Kapad dator?

[oktober08]

Hej! Igår när jag surfade runt så försvann plötsligt Firefox. Jag öppnade Firefox igen och därefter började det dyka upp mängder med småfönster som varnade om att det inte gick att skriva till olika minnesadresser och att det var fel på hårddsiken samt att det var fel på minnet. Det dök också upp flera varningsikoner längst ner till höger på skärmen! Strax därefter dyker det upp ett nytt fönster, som påminner grafiskt om windows XP, som gör en analys av datorn och påpekar flera olika fel på hårddisk och minne mm. Självklart går allt att lösa också om jag är villig att betala för en fullversion av programmet, vilket jag inte tänker göra!

 

Min fråga är om det är helt kört att rädda min dator från detta elände!? Datorn är väl helt klart kapad och att jag skulle behöva betala för en fullversion för att lösa allt, är väl ren utpressning!

 

Jag har försökt kringgå det falska programmet, men allt i startmenyn är raderat och aktivitetshanteraren kan jag inte heller komma åt. Jag har även i min frustration försökt att stoppa in XP-skivan och ominstallera datorn, men inte heller det gick! Det falska programmet blockerar allt, så jag kan inte komma åt något annat! Inte komma åt och rädda vissa filer mm

 

Mycket tacksam om någon har tips på lösning!

[Cecilia]

Har du något namn på det falska programmet, t ex Windows Software Saver?

 

För att rädda viktiga filer kan du pröva med guiden http://www.alltomwindows.se/forum/index.php/topic/21771-raedda-data-med-puppy-linux/

[jannejanne]

Ja, vad heter skiten. Nyfiken som jag är.

 

Beteendet påminner om Internet Security vilket lyckligtvis var ganska lätt bli kvitt sedan jag googlat på Internet Security remove.

Internet Security gick att ta bort sedan jag startat datorn i felsäkert läge.

[NordicOne]

Om du skall installera om Windows och vill ha en ren hårddisk (obs ej om du har recovery disk eller så får du välja att inte ta bort recovery paritionen) kan du använda Killdisk

 

se Hur använder man Killdisk?

[oktober08]

Har du något namn på det falska programmet, t ex Windows Software Saver?

 

För att rädda viktiga filer kan du pröva med guiden http://www.alltomwindows.se/forum/index.php/topic/21771-raedda-data-med-puppy-linux/

 

 

Hej igen! Jag tror det var något typ System-Check och det fanns en en fiktiv hjälpsida med adressen www.system-check.com om jag minns rätt. Men jag ska kolla igen när jag kommer hem.

[oktober08]

Ja, vad heter skiten. Nyfiken som jag är.

 

Beteendet påminner om Internet Security vilket lyckligtvis var ganska lätt bli kvitt sedan jag googlat på Internet Security remove.

Internet Security gick att ta bort sedan jag startat datorn i felsäkert läge.

 

Hej! Hur gick du till väga när du gick in i felsäkert läge? Jag har för mig att jag provade felsäkert läge, men att det blev samma sak där. Andra tips?

[Cecilia]

Med exakt namn på det falska programmet så går det bättre att ta reda på hur man kan gå vidare, för det behöver ju inte alls installeras på samma sätt som "Internet Security". Dessutom kan dessa falska program förekomma i lite olika varianter, t ex med och utan rootkit.

 

Här är en bild på "System Check": http://www.bleepingcomputer.com/virus-removal/remove-system-check

Såg det ut så?

Du kan pröva med att följa beskrivningen där (om engelska fungerar bra för dig), men även om du lyckas följa beskrivningen och "System Check" verkar vara borta så rekommenderar jag att du kommer hit för en extra koll efteråt eftersom det inte är alltid som deras beskrivning är komplett.

[oktober08]

Med exakt namn på det falska programmet så går det bättre att ta reda på hur man kan gå vidare, för det behöver ju inte alls installeras på samma sätt som "Internet Security". Dessutom kan dessa falska program förekomma i lite olika varianter, t ex med och utan rootkit.

 

Här är en bild på "System Check": http://www.bleepingcomputer.com/virus-removal/remove-system-check

Såg det ut så?

Du kan pröva med att följa beskrivningen där (om engelska fungerar bra för dig), men även om du lyckas följa beskrivningen och "System Check" verkar vara borta så rekommenderar jag att du kommer hit för en extra koll efteråt eftersom det inte är alltid som deras beskrivning är komplett.

 

Hej igen! Ja, det är precis så som bilden ser ut! Jag har läst genom instruktionerna lite snabbt. Eftersom jag har raderat innehållet i tempmapparna strax innan detta hände ser det ut som att det inte går att återställa allt. Sedan läste jag att man skulle använda sig av Run i startmenyn för att köra nått program och rensa, men jag kan ju inte komma åt något i startmenyn!?

