Ukash virus for blondiner - systemgendannelse virkede, men hvad nu?
Hej
Jeg har desværre lige haft et møde med ukash virussen, hvilket medførte, at jeg kun kunne starte op i fejlsikret tilstand med kommandoprompt.
Efter at have læst nogle indlæg på denne side, prøvede jeg at lave en systemgendannelse i kommandoprompt. Nu kan jeg så godt bruge computeren, og har fået lavet en backup af ting på min computer, som jeg meget nødigt vil miste.
Men nu er spørgsmålet så, hvordan jeg fjerner virussen helt? For den er der vel stadig? Har læst, at man kunne downloade og opdatere Malwarebytes Anti-Malware, hvilket jeg har gjort, og denne er nu igang med en fuldstændig scanning. Når den er færdig, og dette er måske et dumt spørgsmål, men hvordan ved jeg så, hvilke filer, der skal slettes?
Jeg synes egentligt også, at min virus er lidt anderledes, end hvad der ellers er beskrevet. Lige før Ukash billedet kom frem (der hvor man skal betale), kommer windows hver gang med et billede, hvor jeg skal vælge, hvilket webcam den skal bruge? Her kan jeg så vælge computerens eget webcam, men jeg trykker bare annuller, og så kommer ukash.
Tror måske, at ukash bare er toppen af isbjerget af fejl? Da jeg ville åbne i fejlsikker tilstand med internet (altså de to andre tilstande, som ikke er kommandoprompt), så var det heller ikke fordi, at ukash kom igen, men der gik 20 sekunder, så loggede computeren automatisk af og slukkede.
Jeg har windows 7, 64.
What to do?
Det skal lige siges, at jeg ikke er en haj til disse ting overhovedet...I må sige til, hvis det slet ikke giver mening, men har forsøgt at forklare mig efter bedste evne:)
Velkommen til. Du skal sætte mærke i alt som Malwarebytes finder og vælg fjern. Vil derudover anbefale du kører en scanning af pc fra en online scanner, samt at du kører disse: http://www.csis.dk/da/private/downloads/ Hent disse 4 tools og kør dem en af gangen. For håbentligt får du 4 grønne smileys. Hent også AdwCleaner og kør den: http://www.bleepingcomputer.com/download/adwcleaner/dl/125/ Når du åbner programmet så tryk på "slet" og lad programmet scanne pc. Den beder om en genstart som du accepterer. Når pc er genstartet kommer en log. Kopier loggen fra adwcleaner og Malwarbytes herind.
Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren). Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen. Kopier indholdet herind sammen med en frisk log fra HiJackThis...
220661: Tak for link. Jeg kan se, at jeg skal igang med den helt store oprydning efter Malwarebytes Anti-Malware er færdig. Den har været igang i over en time og scanner stadig...der er 2 inficerede objekter. Det er så navnet på disse mm., som kommer på en log, når den er færdig?
karise_larry: Tak for links. Ja, der er nok at gå igang med. Jeg bruger windows 7.
I skriver begge, at jeg skal kopiere loggen herind. Er det for at tjekke, hvad det egentligt er for nogle filer, der er kommet ind eller...?
Noget helt andet er, at explorer virker dårligt her efter systemgendannelsen. Den skriver noget i stil med: "Et problem forhinder explorer i at fungere korrekt og explorer gendanner siden". Den vil heller ikke altid virke, hvis jeg åbner en ny fane. Så går den "i stå", og jeg skal åbne endnu en fane, som måske virker. Lidt træls, men håber det går væk.
Hukommelses Processorer Inficeret: 0 (Ingen skadelige objekter blev fundet)
Hukommelses Moduler Inficeret: 0 (Ingen skadelige objekter blev fundet)
Registreringsdatabasenøgler Inficeret: 0 (Ingen skadelige objekter blev fundet)
Registreringsdatabaseværdier Inficeret: 0 (Ingen skadelige objekter blev fundet)
Registreringsdatabasedata Objekter Inficeret: 0 (Ingen skadelige objekter blev fundet)
Inficerede Mapper: 0 (Ingen skadelige objekter blev fundet)
Inficerede Filer: 2 C:\Users\Maja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PA7JXLP7\SaveAs.exe (PUP.Offerware) -> Ingen handling valgt. C:\Users\Maja\AppData\Roaming\skype.dat (Trojan.MP.zr0) -> Ingen handling valgt.
(færdig) ____________________
Herefter brugte jeg de 4 tools, som 220661 anbefalede, og fik 4 grønne smileys.
