Security Tool

[daggen]

Hej,

min flickvän har fått ett virus (tror jag) på sin dator som heter security tool. Det scannar datorn, det poppar upp fönster hela tiden om att programmet hittat virus, trojaner och spyware + att alla ikoner är borta.

Någon som kan hjälpa?

Mvh

Thomas

[Laston]

Hej!Fungerar engelska för dig?

I så fall följ anvisningarna på

http://www.bleepingcomputer.com/virus-removal/remove-security-tool

 

 

Annars så kommer en här en översättning men titta gärna på bilderna i den engelska guiden samtidigt.

Läs igenom noga och fråga om det är något som känns oklart.

Det är bra om du kan skriva ut det här också, åtminstone från punkt 11 då du måste stänga av webbläsaren.

 

3. I Internet Explorer välj Internet-alternativ i Verktygsmenyn.

4. Välj fliken Anslutningar

5. Tryck på LAN-inställningar

6. Ta bort bocken före "Använd en proxyserver".Tryck på OK.

 

7. Spara RKill av Grinler på Skrivbordet. Ladda ner det från den första av dessa länkar:

http://download.bleepingcomputer.com/grinler/rkill.com

http://download.bleepingcomputer.com/grinler/rkill.pif

http://download.bleepingcomputer.com/grinler/rkill.scr

http://download.bleepingcomputer.com/grinler/rkill.exe

 

Om du inte kan ladda ner RKill så upprepa punkt 3-6 och det kan behöva göras flera gånger innan det fastnar. Om du inte lyckas efter 5 försök så säg till.

 

8. Starta Rkill (i Vista och Windows 7 genom att högerklicka på filen och välj Kör som administratör om det valet finns).

Det blir ett svart fönster/ruta en stund om programmet lyckades köra.

Om det inte blev något svart så ta bort den RKill-varianten och upprepa med nästa RKill.

 

Om du får ett meddelande om att RKill är skadligt så bry dig inte om det. Det är det skadliga programmen som inte vill bli stoppat. Lämna kvar varningen på skärmen och kör RKill en gång till.

 

Kör RKill flera gånger efter varandra tills du inte ser till det skadliga programmet längre, dock max 10 gånger. Fortsätt med resten sedan.

 

Om inte någon av program-varianterna kan köra så berätta det.

 

9.Spara MBAM på nytt från en av dessa länkar

http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe

http://www.malwarebytes.org/mbam-download.php

Spara filen på Skrivbordet.

 

10. Högerklicka på den nedladdade filen mbam-setup och väj "Byt namn". Byt namn till explorer.exe.

 

11. Stäng av alla program du ser inklusive Internet Explorer.

 

12. Dubbelklicka på ikonen som är installationsfilen för MBAM och som du bytte namn på. Installationen av MBAM börjar.

 

13. Ändra inte standardinställningarna under installationen. Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

 

Om det kommer upp något om att du ska starta om datorn så gör INTE det.

 

Om det blir ett felmeddelande som ser ut som bilden under punkt 13 i den engelska guiden så tryck bara på OK.

 

14. Spara denna fil:

http://mbam.malwarebytes.org/program/random.php

Välj att spara den i mappen:

C:\program\Malwarebytes' Anti-Malware

Ändra inte det föreslagna filnamnet! Men skriv ner det.

 

15. Öppna mappen "C:\program\Malwarebytes' Anti-Malware" och leta reda på det filnamn som du skrev ner i punkt 14. MBAM startar nu.

 

16. Välj fliken Uppdatera och där trycker du på knappen för att uppdatera. När det kommer upp ett meddelande så tryck på OK.

 

17. Välj fliken Skanna (eller något liknande ord). Välj "Utför fullständig skanning" och därefter trycker du på Skanna.

 

18. MBAM kommer att söka igenom datorn. Beroende på hur mycket filer du har så kan det ta några timmar. Lämna datorn ifred under tiden.

