Virus blockerar internet

[Rastrask]

Hej! Jag har mycket begränsad datorkunskap så om ni kan hjälpa mig så får ni gärna hålla det enkelt.

 

Jag tror att jag har fått virus på datorn för oavsett webbläsare så kommer jag till startsidan med Google men så fort jag söker så skickas jag till Yahoo och massa popup-fönster och nu står det att webbsidan inte kan nås. När jag skannar med gratisversioner av avast och adaware så kommer det ibland upp trojaner som jag tar bort (tror jag). Det ena programmet säger även att alla filer i ”hämtade filer” är skräp som skall slängas.

 

jag läste här på forumet men eftersom jag inte har internet så kan jag inte ladda ner något program som skapar en scanlogg.

 

jag tror även att viruset kan ha försökt ”gömma” kontrollpanelen för jag måste gå via kortkommando. 

 

Tar tacksamt emot den hjälp jag kan få. 

[Cecilia]

Se om du kan starta datorn i felsäkert läge med nätverk och då ladda ner FRST. Annars kanske du kan be en kompis ladda ner FRST och spara på ett USB-minne som hen ger dig, eller om du kan göra det på t ex bibliotekets dator. För utan att veta exakt hur det ser ut i din dator är det risk för att man ger dig råd som förstör mer i stället för att förbättra det hela.

 

Felsäkert läge med nätverk:

Windows 10: https://support.microsoft.com/sv-se/help/12376/windows-10-start-your-pc-in-safe-mode

Windows 7 och 8: https://www.enkelteknik.se/sa-startar-du-windows-7-och-8-i-felsakert-lage

[Rastrask]

Tack för tipset! Nu har jag gjort en scan men min kunnighet sträckte sig ungefär så långt. Vad det står i filerna förstår jag ingenting av. Om du vill ta dig tid så skulle jag uppskatta det mycket!

FRST.txt

Addition.txt

BOOTEX.LOG

[Cecilia]

1. När började dina problem?

För det verkar inte ha hänt så mycket i datorn under senaste månaden förutom att Avast uppdaterades 5 januari och Flash den 7:e.

 

2. Det kan uppstå problem när man har två antivirusprogram installerade eftersom deras drivrutiner kan krocka med varandra. Jag rekommenderar att du bestämmer dig för antingen Avast eller adaware antivirus. Berätta vilket du vill avinstallera så länkar jag dig till rätt borttagningsprogram.

 

3. Var datorn drabbad av ransomware (kryptering som krävde betalt för upplåsning av filerna) i november?

Citat

2018-11-19 19:38 - 2018-11-19 19:38 - 000008562 _____ () C:\Program Files\JIHGUH-DECRYPT.txt

Hur löste du det problemet?

 

4. Starta programmet Anteckningar.
Kopiera alla rader i rutan:

CreateRestorePoint:
CloseProcesses:
Tcpip\..\Interfaces\{9bb770ec-a591-44cb-b09e-c9e6d0d61cf6}: [NameServer] 54.146.133.175,35.168.80.252
Tcpip\..\Interfaces\{dcc0cfad-428b-4f6e-b1f3-d793f405ec38}: [NameServer] 54.146.133.175,35.168.80.252
Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\siteadvisor\mcieplg.dll No File
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\siteadvisor\mcieplg.dll No File
S2 0039751540827471mcinstcleanup; C:\WINDOWS\TEMP\003975~1.EXE -cleanup -nolog [X]
U3 aswbdisk; no ImagePath
Virustotal: C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh int ip reset c:\resetlog.txt
CMD: ipconfig /release
CMD: ipconfig /renew
Reboot:

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader. Det ska vara 15 rader.
Spara filen på skrivbordet med namnet fixlist.txt.

Stäng av alla program.
Starta FRST som finns på skrivbordet.
Klicka på knappen Fix.
Vänta tills programmet är klart.
Om datorn inte startas om automatiskt så gör det själv.

Programmet skapar en logg Fixlog.txt på skrivbordet.
Klistra in innehållet i den i ditt svar.

[Rastrask]

1. Det vet jag inte exakt. Kanske två månader sedan. När den började krångla tog jag fram en gammal dator och lät den andra ligga lite. Egentligen vill jag mest mara säker på att jag kan sätta in en extern hårddisk och dra över det jag vill ha utan att viruset följer med, sedan kan jag omformatera den eller återställa den tänker jag.

