Potentiellt hot: PUA:Win32/Vigua.a - Vad göra?

[Tomas E]

Windows Defender har hittat ett potentiellt hot. Jag satte det i karantän i väntan på råd. "Läs mer" gjorde mig inte klokare.

 

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=PUA%3aWin32%2fVigua.A&threatid=232714

 

Programmet ifråga som påverkas är tydligen installationsfilen för SmartScore X2, men den har jag aldrig öppnat sen jag installerade programvaran, nån gång i höstas. Det jag finner konstigt är, att efter att ha satt programmet i karantän så försvann alternativet "Ta bort" från listan över valbara åtgärder. Nu finns bara "Tillåt" kvar. Från början var det alltså "Sätt i karantän", "Ta bort" och "Tillåt". Lite oroande om det inte längre går att ta bort. Objektet som påverkas syns däremot inte längre i mappen Hämtade filer.

 

Redigerad 19 januari, 2022 av Tomas E

[Mikael63]

Se 

 

Jag tar och flyttar tråden till den forumdelen.

[Cecilia]

PUA betyder Möjligen Oönskat Program och vanligaste orsaken till att ett program klassificeras på det sättet är att det kan installera reklamprogram förutom det program som man vill ha i datorn. Det är alltså inget som är skadligt för datorn.

 

Troligen fick du under installationen i höstas möjligheten att välja om reklamprogrammet skulle installeras eller inte och valde då att det inte skulle installeras.

 

Eftersom filen inte längre finns kvar i mappen Hämtade filer (eftersom den har flyttats till karantänen) så går det inte att ta bort den från den mappen längre.

[Tomas E]

3 timmar sedan, skrev Cecilia:

PUA betyder Möjligen Oönskat Program och vanligaste orsaken till att ett program klassificeras på det sättet är att det kan installera reklamprogram förutom det program som man vill ha i datorn. Det är alltså inget som är skadligt för datorn.

 

Troligen fick du under installationen i höstas möjligheten att välja om reklamprogrammet skulle installeras eller inte och valde då att det inte skulle installeras.

 

Eftersom filen inte längre finns kvar i mappen Hämtade filer (eftersom den har flyttats till karantänen) så går det inte att ta bort den från den mappen längre.

Tack!

Jag valde "Tillåt" och efter det försvann även det alternativet från menyn. Nu har jag enligt Windows Defender inga problem längre. Problemet nu är att jag fortfarande inte kan starta programmet. När jag klickar på genvägen i startmenyn får jag ett felmeddelande som säger att installationsprogrammet inte kan hittas. Var finns karantänmappen? Eller måste jag hämta installationsprogrammet en gång till och ominstallera? Om programmet fortfarande ligger i karantän, kommer då Windows Defender att blockera installationen?

Redigerad 29 juni, 2020 av Tomas E

[Cecilia]

3 minuter sedan, skrev Tomas E:

Var finns karantänmappen?

https://docs.microsoft.com/sv-se/windows/security/threat-protection/microsoft-defender-antivirus/restore-quarantined-files-microsoft-defender-antivirus

 

Fast det verkar ju konstigt att installationsprogrammet i Hämtade-mappen ska behövas för att köra programmet. Säker på att Defender inte har tagit bort något mer?

 

[Tomas E]

11 timmar sedan, skrev Cecilia:

https://docs.microsoft.com/sv-se/windows/security/threat-protection/microsoft-defender-antivirus/restore-quarantined-files-microsoft-defender-antivirus

 

Fast det verkar ju konstigt att installationsprogrammet i Hämtade-mappen ska behövas för att köra programmet. Säker på att Defender inte har tagit bort något mer?

 

Efter att ha återställt installationsprogrammet kördes någon slags installations- eller initieringsprocess först. Men efter det startar programmet direkt när man klickar på genväg eller program-ikon. Jag tror att även programmet inaktiverades, för det kom ett felmeddelande om "Allvarligt fel" när jag försökte starta det under det att det var i karantän.

Redigerad 29 juni, 2020 av Tomas E

[Tomas E]

Det ska även finnas en mapp som kallas Installer. Hittar dock ingen sån mapp på sökvägen nedan. Gäller den bara denna specifika .msi-fil eller finns det en mapp som heter Installer som innehåller alla möjliga objekt? Har aktiverat "Visa dolda filer, mappar och enheter".

 

file: C:\Windows\Installer\335830.msi

[Cecilia]

Installer-mappen är även en systemmapp så man måste slå på visning av operativsystemfiler också, förutom dolda filer. Min Installer-mapp innehåller 157 mappar och filer.

