Just nu i M3-nätverket
Gå till innehåll

Nu har det hänt. Malwhare på min egna dator.


svewik

Rekommendera Poster

1.

Adobe Flash Player 17 ActiveX

Adobe Flash Player 17 NPAPI

Java 8 Update 25
Java 8 Update 40

Avinstalleras eftersom det är gamla version med kända säkerhetshål. De flesta behöver inte Java, men om du måste så är det viktigt att alltid ha enbart den senaste versionen.

 

2.

CHR dev: Chrome dev build detected! <======= ATTENTION
Det innebär att du får testversioner avsedda för utvecklare. Dessa testversioner har sänkt säkerhet. Det enda sättet att återgå till att få färdiga stabila versioner av Chrome är att avinstallera det och se till att all information som finns i det tas bort, därefter starta om datorn innan man installerar Chrome på nytt.

 

3.

R2 3733a40e; c:\Program Files (x86)\PatternGenerators\PatternGenerators.dll [1742848 2015-06-25] () [File not signed]
Vet du vad det är för program?

Var det det programmet som drog in reklamprogrammet eller var det något annat program du ville ha?

 

4.

Spara AdwCleaner av Xplode på Skrivbordet: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Scan-knappen.
Vänta tills sökningen är klar.
Klicka på knappen Log file.
En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.
Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner\AdwCleaner[R0].txt

Länk till kommentar
Dela på andra webbplatser

1.

Adobe Flash Player 17 ActiveX

Adobe Flash Player 17 NPAPI

Java 8 Update 25

Java 8 Update 40

Avinstalleras eftersom det är gamla version med kända säkerhetshål. De flesta behöver inte Java, men om du måste så är det viktigt att alltid ha enbart den senaste versionen.

 

2.

CHR dev: Chrome dev build detected! <======= ATTENTION

Det innebär att du får testversioner avsedda för utvecklare. Dessa testversioner har sänkt säkerhet. Det enda sättet att återgå till att få färdiga stabila versioner av Chrome är att avinstallera det och se till att all information som finns i det tas bort, därefter starta om datorn innan man installerar Chrome på nytt.

 

3.

R2 3733a40e; c:\Program Files (x86)\PatternGenerators\PatternGenerators.dll [1742848 2015-06-25] () [File not signed]

Vet du vad det är för program?

Var det det programmet som drog in reklamprogrammet eller var det något annat program du ville ha?

 

4.

Spara AdwCleaner av Xplode på Skrivbordet: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

 

Klicka på Scan-knappen.

Vänta tills sökningen är klar.

Klicka på knappen Log file.

En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.

Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner\AdwCleaner[R0].txt

Hej Cecilia!
 
Jag provade att köra ADWCleaner och låta den ta bort det den hittade. Det löste inte problemet riktigt. Jag tyckte till en början att reklampopparna minskade, men att dom kom tillbaka efter några omstarter. 
Jag kollade då tilläggen i chrome och upptäckte ett par som jag inte kände igen, och tog bort dom. 
Det verkar som att detta löste problemet.
 
Har inte avinstallerat chrome ännu, men jag skall försöka komma ihåg ditt råd om problemen återkommer.
 
Jag känner inte igen PatternGenerator. Jag har däremot sökt efter grafikprogram som kan generera knappar. "buttongenerator". Vet inte om jag fått något den vägen. Det är ganska svårt att undvika att få med skit, när man dessutom inte är så bra på språket.
 
Jag fick mail från facebookteamet som påstod att någon hade lagt beslag på mitt mobilnummer. Att jag skulle säkra mitt facebookkonto genom att klicka på en länk. Eftersom min dotter dagen innan hade utnyttat mitt telefonnummer för att ta emot ngn aktivitetskod av ngt slag, så antog jag att det var ok. När jag klickade fick jag uppmaning om att byta lösenord. Jag gick inte vidare med löstenordsbytet utan avbröt. Mitt facebookkonto accepterade därefter inte mitt gamla lösenord.
 
Jag misstänker altså att detta klick orsakade mina problem.
Jag tror inte jag har registrerat mitt telefonnummer på fejan!! ?
 
Eller, vad tror du? Jag bifogar skärmdump av mailet.

post-57822-0-20453100-1435345366_thumb.png

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerR2.txt

AdwCleanerR3.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

AdwCleanerS3.txt

Länk till kommentar
Dela på andra webbplatser

1. För att veta om det gäller nätfiske måste man kolla IP-adress för avsändaren eftersom det är enkelt att skicka med falsk avsändaradress samt kolla vad det är för länk som någon vill att du klickar på.

