeg aldrig fået denne til at virke under Hirens Boot cd).
Prøvede også avast! Rescue Disc og pludselig var de funktioner jeg ledte efter under F8 som gjorde jeg kunne gendanne til tidligere. Og er så igang med at scanne den helt igennem nu. Men den kører "fint" nu.
Synes godt om
Slettet bruger
09. oktober 2012 - 16:15#10
mailware bytes opdaterer sig når du starter den fra hirens - den har jeg god erfaring med den fjerner de fleste
kan du ikke lave en boot virus scanning med dit virus program så er du sikker på det hele er væk
jeg plejer at starte den op i xp mode så er der billede på
brug malware fra dos og fjern vira efter fjernlse luk pc start den igen i fejlsikret med promt skriv msconfig og gå i start fjern imagebooter (slå vingeben fra) genstart og du er virus fri
brug malware fra dos og fjern vira efter fjernlse luk pc start den igen i fejlsikret med promt skriv msconfig og gå i start fjern imagebooter (slå vingeben fra) genstart og du er virus fri
- Download den FRA en maskine der ikke er inficeret. - Start programmet FRA Den rene PC med usbsticken i, og lad den køre færdig - Når den er færdig har den bygget en bootbar USB med antivirus program - Sæt USB'en over i den maskine der er inficeret, og boot op på USB'en
hjælp venligst. Har lavet en dvd hvor jeg har downloadet : http://windows.microsoft.com/ (...) har sat den i den inficerede maskine og startet den igen. men der sker ikke andet end at jeg kommer tilbage til den "Politi i Kongeriet" siden - så jeg er ligevidt. hvordan får jeg dvdén til at køre og arbejder - det lyder som om den starter op og så stopper den igen efter 20 sekunders tid.
er virkelig på halen med dette. Har også prøvet med en usb men der sker slet ikke noget. mvh morten
" du skal gå ind i din bios og sætte USB til first boot device"
Jeg ved ikke hvad det betyder? kan du hjælpe mig her?
Har downloaded program til USB og startet computeren op, men dernæst fatter jeg simpelthen ik hvad jeg skal gøre får at USB'en begynder at ryde op og fjerne den latterlige politi virus
Det er et stykke malware som åbner en windows form i fullscreen med indholdet af et html dokument. Dokumentet indeholdt et billede, taget med det integreret web-cam i pc'en. Personen som ejer denne pc fik en mail fra en afsender angivet som "TDC" som hun selvfølgelig åbner. Hun klikker hverken på links eller billede i mailen men får malwaren alligevel.
Resultatet var at hver gang hun loggede på fik hun den her meget dårligt oversatte besked om at hun havde delt børnepornografi?? sure. Da dette malware startede så hurtigt vidste jeg at svaret skulle findes i registeret i Windows 7.
Så jeg startede med at boote pc'en i fejlsikret-tilstand med cmd. Grunden til dette er, så starter der næsten ingen ting på pc'en og man har mulighed for at starte explorer.exe manuelt uden at kalde shell i registreret. Og ganske rigtigt i registreret under shell ligger der en tilføjelse. Normalt er der kun angivet "explorer.exe" men de havde tilføjet en sti "'brugernavn'/AppData/roaming/msconfig.dat". Og der fandt jeg deres malware. 2 filer: én .ini og én .dat begge kaldet "msconfig"(<-måske smart fundet på, men ikke godt nok :-) ).
Jeg har taget nogle screens men de ligger på offer pc'en endnu. Jeg smider screens ud og hvis nogen, ligesom jeg, elsker reverse engineering så vil jeg med glæde dele filerne med jer, bare skriv en mail eller en kommentar. De rette myndigheder er underrettet men vi skal nok ikke regne med at de gider kigge filerne igennem for url's og registret domæner, desværre.
Min erfaring siger mig det er et billigt udviklet malware med kendte exploits, dvs. højst sandsynligt østeuropæiske script kiddies. Der er ikke anvendt o-days eller noget i den stil. Håber det hæjlper folk så de nemmere kan slippe af med den. Den er IKKE farlig på nogen måder.
