Avatar billede Sylvester23 Juniormester
28. marts 2013 - 14:49 Der er 14 kommentarer og
1 løsning

Syg ASUS pc m. ukash malware

Hej Alle!

Har kæmpet med min pc et stykke tid nu men mangler liiige det sidste...
Koerer Windows 7, opdateret vers.
Startede med ukash malware, den er der stadi, kom "ind under" ASUS´ lidt underlige "skal" med f8, derefter f2, vælger fejlsikret tilstand - så langt så godt... Kommer på "skrivebordet" og starter malware program, som beskrevet i eksperten.dk/spm/966482, men det koerer ikke, hele computeren er meget langsom - vælger at tage stroemmen fra den men med værre resultat: PC´en genstarter af sig selv...
Det koerer ligesom i ring og jeg får ikke lov at starte malware programmet - hvad skal man så goere??

Gode hilsner
Sylvester
Avatar billede claes57 Ekspert
28. marts 2013 - 14:55 #1
i kontrolpanel/system fanebladet avanceret - under start og genoprettelse - klik på indstillinger.
Fjern hak i genstart automatisk. Afslut med ok til du er tilbage på skrivebord, og du kan nu tage strømmen for at lukke brutalt ned.
Avatar billede 220661 Ekspert
28. marts 2013 - 16:04 #2
Hvis du trykker på F8 under opstart kan du så få lov til at komme i fejlsikret med kommandoprompt?
Kan du det, så skriv dette når den er loadet færdigt rstrui.exe
som skulle starte systemgendannelse. Gendan til før du fik Ukash.
Derefter scannes din pc med Malwarebytes:
Hent Malwarebytes Anti-Malware herfra:
http://downloads.malwarebytes.org/mbam-download.php

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde.
Når programmet har scannet færdigt tryk på "Vis resultater"  - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen. Kopier loggen herind.
Mht.: Vista/Win7 - HøjreMusseTast - "Kør som Administrator..."

Kan du ikke dette, må vi tage den derfra.

Ukash har jo ændret sig i løbet af den tid den har været fremme.
28. marts 2013 - 17:04 #3
Velkommen til E. ...

Velkommen i [Ukash virus] klubben...

Fejlsikker tilstand - Systemgendannelse !!!
Som her ->
www.eksperten.dk/spm/970326#reply_7990002
Avatar billede Sylvester23 Juniormester
28. marts 2013 - 18:14 #4
Det holdt hårdt men endelig er jeg inde, Malwarebytes koerer nu en fuld skanning efter en opdatering.
220661: Du skriver: Kopier loggen herind.
Mht.: Vista/Win7 - HøjreMusseTast - "Kør som Administrator..."

Den sidste linie er jeg ikke helt med på... Hvad mener du??

Sylvester
Avatar billede 220661 Ekspert
28. marts 2013 - 19:06 #5
Man højreklikker på start ikonet og vælger kør som administrator.

Håber den finder de filer der laver balladen.
Send loggen herind når du har fjernet det som den finder.
Du finder den under logs i programmet.
Avatar billede Sylvester23 Juniormester
28. marts 2013 - 20:00 #6
Her er så log filen:

Malwarebytes Anti-Malware (Prøveversion) 1.70.0.1100
www.malwarebytes.org

Database version: v2013.03.28.10

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
René :: PC [administrator]

Beskyttelse: Slået fra

28-03-2013 18:04:12
mbam-log-2013-03-28 (18-04-12).txt

Skanningstype: Fuldstændig skanning (C:\|D:\|F:\|Q:\|)
Skanningsmuligheder valgt: Hukommelse | Opstart | Registreringsdatabasen | Filsystem | Heuristics/Ekstra | Heuristics/Shuriken | PUP | PUM
Skanningsmuligheder som er deaktiverede: P2P
Objekter skannet: 528102
Tid gået: 1 time(e), 33 minut(ter), 57 sekund(er)

Hukommelses Processorer Inficeret: 0
(Ingen skadelige objekter blev fundet)

Hukommelses Moduler Inficeret: 0
(Ingen skadelige objekter blev fundet)

Registreringsdatabasenøgler Inficeret: 1
HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> Sat i karantæne og slettet succesfuldt.

