Fjendtlig overtagelse af Windows skrivebordet

Hej.

XP-maskine, Microsoft-Secure fuldt installeret, GoogleCrome, 3 brugerkonti (, B og C), kun  A med rettigheder som administrator, bl.a. til at installere programmer. Problem: A´s skrivebord er blevet overtaget af en web-side, der kræver 1000 kr. og bankkontooplysninger for at ville fjerne sig selv igen! Dén hopper jeg ikke på, men problemet er, at jeg ikke kan køre noget antivirus-program fra B eller C, fordi de har begrænset adgang til XP`en! (Jeg har alligevel forsøgt at køre F-secure on-line, men som sagt fandt den ingen virus i den del af maskinen, som den kunne kontrollere.) Hvad gør jeg så? Findes der et opstartprogram med internetforbindelse, hvorfra der kan køres en skanning? Eller lign.?

Mvh

Stig

Har du ikke adgang til selve kontoen “Administrator”?

På en PC med XP er der mindst 2 konti i brugergruppen administratorer. Den ene hedder som sagt “Administrator”. Den anden hedder det navn den fik da Windows XP blev installeret.

Du kender måske ikke passwordet?

Du kan i så fald nullstille passwordet til den anden konto i brugergruppen administratorer hvis du har glemt den.

Kig i Komputer for Alle nr 8-2012, side 12 for en vejledning. Du skal osse ha’ adgang til CDen der fulgte med bladet med programmet PC Login Now.

Kort og klart – brug Windows Defender Offline:

http://windows.microsoft.com/da-dk/windows/what-is-windows-defender-offline

Den skal installeres på en USB-nøgle eller brændes til CD, hvorefter computeren startes fra USB-nøgle/CD. Der skal sikkert vælges opstartsmedie i BIOS for at computeren starter fra det eksterne medie.

Windows Defender Offline ligner Microsoft Security Essentials, men fungerer helt uden at starte den installerede Windows. Derfor får ondskabsfulde programmer ikke lejlighed til at starte, ingen filer er blokeret af at være i brug af Windows, og derfor kan enhver form for virus fjernes effektivt.

I øvrigt bør denne form for afpresning politianmeldes:

Hvis du lader som om du vil betale (hold kreditkort på sikker afstand :), kan du se, hvem der opkræver pengene. Tag et par skærmskud og brug det til en egentlig politianmeldelse.

Endnu mere aggressivt – og risikabelt, jeg nævner det fordi det kunne blive nyttigt for andre, der har givet efter og betalt – er at betale pengene – og derefter gå ned i banken og kræve dem tilbageført via kreditkortet. Det vil omgående udløse en undersøgelse af, hvordan firmaet opfører sig, og kvæle dets indtjening.

Den slags mafiaprogrammer er desværre et ret stort problem for tiden.

Og så vil jeg opfodre Stig Ryhl til at fortælle lidt om hvordan situationen er opstået. Det vil være til stor hjælp for andre, så det ikke sker for dem.

Hej igen.

Tak for tipset med at downloade Windows Defender Offline  på  http://windows.microsoft.com/da-dk/windows/what-is-windows-defender-offline, og så brænde den på en CD – på en anden PC. Dernæst starte den syge PC med CD`en (efter at have stoppet opstarten emd F8 og lade opstarten ske via CD). 

Så kørte Windows Defenver Offline i ca. 4 timer, og fandt INGENTING!

Hvad gør jeg nu?

Mange gode hilsner

Stig

Hva’ med denne her?

http://www.microsoft.com/security/scanner/da-dk/default.aspx

 

Av, det var alvorligt, jeg havde forventet at Windows Defender Offline kunne klare sagen. Nu skal vi se på det mere manuelt. Jeg kunne godt bruge flere oplysninger om det program, der blokerer computeren – hvad det hedder, hvor det vil have penge etc. Indtil da kommer her nogle mere generelle betragtninger.

Det bedste værktøj til at fjerne den slags mafiasoftware er Malwarebytes’ Anti-Malware. Sørg for at have det ved hånden, og prøv at komme til at installere og køre det. Programmet er gratis og ligger på bladets CD.

Det lyder som om du ikke kan køre noget program på den angrebne konto, er det rigtigt? Det kunne jo blot være et skræmmende skrivebordsbillede, der i virkeligheden ikke blokerer så meget.

Start Windows i Fejlsikret Tilstand, og se om den er fri for angrebet her. Fungerer det, kan du installere og køre Anti-Malware herfra.

Fungerer det ikke, må du prøve at ramme bæstet manuelt:

Tast Ctrl-Shift-Esc, der giver Windows’ Jobliste. Herfra kan du standse kørende programmer, og finder du forbryderen i listen af Programmer eller Processer, kan den slås ihjel herfra. Du vil af gode grunde møde nogle advarsler om at slå programmer ned på denne måde, i situationen er det præcist det, du vil. Når du rammer det rigtige, vil truslen forsvinde, og så kan du bruge computeren igen – naturligvis først til at køre Anti-Malware.

Men som sagt ville flere detaljer, om muligt et skærmskud, være nyttigt.

Hej Stig

Jeg bruger som regel en af disse redningscd:

http://www.avg.com/eu-en/avg-rescue-cd

eller

http://www.pandasecurity.com/homeusers/downloads/docs/product/help/is/2010/en/241.htm

Men når Defender ikke fandt noget – så gør ovenstående det nok heller ikke, men de er da altid gode at have i baghånden til “næste gang”

Hilsen

Tak for jeres bidrag – jeg kæmper stadig, men her er lidt svar på nogle af indlæggene:

Virusangrebet – formentlig en variant af UKASH – bliver anmeldt til politiet!
Der er jo tale om en reel pengeafpresning!

UKASH er formentlig kommet ind i PC`en via afspilningen af en filmsekvens, enten af togrejser eller af hunde. Mærkeligt at MS Security ikke fangede den!

Det er ikke muligt at lave et skærmdump, så jeg må nøjes med at fotografere skærmbillederne.

UKASH har overtaget administratorkontoen (og ingen anden konto på maskinen har de rettigheder), hvilket betyder at der ikke er adgang til at scanne PC med F-Secure eller at ændre i opsætninger etc. – ej heller adgang til kommandopromp.

UKASH har også lukket af for ctrl+alt+delete, så eneste mulighed for at lukke PC`en er at holde tændknappen inde i 5 sekunder

Ca. 5 sekunder efter at jeg har startet Windows i fejlsikret stand overtager UKASH skærmen. Ingen tastekombinationer virker i det korte interval!

Jeg har forsøgt at køre MS Defender fra begge de to andre brugerkonti. Som sagt tager det en krig (ca. 4 timer), men begge skanninger viste ingenting.

Jeg har fra en anden PC downloadet programmet HIRENs BootCD 15.2, som booter en mini Windows Xp fra cd-drevet, og forsøger nu med det. Om jeg så er IT-klog nok til at bruge dette værktøj, det vil vise sig!

… sikken en føljeton …..!

Mvh

Stig

 

Bekæmpelse af en virus på min PC.

Nu lyder flg. som en helt systematisk proces, men faktisk var det ad lange omveje og snørklede stier, at virusen omsider blev identificeret og fjernet (håber jeg!). Frit efter hukommelsen gjorde jeg nogenlunde følgende:

Fra http://www.hiren.info/pages/bootcd  downloadede jeg http://www.hirensbootcd.org/download/,
som dernæst blev brændt på en tom cd.
Med den bootede jeg (efter F8) den syge PC fra cd-drevet og valgte mini-udgaven af Windows XP.

Efter nogen try-and-errow-forløb valgte jeg ”Malwarebytes Anti-Malware”, som identificerede 45(!) inficerede filer.

Dernæst downloadede jeg “CCleaner”, og rensede alle drev såvel for cookies etc. som for fejl i registreringsdatabasen.Dem var der mange af!

Så downloadede jeg programmet ”Malwarebytes” fra http://www.besttechie.net/tools/mbam-setup.exe – som også bearbejdere yderligere 36 inficerede filer! Herefter startede jeg PC`en i normaltilstand.

Så kørte jeg Microsoft Security Essentials, og den fandt 2 trojanske heste (Trojan:Win32/Reveton!lnk og Trojan:JS/Reveton.A) og en række inficerede filer jf. denne udskrift af elementlisten:

containerfile:c:documents and settingsadministrator.dit-07108b694b5Menuen StartProgrammerStartrunctf.lnk

containerfile:c:documents and settingsstig ryhlMenuen StartProgrammerStartrunctf.lnk

file:c:documents and settingsadministrator.dit-07108b694b5Menuen StartProgrammerStartrunctf.lnk

file:c:documents and settingsadministrator.dit-07108b694b5Menuen StartProgrammerStartrunctf.lnk->[CMDEmbedded]

file:c:documents and settingsstig ryhlMenuen StartProgrammerStartrunctf.lnk

file:C:Documents and SettingsStig RyhlMenuen StartProgrammerStartrunctf.lnk->[CMDEmbedded]

file:C:Documents and SettingsStig RyhlMenuen StartProgrammerStartStartupFasterrunctf.lnk->[CMDEmbedded]

startup:c:documents and settingsadministrator.dit-07108b694b5Menuen StartProgrammerStartrunctf.lnk

startup:c:documents and settingsstig ryhlMenuen StartProgrammerStartrunctf.lnk

 

Efter rensning og genstart kørtes CCleaner endnu engang.

Det virkede nu til, at PC`en kørte som før virus-angrebet. MEN jeg er da spændt på, hvordan PC´en reagerer, når jeg igen får tid til at lege med den!

Til sidst: Tak for alle bidragene. De hjalp på hver sin måde. 🙂

Mvh

Stig

Mange tak for den omfattende redegørelse – og pinligt for Microsoft, at selv deres grundigste værktøj intet finder, når der er så meget stads i maskinen!

Malwarebytes Anti-Malware har længe været et af mine favoritprogrammer, det beviser igen og igen, at det er et godt valg mod ondskabsfulde programmer.

Her må du have været ramt af (mindst ét) såkaldt ‘rootkit’, der skjuler infektionerne overfor antivirusprogrammerne.

De to Reveton trojanere er såkaldt ‘Ransomware’:

http://www.f-secure.com/v-descs/trojan_w32_reveton.shtml

Hvilket antivirusprogram havde du på maskinen, før dette skete? Det fortjener et stort minus i min og bladets karakterbog.

Ja – meget beklagelig – så var det Microsoft Security Essentials, som jeg havde på maskinen før virusangrebet. Jeg kommer til at erstatte det – eller supplere – det med et andet.

Mvh

Stig

Tak for tilbagemeldingen, det bekræfter hvad formelle tests har vist allerede, at Microsoft Security Essentials er faldet bagud. Det er ikke godt.

AVG og Avast! har begge udmærkede gratisudgaver af deres antivirus programmer. Da jeg har erfaret at AVG kan bruge ret mange kræfter i computeren, vil jeg anbefale Avast!.