 

Lite besvärligt när jag inte har någon extra dator hemma, utan måste åka till en bekant(för att kolla detta forum) och sedan åka hem och försöka! I instruktionerna står det något om att man ska ladda ner ett visst program om man går in i felsäkert läge, men jag kan ju inte komma åt något surfprogram för att ladda ner något? Hmm, hur gör jag då?

 

Jag får skriva ut all info på de där sidorna och läsa genom det hemma. Tack för hjälpen så här lång!

[Cecilia]

Sedan läste jag att man skulle använda sig av Run i startmenyn för att köra nått program och rensa, men jag kan ju inte komma åt något i startmenyn!?

Det är mycket möjligt att du kan det efter att ha startat datorn i "felsäkert läge med nätverk" eftersom färre skadliga program är igång då. Av samma skäl är det möjligt att det går att starta en webbläsare då.

[oktober08]

Jag provade med felsäkert läge med nätverksanslutning, men det finns inga program i startmenyn, inga genvägar på skrivbordet eller på aktivitetsfältet, det är med andra ord helt omöjligt att starta ett program som Firefox!

 

Men sedan provade jag att högerklicka på aktivitetsfältet och valde öppna mapp. Sedan klickade jag mig fram till mappen Program, men där fanns 0 filer, men inom parantes så stod det också ett stort antal för dolda filer. Det är där problemet ligger, program och filer i Mina dokument har gjorts dolda. Men med lite tur hittade jag en java fil, eftersom jag går en kurs i programmering, och högerklickade på den och valde öppna med... och valde sedan Firefox, och vips så kan jag nu komma åt Internet och förhoppningsvis följa instruktionerna. Ett litet framsteg!

[Cecilia]

Det är där problemet ligger, program och filer i Mina dokument har gjorts dolda.

Ställ in så att du kan se alla dolda filer:

Kontrollpanelen - Mappalternativ - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

 

Alternativt kör Unhide som Bleepingcomputer länkar till.

[oktober08]

Hej,

 

Eter att jag har kört Malwarebytes Anti-Malware som hittade TROJAN.AGENT, PUM.HIJACK.STARTMENU, PUM.HIJACK.DESKTOP, PUM.HIJACK.TASKMANAGER MM, har jag fortfarande vissa problem. Malwarebytes ploppar upp meddelande om blockerat försök att ansluta till en extern webbplats med IP: 206.161.121.4, 206.161.121.2 mm. Detta sker väldigt frekvent under surfning och när nya mail öppnas i Thunderbird. Förmodar att detta är ganska allvarligt och att det finns mer elände som måste bort från datorn.

 

Därför har jag också kört ComboFix, men programmet slutför inte sin uppgift utan datorn fryser och allt står stilla kort efter att den ska börja söka genom datorn. Inga program kan startas och muspekaren går inte att flytta. Vad kan detta beror på? Jag har försökt flera gånger, men samma sak varje gång!

 

Har också lagt märke till att när jag klickar på ett sökresultat i Google, så omdirigeras jag efter ett klick till en helt annan webbplats! Tips på vad detta kan vara och åtgärd?

 

Tacksam för fortsatt dialog och hjälp för att återfå min dator! Tack!

[Thirteen]

Fliker in avinstallationsguiden för ComboFix http://www.bleepingc...andas#uninstall , om den behövs.

[Cecilia]

Bra att datorn nu fungerar lite bättre även om det helt klart finns en del kvar.

 

1. Starta MBAM och på fliken Loggar så öppnar du den första loggen efter att datorn blev infekterad. Kopiera den och klistra in innehållet i ditt svar.

 

2. Klistra också in C:\ComboFix.txt om den finns.

 

3. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du helst bifogar Attach.txt som en fil.

 

4. Spara TDSSKiller på Skrivbordet:

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

 

Högerklicka och välj Extrahera alla. Kom ihåg var du packar upp filen.

Stäng av dina vanliga program, men du kan lämna antivirusprogram och liknande igång.

Kör programmet TDSSKiller.exe som finns i mappen där du packade upp filerna.

 

Klicka på Start Scan.

 

Om några hot hittas så välj Cure och klicka på Continue. Om inte Cure finns så välj Skip. Välj INTE Quarantine eller Delete. Eventuellt behöver datorn startas om.

 

Klistra in innehållet i loggen som du hittar i C:\ med namnet TDSSKiller följt av version och tidpunkt.

 

5. Spara aswMBR på skrivbordet: http://public.avast.com/~gmerek/aswMBR.exe

 

Starta om datorn och låt bli att starta några program.

 

Dubbel-klicka på aswMBR.exe för att köra programmet.

Klicka på Scan-knappen för att börja genomsökningen.