 

2. Det är mycket enklare att få in ett skadligt tillägg till Chrome när den är markerad att vara för utvecklare, förutom att testversioner är instabilare.

 

Dessa mappar/filer skapades i stort sett samtidigt för ett drygt dygn sen:

2015-06-25 21:26 - 2015-06-25 21:26 - 00000000 ____D C:\Program Files (x86)\PatternGenerators
2015-06-25 21:25 - 2015-06-25 21:25 - 00000000 ____D C:\Program Files (x86)\Do Share
2015-06-25 21:24 - 2015-06-25 21:25 - 00000000 ____D C:\ProgramData\9856755162197986759
2015-06-25 21:24 - 2015-06-25 21:24 - 00000000 ____D C:\Program Files (x86)\SSpaceiCoupoaNAApip
2015-06-25 21:23 - 2015-06-26 03:52 - 00000352 _____ C:\Windows\Tasks\FitHit.job
2015-06-25 21:23 - 2015-06-25 21:23 - 00003262 _____ C:\Windows\System32\Tasks\FitHit
2015-06-25 21:23 - 2015-06-25 21:23 - 00000000 ____D C:\ProgramData\{e5c5f37e-4891-c3e7-e5c5-5f37e489cdf9}
SSpaceiCoupoaNAApip är ju definitivt något som inte ska finnas i datorn.

 

 

3. Starta FRST.

Bocka för Addition.txt.

Skanna med FRST och bifoga sen de två nya loggarna så får vi se om det finns något i dem som ska bort.

 

 

4. Skanna datorn online på http://www.eset.com/onlinescan/ och använd helst Internet Explorer till det.
För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

Välj alternativet Enable detection of potentially unwanted applications.

Klicka på Advanced Settings.
Ta bort bocken framför Remove found threats.
Bocka för:
Scan Archives
Scan for potentially unsafe applications
Enable Anti-Stealth Technology

Klicka på Start

När skanningen är klar klicka på List of found threats, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

Länk till kommentar
Dela på andra webbplatser

1. För att veta om det gäller nätfiske måste man kolla IP-adress för avsändaren eftersom det är enkelt att skicka med falsk avsändaradress samt kolla vad det är för länk som någon vill att du klickar på.

 

2. Det är mycket enklare att få in ett skadligt tillägg till Chrome när den är markerad att vara för utvecklare, förutom att testversioner är instabilare.

 

Dessa mappar/filer skapades i stort sett samtidigt för ett drygt dygn sen:

2015-06-25 21:26 - 2015-06-25 21:26 - 00000000 ____D C:\Program Files (x86)\PatternGenerators

2015-06-25 21:25 - 2015-06-25 21:25 - 00000000 ____D C:\Program Files (x86)\Do Share

2015-06-25 21:24 - 2015-06-25 21:25 - 00000000 ____D C:\ProgramData\9856755162197986759

2015-06-25 21:24 - 2015-06-25 21:24 - 00000000 ____D C:\Program Files (x86)\SSpaceiCoupoaNAApip

2015-06-25 21:23 - 2015-06-26 03:52 - 00000352 _____ C:\Windows\Tasks\FitHit.job

2015-06-25 21:23 - 2015-06-25 21:23 - 00003262 _____ C:\Windows\System32\Tasks\FitHit

2015-06-25 21:23 - 2015-06-25 21:23 - 00000000 ____D C:\ProgramData\{e5c5f37e-4891-c3e7-e5c5-5f37e489cdf9}

SSpaceiCoupoaNAApip är ju definitivt något som inte ska finnas i datorn.

 

 

3. Starta FRST.

Bocka för Addition.txt.

Skanna med FRST och bifoga sen de två nya loggarna så får vi se om det finns något i dem som ska bort.

 

 

4. Skanna datorn online på http://www.eset.com/onlinescan/ och använd helst Internet Explorer till det.

För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

 

Välj alternativet Enable detection of potentially unwanted applications.

 

Klicka på Advanced Settings.

Ta bort bocken framför Remove found threats.

Bocka för:

Scan Archives

Scan for potentially unsafe applications

Enable Anti-Stealth Technology

 

Klicka på Start

 

När skanningen är klar klicka på List of found threats, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

1. Det förstår jag. Men hur kontrollerar man ip-adressen, och hur vet man Fb:s ipadress?

 

2. Det verkar då som om alla dessa är inget att ha. Har kontrollerat och har hittat åtminstone "Do Share". Kan man lägga in dessa rader så att FRST "fixar" dem?

