Polisvirus

[Hej_hoj]

Hej!

 

Har tyvärr också drabbats av detta polisvirus...

 

Har följt instruktionerna och kört FRST scan på den infekterade datorn och fått den här textfilen:

 

 

Vad ska jag göra härnäst?

 

 

Tack på förhand!

 

FRST.txt

[Cecilia]

Starta Anteckningar.

Kopiera alla rader i rutan:

Startup: C:\Users\Martin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk
ShortcutTarget: program.lnk -> C:\ProgramData\EB3EF7.cpp (Microsoft Corporation)
2014-08-02 10:40 - 2014-08-02 10:40 - 00330980 ____T (Microsoft Corporation) C:\ProgramData\7FE3BE.dot
2014-08-02 10:38 - 2014-08-02 10:38 - 00117760 _____ (Microsoft Corporation) C:\ProgramData\EB3EF7.cpp
2014-08-04 05:44 - 2014-08-04 05:46 - 00004946 _____ () C:\ProgramData\RUNDLL32.EXE-7164-F.txt
2014-08-04 05:43 - 2014-08-04 05:44 - 00000228 _____ () C:\ProgramData\RUNDLL32.EXE-4408-F.txt
2014-08-04 04:22 - 2014-08-04 04:30 - 00001078 _____ () C:\ProgramData\RUNDLL32.EXE-4732-F.txt
2014-08-04 04:10 - 2014-08-04 04:17 - 00001024 _____ () C:\ProgramData\RUNDLL32.EXE-5992-F.txt
2014-08-04 04:04 - 2014-08-04 04:06 - 00000347 _____ () C:\ProgramData\RUNDLL32.EXE-6444-F.txt
2014-08-04 04:02 - 2014-08-04 04:04 - 00000344 _____ () C:\ProgramData\RUNDLL32.EXE-5972-F.txt
2014-08-03 12:47 - 2014-08-03 12:48 - 00000168 _____ () C:\ProgramData\RUNDLL32.EXE-5288-F.txt
2014-08-03 12:44 - 2014-08-03 12:47 - 00000453 _____ () C:\ProgramData\RUNDLL32.EXE-2524-F.txt
2014-08-03 12:23 - 2014-08-03 12:40 - 00001137 _____ () C:\ProgramData\RUNDLL32.EXE-6024-F.txt

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på USB-minnet med namnet fixlist.txt.

På den infekterade datorn från "System Recovery Options"

Starta FRST (32-bitars Windows) resp. FRST64 (64-bitars Windows) på samma sätt som sist.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Programmet skapar en logg Fixlog.txt på USB-minnet.

Klistra in innehållet i den i ditt svar.

Se om det nu går att starta datorn på vanligt sätt. Om det går kopiera FRST från USB-minnet till skrivbordet, kör det sen och bifoga de två loggarna FRST.txt och Addition.txt till ditt svar.

[Hej_hoj]

Tusen tack! Nu verkar datorn fungera finfint igen, verkligen bra service här!!

 

Bifogar de tre filerna!

 

 

Tack!

Fixlog.txt

FRST.txt

Addition.txt

[Cecilia]

1. Avinstallara:

Java 7 Update 13

Java 6 Update 22

Därför att det är gamla versioner med kända säkerhetshål som kan användas för att infektera datorn. Troligen var det genom ett av de säkerhetshålen som polistrojanen kom in i datorn. De flesta behöver inte ha Java installerat alls, men om man måste är det viktigt att alltid hålla den uppdaterad.

2. Starta Anteckningar.

Kopiera alla rader i rutan:

S2 Winmgmt; C:\PROGRA~3\7FE3BE.dot [X]

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

3. På sidan http://www.virustotal.com klickar du på Choose File -knappen och klistrar in ett av följande filnamn i fältet "Filnamn", klicka på Öppna och sedan på Scan it!. Om det kommer upp en fråga om filen ska analyseras om så välj det alternativet. Vänta tills resultatet är klart. Klistra in länken (webbadressen) till resultatet här. Upprepa med nästa filnamn.

C:\windows\Tasks\GoogleUpdateTaskMachineCore.job

C:\windows\Tasks\Adobe Flash Player Updater.job

C:\windows\Tasks\GoogleUpdateTaskMachineUA.job

4. Spara SystemLook på Skrivbordet från:

http://jpshortstuff.247fixes.com/SystemLook_x64.exe

Dubbelklicka på SystemLook-filen för att köra den.

Kopiera alla rader i rutan

:dir
C:\windows\System32\Tasks\Games

och klistra in i det stora textfältet i SýstemLook.

Tryck på knappen Look för att starta sökningen.

När det är klart så kommer Anteckningar upp med en logg, och den klistrar du in här. Om loggen inte kommer upp så finns den som SystemLook.txt på Skrivbordet.

[Hej_hoj]

Allt funkar fint fram till steg 3, när jag ska klistra in filnamnen och trycka öppna så står det "Du har inte behörighet att öppna den här filen. Kontakta filens ägare eller be en administratör ge dig de behörigheter som krävs."

 

Vad ska jag göra då? Eller finns det något annat sätt?

 

 

Bifogar fixloggen

 

 

 

Återigen, stort tack för all hjälp!

Fixlog.txt

[Cecilia]

Okej, ta då dessa filer i stället:

C:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

Utför sen steg 4.

[Hej_hoj]

Tack, nu funkar det bättre!

 

Här är länkarna:

 

https://www.virustotal.com/sv/file/dd1f0ba3d8f3333f52a71eae3719a001f6ef844d647ffabf0e4c56c6c764aca7/analysis/1407356118/

 

https://www.virustotal.com/sv/file/1f72cd1cf660766fa8f912e40b7323a0192a300b376186c10f6803dc5efe28df/analysis/1407356492/

 

 

Och här är loggen från SystemLook:

 

 

SystemLook 30.07.11 by jpshortstuff
Log created at 22:26 on 06/08/2014 by Martin
Administrator - Elevation successful

========== dir ==========

C:\windows\System32\Tasks\Games - Parameters: "(none)"

---Files---
UpdateCheck_S-1-5-21-3717877207-1909980259-4202420195-1000 --a---- 4750 bytes [20:48 03/08/2014] [20:48 03/08/2014]

---Folders---
None found.

-= EOF =-

[Cecilia]

Ladda upp C:\windows\System32\Tasks\Games\UpdateCheck_S-1-5-21-3717877207-1909980259-4202420195-1000 på Virustotal-sidan för en kontroll av den filen också, eftersom även den har ändrats efter att datorn blev infekterad.