Nytt Polis-virus. nu uppdaterad version 2.0

[Marion]

Hej ville bara dela med mig. Råka ut för en ny polistrojan igår.
 

Det unika är masken finns kvar i felsäkert läge, och låser datorn totalt, första gången jag råkar ut för detta.
 

Kort förklaring:
Jag tog bort åtta smittade filer genom att köra disken "utanför", montera tillbaka i datorn igen, då det dök det upp massa

föräldrarlösa strängar/felskyltar - som man fick pilla bort manuellt i registret.

 

Därefter blev jag nyfiken vad "nätets experter" ger för remove-beskrivningar.
Jag hamna på sweklockers, blev förvånad över att så många sitter och gissar?!
De andra "seriösa" sajter förklarar att man skall starta datorn i elsäkert läge - vilket inte går i detta fall.
Och andra sajter länkar till som vanligt att man skall köra "spywarehunter" - vilket alltid varit skräp, och inte ens fungerar pg.a låsningen.
 

Det finns två olika ukashmenyer, vad jag såg, detta är den jag brottades med:

 

 

 

Redigerad Mars 8, 2013 av Marion

[Cecilia]

Sweclockers är inte seriösa när det gäller skadliga program.

Farbar Recovery Scan Tool (FRST) är ett trevligt program att använda när det inte går att starta Windows, t ex vid den typen av polistrojanen du råkade ut för. Det lägger man på ett USB-minne och sedan kan först skanna datorn för att få ut en logg att granska. Sedan kan man fixa med FRST både ta bort filer och göra registerändringar.

En del polistrojaner kommer med rootkit så man bör kolla upp datorn med rootkit-program som RougeKiller och TDSSKiller också.

Redigerad Februari 12, 2013 av Cecilia

[si3rra]

Hade en klient vars dator hade något likande och den slapp man heller inte vid felsäkert läge för den hade injicerat sig i winlogon och kördes så snart man kom in i windows, den skadliga filen i det fallet (som kördes) hette "skype.dat".

[frederik]

Jag "räddade" en smittad burk med et bootbart verktyg från Hitman Pro.

Värd at testa faktisk...

[Marion]

Hej igen, måste berätta, fick ett mail med bild/dump på ett nytt Ukashvirus. (polistrojanen)

De har gjort som så nu, att det tar kort på användaren via webcamen, och lägger in bilden så den frontar förstasidan.. haha.

 

Ovan bilden står det: "DU HAR SURFAT BARNPORR"

Och bilden är tagen precis i den "posen" så han ser ut som en förbrytare - som en fånge.. "WANTED".

Mina sjuka humor fick mig att gapflabba, den drabbade är mindre road, men visst är dom påhittiga.

Redigerad Mars 8, 2013 av Marion

[jarru]

Kikade på skärmbilden, "Artikel-68.Fördelningen av virusprogram", hur har virusmakaren tänkt där ?

[Marion]

Kikade på skärmbilden, "Artikel-68.Fördelningen av virusprogram", hur har virusmakaren tänkt där ?

 

Det är en ny ukach än den jag visa ovan.. jag får datorn nästa vecka så skall jag ta en bild på den.. jag är också nyfiken.

[OlleBull]

Vore intressant att få nåt sånt, nä skämt åsido, så har jag bara råkat ut för masken Happy99 och på nyårsaftonen 1998, då den medföljde ett mail och på den tiden visste man knappt vad ett "antivirusprogram" var för något och förstås inte virus heller. OS:et var förstås windows 95.

 

Men det verkar ju som om jag är imun, allvarligt talat.

[Marion]

Vore intressant att få nåt sånt, nä skämt åsido, så har jag bara råkat ut för masken Happy99 och på nyårsaftonen 1998, då den medföljde ett mail och på den tiden visste man knappt vad ett "antivirusprogram" var för något och förstås inte virus heller. OS:et var förstås windows 95.

 

Men det verkar ju som om jag är imun, allvarligt talat.

 

Hej Olle.

Så du råka aldrig ut för viruset Blaster?

Det var många som fick den, inte alla, men de flesta, det släpptes i början på 2000 talet.

Gjorde enorm skada för stora företag, både datorn internetanslutning stängdes ner.

 

CIH var också enormt utbrett, det angrepp alla exe-filer, de sluta fungera (kändes döda) om jag inte minns fel.

Redigerad Mars 9, 2013 av Marion

[OlleBull]

Nä, som sagt tycks jag vara immun mot det mesta, vad det nu beror på. Happy99 hamnade på skrivbordet i form av ett fyrverkeri och sedan skickade man det ovetandes vidare med mailen. Så småningom fick man ju nys om hur man skulle få bort det. Filerna plockades bort manuellt ur systemet, så enkelt var det.

[Chessa68]

Hej
Är ny här på forumet och tror ni säkert fått mycket frågor om detta men är desperat och inte så datakunnig.
Jag fick idag, via facebook "polisviruset". Min dator går inte att köra felsäkert läge, kvittar vilket alternativ jag väljer, datorn bara startar om. Vad ska jag göra? Finns det någon här som kan hjälpa mig? Bor på Gotland. Evigt tacksam om svar och hjälp!!

[Cecilia]

Hej Chessa68!

Om du har Vista eller Windows 7 kan du göra så här:

Ladda ner Farbar Recovery Scan Tool (FRST) och spara på ett USB-minne.

För 64-bitars Windows: http://download.bleepingcomputer.com/farbar/FRST64.exe

För 32-bitars Windows: http://download.bleepingcomputer.com/farbar/FRST.exe

Sedan ska du starta den infekterade datorn och utan att starta hela Windows få igång en Kommandotolk. Det finns två alternativ att göra detta. Vilket du ska använda beror på om du har en installationsskiva för Windows 7 resp. Vista.

Alternativ 1 utan Windows-skiva

När datorn startar börjar du trycka på F8-tangenten upprepade gånger till sidan "Avancerade startalternativ" visas med en meny.

I menyn använder du piltangenterna för att välja "Reparera datorn".

Alternativ 2 med Windows-skiva

Stoppa i installationsskivan.

Starta datorn.

När det kommer upp en fråga om du vill starta datorn från installationsskivan så tryck på någon tangent.

Om frågan inte kommer upp utan datorn startas från hårddisken som vanligt, behöver du ändra en BIOS-inställning för att starta från skivan.

När menyn på installationsskivan kommer upp klicka på "Reparera datorn".

För båda alternativen

Välj rätt tangentbord och klicka på "Nästa".

Välj vilket operativsystem du vill reparera. Om där finns flera så ska du välja det som är det infekterade Windows. Klicka på "Nästa".

Välj ditt användarkonto och klicka på "Nästa".

Nu visas menyn "Alternativ för systemåterställning".

Den börjar med "Startreparation" och avslutas med "Kommandotolk".

Välj "Kommandotolk".

Skriv in:

notepad

Tryck på Enter-tangenten.

Programmet Anteckningar startas.

Välj: Arkiv - Öppna

Välj: Dator

Leta upp ditt USB-minne och skriv upp vilken enhetsbokstav det har, t ex g:.

Stäng Anteckningar.

I Kommandotolken skriver du in:

32-bitars Windows: g:\frst.exe

64-bitars Windows: g:\frst64.exe

men ersätt g med enhetsbokstaven USB-minnet har.

Programmet FRST börjar köra.

Läs villkoren för programmet.

Klicka på Yes för att acceptera.

Klicka på Scan-knappen.

När det är klart kommer det att ha skapats en log FRST.txt på USB-minnet.

Flyta USB-minnet till den fungerande datorn.

Här i forumet går du till sidan http://www.alltomwindows.se/forum/forum/41-borttagning-av-virus-och-andra-skadliga-program/

Klicka på knappen "Skapa en ny tråd".

Skriv in en lämplig rubrik, t ex "Infekterad med polistrojan".

Öppna FRST.txt i Anteckningar.

Kopiera innehållet i loggen och klistra in i din nya tråd.

Klicka på knappen "Skapa tråden".