Derefter prøvede jeg med adwCleaner, hvor jeg har gemt loggen.
____________________
LOG:
# AdwCleaner v2.113 - Logfil lavet d. 02/03/2013 kl. 16:59:27 # Opdateret d. 23/02/2013 af Xplode # Operativ system : Windows 7 Home Premium Service Pack 1 (64 bits) # Bruger : Maja - MAJA-PC # Boot Mode : Normal # Kører fra : C:\Users\Maja\Downloads\AdwCleaner.exe # Indstilling [Slet]
Downloadede herefter - vist en trial - af kaspersky security scan og den viste ikke noget "alvorligt", men 13 "mulige problemer"/Other problems. Regner ikke med, at dette er noget, som skal ændres/er "farligt".
____________________
Fra KasperSky:
1. "Autorun from hard drives is allowed"
2. "Autorun from network drives is enabled"
3. "CD/DVD autorun is enabled"
4. "Removable media autorun is enabled"
5. "Windows Explorer - show extensions of known file types"
6. "Microsoft Internet Explorer: clear history of typed URLs"
7. "Microsoft Internet Explorer - disable caching data received via protected channel"
8. "Microsoft Internet Explorer: disable sending error reports"
9. "Microsoft Internet Explorer: delete cookies"
10. "Microsoft Internet Explorer: clear list of pop-up blocker exceptions"
11. "Microsoft Internet Explorer: enable cache autocleanup on browser closing"
12. "Windows Explorer: display of known file types extensions is disabled"
13. "Microsoft Internet Explorer: start page reset"
____________________
Kunne ikke finde et direkte download-link til HijackThis via det link, der er oplyst, men fik downloaded HijackThis 2.0.4. Den meddelte, at "for some reason, your system denied write access to the Hosts file..." og jeg kan heller ikke lave en log eller noget andet.
Burde det ikke være fjernet nu? Selvom Explorer er langsom...?
#9 Præsis. Har set Skype filen i mange logs efter en Ukash infection, så den skal fjernes. I øvrigt så har du sikkert også nogle ting du bør/skal have opdateret. Det er Java og Flash Player og evt Shockvawe Player hvis du har den på din pc. I følge oplysninger som der har blevet beskrevet her på Eksperten, så er ca 65% af gangene en pc bliver inficeret med Ukash, der er nævnte programmer i gamle og usikre versioner. Så kører du nu evt med en Java i version 6, så skal du opdatere da du er alt for modtagelig for snavs. En del af disse ting kan vi også se når/hvis du får afleveret en HijackThis log.
Min computer fungerer heldigvis som normalt nu, dog er der som nævnt før lidt "problemer" med Explorer. Det er dog småting, så jeg er rigtig glad for, at det egentligt er gået godt med at få det skidt fjernet.
karise_larry: Tak. Jeg har prøvet at følge den guide omkring Explorer-problemet, som du har linket til, så vi må se, om det hjælper:) Synes ikke, at jeg har så meget af den slags installeret, men ja, mange bække små. Dog synes jeg også bare, at det problem kom ret pludseligt.
Jeg har fjernet de to filer, som den fandt. Jeg troede bare, at den måske ville genstarte automatisk, når jeg trykkede fjern, så ville gemme loggen først, så den ikke blev væk.
Jeg er gået igang med at opdatere, og har bl.a. opdateret Java og Adobe Reader. Jeg hentede den der update-checker fra Filehippo og den skrev, at der var 8 programmer, som skulle opdateres. Der var adobe reader, itunes, quicktime player, skype, VLC media player, winRAR, Adobe flash player og uTorrent.
HijackThis virker som sagt ikke...kan ikke få adgang til Hosts fil?
Ok. Kunne nemlig ikke lige se sammenhængen mellem det du skrev og så indholdet i loggen. Er der nogle programmer du ikke bruger alligevel, så vil jeg anbefale du afinstallerer i stedet for at opdatere dem.
Jeg har også lige slettet diverse programmer og alt fra Apple, da jeg ikke længere ejer nogen af deres produkter.
Jeg tror faktisk, at Explorer er blevet sig selv igen...det er jo super:)
Vi er enige om, at man skal højreklikke på ikonet for hijackthis på skrivebordet, hvor man så skal vælge "Kør som admin"? Det kommer ikke frem, når jeg højreklikker på ikonet?
Det er godt det ser ud til at virke igen. Prøv at gå til denne side, som vil tjekke din pc efter, om du har de nyeste versioner af Flash og Java: http://kundeservice.tdc.dk/testcenter/
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