 

19. När skanningen är klar så kommer det upp ett meddelande och då trycker du på OK.

 

20. Tryck på "Visa resultat".

 

21. Allt som MBAM hittade visas. Se till att alla hittade filer är förbockade. Tryck på knappen "Ta bort markerade". Om det kommer upp ett meddelande om att datorn ska startas om så låt datorn göra det.

 

22. När MBAM har tagit bort allt så kommer det upp en logg i Anteckningar. Kopiera loggen och klistra in i ditt svar här.

 

23. Avsluta MBAM.

[Cecilia]

Tyvärr, så är inte Lastons översättning helt korrekt så följ den engelska texten och säg till om det är något du, daggen, inte förstår.

[daggen]

Okej, hennes virusprogram nod32 varnade för för virus och tog bort security tool... tror jag... för nu dyker det inte upp längre. hur vet man om viruset är borta?

[Laston]

Ok då borde Malwarebytes gå att skanna med på normalt sätt och ge dig en uppfattning om datorn nu är ren!

 

Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

 

Dubbelklicka på mbam-setup för att installera programmet.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar

 

Mvh Laston

[daggen]

okej här kommer logfilen:

 

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1902

Windows 5.1.2600 Service Pack 3

 

2010-02-13 12:13:58

mbam-log-2010-02-13 (12-13-58).txt

 

Skanningstyp: Fullständig skanning (C:\|D:\|)

Antal skannade objekt: 146037

Förfluten tid: 44 minute(s), 43 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 1

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\bmf.exe (Trojan.Agent) -> Quarantined and deleted successfully.[/log]

[Laston]

Du har en gammal Databas så uppdatera och skanna igen(räcker med snabb scan)

Databasversion: 1902,skall vara 3732

[daggen]

aha okej, har uppdaterat nu! här är loggen:

 

[log]Malwarebytes' Anti-Malware 1.44

Databasversion: 3510

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-02-13 13:10:08

mbam-log-2010-02-13 (13-10-08).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 106726

Förfluten tid: 5 minute(s), 37 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 1

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 2

Infekterade filer: 3

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\fias4051 (Malware.Trace) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

D:\Documents and Settings\All Users\Application Data\58631629 (Rogue.Multiple) -> Quarantined and deleted successfully.

D:\Documents and Settings\All Users\Application Data\99529135 (Rogue.Multiple) -> Quarantined and deleted successfully.

 

Infekterade filer:

D:\WINDOWS\system32\merisemo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

D:\WINDOWS\system32\watusero.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

D:\Documents and Settings\Stephanie\Start-meny\Program\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

[/log]

[Laston]

Hmm ok fortfarande en bit kvar Databasversion: 3510,skall fortfarande uppdateras till 3733 istället(undrar varför du inte får aktuell databas när du uppdaterar)Åtgärda detta och skanna igen med Malwarebytes

 

Mvh Laston

[daggen]

Okej nu ska vara rätt hoppas jag

 

[log]Malwarebytes' Anti-Malware 1.44

Databasversion: 3733

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-02-13 19:24:24

mbam-log-2010-02-13 (19-24-24).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 112515

Förfluten tid: 6 minute(s), 56 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[/log]

[Laston]

Hej! Ok nu har du den senaste versionen och den loggan är dessutom ren o fin,så om datorn verkar ok nu så kan du ta bort alla återställningspunkter så att skräpet inte kommer tillbaka annars får vi kolla vidare om det fortfarande krånglar!

 

C:\System Volume Information\_restore är stället där systemåterställningsfunktionen lagrar olika systemåterställningspunkter. Det betyder att medan din dator var infekterad så skapade Windows en systemåterställningspunkt. Så länge som de skadliga filerna ligger i den mappen så är de ofarliga. Däremot så om du återställer till en tidpunkt då datorn var infekterad så blir även de skadliga filerna återställda.

 

Du kan ta bort samtliga systemåterställningspunkter genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.

Systemåterställningsfunktionen slår man av och på här:

Högerklick på Den här datorn - Egenskaper - Systemåterställning

 

Mvh Laston

[daggen]

Okej ska fixa det också!

Tack så mycket för hjälpen!

[Laston]

Varsegod och tack för alla poängen