Skal lige siges. Jeg har haft to maskiner med den "virus". Og den første maskine, der kunne der ikke startes i fejlsikkert tilstand. Da var siden bare helt hvid. Så den vej rundt kom man ikke langt.
Den anden maskine, der kunne jeg starte i fejlsikkert tilstand. Men den røg hurtigt over på "spærrings siden igen". Så man nåede ikke at gøre noget. Så denne har jeg scannet med Windows defender offline boot cd.
Og på begge maskiner var der masser af snavns på, ved efterfølgende scanninger med spyware/ virus programmer.
Jeg var heller ikke istand til at starte pc'en op i fejlsikret tilstand. Hverken normal eller med netværk.
Men jeg kunne med kommandoprompt, hvilket er den eneste af de 3 muligheder som ikke starter "explorer.exe" efter logon. Hvis man så i sin taskmanager køre explorer.exe så får man sit skrivebord uden at kalde "shell" nøglen i registreret Og det var stien til malware som skulle startes når brugeren loggede på.
Det skal siges at jeg nu har prøvet dette på flere virtuelle maskiner og jeg får ikke vidst advarslen men derimod en hvid skræm med en standart besked om at siden ikke kan findes. Det giver god mening da det er et lukket miljø og det bekræfter min teori om at der findes registreret domæner eller ip i koden.
Der kan være forskellige versioner af dette malware da der er mange måder at få malware til at bliver køre efter brugeren har logget ind.
Skal lige høre, når man så har fundet de omtalte config filer, kan man så bare slette dem??
Da jeg fandt dem omdøbte jeg begge til AAconfig.dat/ini og genstartede. Der var ingen politi skærm efter dette. Men kan man bare slette dem eller ligger der mere som har forbindelse til denne malware?
* mit første indlæg - in case jeg har klikket forkert i svar eller kommentar.
Du kan roligt slette dem. Det er højst sandsynligt et script i en mail eller en hjemmeside som gør de ender på din pc.
Der er ikke andre forbindelser til andre filer på din pc. Som sagt tidligere er dette billige malware baseret på at man skal kunne ændre i fil hashen og filnavne så den går igennem antivirus.
De ønsker ikke den skal kopiere sig selv efter antivirus har fanget den, derimod laver de bare en ny version og distribuere den.
Den behøver ikke hede config.ini. Den kan hede hvad som helst .ini. Som udgangspunk ligger der ikke "løse" filer i roaming mappen. De burde allesammen ligge en en under-mappen tilhørende noget software du har installeret. Men de her malware filer ligger "løst", der burde ligge en .ini og en .dat løst i roaming mappen. Hvis vores teori ellers holder ;)
Jeg har også fået denne virus dog bare fra Sverige.
Har prøvet at gøre som #31 skriver men jeg kan bare slet ikke nogle .ini filer på computeren. Der er derimod rigtig mange .dat filer og er bange for at slette noget forkert.
Jeg har ikke tilgang til en anden computer lige på nuværende tidspunkt så løsningen med USB stik er lidt svært for mig at prøve.
Er der nogen der har en ide til hvor jeg kan lede efter virus filen og få den slettet?
Synes godt om
Slettet bruger
19. december 2012 - 12:58#42
ja hent hirens og lav sådan en bootbar cd gå i mini xp så er der billede på ligesom i xp
fidusen er at man starter op før Windows så de forskellige vira og andet skrammel ikke har startet en eller anden service det er derfor de er svære at fjerne
Hej, og du er sikker på du får kigget i den rigtige mappe og får vist skjulte filer, mapper og drev som der står i understående under 3?
Jeg har set denne på et par computere nu, og disse ini og dat filer har jeg fundet alle gangene. Dog flest som skype.ini og skype.dat
1. start i fejlsikret tilstand med kommandoprompt. 2. start explorer "skriv explorer.exe" 3. lokalisér users\navn"din bruger" \appdata \roaming \config.ini/.dat i stifinder (Vis skjulte filer, mapper og drev skal være aktiveret). 4. slet de 2 filer du finder (filerne kan hedde andet end config.ini og config.dat . De kan f.eks. også hedde skype.ini og skype.dat) 5. Computeren kan nu genstartes og starter almindeligt op nu. 6. Derefter installere Malwarebytes' Anti-Malware og opdatere denne fuldt ud og lav derefter en fuld scan.