När den är klar så spara (Save) loggen på skrivbordet.

Klistra in loggen i ditt svar här.

[Cecilia]

Fliker in avinstallationsguiden för ComboFix http://www.bleepingc...andas#uninstall , om den behövs.

Inget behov att avinstallera ComboFix för tillfället utan det blir när datorn är ren.

[oktober08]

Just nu känns det bara hopplöst! Har försökt sedan tidigt i morse att köra programmen i instruktionerna ovan, men kommer inte så långt! DDS kommer igång och kör en stund, sedan hänger sig datorn och inget händer. Samma resultat vid flera försök. Datorn hänger sig precis som när jag försökte köra ComoFix igår.

 

När det gäller tdskiller.exe och aswmbr.exe, så händer inget överhuvudtaget när jag dubbelklickar på dem! Jag har provat att stänga av Malwarebytes och även Telia Säker Surf medan innan jag provat programmen.

 

I grund och botten är det väl Telia Säker Surf som ställt till allt! Jag har en rätt gammal dator med en processor med enadst en kärna och ska man köra Telia Säker Surf med realtidsövervakning av webbtrafik och deepgard med process övervakning, ja då kan man ju glömma tanken på att köra något annat program! Och trots att jag ställer in att uppdateringar ska göras efter att datorn har varit oanvänd efter 60 minuter, så får jag uppfattningen att den kör sitt eget race och söker och kollar när man försöker jobba med något annat program, vilket då blir omöjligt! Därför har jag varit tvungen att ändra vissa inställningar, vilket också ökat riskerna, men som varit nödvändigt för att kunna använda datorn. Telias F-Secure som det hela bygger på ger jag inte mycket för. Jag funderar på om Microsofts gratis version kan vara ett alternativ istället?

 

Men som jag skrev så känns det väldigt hopplöst just nu. Tips på vad jag kan göra för att komma vidare? Jag begriper inte varför datorn hänger sig som den gör just nu? Är det en försvarsmekanism som utlöses av de skadliga programmen i min dator?

[Cecilia]

Jag begriper inte varför datorn hänger sig som den gör just nu? Är det en försvarsmekanism som utlöses av de skadliga programmen i min dator?

Troligen.

 

Starta datorn i felsäkert läge med nätverk, kör RKill några gånger och försök sedan med att ladda ner på programmen (DDS, aswMBR, TDSSKiller och ComboFix) på nytt och kör dem i felsäkert läge med nätverk.

 

Inget antivirusprogram är särskilt bra på dessa falska program, men F-secure får normalt bättre testresultat än Microsoft Security Essentials.

[oktober08]

Har tyvärr inga framsteg att rapportera! Jag gjorde ett nytt försök i felsäkert läge med RKill först och sedan de andra, men det händer bara samma sak att datorn hänger sig efter en stund. Verkligen trist! Hoppet att få tillbaka min dator känns mindre hoppfullt!

 

Jag har kollat en del på de pågående processerna i aktivitetshanteraren och är lite misstänksam till att det finns flera svchost.exe samt en process som heter alg.exe.

 

Finns det något mer jag kan försöka eller är det bara till att formatera hårddisken och ominstallera XP?

 

Jag kopierade några filer till ett USB-minne igår, och när jag skulle ta bort minnet fick jag ett meddelande om att det användes av en annan person eller program!? Det är väl inte så att det skadliga programmet sprider sig via USB-minnet också?

 

Kan det också vara så att varje gång som jag omdirigeras från google till en annan webbplats, att viruset förnyar sig på det sättet, att något laddas ner? Jag omdirigeras till flera olika sidor i väldigt snabb takt och ibland så kommer jag tillbaka till google. Det är ju detta elände jag vill bli av med samt att det verkar finnas ytterligare skadligt program eftersom Malwarebytes varnas för vissa ipadresser.

 

Tacksam för ytterligare förslag.

[Cecilia]

Starta MBAM och på fliken Loggar så öppnar du den första loggen efter att datorn blev infekterad. Kopiera den och klistra in innehållet i ditt svar så vet jag lite mer om vad som hänt i datorn.

[oktober08]

Hej igen,

 

Här kommer lite info från MBAM:

 

2012-03-28 15:53:37

mbam-log-2012-03-28 (15-53-37).txt

 

Skanningstyp: Snabbskanning

Aktiverade skanningsalternativ: Minne | Start | Register | Filsystem | Heuristik/Extra | Heuristik/Shuriken | PUP | PUM

Inaktiverade skanningsalternativ: P2P

Antal skannade objekt: 189656

Förfluten tid: 8 minut(er), 31 sekund(er)

 

Upptäckta minnesprocesser: 0

(Inga skadliga poster hittades)

 

Upptäckta minnesmoduler: 0

(Inga skadliga poster hittades)

 

Upptäckta registernycklar: 0

(Inga skadliga poster hittades)

 

Upptäckta registervärden: 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|XCMsXSJotCWrp.exe (Trojan.Agent) -> Data: C:\Documents and Settings\All Users\Application Data\XCMsXSJotCWrp.exe -> Sattes i karantän och togs bort.