Registreringsdatabaseværdier Inficeret: 0
(Ingen skadelige objekter blev fundet)

Registreringsdatabasedata Objekter Inficeret: 0
(Ingen skadelige objekter blev fundet)

Inficerede Mapper: 0
(Ingen skadelige objekter blev fundet)

Inficerede Filer: 4
C:\Users\René\AppData\Roaming\skype.dat (Trojan.Ransom.ED) -> Sat i karantæne og slettet succesfuldt.
C:\Users\René\Downloads\installer_winzip.exe (PUP.BundleInstaller.DT) -> Sat i karantæne og slettet succesfuldt.
C:\Users\René\Downloads\oi_AltoMP3_setupexe.exe (PUP.BundleInstaller.OI) -> Sat i karantæne og slettet succesfuldt.
C:\Users\René\Downloads\oi_winzip16-32exe.exe (PUP.BundleInstaller.OI) -> Sat i karantæne og slettet succesfuldt.

(færdig)

Har slettet de fire filer Malwarebytes fandt og tænker jeg skal opdatere Windows og mit antivirusprog.

Mvh.
Sylvester
Avatar billede 220661 Ekspert
28. marts 2013 - 20:17 #7
Den har i hvertfald snuppet ukash filen kan jeg se, så den skulle du være fri for nu.
C:\Users\René\AppData\Roaming\skype.dat (Trojan.Ransom.ED) -> Sat i karantæne og slettet succesfuldt.


Vil anbefale ydeligere scanning med en online scanner samt de 4 tools herfra:
http://www.csis.dk/da/private/downloads/
Hent dem en ad gangen og kør dem. Håber du får 4 grønne smileys.
Hent og kør også denne her:
http://www.bleepingcomputer.com/download/adwcleaner/dl/125/
når du kører programmet vælg "slet" og lad den scanne pc. Når scanning er færdig skal pc genstartes. Når den er tilbage igen fremkommer en log, som du godt lige må smide herind.

Når alt dette er kørt kunne jeg godt tænke mig at høre hvordan pc kører?
Avatar billede Sylvester23 Juniormester
28. marts 2013 - 20:37 #8
Jamen så går jeg igang...:-)
Ser lidt omfattende ud... Melder tilbage med svar om tilstanden på pc´en senere.

Indtil videre stort tak for hjælpen!
Sylvester
Avatar billede 220661 Ekspert
28. marts 2013 - 20:42 #9
Velbekomme.
Ps når du trykker på linket til adwcleaner, så lad være emd at downloade Regcleanpro i stedet. Venter du i 5 sek kommer det rette downloadlink.
Avatar billede Sylvester23 Juniormester
28. marts 2013 - 20:54 #10
Nå, det gik væsentligt hurtigere end jeg hgavde regnet med:-)
Jo fire sgrønne smileys fra csis, og her er log filen fra Adwcleaner:

# AdwCleaner v2.115 - Logfil lavet d. 28/03/2013 kl. 20:42:03
# Opdateret d. 17/03/2013 af Xplode
# Operativ system : Windows 7 Home Premium Service Pack 1 (64 bits)
# Bruger : René - PC
# Boot Mode : Normal
# Kører fra : C:\Users\René\Downloads\AdwCleaner.exe
# Indstilling [Slet]


***** [Servicer] *****


***** [Filer / Mapper] *****

Filer Slettet : C:\END
Filer Slettet : C:\Program Files (x86)\Mozilla Firefox\searchplugins\avg-secure-search.xml
Filer Slettet : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Mapper Slettet : C:\Program Files (x86)\1ClickDownload
Mapper Slettet : C:\Program Files (x86)\Conduit
Mapper Slettet : C:\Program Files (x86)\uTorrentBar
Mapper Slettet : C:\ProgramData\Babylon
Mapper Slettet : C:\ProgramData\boost_interprocess
Mapper Slettet : C:\Users\REN~1\AppData\Local\Temp\Smartbar
Mapper Slettet : C:\Users\René\AppData\Local\Conduit
Mapper Slettet : C:\Users\René\AppData\Local\PackageAware
Mapper Slettet : C:\Users\René\AppData\Local\Smartbar
Mapper Slettet : C:\Users\René\AppData\LocalLow\boost_interprocess
Mapper Slettet : C:\Users\René\AppData\LocalLow\Conduit
Mapper Slettet : C:\Users\René\AppData\LocalLow\PriceGong
Mapper Slettet : C:\Users\René\AppData\LocalLow\uTorrentBar
Mapper Slettet : C:\Users\René\AppData\Roaming\Babylon
Mapper Slettet : C:\Users\René\AppData\Roaming\Mozilla\Firefox\Profiles\q0l4410a.default-1348085781376\Smartbar