Når jeg skal skrive explorer.exe hvor er det så præcis jeg skal skrive det. Er det som komando på den sorte skærm der kommer frem eller inde i selve explorer på adressefeltet, eller noget helt 3. ?
Du skal starte i fejlsikkert tilstand med kommando prompt (tryk hele tiden på F8 under opstart at computeren). Og skrive det i den du kalder den sorte skærm som er kommando prompt.
Jeg har nu fundet frem til de mapper der bliver omtalt her af forskellige personer og selv med vis skjulte filer så har jeg inde i roaming mappen ingen løse filer.
Søger jeg på ini kommer der en 8-9 ini filer op men de tilhører alle forskellige mapper.
Søger jeg på dat kommer der vildt mange filer op..
Forstår ikke hvorfor de ikke ligger løst i mine mapper :/
Jeg sidder med en gammel pc, som stadig kør xp.. og den har fået den der virus, med en advarsel fra politiet. nu her når jeg prøver at starte den op, får jeg bare en hvid skærm. jeg har prøvet det #3 skrev, men der brokker den sig over at den ikke har nok ram(4gb) da jeg tror den kun har 2. fejl koden hedder Error 0xc0000260. nogle der har en ide om hvordan jeg kan fjerne den klamme virus/malware?? der ligger nogle ting der på som jeg skal have, som mail og docs
Jeg har netop hentet programmet ned på et USB stik, men er i tvivl om hvordan jeg KØRER det, som du nævner i punkt 2.? Der ligger en masse forskellige filer som jeg ikke kan hitte rundt i. Håber på din hjælp da jeg savner min computer:( Hilsen Sanne
Har også haft denne virus på mit arbejdes computer. Jeg havde succes ved at følge #44, så super. Filerne herpå hed skype.ini og .dat og lå i C:\Documents and Settings\Administrator\Application (køre WinXP). Det selvføgelig meget vigtig man har slået til at kunne se "skjulte mapper og filer" & "beskyttede operativsystemfiler", i fanen funktioner-Mappeindstillinger-Vis, som også kimtheman har skrevet. Er der nogen der ved hvorfor/hvordan man får den? Jeg havde ikke hentet noget, men været inde på: dba.dk. guloggratis.dk og mobilsiden.dk. Så intet umiddelbart "ulovligt" der. Ja lidt privat, blir det til i arbejdstiden ;-).
Jeg har i dag fået denne irriterende virus.. Jeg har forsøgt at gøre som kimthemand skriver i #44, kan bare ikke få det til at fungere! Jeg finder "roaming"-mappen, men deri ligger kun en enkelt fil der hedder Skype.ini, ikke nogen dat-fil... Når jeg sletter den og derefter genstarter vender jeg tilbage til det låste skærmbillede med politiet kongeriget danmark... Er der nogen der kan hjælpe mig med dette???
Da jeg havde virusen, kunne jeg ikke finde mappen "roaming", men fandt filerne i mappen før, så måske ligger de også et andet sted deromkring. Jeg køre med en "ældre" version af XP, så derfor havde den nok slet ikke den mappe dér!
Held og lykke og håber du slipper af med den djævel snart.
Skal man i prompten skrive "explorer.ex." eller "skriv explorer.exe" og hvad skal man gøre bag efter?
Mvh. Søren
Jeg har hvid skærm og kan ikke boote op på med USB, for enter tasten er sat ud af drift. Betyder det så også at jeg ikke kan boote fra en CD og hvor får man fat i CD der kan åbne computeren?
Den er virkelig styg denne her. Især når man ikke er nogen haj.
Jeg har prøvet at lave denne windows defender key. og kan ikke få den til at køre gemmen bios?. desuden er vores ramte computer nu begyndt på slet ikke at starte helt op? du kan vælge mellem normal op start eller rep opstart dette sker 2 gange hvor efter at den stoppe op ved komplet sort skærm?