[Tomas E]

2021-08-24 21:27, skrev Tomas E:

Det ska även finnas en mapp som kallas Installer. Hittar dock ingen sån mapp på sökvägen nedan. Gäller den bara denna specifika .msi-fil eller finns det en mapp som heter Installer som innehåller alla möjliga objekt? Har aktiverat "Visa dolda filer, mappar och enheter".

 

file: C:\Windows\Installer\335830.msi

 

2021-08-25 09:03, skrev Cecilia:

Installer-mappen är även en systemmapp så man måste slå på visning av operativsystemfiler också, förutom dolda filer. Min Installer-mapp innehåller 157 mappar och filer.

Har aktiverat visning av operativsystemfiler men det finns ingen fil i den mappen som heter 335830.msi.

 

Hur kan Windows Defender visa problem för en fil som inte existerar?

[Cecilia]

Kommer det filnamnet från Defender?

I vilket sammanhang i så fall?

[Tomas E]

9 timmar sedan, skrev Cecilia:

Kommer det filnamnet från Defender?

I vilket sammanhang i så fall?

Tänkte att de skulle ha försvunnit vid det här laget eftersom jag satt i karantän eller valt att ta bort eller vad jag nu gjorde för ett år sen. Kommer inte ihåg. Men så här ser listan ut nu, med påstått aktiva grejer. Som synes är det samma som tidigare. Går det att rensa denna lista om den inte längre gäller?

 

 

 

 

För samtidigt står det att ingen åtgärd krävs.

 

 

[Cecilia]

Det står att det är från 8 juli så det räcker ju för att veta att det är gammal information.

 

Om du valde Ta bort eller Sätt i karantän så tog ju Defender bort respektive flyttade .msi-filen och då finns ju inte den filen kvar i Installer-mappen.

[mbgtmari]

Men rensa Defenderhistoriken borde du kunna göra. Jag förstår att det är irriterande att behöva se det där lågriskhotet. Enligt svaret här är det OK att rensa listan. https://answers.microsoft.com/en-us/protect/forum/all/is-it-safe-to-delete-windows-defender-scans/ebcfeb1b-9991-4717-8b54-349e3daa2f87

"Is it safe to delete Windows Defender history? - Yes, it is actually ok even if you are using Defender. I have just deleted all files in C:\ProgramData\Microsoft\Windows Defender\Scans\History\Store on my windows 10 to see what would happen, Defender still appears to be working fine."

[Tomas E]

17 timmar sedan, skrev Cecilia:

Om du valde Ta bort eller Sätt i karantän så tog ju Defender bort respektive flyttade .msi-filen och då finns ju inte den filen kvar i Installer-mappen.

Håller med, men

 

17 timmar sedan, skrev mbgtmari:

Men rensa Defenderhistoriken borde du kunna göra.

Tack för länken! Har dock provat rensa denna lista men bara ca 1/3 av innehåller försvinner. Rensade två gånger. Före första rensningen såg det ut som i bilden nedan, efter första rensningen såg det ut som i andra bilden. Efter andra rensningen var det 6,37 MB kvar, alltså något mer än efter första rensningen. Filerna jag vill ha bort (innehållande Vigua.A) har dock inte försvunnit.

 

Före rensning:

 

 

Efter rensning:

 

 

Jag tänkte därför att jag får väl plocka bort dem en och en istället. Men hur fanken gör man det? Det går ju att välja "Ta bort" men sen finns det ingen OK-knapp att klicka på. Helt vrickat måste jag säga. Om jag bara stänger rutan så har markeringen försvunnit från "Ta bort" nästa gång jag öppnar den. Jag kanske måste ställa en följdfråga på den där länken till answers.microsoft.com.

 

 

Felmarkerat i bild två ser jag nu men kolla inte på den utan på siffrorna för Windows Defender.

Redigerad 5 september, 2021 av Tomas E
Felmarkering i bild 2

[Cecilia]

Du valde väl redan i juli att ta bort eller sätta filerna i karantän. Då kan du ju inte göra samma sak igen eftersom filerna inte finns kvar på sitt ursprungliga ställe.

[Tomas E]

3 timmar sedan, skrev Cecilia:

Du valde väl redan i juli att ta bort eller sätta filerna i karantän. Då kan du ju inte göra samma sak igen eftersom filerna inte finns kvar på sitt ursprungliga ställe.

Men varför ligger de då kvar som potentiella aktiva hot?

[Cecilia]

Det ligger kvar som en historik eller loggfil, en lista över vad som har hänt vid tidigare tillfällen, det är ju därför som det står juli.