 

Upptäckta registerdataposter: 9

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Dåligt: (0) Bra: (1) -> Sattes i karantän och reparerades framgångsrikt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Dåligt: (0) Bra: (1) -> Sattes i karantän och reparerades framgångsrikt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Dåligt: (0) Bra: (1) -> Sattes i karantän och reparerades framgångsrikt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Dåligt: (0) Bra: (1) -> Sattes i karantän och reparerades framgångsrikt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Dåligt: (0) Bra: (1) -> Sattes i karantän och reparerades framgångsrikt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Dåligt: (0) Bra: (1) -> Sattes i karantän och reparerades framgångsrikt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Dåligt: (1) Bra: (0) -> Sattes i karantän och reparerades framgångsrikt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Dåligt: (1) Bra: (0) -> Sattes i karantän och reparerades framgångsrikt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Dåligt: (1) Bra: (0) -> Sattes i karantän och reparerades framgångsrikt.

 

Upptäckta mappar: 0

(Inga skadliga poster hittades)

 

Upptäckta filer: 1

C:\Documents and Settings\All Users\Application Data\XCMsXSJotCWrp.exe (Trojan.Agent) -> Sattes i karantän och togs bort.

[Cecilia]

Går det att göra en fullständig skanning med MBAM? Se till att om möjligt uppdatera programmet först. Om något hittas så klistra in den loggen.

 

Har du prövat att använda Unhide? För det återställer även en del registerinställningar som programmen "förstör".

http://www.bleepingcomputer.com/forums/topic405109.html

 

Kolla om det skadliga programmet möjligen har ändrat proxy-inställningen, se punkt 4-7 på sidan http://www.bleepingcomputer.com/virus-removal/remove-windows-basic-antivirus

[oktober08]

Unhide har jag kört tidigare. Jag har också kollat proxyinställningar tidigare idag. Hittade en bra länk med utförlig beskrivning här: http://www.2-viruses.com/how-to-fix-google-results-hijacker-google-redirect-virus-problem samt här: http://www.2-viruses.com/remove-tdss Men tyvärr utan framgång. Jag har tidigare påbörjat fullständig skanning, men avbrutit eftersom det tagit för lång tid. Jag ger det kanske en chans till. Återkommer!

[Cecilia]

www.2-viruses.com är inte en pålitlig webbplats när det gäller rensning av datorer (liksom många andra webbplatser). Det finns många helt olika typer av skadliga program som orsakar omdirigeringar i Google.

[Cecilia]

1.

Spara RougueKiller på Skrivbordet.

http://www.sur-la-toile.com/RogueKiller/

Stäng av alla program.

 

Kör RogueKiller. Om det inte går att köra så pröva med att döpa om programmet till winlogon.

 

Vänta tills "Prescan" har avslutats.

Klicka på "Scan"-knappen uppe till höger.

Vänta tills skanningen är klar.

En rapport ska då ha skapats på Skrivbordet.

 

Om något har hittats så klicka på "Delete"-knappen.

En till rapport ska då ha skapats på Skrivbordet.

 

Klicka på "ShortcutsFix"-knappen.

En till rapport ska då ha skapats på Skrivbordet.

 

Klistra in innehållet i alla "RKreport.txt", som finns på Skrivbordet, i ditt svar.

 

2.

Spara OTL på Skrivbordet. http://oldtimer.geekstogo.com/OTL.exe

Stäng alla program.

Kör OTL (i Vista och Windows 7 högerklicka och Kör som administratör).

Välj "All users".

 

I rutan Custom scan klistra in följande rader (kolla att du verkligen får med alla raderna):

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
consrv.dll
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
/md5stop
C:\Windows\assembly\tmp\U\*.* /s
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%Temp%\smtmp\3\*.*
%Temp%\smtmp\4\*.*
>C:\commands.txt echo list vol /raw /hide /c
/wait
>C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c
/wait
type c:\diskreport.txt /c
/wait
erase c:\commands.txt /hide /c
/wait
erase c:\diskreport.txt /hide /c
CREATERESTOREPOINT

Bocka för LOP Check och Purity Check.

Tryck på Run Quick Scan och låt programmet köra ostört.

 

När det är klart så skapas två loggfiler på Skrivbordet, OTL.txt och Extras.txt. I ditt svar klistrar du in loggen OTL.txt. Medan du bifogar Extras.txt som en fil.

[Cecilia]

Observera att jag har ändrat lite i mitt förra inlägg.