Hur får man bort Malware Defence?

[karl1]

Hej!

Jag har en bärbar Dell med XP och sen ett par veckor fått in Malware Defence i min dator som har förändrat mycket i min dator. Sen dess kan jag inte köra defragmentering, scandisk, windows defender, spybot och mycket andra konstigheter. När jag försöker installera AVG så får jag meddelandet som i bilden som jag bifogar. Jag har läst lite tips här men inet har hjälpt.

Tacksam för all hjälp

Dok1.doc

[Cecilia]

Eftersom jag inte vet vad du har prövat så kommer här mitt standardrecept för Malware Defense. Du får berätta om det inte fungerar.

 

Fungerar engelska för dig?

I så fall följ anvisningarna på

http://www.bleepingcomputer.com/virus-removal/remove-malware-defense

 

Notera att dessa anvisningar oftast inte räcker för att få datorn ren utan du behöver återkomma med ett svar för fortsatt rensning.

 

Annars så kommer en här en översättning men titta gärna på bilderna i den engelska guiden samtidigt.

Läs igenom noga och fråga om det är något som känns oklart.

Det är bra om du kan skriva ut det här också, åtminstone från punkt 11 då du måste stänga av webbläsaren.

 

3. I Internet Explorer välj Internet-alternativ i Verktygsmenyn.

4. Välj fliken Anslutningar

5. Tryck på LAN-inställningar

6. Ta bort bocken före "Använd en proxyserver".

Tryck på OK.

 

7. Spara RKill av Grinler på Skrivbordet. Ladda ner det från den första av dessa länkar:

http://download.bleepingcomputer.com/grinler/rkill.com

http://download.bleepingcomputer.com/grinler/rkill.pif

http://download.bleepingcomputer.com/grinler/rkill.scr

http://download.bleepingcomputer.com/grinler/rkill.exe

 

Om du inte kan ladda ner RKill så upprepa punkt 3-6 och det kan behöva göras flera gånger innan det fastnar. Om du inte lyckas efter 5 försök så säg till.

 

8. Starta Rkill (i Vista och Windows 7 genom att högerklicka på filen och välj Kör som administratör om det valet finns).

Det blir ett svart fönster/ruta en stund om programmet lyckades köra.

Om det inte blev något svart fönster/ruta så ta bort den RKill-varianten och upprepa med nästa RKill.

 

Om du får ett meddelande om att RKill är skadligt så bry dig inte om det. Det är det skadliga programmen som inte vill bli stoppat. Lämna kvar varningen på skärmen och kör RKill en gång till.

 

Kör RKill flera gånger efter varandra tills du inte ser till det skadliga programmet längre, dock max 10 gånger. Fortsätt med resten sedan.

 

Om inte någon av program-varianterna kan köra så berätta det.

 

9.Spara MBAM på nytt från en av dessa länkar

http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe

http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button

Spara filen på Skrivbordet.

 

10. Högerklicka på den nedladdade filen mbam-setup och väj "Byt namn". Byt namn till explorer.exe.

11. Stäng av alla program du ser inklusive Internet Explorer.

 

12. Dubbelklicka på ikonen som är installationsfilen för MBAM och som du bytte namn på. Installationen av MBAM börjar.

 

13. Ändra inte standardinställningarna under installationen. Se till i slutet av installationen att det INTE är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

 

Om det kommer upp något om att du ska starta om datorn så gör INTE det.

 

Om det blir ett felmeddelande som ser ut som bilden under punkt 13 i den engelska guiden så tryck bara på OK.

 

14. Spara denna fil:

http://mbam.malwarebytes.org/program/random.php

Välj att spara den i mappen:

C:\program\Malwarebytes' Anti-Malware

Ändra inte det föreslagna filnamnet! Men skriv ner det.

 

15. Öppna mappen "C:\program\Malwarebytes' Anti-Malware" och leta reda på det filnamn som du skrev ner i punkt 14 och dubbelklicka på den. MBAM startar nu.

 

16. Välj fliken Uppdatera och där trycker du på knappen för att uppdatera. När det kommer upp ett meddelande så tryck på OK.

 

17. Välj fliken Skanna (eller något liknande ord). Välj "Utför fullständig skanning" och därefter trycker du på Skanna.

 

18. MBAM kommer att söka igenom datorn. Beroende på hur mycket filer du har så kan det ta några timmar. Lämna datorn ifred under tiden.

 

19. När skanningen är klar så kommer det upp ett meddelande och då trycker du på OK.

 

20. Tryck på "Visa resultat".

 

21. Allt som MBAM hittade visas. Se till att alla hittade filer är förbockade. Tryck på knappen "Ta bort markerade". Om det kommer upp ett meddelande om att datorn ska startas om så låt datorn göra det.

 

22. När MBAM har tagit bort allt så kommer det upp en logg i Anteckningar. Kopiera loggen och klistra in i ditt svar här.

 

23. Avsluta MBAM.

[karl1]

Tack för snabbt svar!

Jag kan tyvärr inte öppna några av länkerna varken direkt eller när jag ska öppna i en ny sida.

[Cecilia]

Menar du att du inte kan högerklicka på någon av RKill-länkarna, välja spara och få ner filen fast du har gjort punkt 3-6 fem gånger?

Går följande?

Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Men du ska bifoga Attach.txt (använd full redigerare).

[karl1]

Nej! Jag menar att länkerna inte öppnas när jag trycker för att öppna och ladda ner. När jag klickar så öppnas en ny explorer sida och får meddelandet "Internet Explorer cannot display the webpage"

 

 

 

Menar du att du inte kan högerklicka på någon av RKill-länkarna, välja spara och få ner filen fast du har gjort punkt 3-6 fem gånger?

Går följande?

Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Men du ska bifoga Attach.txt (använd full redigerare).

[karl1]

Jag lyckades ladda ner filen i punkt 14 och starta den så fick jag error meddeladet

( Error Code: 707(3,0))

 

Jag kan säga också att jag har kört rkill filen några gångar och det har delvis gett resultat att kunna köra något skyddsprogram som Malwarebytes men har rikill filen bara fastnad när jag har försökt köra den igen.

 

 

Nej! Jag menar att länkerna inte öppnas när jag trycker för att öppna och ladda ner. När jag klickar så öppnas en ny explorer sida och får meddelandet "Internet Explorer cannot display the webpage"

[Cecilia]

Nästan alla länkar är direkt till programfiler. Det bästa sättet är att högerklicka på dem och välja "Spara mål som".

 

Har du kunnat köra MBAM? Fick du fram någon logg?

 

Ta bort den RKill du har och börja om med anvisningarna.

 

Om det inte lyckas så kör DDS så som jag skrev förut.

[karl1]

Hej igen!

Jag hämtade rkill filen från mitt USB och Malwarebyten från google, följde hela din instruktion och funkade hela vägen. Hittade några skadliga filer som tog bort sen enligt logfilen nedan (tre omgångar).

Malwarebytes' Anti-Malware 1.44

Databasversion: 3697

Windows 5.1.2600 Service Pack 3 (Safe Mode)

Internet Explorer 8.0.6001.18702

 

2010-02-06 15:06:13

mbam-log-2010-02-06 (15-06-01).txt

 

Skanningstyp: Fullständig skanning (C:\|E:\|)

Antal skannade objekt: 243069

Förfluten tid: 59 minute(s), 27 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 1

Infekterade registernycklar: 1

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 3

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

\\?\globalroot\systemroot\SYSTEM32\H8SRTqwhxiqoiel.dll (Trojan.TDSS) -> No action taken.

 

Infekterade registernycklar:

HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

\\?\globalroot\systemroot\SYSTEM32\H8SRTqwhxiqoiel.dll (Trojan.TDSS) -> No action taken.

C:\Documents and Settings\All Users\Application Data\sysReserve.ini (Malware.Trace) -> No action taken.

C:\Documents and Settings\All Users\Application Data\h8srtkrl32mainweq.dll (Rootkit.Trace) -> No action taken.

 

 

Malwarebytes' Anti-Malware 1.44

Databasversion: 3697

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-02-06 16:42:03

mbam-log-2010-02-06 (16-41-12).txt

 

Skanningstyp: Fullständig skanning (C:\|E:\|)

Antal skannade objekt: 245668

Förfluten tid: 1 hour(s), 29 minute(s), 52 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 1

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\Documents and Settings\All Users\Application Data\h8srtkrl32mainweq.dll (Rootkit.Trace) -> No action taken.

 

Malwarebytes' Anti-Malware 1.44

Databasversion: 3697

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-02-06 21:14:19

mbam-log-2010-02-06 (21-14-14).txt

 

Skanningstyp: Fullständig skanning (C:\|E:\|)

Antal skannade objekt: 245341

Förfluten tid: 1 hour(s), 7 minute(s), 14 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 1

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 1

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\Documents and Settings\All Users\Application Data\h8srtkrl32mainweq.dll (Rootkit.Trace) -> No action taken.

 

 

 

 

Nästan alla länkar är direkt till programfiler. Det bästa sättet är att högerklicka på dem och välja "Spara mål som".

 

Har du kunnat köra MBAM? Fick du fram någon logg?

 

Ta bort den RKill du har och börja om med anvisningarna.

 

Om det inte lyckas så kör DDS så som jag skrev förut.

[karl1]

Jag har fått igång även SpyBot programmet med hjälp av lite tips från leverantören som jag kan dela med mig om det är OK?. Sen laddade jag ner AVG och installerade men den visade samma meddelande om att det fanns Malware Defence i datorn fortfarande. Jag märker ändå lite förbättring men datorn hänger sig och fastnar än.

 

MYCKET MYCKET TACK FÖR ALL HJÄLP OCH ENGAGEMANG

kampen fortsätter troligen ett tag till

[Cecilia]

Det står No action taken på allt som MBAM hittade, men jag antar att du har låtit MBAM ta bort det den hittade. Eftersom det är en fil som inte går bort så behövs ComboFix. Om du lugnar dig så ska du få anvisningar om hur du får bort Malware Defense så att inte installationen av AVG ger några felmeddelanden eller problem. Det är inte lämpligt att installera AVG, eller något annat antivirusprogram, än.

 

Spara ComboFix på Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

I ditt svar klistrar du in ComboFix-loggen .

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

[karl1]

Hej igen!

Det går inte att starta ComboFix i min dator varken vid normalstart eller felsäkertläge.

Det står No action taken på allt som MBAM hittade, men jag antar att du har låtit MBAM ta bort det den hittade. Eftersom det är en fil som inte går bort så behövs ComboFix. Om du lugnar dig så ska du få anvisningar om hur du får bort Malware Defense så att inte installationen av AVG ger några felmeddelanden eller problem. Det är inte lämpligt att installera AVG, eller något annat antivirusprogram, än.

 

Spara ComboFix på Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

I ditt svar klistrar du in ComboFix-loggen .

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

[karl1]

nu byte jag på filen och fick i gång den (ComboFix)

Det står No action taken på allt som MBAM hittade, men jag antar att du har låtit MBAM ta bort det den hittade. Eftersom det är en fil som inte går bort så behövs ComboFix. Om du lugnar dig så ska du få anvisningar om hur du får bort Malware Defense så att inte installationen av AVG ger några felmeddelanden eller problem. Det är inte lämpligt att installera AVG, eller något annat antivirusprogram, än.

 

Spara ComboFix på Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

I ditt svar klistrar du in ComboFix-loggen .

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

[Cecilia]

Okej, fick du ut någon logg?

[karl1]

hej igen!

jag fick rapporten o startae om någragångar. Den körde även en scandisk emellan också som jag tolkar som en positiv signal. Och nu har startat igen allt ser bra ut och kollade direkt om jag kunde körs scandisk och defragmentering och det gick att köra båda. Än så länge är allt frid och fröjd.

 

Tusentusen tack för ditt enorma tålamod och ditt pedagogiska upplägg.

 

C:\WINDOWS\system32\drivers\H8SRTtkosewqxmo.sys

C:\WINDOWS\system32\H8SRTbwulqbuypd.dll

C:\WINDOWS\system32\H8SRTudupxwwrtu.dat

C:\WINDOWS\system32\H8SRTiquyqlrdkc.dll

C:\WINDOWS\system32\H8SRTamjdasybgi.dll

C:\WINDOWS\system32\H8SRTqwhxiqoiel.dll

 

 

quote name='karl1' date='07 Feb 2010, 13:35' timestamp='1265546104' post='1078433']

nu byte jag på filen och fick i gång den (ComboFix)

[Cecilia]

Jag rekommenderar att du klistrar in hela loggen från ComboFix för en kontroll. Den bör finnas som C:\ComboFix.txt. Om du inte hittar loggen så kör ComboFix en gång till.