 

3. kommer här

 

4. Jag har för mig att den tar tiiiiiiiid. Så jag planerar den efter ditt svar!

FRST.txt

Addition.txt

Länk till kommentar
Dela på andra webbplatser

1. Man kan kolla i meddelandets huvud eller källkod vad det står för något. Hur man gör beror på vilket e-postprogram eller vilken webmejl man använder. När man googlar på en IP-adress brukar man få upp sidor som listar känd information om IP-adressen.

 

2. Ja, men det är ju enklare att ta det ihop med det som Esets skanner hittar än att dela upp FRST-fixen i två delar.

Länk till kommentar
Dela på andra webbplatser

Fast av de 22 ligger en del i papperskorgen och en del i AdwCleaners karantän.

 

1.

sh=B260A833098DD563120C35C45AFAB78FE11EFD6C ft=1 fh=d4a16a242329ee07 vn="a variant of Win32/HackTool.Crack.CS potentially unsafe application" ac=I fn="C:\Program Files (x86)\Relic Entertainment\Company of Heroes - Complete Edition\steam_api.dll"

Att hålla på med crackade program är alltid riskfyllt.

 

sh=E5052BE092CEF7850106D73C6486C5CCCA5EA034 ft=1 fh=880217480c539429 vn="a variant of Win32/Adware.MultiPlug.MK application" ac=I fn="E:\_Data\SvensDok\Dwnlds\NCAAF Armed Forces Bowl 02 01 2015 Houston Cougars vs Pittsburgh Panthers mkv.exe"

Det programmet kommer att försöka installera reklamprogram. Du får själv avgöra om du vill ha kvar filen.

 

2. Kontrollera i Firefox tillägg/insticksprogram om du inte kan minska ner antalet installerade versioner av BankID och VLC.

 

3. Nedanstående skript kommer bland annat att tömma papperskorgen och mapparna för tillfälliga filer, så kontrollera att där inte finns något som du vill ha kvar.

 

Starta programmet Anteckningar.

Kopiera alla rader i rutan:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4056374309-1461511514-2453622186-1001\...\Run: [AdobeBridge] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-4056374309-1461511514-2453622186-1007 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Plugin: @microsoft.com/GENUINE -> disabled No File
CHR Extension: (Speed Dial [FVD] - New Tab Page, 3D, Sync...) - C:\Users\Sven\AppData\Local\Google\Chrome\User Data\Default\Extensions\llaficoajjainaijghjlofdfmbjpebpa [2015-06-16]
CHR HKLM\...\Chrome\Extension: [ipmeajfmcoafocgllabadecddnaabakj] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cnjfgbikbkcmickdalamlmpmkhmbollm] - No Path Or update_url value
CHR HKLM-x32\...\Chrome\Extension: [ipmeajfmcoafocgllabadecddnaabakj] - https://clients2.google.com/service/update2/crx
2015-06-25 21:23 - 2015-06-27 09:23 - 00000352 _____ C:\Windows\Tasks\FitHit.job
2015-06-25 21:23 - 2015-06-25 21:23 - 00003262 _____ C:\Windows\System32\Tasks\FitHit
2015-06-16 08:00 - 2015-06-27 08:00 - 00000466 _____ C:\Windows\Tasks\Bidaily Synchronize Task[973b].job
2015-06-16 08:00 - 2015-06-16 08:00 - 00003376 _____ C:\Windows\System32\Tasks\Bidaily Synchronize Task[973b]
Task: {B184994F-9B4F-4EC6-9066-DE7FA9EC3B86} - System32\Tasks\Bidaily Synchronize Task[973b] => c:\programdata\{3e3b3f52-c762-6ca2-3e3b-b3f52c76fd4b}\ncaaf armed forces bowl 02 01 2015 houston cougars vs pittsburgh panthers mkv.exe <==== ATTENTION
Task: {DA60EE8B-DEA8-4802-A7C4-E206605987BC} - System32\Tasks\FitHit => c:\programdata\{e5c5f37e-4891-c3e7-e5c5-5f37e489cdf9}\5324701516616291349b.exe <==== ATTENTION
Task: C:\Windows\Tasks\Bidaily Synchronize Task[973b].job => c:\programdata\{3e3b3f52-c762-6ca2-3e3b-b3f52c76fd4b}\ncaaf armed forces bowl 02 01 2015 houston cougars vs pittsburgh panthers mkv.exe <==== ATTENTION
Task: C:\Windows\Tasks\FitHit.job => c:\programdata\{e5c5f37e-4891-c3e7-e5c5-5f37e489cdf9}\5324701516616291349b.exe <==== ATTENTION
EmptyTemp:
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Stäng av alla program.