- Vil også gerne af med denne uden yderlige tab af data hvis muligt. da der er tale om mange skole opgaver også. Tak.
hvorfor ikke lukke alle de spørgsmål der drejer sig om den virus og lav en liste over hvad der skal gøres engang for alle i stedet for samme spørgsmål hele tiden dukker op
rolig nu. er ikke vigtigte for mig men nok for min kæreste.. og spørger for at det kunne jo være at der sad en der ude der var lige god villig og gerne ville hjælpe.. men okay så da
Kunne ikke rigtigt bruge nogle af alle de gode råd til noget (måske er jeg ikke kvik nok?) Derfor har jeg betalt 699,- for at få skidtet fjernet hos Computer Planet.
Næste gang forsøger jeg måske at boote fra en CD med helt nyt styresystem - hvis den mulighed ikke også lukker ned. Derpå er det bare at geninstallere det hele fra den backup USB som jeg selvfølgelig husker at opdatere undervejs :)
I hvert fald træt af at de der virusidioter styrer showet.
Det der fik mig til at give op var at jeg forsøgte at boote fra en USB hvor jeg havde prepareret med Windows Defender. Det lykkedes ikke og så var min tålmodighed slut. Men måske bootede jeg forkert, idet jeg brugte piletasterne i Bios til at highlighte USB, hvorefter jeg trykkede Enter, uden at der skete noget. Jeg tænkte at virussen havde sat Enter ud af funktion. Det var før jeg fik at vide at man skal bruge F4, F5 knapperne til at prioritere boot fra USB.
Det er den slags små detaljer som hajerne går ud fra vi andre kender til. Men jeg gør fx. ikke og skal have alt forklaret et entydigt skridt ad gangen. Så begynder der måske at opstå en chance for at sådan noget lykkes.
Eksempelvis
prøvede jeg også i regedit.exe at skrive: explorer.exe, men herefter bliver det helt uklart hvad der derefter skal foregå.
Forklaringen:
3. lokalisér users\navn"din bruger" \appdata \roaming \config.ini/.dat i stifinder (Vis skjulte filer, mapper og drev skal være aktiveret).
giver desværre ingen mening for en almindelig bruger som mig.
Men, forstå mig ret, jeg har stor sympati for alt den hjælp der forsøges givet.
I stedet for at bruge dagevis evt uger på at fjerne det igen så ville jeg nu geninstallere i stedet for , nu har i vel husket alle jeres password og mail opsætninger og lavet backup af evt link m.m fotos
ved de fleste pc'er er det bare at sætte cd i og boote F1 F2 eller F8 plejer det at være følg opskriften og der vælger du igen dit c drev men husk formatere det før install igen
Brugersoren, " giver desværre ingen mening for en almindelig bruger som mig."
Nej ikke for sjovt, at nogen som mig tager penge for at lave folks pcér. Da det ikke altid er helt enkelt, hvad der er galt. Og de fleste gange kræver det, man har en masse baggrundsviden for at træffe de rigtige valg osv.
Men kan godt lide at hjælpe folk, når jeg har tiden til det. Hvis de selv har mod på, at forsøge at løse problemet. Men nogen gange, skal folk lige gøre op med sig selv. Om det er det værd, at bruge en masse tid, hvis de ikke har interressen for det. For at spare de 500-1000kr, det måske ville have kostet, for at få tingene ordnet.
Nå vi må heller slutte her. Og så må folk få oprettet en ny tråd, hvis de har brug for hjælp. Som der også op til flere gange bliver henvist til længere oppe. Slut herfra.
Sørg altid for at have en administartorkonto oprettet med password, ud over de normale brugerkonti.
Det har redet mig flere gange når ungerne laver "ulykker" på deres PC.
Jeg har også været ramt af denne skærm. Jeg løste det ved at bruge adm. kontoen, hvor jeg fandt frem til, at den lå i start-folderen. Slettede den der og så var den kørende igen. Husk at skjulte filer skal vises, ellers kan i ikke finde den.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.