***** [Registeret] *****

Nøgle Slettet : HKCU\Software\1ClickDownload
Nøgle Slettet : HKCU\Software\AppDataLow\Software\Conduit
Nøgle Slettet : HKCU\Software\AppDataLow\Software\PriceGong
Nøgle Slettet : HKCU\Software\AppDataLow\Software\SmartBar
Nøgle Slettet : HKCU\Software\AppDataLow\Software\uTorrentBar
Nøgle Slettet : HKCU\Software\AppDataLow\Toolbar
Nøgle Slettet : HKCU\Software\Conduit
Nøgle Slettet : HKCU\Software\DataMngr
Nøgle Slettet : HKCU\Software\DataMngr_Toolbar
Nøgle Slettet : HKCU\Software\IGearSettings
Nøgle Slettet : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}
Nøgle Slettet : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A97B89CD-B65C-49DD-AF46-2B772C627456}
Nøgle Slettet : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}
Nøgle Slettet : HKCU\Software\SmartBar
Nøgle Slettet : HKCU\Software\SmartbarBackup
Nøgle Slettet : HKCU\Software\SmartbarLog
Nøgle Slettet : HKCU\Software\5eed7dfb468be12
Nøgle Slettet : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
Nøgle Slettet : HKLM\Software\Babylon
Nøgle Slettet : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Nøgle Slettet : HKLM\SOFTWARE\Classes\Prod.cap
Nøgle Slettet : HKLM\SOFTWARE\Classes\Toolbar.CT2786678
Nøgle Slettet : HKLM\SOFTWARE\Classes\Toolbar.CT2801948
Nøgle Slettet : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Nøgle Slettet : HKLM\Software\Conduit
Nøgle Slettet : HKLM\Software\DataMngr
Nøgle Slettet : HKLM\Software\Freeze.com
Nøgle Slettet : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
Nøgle Slettet : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
Nøgle Slettet : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Nøgle Slettet : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Nøgle Slettet : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A97B89CD-B65C-49DD-AF46-2B772C627456}
Nøgle Slettet : HKLM\Software\uTorrentBar
Nøgle Slettet : HKLM\SOFTWARE\Wow6432Node\5eed7dfb468be12
Nøgle Slettet : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Nøgle Slettet : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{A97B89CD-B65C-49DD-AF46-2B772C627456}
Nøgle Slettet : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}
Nøgle Slettet : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Nøgle Slettet : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Nøgle Slettet : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Nøgle Slettet : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEF71BC2-08BC-4A3F-BC1D-3F5EB9ABD03B}
Nøgle Slettet : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F393866F-56EE-43C2-8283-96869F21EDB7}
Nøgle Slettet : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}
Nøgle Slettet : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar
Nøgle Slettet : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Nøgle Slettet : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Værdi Slettet : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}]
Værdi Slettet : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}]
Værdi Slettet : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Browser Infrastructure Helper]
Værdi Slettet : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}]
Værdi Slettet : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}]

***** [Internet Browsers] *****

-\\ Internet Explorer v10.0.9200.16521

Udskiftet : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://isearch.avg.com/?cid={4C8230AB-24B9-41C6-9BF6-F36256F708D6}&mid=2dc0512aaa1e47d09d12c593af1d16ba-57eb3dbff2ba6dbf5ce93cde92a54f8ca3fca7e1&lang=en&ds=pl011&pr=sa&d=2012-04-08 13:04:02&v=10.2.0.3&sap=hp --> hxxp://www.google.com

-\\ Mozilla Firefox v19.0.2 (da)

Filer : C:\Users\René\AppData\Roaming\Mozilla\Firefox\Profiles\q0l4410a.default-1348085781376\prefs.js

C:\Users\René\AppData\Roaming\Mozilla\Firefox\Profiles\q0l4410a.default-1348085781376\user.js ... Slettet !