[Tomas E]

3 timmar sedan, skrev Cecilia:

Det ligger kvar som en historik eller loggfil, en lista över vad som har hänt vid tidigare tillfällen, det är ju därför som det står juli.

Och du vet inte hur man gör för att ta bort denna historik eller loggfil?

[mbgtmari]

Kanske så här

https://www.top-password.com/blog/clear-all-event-logs-in-windows-10/

Om man skriver eventv
i sökrutan/förstoringsglaset bredvid Start får man upp Loggboken
Jag använder mig numera alltid av sökrutan för att få upp den app jag vill ändra någonting i.

Redigerad 5 september, 2021 av mbgtmari

[Cecilia]

9 timmar sedan, skrev Tomas E:

Och du vet inte hur man gör för att ta bort denna historik eller loggfil?

Nej, men en sökning ger denna sida:

https://www.thewindowsclub.com/clear-windows-defender-protection-history

Med tanke på hur besvärligt det verkar vara har nog inte Microsoft tänkt sig att man ska göra det.

[mbgtmari]

OBS! Tomas E, klicka INTE på länken Download PC Repair Tool to quickly find & fix Windows errors automatically överst på TheWindowsClub-sidan! Det skumma programmet - "restoro.com includes route.php?tracking" - har inget med instruktionerna att göra. Tyvärr läggs den länken nu in på alla TheWindowsClub-sidor.

Redigerad 6 september, 2021 av mbgtmari
Hade skrivit "includes" två gånger

[ChristerE]

Här några guider om Windows Defender. Använder inte själv Defender, och har inte lusläst guiderna, så kanske finns där ingen information om hur man kan rensa historiken. Men till någon nytta kanske de kan vara.

 

How to See What Malware Windows Defender Found on Your PC (howtogeek.com)
How to Manage Windows Defender’s Notifications on Windows 10 (howtogeek.com)

Så kommenteras Diskrensning i tråden. I en annan guide finns följande att läsa om Windows Defender.

"Windows Defender: This option deletes “non critical files used by Windows Defender“, according to the Disk Cleanup tool. Microsoft doesn’t explain what these files are anywhere, but it’s likely they’re just temporary files. You can select this option to free up some space and Windows 10’s built-in antivirus will continue running normally."
Is It Safe to Delete Everything in Windows’ Disk Cleanup? (howtogeek.com)

 

Så undrar jag lite hur du (Tomas E) kommit att tänka på det här nu (behöver inte alls besvaras). Såklart kan man vilja rensa historik, för t ex webbläsare, för Windows Defender och på andra ställen. Diverse varningar visas just när något händer men historiken får man "klicka sig fram till" för att läsa. Historik finns för många funktioner och finns där inget man vill dölja så får den finnas där, i alla fall som jag tänker.

I en skärmdump anges 8 juli, som dessutom avser år 2020, så den här informationen har ju funnits i historiken ett tag.
 

[mbgtmari]

Tomas E, jag tycker det är bra underligt att meddelandet om det gamla lågriskhotet fortsätter att visa sig i din skyddshistorik för Defender Antivirus. Denna antivirusapp skannar ju datorn varje dag och med jämna mellanrum visas skanningsresultatet upp i meddelandefältet som ett meddelande från åtgärdscentret om att Defender har sökt igenom datorn 3 gånger men att inga hot hittades.

Men en gång upptäckte Defender ett lågriskhot även hos mig. Om jag minns rätt så blev jag då tillfrågad om jag ville att Windows skulle sätta filen i karantän vilket jag ville. När jag nu tittar i Skyddshistoriken så ser det ut så här.

Detta är ju inte på något sätt störande.

[Tomas E]

13 timmar sedan, skrev Cecilia:

Med tanke på hur besvärligt det verkar vara har nog inte Microsoft tänkt sig att man ska göra det.

Håller med om att det verkar besvärligt.

[Tomas E]

8 timmar sedan, skrev ChristerE:

Så undrar jag lite hur du (Tomas E) kommit att tänka på det här nu (behöver inte alls besvaras).

I en skärmdump anges 8 juli, som dessutom avser år 2020, så den här informationen har ju funnits i historiken ett tag.
 

Enligt sidan som Cecilia länkade till så ska objekten i historiken tas bort av Windows Defender efter 30 dagar om man inte själv gått in och pillat med detta. Så att de finns kvar är ju därför väldigt konstigt. Och störande, eftersom man ju varje gång man går dit vill se aktuella hot och inte "100-tals" inaktuella. Det är väldigt lätt att missa nåt hot bara för att man blir så van att se en hel radda med helt meningslösa poster.