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Om datorn inte startas om automatiskt så gör det själv.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

Länk till kommentar
Dela på andra webbplatser

1. Company of Heroes hämtade jag hem för några månader sedan och har hittills inte gett några problem, så jag tar risken.

Däremot litar jag inte på fobollsfilmen "NCAAF Armed Forces Bowl ". Den hittade jag med "Kickass torrents" vilken jag inte behärskar. Och jag har för mig att den länkade till ett ställe jag inte borde vart på.

 

2. Firefox är inte installerad. Foxit reader däremot. Men den kan väl inte ha VLC elle BankID?

Fixlog.txt

Länk till kommentar
Dela på andra webbplatser

1. Ta då bort filen NCAAF ...

 

2. Okej, alla inställningar för Firefox finns kvar. Om du inte tänkt att installera Firefox igen och då vill ha kvar tidigare inställningar kan du ta bort mappen C:\Användare\Sven\AppData\Roaming\Mozilla\Firefox\.

 

3. Hur fungerar datorn nu?

Några fler frågor innan jag skriver hur AdwCleaner och FRST ska avinstalleras?

Länk till kommentar
Dela på andra webbplatser

Tack , dessa är borta nu.

 

Jag kan inte se någon reklam nu. Men jag tappade tillägget "Fvd Speed Dial" till Chrome. Det konstiga är att den går inte att lägga till igen. Varför?

Länk till kommentar
Dela på andra webbplatser

På vilket sätt går det inte att lägga till tillägget, finns det inte i Chrome Web Store eller får du något felmeddelande?

 

 

 

1. Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.
Klicka på Uninstall-knappen.

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet: http://oldtimer.geekstogo.com/OTC.exe
Dubbelklicka på filen för att starta programmet.
Tryck på knappen CleanUp! och FRST kommer att avinstalleras efter en omstart av datorn. Ta bort eventuella loggar.

3. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://ceciliasec.wordpress.com/rad/
Det är mycket viktigt att hålla alla småprogram i datorn uppdaterade, gamla versioner av t ex Flash, Java och Adobe Reader innehåller kända säkerhetshål, vilka kan användas av en webbsida för att infektera datorn. Jag tycker att Secunias program (länk på min webbsida) är en bra hjälp för att kontrollera hur det står till med säkerhetshål i datorn och ange vad som behöver åtgärdas.

Länk till kommentar
Dela på andra webbplatser

På vilket sätt går det inte att lägga till tillägget, finns det inte i Chrome Web Store eller får du något felmeddelande?

Ok. jag var kanske lite otydlig där.

Till en början, efter FRSTfixen, Fanns tillägget kvar, som aktivt, men ikonen i chrome-huvudet var gråad och såg ut som grå pusselbitar. Tror att jag såg något om nätfel. Det gick att ta bort med att klicka på soptunnan.

Jag hittar tillägget i Google Web Store, men  när man klickar installera får man felmeddelande om nätverksfel.

 

Hur gör jag med att ominstallera chrome för att få bort alla inställningar så jag kan börja om från början.

Länk till kommentar
Dela på andra webbplatser

Mycket mindre påverkan nu för denna gång finns det inga nya konstiga mappar i Windows och inget annat heller. Har du ändrat själv i Chrome för jag ser inget konstigt/olämpligt/dåligt i loggen alls?

Länk till kommentar
Dela på andra webbplatser

Nej. Jag har försökt få tillbaka tillägget Fvd Speed dial, få jag tyckte att det var en sådan funktion jag behövde för att komma tillbaka till de fåtal siter som jag besöker ofta. Lyckades emellertid inte. Sånu har jag avinstallerat den.

Jag har ingen otillåten reklam i IE.

Länk till kommentar
Dela på andra webbplatser

Ominstallerat Chrome, och nu verkar det fungera bättre. Tillägget FVD Speed dial installerades också. Verkar som om någonting kommer in när jag loggar in och synkar Chrome. Det skall jag alltså inte göra.

Länk till kommentar
Dela på andra webbplatser

Bra!

 

Om du söker i Googles hjälpsidor för Chrome kanske det går att hitta något tips som gäller att rensa den sparade synkroniseringsinformationen.

Länk till kommentar
Dela på andra webbplatser

Om det funkar nu, så tycker jag inte att den saken inte är viktig. Den stora vinsten är kanske om man har flera datorer som man vill synka. Jag har inte det.

 

Tack Cecilia, än en gång. Din hjälp är ovärderlig!

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...