Slettet : user_pref("CT3238255_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...]
Slettet : user_pref("Smartbar.ConduitHomepagesList", "hxxp://search.conduit.com/?ctid=CT3238255&SearchSource=1[...]
Slettet : user_pref("Smartbar.ConduitSearchEngineList", "NicePlayer Customized Web Search");
Slettet : user_pref("Smartbar.ConduitSearchUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3238255[...]
Slettet : user_pref("Smartbar.keywordURLSelectedCTID", "CT3238255");
Slettet : user_pref("extensions.5111a977e9eb1.scode", "(function(){try{if('aol.com,mail.google.com,premiumrepo[...]
Slettet : user_pref("extensions.5111a9c1c20ad.scode", "(function(){try{if('aol.com,mail.google.com,premiumrepo[...]
Slettet : user_pref("extensions.BabylonToolbar.admin", false);
Slettet : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Slettet : user_pref("extensions.BabylonToolbar.appId", "{BDB69379-802F-4eaf-B541-F8DE92DD98DB}");
Slettet : user_pref("extensions.BabylonToolbar.autoRvrt", "false");
Slettet : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Slettet : user_pref("extensions.BabylonToolbar.excTlbr", false);
Slettet : user_pref("extensions.BabylonToolbar.ffxUnstlRst", true);
Slettet : user_pref("extensions.BabylonToolbar.id", "58960dbc00000000000014dae9f9ff49");
Slettet : user_pref("extensions.BabylonToolbar.instlDay", "15774");
Slettet : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Slettet : user_pref("extensions.BabylonToolbar.newTab", false);
Slettet : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Slettet : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Slettet : user_pref("extensions.BabylonToolbar.rvrt", "false");
Slettet : user_pref("extensions.BabylonToolbar.smplGrp", "none");
Slettet : user_pref("extensions.BabylonToolbar.tlbrId", "uninst");
Slettet : user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "hxxp://search.babylon.com/?babsrc=TB_def&mntrId=[...]
Slettet : user_pref("extensions.BabylonToolbar.vrsn", "1.8.11.10");
Slettet : user_pref("extensions.BabylonToolbar.vrsnTs", "1.8.11.1018:14:16");
Slettet : user_pref("extensions.BabylonToolbar.vrsni", "1.8.11.10");
Slettet : user_pref("extensions.BabylonToolbar_i.babExt", "");
Slettet : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=120351");
Slettet : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Slettet : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3238255&SearchSource=2&CU[...]
Slettet : user_pref("smartbar.machineId", "HX+W9DYQIGO5OIGKLDC6XQC2/QXPAJO+KL2BQAMKMULAKVNUA+XLP4R4G6MXVN2VSEL[...]

-\\ Google Chrome v25.0.1364.172

Filer : C:\Users\René\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Filen er ren.

*************************

AdwCleaner[S1].txt - [8959 octets] - [28/03/2013 20:42:03]

########## EOF - C:\AdwCleaner[S1].txt - [9019 octets] ##########
Avatar billede 220661 Ekspert
28. marts 2013 - 20:59 #11
Der røg en masse andet browser skidt ud, som man ikke har behov for.

Hvordan kører din pc nu?

Vil anbefale en scan med en online scanner også som jeg foreslog i #7.
Viser den heller ikke noget vil jeg tro du er fri for skidt.
Avatar billede 220661 Ekspert
28. marts 2013 - 21:00 #12
Avatar billede Sylvester23 Juniormester
28. marts 2013 - 21:23 #13
Lader til at PCén kører fint, er pt. igang med at køre CCleaner og vil køre en online scanning når CC er færdig -

Sylvester
Avatar billede 220661 Ekspert
28. marts 2013 - 21:28 #14
Ok. Hvis det hele falder tilfredsstillende ud når du er helt færdig med CCleaner og online scan kan du evt bruge dette svar at lukke med.
Avatar billede 220661 Ekspert
29. marts 2013 - 08:21 #15
tak for point
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester