Marion Postad Maj 15, 2012 Dela Postad Maj 15, 2012 (redigerade) Hej. Fick in en trojan "smart check virus" på en dator. Fick bort allt nästan. Det som är kvar är en sträng/pekare som försöker ropa på startfilen, men vet inte hur man få bort den sista "pekaren" Ni ser strängen "msnivt.exe". Denna ligger låst, (den körs) och går inte ta bort med varken Hijackthis, mbam eller manuellt i regedit Har provat även i felsäkert läge, dödat några applikationer osv.. men icke.. Redigerad Maj 22, 2012 av mario Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
jarru Postad Maj 16, 2012 Dela Postad Maj 16, 2012 (redigerade) Testat med FileASSASSIN (radera låsta filer) i MBAM / "Fler verktyg".? Stoppa processen med Process Explorer eller Autoruns och radera ? http://technet.micro...ernals/bb896653 http://technet.micro...s/bb963902.aspx Linuxskiva ? Cecilia får nog hjälpa dig annars. Edit : Du kan kanske kolla "beroenden" med detta, om det ej går att stopa processen : Dependencywalker http://www.dependencywalker.com/ Redigerad Maj 16, 2012 av jarru Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Marion Postad Maj 16, 2012 Författare Dela Postad Maj 16, 2012 (redigerade) Testat med FileASSASSIN (radera låsta filer) i MBAM / "Fler verktyg".? Stoppa processen med Process Explorer eller Autoruns och radera ? http://technet.micro...ernals/bb896653 http://technet.micro...s/bb963902.aspx Linuxskiva ? Cecilia får nog hjälpa dig annars. Edit : Du kan kanske kolla "beroenden" med detta, om det ej går att stopa processen : Dependencywalker http://www.dependencywalker.com/ Okej. Men loadern "msnivt.exe" finns inte bland "processer eller tjänster", den kanske heter nåt annat. Så jag vet inte vad skall stoppa. Om man tar ut disken och stoppar i en annan datir, öppnar regedit där, sen dödar den, fungerar det tro? Utan att nåt annat kraschar. marion Redigerad Maj 16, 2012 av mario Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Maj 16, 2012 Dela Postad Maj 16, 2012 Jag skulle kolla aktiva processer med KillSwitch, och autostartande processer med Autorun Analyzer. Båda dessa säger om en fil är säker, skadlig eller okänd. Nedladdningslänkar (32- och 64-bit) här: http://www.alltomwin...er/#entry192667 Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Opptokoppter Postad Maj 16, 2012 Dela Postad Maj 16, 2012 Om du blivit utsatt för något så är ju bästa motmedlet att försöka satsa på en ny fräsch nyinstallation. På så vis blir man befriad ifrån alla tänkbara risker om nu något så här efteråt skulle finnas kvar i systemet. Kommer & tänka på tjänster men det togs ju upp tidigare, en sak som kan låsa borttagning av program & filer m.m. Dolda processer är säkert en annan grej som många utnyttjar troligtvis. Hittade ett program men känner inte till så mycket om dom andra som redan nämts i jämförelse med sånt som inte alla gånger är så enkelt & se i t.ex Process Explorer, tjänster skall man ju kunna spåra iaf med detta senare verktyget om någon behöver. http://www.logixoft.com/process-revealer-free-edition.html Verktyg för härleda och urskilja vilka tjänster som hänger samman med Windows och övriga applikationer. http://securityxploded.com/winservicemanager.php Sedan när något upptäcks som inte behöver va kvar, så rekommenderas nästa verktyg. Ett av dem få jag känner till som klarar avinstallera tjänster & drivrutiner manuellt. http://www.softpedia.com/get/Tweak/Uninstallers/TSDC-Total-Service-and-Driver-Control.shtml Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Andreas Stenhall Postad Maj 16, 2012 Dela Postad Maj 16, 2012 Om du drabbats av virus är det förnuftigt att installera om datorn. Du kan även köra Windows Defender Offline för att boota upp din dator på en skiva och där köra en skanning för att kunna bli av med skadliga program du annars har svårt att bli av med, http://windows.microsoft.com/sv-SE/windows/what-is-windows-defender-offline Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Marion Postad Maj 17, 2012 Författare Dela Postad Maj 17, 2012 Om du blivit utsatt för något så är ju bästa motmedlet att försöka satsa på en ny fräsch nyinstallation. Nej det vill ja helst inte, det ligger alldeles för mycket installerat på den datorn. Att en nyinstall tar bort viruset vet jag, men det var inte frågan! Det finns c:a 25 st, fakealert trojaner, såsom "security 2009", "protection security", "smart scanner" osv... dessa startar alltid en typ av fake-skanning vid uppstart. Och jag har alltid lyckats tvätta 100 % -igt. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Marion Postad Maj 17, 2012 Författare Dela Postad Maj 17, 2012 Om du drabbats av virus är det förnuftigt att installera om datorn. Du kan även köra Windows Defender Offline för att boota upp din dator på en skiva och där köra en skanning för att kunna bli av med skadliga program du annars har svårt att bli av med, http://windows.micro...efender-offline Datorns skydd var just Defender med Security Essentials. Okej, tack för länk, jag har skapat en bootsticka med denna scanner på nu, på fredag lämnar jag rapport. Jag skall även prova Jowas Kilswitch, återkommer om resultatet, som sagt. *thumbs up* Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Peer E Frederik Postad Maj 17, 2012 Dela Postad Maj 17, 2012 Datorns skydd var just Defender med Security Essentials. Okej, tack för länk, jag har skapat en bootsticka med denna scanner på nu, på fredag lämnar jag rapport. Jag skall även prova Jowas Kilswitch, återkommer om resultatet, som sagt. *thumbs up* Ladda ned "ComboFix" från Bleeping Computer, var noga att följa instruktionen och du blir med al sannolikhet av med eländet. http://www.bleepingcomputer.com/download/anti-virus/combofix Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Marion Postad Maj 17, 2012 Författare Dela Postad Maj 17, 2012 (redigerade) Ladda ned "ComboFix" från Bleeping Computer, var noga att följa instruktionen och du blir med al sannolikhet av med eländet. http://www.bleepingc...-virus/combofix Okej, så combofix finns även till Win7 idag. Jag körde ofta combofix på XP-tiden, och den lyckades alltid. Men ofta rensa lite för mycket, t.o.m ibland väldigt styggt, det var nackdelen. men tack för tipset, jag kör den i sista hand. Just nu så är jag riktigt nyfiken på MS-verktyget som Andreas posta om. Redigerad Maj 17, 2012 av mario Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Marion Postad Maj 18, 2012 Författare Dela Postad Maj 18, 2012 Rapporten som jag lova. [Orsak] Det finns en load-sträng i regedit som pekar på en redan borttagen trojan, så nu istället kommer det upp en felskylt (pop-up fönster) 1. Börja scanna med "Windows Defender Offline" som laddas i dosmiljö, på så sätt kan den radera nycklar i regedit då dom inte är låsta, problemet var bara Windows Defender inte hitta strängen. Inte oväntat då deras virusprogram släppt in den. 2. "Process Explorer" och andra program hitta "load"-strängen, men lyckades inte deleta strängen fast det såg så ut. 3. Combofix våga jag inte köra, att den forcar hårt fram vet jag av erfarenhet. Så jag tror mer på att ta ut disken och editera den i en annan dator, men det orkar jag inte nu. Då det nu är konstaterat att det bara är ett skönhetsfel Marion tackar för visat intresse samt hjälp Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
e-son Postad Maj 19, 2012 Dela Postad Maj 19, 2012 Prova RegASSASSIN. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
jarru Postad Maj 19, 2012 Dela Postad Maj 19, 2012 En fråga. Det gick inte att stoppa processen i Process Explorer, "Kill Process Tree" och sedan radera ? Undrar om du har lyckats att hitta alla pekare ? Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Marion Postad Maj 19, 2012 Författare Dela Postad Maj 19, 2012 (redigerade) Prova RegASSASSIN. Tack e-son, det skall jag prova nästa gång jag skall dit, men: Jag provkörde programmet på min dator, och skall prova deleta 3d-clipboard-sträng - se bilden. Hur skall jag skriva? Om jag gör som helpen säger, hamnar jag bara i "roten" på run?! Redigerad Maj 22, 2012 av mario Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
e-son Postad Maj 19, 2012 Dela Postad Maj 19, 2012 (redigerade) "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" kan du inte ta bort... då ryker allt som ligger i autostart, och jag är osäker på om det skapas någon ny "Run-nyckel". Där får man istället ta bort nyckelvärden manuellt om man vill ha bort något. Är dom låsta får man kolla behörigheten på "Run" och i förekommande fall ta över ägarskap och tilldela rättigheter precis som man gör med filer. Edit: Ett annat sätt är att skriva en egen borttagningsfil... som detta exempel. Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "3D Clipboard"=- Redigerad Maj 19, 2012 av e-son Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Opptokoppter Postad Maj 19, 2012 Dela Postad Maj 19, 2012 Ang. felrutan som dyker upp, skulle detta kunna tyda på att något tagits bort men att filen/källan till orsaken fortfarande ligger registrerad i systemet. Skylten försvinner när aktuell registrering tas bort - Om orsaken nu beror på detta vill säga Det vet man ju inte förrens man testat. Nirsoft RegDllView Säger likadant som redan sagts, var rädd om Run så inte den försvinner, underliggande poster är ju vad som triggas vid start. Frågan är ju då hur man ska ange en enskild post om man vill använda funktionen i programmet, möjligt man skriver strängen som i en automatisk registerfil eller ett VB script kommando i jobba gentemot registret men går ju lika bra & ta bort den manuellt som e-son nämde. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Marion Postad Maj 19, 2012 Författare Dela Postad Maj 19, 2012 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" kan du inte ta bort... då ryker allt som ligger i autostart, och jag är osäker på om det skapas någon ny "Run-nyckel". Där får man istället ta bort nyckelvärden manuellt om man vill ha bort något. Är dom låsta får man kolla behörigheten på "Run" och i förekommande fall ta över ägarskap och tilldela rättigheter precis som man gör med filer. Edit: Ett annat sätt är att skriva en egen borttagningsfil... som detta exempel. Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "3D Clipboard"=- Jag skrev just att jag hamnar i roten på "run" - och den vill jag inte ta bort. Så min fråga är, hur skall jag skriva i ditt program du länka till, om jag ENDAST skall deleta min clipboard-sträng? Alltså vi leker/provar med den.. så kan jag sedan "översätta", till den datorn det gäller. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
e-son Postad Maj 19, 2012 Dela Postad Maj 19, 2012 (redigerade) Programmet kan inte ta bort enskilda värden, bara hela nycklar, vad jag vet... därav instruktionen om manuell borttagning. Nyckeln i första inlägget kan du dock lugnt ta bort... "Windows|Load" är en typisk malware-nyckel. Redigerad Maj 19, 2012 av e-son Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Marion Postad Maj 19, 2012 Författare Dela Postad Maj 19, 2012 Programmet kan inte ta bort enskilda värden, bara hela nycklar, vad jag vet... därav instruktionen om manuell borttagning. Nyckeln i första inlägget kan du dock lugnt ta bort... "Windows|Load" är en typisk malware-nyckel. okej, tar detta pedagogiskt så det inte blir mer missförstånd jag kan inte ta bort den manuellt, WINDOWS LÅSER DEN (som sagt innan) därför skall jag prova med ditt program du posta Mao måste jag isf. ta bort hela mappen, säger du?!: windows NT/CurrentVersion - se bild/sökväg nedan: Är det ofarligt att ta bort hela den mappen måntro? Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
e-son Postad Maj 20, 2012 Dela Postad Maj 20, 2012 (redigerade) Nej, "CurrentVersion" kan du inte ta bort. Det är "Windows|Load" som skall bort. Nu har du klippt bilden lite tvärt, så jag kan inte se vad det står under "Övrigt", men jag utgår ifrån att Windows|Load är en nyckel och inte ett värde. Nycklar står i registereditorns vänstra vy, och värden i den högra. Är det Windows|Load som är låst, så måste du ändra ägarförhållande/behörighet som jag skrev, och du måste troligen göra det i felsäkert läge. Jag gissar att RegASSASSIN inte klarar att ta bort den i normalläge... men du kan prova i felsäkert. Redigerad Maj 20, 2012 av e-son Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
e-son Postad Maj 20, 2012 Dela Postad Maj 20, 2012 Passade på att lägga till lite ny info på min sajt, som kanske kan vara till hjälp i det här fallet... hoppas det är begripligt. http://rhack.tejpad.se/inforeg.php#keylock Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Marion Postad Maj 20, 2012 Författare Dela Postad Maj 20, 2012 Passade på att lägga till lite ny info på min sajt, som kanske kan vara till hjälp i det här fallet... hoppas det är begripligt. http://rhack.tejpad....reg.php#keylock Jösses Amalia, det där med behörigehet har jag missat totalt, hoppas det är där skon klämmer, jag leta frenetiskt i blindo efter nåt annat som körd/låste i bakgrunden. Får skylla på dom där skygglapparna. tack för tipset e-son.. lämnar rapport på måndag. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
johnh3 Postad Maj 20, 2012 Dela Postad Maj 20, 2012 Iobit uninstaller kanske funkar: http://www.iobit.com/advanceduninstaller.html Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
e-son Postad Maj 23, 2012 Dela Postad Maj 23, 2012 .. lämnar rapport på måndag. Vilken måndag? Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Marion Postad Maj 23, 2012 Författare Dela Postad Maj 23, 2012 (redigerade) Vilken måndag? Jodå, visst var det som du sa e-son, det var rättigheterna som saknades, så nu är alla falska pop-fönster och pekare borta. Jag blev vilseledd och lätt grinigt uppgiven när windows poppar upp missvisande skyltar. "Du saknar rättigheter för denna åtgärd" - skall den juuu säga. Så jag lade all tid på att hitta tjänster som kördes i bakgrunden. Okunskap. Det är bara så frustrerande att missa sånna här enkla saker, blivit lite väl mycket nu den sista tiden, får skylla på "formsvacka", som Stefan Holm sa, skillnad var bara att han var född i svackan Tusen tack för hjälpen, IGEN, e-son. Redigerad Maj 23, 2012 av mario Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Recommended Posts
Delta i dialogen
Du kan skriva svaret nu och registrera dig senare, Om du har ett konto, logga in nu för att svara på inlägget.