[Chessa68]

Hej Tack för snabbt svar, har dock en fråga inna jag fortsätter. När jag väljer reparera datorn kommer jag till guiden HP recovery Maneger och kan bara välja återställningsprocessen, och all information på hårddisken kommer att försvinna. Ska jag välja det och kommer jag bli av med allt? Är en arbetsdator och vill undvika att bli av med allt.

 

[Cecilia]

Hej!

Nej, då är det fel. Är det verkligen sidan "Avancerade startalternativ" du får upp?

Men arbetsdator skriver du. Det rekommenderas att företagsdatorer ominstalleras när de har blivit infekterade, detta för att vara helt säker på att de inte sprider något i företagsnätverket, har fått säkerhetsinställningar sänkta mm.

Det går ju att säkerhetskopiera viktiga filer fast Windows inte kan startas, om nu inte företaget har bra rutiner för sådant.

Rädda filer efter Windows krasch: http://www.idg.se/2.1085/1.458715/sa-raddar-du-filer-fran-din-kraschade-pc

Fast IT-avdelningar brukar ju ha sina egna verktyg för att hantera allt detta.

Redigerad Maj 8, 2013 av Cecilia

[Chessa68]

Hej igen
När datorn startar börjar jag trycka på F8-tangenten upprepade gånger till sidan "Avancerade startalternativ" visas sen  väljer jag  "Reparera datorn". Då startar HP recovery Manager.
Det är här jag inte vet hur jag ska gå vidare?
 

Nu är det så olyckligt att jag både är chef, assistent, kaffekokare och it avdelning ;-) dvs egen företagare. Jag har sparat backup på molnet men efter en stressig tid så var det nog 1-2 månader sedan.

 

.
 

[Chessa68]

Hej

Är ny här på forumet och tror ni säkert fått mycket frågor om detta men är desperat och inte så datakunnig.

Jag fick idag, via facebook "polisviruset". Min dator går inte att köra felsäkert läge, kvittar vilket alternativ jag väljer, datorn bara startar om. Vad ska jag göra? Finns det någon här som kan hjälpa mig? Bor på Gotland. Evigt tacksam om svar och hjälp!!

Är det någon som bor på Gotland som fysiskt kan hjälpa mig ?

Mvh C

[OlleBull]

Hitman Pro, verkar ha en enkel lösning, som frederik tipsade om.

 

http://www.surfright.nl/en/kickstart

[Cecilia]

Hej igen

När datorn startar börjar jag trycka på F8-tangenten upprepade gånger till sidan "Avancerade startalternativ" visas sen  väljer jag "Reparera datorn". Då startar HP recovery Manager.

Det är här jag inte vet hur jag ska gå vidare?

Tyvärr vet jag ju inte vad HP har hittat på. Då är det nog bäst att du börjar med en skiva/USB-minne med ett antivirusprogram på. Det är ju svårt att veta vad som fungerar med just din variant av polistrojanen, det kan vara Hitman som Olle tipsar men det finns andra också. Kasperskys Rescue Disk brukar fungera också.

https://support.kaspersky.com/viruses/rescuedisk

I vilket fall som helst innebär det att man laddar ner en fil som man bränner till en CD-skiva eller lägger på ett USB-minne (på ett visst sätt) och sedan ska man starta datorn från CD-skivan resp. USB-minnet. Det innebär oftast att man behöver ändra uppstartsordningen i BIOS, oftast står det på första skärmbilden vilken tangent man ska trycka på, t ex "Press Del to Enter Setup", "F12 = Boot Order".

[jalec]

Hej Tack för snabbt svar, har dock en fråga inna jag fortsätter. När jag väljer reparera datorn kommer jag till guiden HP recovery Maneger och kan bara välja återställningsprocessen, och all information på hårddisken kommer att försvinna. Ska jag välja det och kommer jag bli av med allt? Är en arbetsdator och vill undvika att bli av med allt.

 

Hej.

 

Loggar du in med ett användarkonto? Om jag gör det kommer alternativet Kommandotolk inte upp. Med ett administratörskonto däremot fungerar det.