Forum-svar oprettet


stigryhl532306
Abonnent

    Bekæmpelse af en virus på min PC.

    Nu lyder flg. som en helt systematisk proces, men faktisk var det ad lange omveje og snørklede stier, at virusen omsider blev identificeret og fjernet (håber jeg!). Frit efter hukommelsen gjorde jeg nogenlunde følgende:

    Fra http://www.hiren.info/pages/bootcd  downloadede jeg http://www.hirensbootcd.org/download/,
    som dernæst blev brændt på en tom cd.
    Med den bootede jeg (efter F8) den syge PC fra cd-drevet og valgte mini-udgaven af Windows XP.

    Efter nogen try-and-errow-forløb valgte jeg ”Malwarebytes Anti-Malware”, som identificerede 45(!) inficerede filer.

    Dernæst downloadede jeg “CCleaner”, og rensede alle drev såvel for cookies etc. som for fejl i registreringsdatabasen.Dem var der mange af!

    Så downloadede jeg programmet ”Malwarebytes” fra http://www.besttechie.net/tools/mbam-setup.exe – som også bearbejdere yderligere 36 inficerede filer! Herefter startede jeg PC`en i normaltilstand.

    Så kørte jeg Microsoft Security Essentials, og den fandt 2 trojanske heste (Trojan:Win32/Reveton!lnk og Trojan:JS/Reveton.A) og en række inficerede filer jf. denne udskrift af elementlisten:

    containerfile:c:documents and settingsadministrator.dit-07108b694b5Menuen StartProgrammerStartrunctf.lnk

    containerfile:c:documents and settingsstig ryhlMenuen StartProgrammerStartrunctf.lnk

    file:c:documents and settingsadministrator.dit-07108b694b5Menuen StartProgrammerStartrunctf.lnk

    file:c:documents and settingsadministrator.dit-07108b694b5Menuen StartProgrammerStartrunctf.lnk->[CMDEmbedded]

    file:c:documents and settingsstig ryhlMenuen StartProgrammerStartrunctf.lnk

    file:C:Documents and SettingsStig RyhlMenuen StartProgrammerStartrunctf.lnk->[CMDEmbedded]

    file:C:Documents and SettingsStig RyhlMenuen StartProgrammerStartStartupFasterrunctf.lnk->[CMDEmbedded]

    startup:c:documents and settingsadministrator.dit-07108b694b5Menuen StartProgrammerStartrunctf.lnk

    startup:c:documents and settingsstig ryhlMenuen StartProgrammerStartrunctf.lnk

     

    Efter rensning og genstart kørtes CCleaner endnu engang.

    Det virkede nu til, at PC`en kørte som før virus-angrebet. MEN jeg er da spændt på, hvordan PC´en reagerer, når jeg igen får tid til at lege med den!

    Til sidst: Tak for alle bidragene. De hjalp på hver sin måde. 🙂

    Mvh

    Stig

    11 år, 2 måneder siden
    som svar til: Fjendtlig overtagelse af Windows skrivebordet

    stigryhl532306
    Abonnent

      Tak for jeres bidrag – jeg kæmper stadig, men her er lidt svar på nogle af indlæggene:

      Virusangrebet – formentlig en variant af UKASH – bliver anmeldt til politiet!
      Der er jo tale om en reel pengeafpresning!

      UKASH er formentlig kommet ind i PC`en via afspilningen af en filmsekvens, enten af togrejser eller af hunde. Mærkeligt at MS Security ikke fangede den!

      Det er ikke muligt at lave et skærmdump, så jeg må nøjes med at fotografere skærmbillederne.

      UKASH har overtaget administratorkontoen (og ingen anden konto på maskinen har de rettigheder), hvilket betyder at der ikke er adgang til at scanne PC med F-Secure eller at ændre i opsætninger etc. – ej heller adgang til kommandopromp.

      UKASH har også lukket af for ctrl+alt+delete, så eneste mulighed for at lukke PC`en er at holde tændknappen inde i 5 sekunder

      Ca. 5 sekunder efter at jeg har startet Windows i fejlsikret stand overtager UKASH skærmen. Ingen tastekombinationer virker i det korte interval!

      Jeg har forsøgt at køre MS Defender fra begge de to andre brugerkonti. Som sagt tager det en krig (ca. 4 timer), men begge skanninger viste ingenting.

      Jeg har fra en anden PC downloadet programmet HIRENs BootCD 15.2, som booter en mini Windows Xp fra cd-drevet, og forsøger nu med det. Om jeg så er IT-klog nok til at bruge dette værktøj, det vil vise sig!

      … sikken en føljeton …..!

      Mvh

      Stig

       

      11 år, 2 måneder siden
      som svar til: Fjendtlig overtagelse af Windows skrivebordet

      stigryhl532306
      Abonnent

        Hej igen.

        Tak for tipset med at downloade Windows Defender Offline  på  http://windows.microsoft.com/da-dk/windows/what-is-windows-defender-offline, og så brænde den på en CD – på en anden PC. Dernæst starte den syge PC med CD`en (efter at have stoppet opstarten emd F8 og lade opstarten ske via CD). 

        Så kørte Windows Defenver Offline i ca. 4 timer, og fandt INGENTING!

        Hvad gør jeg nu?

        Mange gode hilsner

        Stig

        11 år, 3 måneder siden
        som svar til: Fjendtlig overtagelse af Windows skrivebordet

        stigryhl532306
        Abonnent

          Hej Henrik.

          Tak for hjælpen. Opdatering og brug af F8 var løsningen! Mvh Stig

          11 år, 4 måneder siden
          som svar til: Opsart-cd med Macrium Reflect Free

          stigryhl532306
          Abonnent

            Hej Henrik.

            Tak for hjælpen. Opdatering og brug af F8 var løsningen! Mvh Stig

            11 år, 4 måneder siden
            som svar til: Opsart-cd med Macrium Reflect Free

            stigryhl532306
            Abonnent

              Hej Jan.

              Tak for svaret. Gendannelsen var desværre slået fra i BB`s PC, så den metode kunne jeg ikke bruge.

              Jeg kørte som administrator flg.: c:Windowssystem32>sfc/scannow
              Systemet bad ikke om nogen genstart, men efter procesforløbet kom meldingen: 
              “Windows Ressourcebeskyttelse fandt beskadigede filer, som blev repareret. Du kan finde flere oplysninger i CBS.Log windirLogsCBS<CBS.log f.eks. C:WindowsLoggCBS<CBS.log
              Reparationsændringerne i systemfilerne træder i kraft næste gang computeren genstartes.”
              Nu virker Explore igen. Altså problemet er løst.

              1000 TAK!

              mvh
              Morfar Stig

              11 år, 4 måneder siden
              som svar til: Explorer starter slet ikke!