 

2. Då väljer jag nog att behålla Avast.

 

3. Ingen aning. Jag scannar och låter programmet åtgärda sm det vill...

 

4. Eftersom jag inte har internet på virusdatorn så fick jag spara de 15 raderna i ett dokument och USBa över det till virusdatorn och sedan lägga det i anteckningar. Hoppas att det inte påverkade resultatet. Det var i alla fall 15 rader och här är fixlogfilen:

Fix result of Farbar Recovery Scan Tool (x64) Version: 14.01.2019 01
Ran by Bernhard (17-01-2019 17:34:12) Run:1
Running from C:\Users\Bernhard\Desktop
Loaded Profiles: Bernhard (Available Profiles: Bernhard)
Boot Mode: Normal
==============================================

fixlist content:
*****************
CreateRestorePoint:
CloseProcesses:
Tcpip\..\Interfaces\{9bb770ec-a591-44cb-b09e-c9e6d0d61cf6}: [NameServer] 54.146.133.175,35.168.80.252
Tcpip\..\Interfaces\{dcc0cfad-428b-4f6e-b1f3-d793f405ec38}: [NameServer] 54.146.133.175,35.168.80.252
Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\siteadvisor\mcieplg.dll No File
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\siteadvisor\mcieplg.dll No File
S2 0039751540827471mcinstcleanup; C:\WINDOWS\TEMP\003975~1.EXE -cleanup -nolog [X]
U3 aswbdisk; no ImagePath
Virustotal: C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh int ip reset c:\resetlog.txt
CMD: ipconfig /release
CMD: ipconfig /renew
Reboot:
*****************

Restore point was successfully created.
Processes closed successfully.
"HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9bb770ec-a591-44cb-b09e-c9e6d0d61cf6}\\NameServer" => removed successfully
"HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{dcc0cfad-428b-4f6e-b1f3-d793f405ec38}\\NameServer" => removed successfully
HKLM\Software\Classes\PROTOCOLS\Handler\dssrequest => removed successfully
HKLM\Software\Classes\CLSID\{5513F07E-936B-4E52-9B00-067394E91CC5} => removed successfully
HKLM\Software\Classes\PROTOCOLS\Handler\sacore => removed successfully
HKLM\Software\Classes\CLSID\{5513F07E-936B-4E52-9B00-067394E91CC5} => not found
HKLM\System\CurrentControlSet\Services\0039751540827471mcinstcleanup => removed successfully
0039751540827471mcinstcleanup => service removed successfully
HKLM\System\CurrentControlSet\Services\aswbdisk => could not remove, key could be protected
VirusTotal: C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat => https://www.virustotal.com/file/3bc9fd278cacc735ab16670c70767f33db69b6d3b0ef39250285a9ef4ca5de7e/analysis/1547742930/

========= ipconfig /flushdns =========

Windows IP Configuration

Successfully flushed the DNS Resolver Cache.

========= End of CMD: =========

========= netsh winsock reset catalog =========

Sucessfully reset the Winsock Catalog.
You must restart the computer in order to complete the reset.

========= End of CMD: =========

========= netsh int ip reset c:\resetlog.txt =========

Resetting Compartment Forwarding, OK!
Resetting Compartment, OK!
Resetting Control Protocol, OK!
Resetting Echo Sequence Request, OK!
Resetting Global, OK!
Resetting Interface, OK!
Resetting Anycast Address, OK!
Resetting Multicast Address, OK!
Resetting Unicast Address, OK!
Resetting Neighbor, OK!
Resetting Path, OK!
Resetting Potential, OK!
Resetting Prefix Policy, OK!
Resetting Proxy Neighbor, OK!
Resetting Route, OK!
Resetting Site Prefix, OK!
Resetting Subinterface, OK!
Resetting Wakeup Pattern, OK!
Resetting Resolve Neighbor, OK!
Resetting , OK!
Resetting , OK!
Resetting , OK!
Resetting , OK!
Resetting , failed.
tkomst nekad.

Resetting , OK!
Resetting , OK!
Resetting , OK!
Resetting , OK!
Resetting , OK!
Resetting , OK!
Resetting , OK!
Restart the computer to complete this action.

