Avatar billede cromagx Nybegynder
10. oktober 2012 - 14:00 Der er 17 kommentarer

Ukash virus - desperat brug for hjælp!

Jeg har nu også fået den onde ukash virus, der også er beskrevet her : http://www.eksperten.dk/spm/970208

Jeg forstår dog ikke helt, hvordan jeg fjerner den, når jeg læser indlæggene her på siden. Kan I hjælpe?

Sagen er, at det ikke nytter at starte min PC i frjlsikret tilstand. I den tilstand ser jeg også blot den åndssvagt besked om, at jeg skal betale 100 Euro.

Jeg har derfor hentet Microsoft Defender Offline og lagt den på en USB. Men hvad nu?! Hvordan starter jeg programmet fra USB, når jeg ikke kan komme ind i styresystemet? Skal jeg trykke F8 og boote direkte fra USB? Hvis det er tilfældet, hvordan ved min PC da, at det er netop Defender Offline, den skal køre? Der ligger jo også meget andet på USB'en.

Jeg har virkeligt behov for hjælp. Jeg har en masse arbejde liggende på min PC, men kan ikke komme videre"
Avatar billede f-arn Professor
10. oktober 2012 - 14:12 #1
Hvad har du lagt på den USB, og hvordan har du gjort det ?

Hvilken Windows har du ?
Avatar billede cromagx Nybegynder
10. oktober 2012 - 14:15 #2
Jeg har hentet den ned som exe-fil til PC fra en Mac. Jeg kører Windows 7.
Avatar billede f-arn Professor
10. oktober 2012 - 14:36 #3
Kan du starte  "Fejlsikret tilstand med kommandoprompt"  og skrive

rstrui.exe

Det vil starte "Systemgendannelsen", vælg en dato tilbage hvor den kørte ok.

Prøv om du kan det.
Avatar billede pretttyfly Praktikant
10. oktober 2012 - 15:34 #4
en anden mulighed er at starte computeren fra den oprindelige Windows installations dvd hvis du har den, og så derinde gendanne maskinen til et tidligere tidspunkt,ellers kan dette fremragende værktøj fra microsoft også bruges til at fjerne virussen med.
Avatar billede pretttyfly Praktikant
10. oktober 2012 - 15:35 #5
Avatar billede cromagx Nybegynder
10. oktober 2012 - 16:07 #6
Fedt mand!

F-arn's forslag om rstrui.exe virker! Nu kører skidtet igen. Men jeg har vel stadig virus på min computer.

Jeg har Bullguard antivirus på min computer. Skal jeg kører en scan, eller er der andre programmer, der er bedre til at fjerne Ukash?

Mange tak for hjæplen! Humøren steg lige med 98% :-)
Avatar billede 220661 Ekspert
10. oktober 2012 - 16:45 #7
Kan jeg godt forstå.
Kør en fuld scanning med Malwarebytes:
Hent Malwarebytes Anti-Malware herfra:
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen. Kopier loggen herind.
Mht.: Vista/Win7 - HøjreMusseTast - "Kør som Administrator..."
Avatar billede 220661 Ekspert
10. oktober 2012 - 16:49 #8
Der sker absolut ikke noget ved at køre en tur med dit antivirus program bagefter.
Nu vi alligevel er i gang med at tjekke så hent lige dette tool og kør dette.
http://www.csis.dk/da/private/zeroaccess/
Den tjekker om du skulle være ramt af zeroaccess.
Avatar billede Lang123 Nybegynder
11. oktober 2012 - 18:06 #9
Har nettop det samme problem fik den lorte besked her for en 3 timer siden har læst de svar der er kommet. Er det meget kompliceret eller hvordan?
Avatar billede 220661 Ekspert
11. oktober 2012 - 18:29 #10
Hej og velkommen til Eksperten Lang123.
Normalt så bør du oprette et spørgsmål selv, men prøv at gøre det som der står i indlæg #3 og #7 i denne tråd.
Avatar billede f-arn Professor
15. oktober 2012 - 11:25 #11
@cromagx

Kom du videre ?
Avatar billede Lang123 Nybegynder
26. oktober 2012 - 11:36 #12
Jeg Kørte den scanning den fandt noget der hed Trojan.Agent og Trojan.Zbot og Rootkit.0Access Ska de slettes?
Avatar billede f-arn Professor
26. oktober 2012 - 16:51 #13
@Lang123

Dine problemer hører ikke hjemme i denne tråd.
Avatar billede Donkanalie Nybegynder
16. november 2012 - 20:12 #14
Jeg har lige haft en pc forbi med denne "virus".

Det er et stykke malware som åbner en windows form i fullscreen med indholdet af et html dokument. Dokumentet indeholdt et billede, taget med det integreret web-cam i pc'en. Personen som ejer denne pc fik en mail fra en afsender angivet som "TDC" som hun selvfølgelig åbner. Hun klikker hverken på links eller billede i mailen men får malwaren alligevel.

Resultatet var at hver gang hun loggede på fik hun den her meget dårligt oversatte besked om at hun havde delt børnepornografi?? sure. Da dette malware startede så hurtigt vidste jeg at svaret skulle findes i registeret i Windows 7.

Så jeg startede med at boote pc'en i fejlsikret-tilstand med cmd. Grunden til dette er, så starter der næsten ingen ting på pc'en og man har mulighed for at starte explorer.exe manuelt uden at kalde shell i registreret. Og ganske rigtigt i registreret under shell ligger der en tilføjelse. Normalt er der kun angivet "explorer.exe" men de havde tilføjet en sti "'brugernavn'/AppData/roaming/msconfig.dat". Og der fandt jeg deres malware. 2 filer: én .ini og én .dat begge kaldet "msconfig"(<-måske smart fundet på, men ikke godt nok :-) ).

Jeg har taget nogle screens men de ligger på offer pc'en endnu. Jeg smider screens ud og hvis nogen, ligesom jeg, elsker reverse engineering så vil jeg med glæde dele filerne med jer, bare skriv en mail eller en kommentar. De rette myndigheder er underrettet men vi skal nok ikke regne med at de gider kigge filerne igennem for url's og registret domæner, desværre.

Min erfaring siger mig det er et billigt udviklet malware med kendte exploits, dvs. højst sandsynligt østeuropæiske script kiddies. Der er ikke anvendt o-days eller noget i den stil. Håber det hæjlper folk så de nemmere kan slippe af med den. Den er IKKE farlig på nogen måder.
Avatar billede 220661 Ekspert
05. februar 2013 - 18:09 #15
Hvad endte denne med?
Avatar billede Liquidblackwolf Nybegynder
19. marts 2013 - 19:51 #16
Okay. har fået denne ukash ting ting også... og har prøvet det windows defender usb keu (kunne få det til at virke) og har også prøvet at få maskinen til at køre i komandopromt. Men uden held. og er somregl okay til det her pc halløj. men det her er mig over... er der nogen i Hillerød eller omegn der har tid og lyst til at eventuelt at svinge forbi og se på skidet? eller måske os komme til jer hvis der ikke er for langt. på forhånd tak. Peter Olsem. evt. mobil 28569585
Avatar billede 220661 Ekspert
05. maj 2013 - 08:46 #17
#0 Har du fået løst dit problem bør du bede om svar fra den/dem som har hjulpet med det.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester





CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?