========= End of CMD: =========

========= ipconfig /release =========

Windows IP Configuration

No operation can be performed on Ethernet while it has its media disconnected.
No operation can be performed on Anslutning till lokalt n„tverk* 2 while it has its media disconnected.
No operation can be performed on Anslutning till lokalt n„tverk* 4 while it has its media disconnected.
No operation can be performed on Anslutning till lokalt n„tverk* 16 while it has its media disconnected.

Ethernet adapter Ethernet:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Wireless LAN adapter Anslutning till lokalt n„tverk* 2:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Wireless LAN adapter Anslutning till lokalt n„tverk* 4:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Wireless LAN adapter Anslutning till lokalt n„tverk* 16:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Wireless LAN adapter Wi-Fi 2:

   Connection-specific DNS Suffix  . : 
   Link-local IPv6 Address . . . . . : fe80::7520:a85d:376e:dfe3%16
   Default Gateway . . . . . . . . . : 

========= End of CMD: =========

========= ipconfig /renew =========

Windows IP Configuration

No operation can be performed on Ethernet while it has its media disconnected.
No operation can be performed on Anslutning till lokalt n„tverk* 2 while it has its media disconnected.
No operation can be performed on Anslutning till lokalt n„tverk* 4 while it has its media disconnected.
No operation can be performed on Anslutning till lokalt n„tverk* 16 while it has its media disconnected.

Ethernet adapter Ethernet:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Wireless LAN adapter Anslutning till lokalt n„tverk* 2:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Wireless LAN adapter Anslutning till lokalt n„tverk* 4:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Wireless LAN adapter Anslutning till lokalt n„tverk* 16:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Wireless LAN adapter Wi-Fi 2:

   Connection-specific DNS Suffix  . : home
   Link-local IPv6 Address . . . . . : fe80::7520:a85d:376e:dfe3%16
   IPv4 Address. . . . . . . . . . . : 192.168.0.6
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.0.1

========= End of CMD: =========

Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 17-01-2019 17:39:17)

Result of scheduled keys to remove after reboot:

HKLM\System\CurrentControlSet\Services\aswbdisk => could not remove, key could be protected

==== End of Fixlog 17:39:17 ====

[Cecilia]

1. Två månader stämmer ju rätt bra med både ransomware-filer och när Defender hittade det här:

Citat

Date: 2018-11-08 06:55:53.816
...
Namn: Trojan:Win32/Peals.N!cl
ID: 2147716223
Allvarlighetsgrad: Allvarlig
Kategori: Trojan
Sökväg: file:_C:\Users\Bernhard\Downloads\EVOLAND 2  [RLD]\Crack\steam_api.dll

 

Man kan aldrig lita på att ens antivirusprogram kan skydda en mot allt skadligt utan ska man hålla datorn frisk måste man hålla sig borta från illegala filer, cracks och annat liknande.

 

Om du kan tänka dig att installera om Windows finns det ingen större anledning att lägga tid på att göra nuvarande Windows-installation fri från skadliga program. Däremot om du sparar programfiler eller andra körbara filer (.exe, .dll mm) på den externa hårddisken och sen kör dem i den nya Windows-installationen så kommer även den att bli infekterad och få problem.

 

Det finns ingen möjlighet att i FRST-loggar se om någon av dina egna filer, t ex sådana i mappen Hämtade filer, innehåller något skadligt utan det är bara antivirusprogram och liknande som kan söka igenom datorn som kan kolla det. Men i stället för att installera flera olika antivirusprogram är det bäst att använda online scanners, t ex F-secure, Eset och Kaspersky. har sådana på sina webbplatser. Om programmen har inställningsmöjligheter se till att välja så att genomgången blir så noggrann som möjligt. Du kan vänta med att köra online scanners tills du har den nya Windows-installationen klar och då söka igenom den externa hårddisken innan du börjar använda dess innehåll.

 

3. Om vissa av dina filer har blivit krypterade finns det inget sätt att återställa deras innehåll.

 

4. Har datorn en fungerande internetförbindelse nu?

Den verkar i alla fall ha kontakt med routern trådlöst eftersom den fått IP-adress mm.

Om inte trådlöst så pröva med nätverkskabel.