Polis-virus på datorn

Tack!
Jag ska försöka mig på det istället

Tror jag hittade felet: Tryck på start, sen gå in i autostart, sen (tror detta e viruset) ta bort runctf (som kanske har infekterat filen i C:/WINDOWS/System32) har testat Mbam men den hittar inget har åxå testat Kaspersky Rescure Disc men den hittar inget heller. när jag startar datorn e de en ruta där det står att jag måste betala 1000 Kr till U Kash inom 48 timmar efter att datorn har låst sig. Jag blir av med det tillfälligt genom att trycka på Start/stäng av knappen o avbryta nerstängningen (tillfälligt = tills jag startar om datorn) Lite hjälp för jag vågar inte stänga av datorn eftersom att nedstängnings processen inte alltid fungerar (loggar ut, Stänger av). Tack på förhand!

Jag kan kolla loggar från datorn och se vad som behöver göras, men det är nog bäst att du i så fall startar en ny tråd för det blir väldigt rörigt i den här tråden med loggar och många sammanhängande inlägg på sidan 3.

Följ anvisningarna i tråden Till dig med virus eller andra skadliga program i datorn så gott det går och klistra in loggarna i din nystartade tråd.

Hej.
Jag är långt ifrån ett proffs men min tjejs, systers sambo fick problem med polis viruset och det gick inte alls att starta i vanligt felsäkert läge. Däremot kunde jag starta i felsäkert läge med kommandotolk. Då fick jag upp rutan "cmd" där jag skrev in rstrui.exe. Då fick jag fram systemåterställningen och valde där vilket datum jag ville återställa till. Nu kan jag iaf rädda hans fakturaprogram och deras bilder. Får bli en formatering samt ominstallation av Hdd:n.

Kör en fabriksåterställning. Bara tryck alt + f10 vid uppstart och följ anvisningarna.

Polisen uppskattar om man anmäler. Ju fler anmälningar de får in desto mer pengar kan de lägga på att försöka få fast de kriminella grupperna bakom.

Om du har Vista eller senare brukar det gå bra att få bort med t ex FRST och andra liknande program.

Haha, det här är så roligt o läsa

Man får ju skiten av porrsurfning igenom att klicka på acceptera och installera ett program... så det är alltså ingenting som bara "dyker upp" på datorn av sig själv...

Jag har aldrig nånsin haft ett anti-virus program, och jag har då aldrig fått det här...

Polistrojanen kommer normalt in i datorn från en webbsida genom ett säkerhetshål i en gammal programversion, t ex i Java, Flash, Adobe Reader, Windows. Man installerar inte något program utan det just dyker upp i datorn, normalt märker man inte mycket innan man har startat om datorn.

Installera ett gratis AV, tex malewarebytes. Boota sedan upp datorn i felsäkert läge och kör en scanning, möget kommer hittas och plockas bort.

Om det inte skulle fungera boota upp i felsäkert läge igen och plocka bort ditt användarkonto. Detta ransomeware lägger sig endast på din nuvarande användare. Skapar du en ny användare kommer du kunna logga in som vanligt.

Malwarebytes Anti-Malware (antar att det är det programmet du menar fast Malwarebytes har flera program) är inte ett antivirusprogram utan en komplettering till ett antivirusprogram.

Det senaste halvåret har det inte gått att starta i felsäkert läge med den infekterade användaren och de flesta har bara ett användarkonto.

Men visst är det bra att göra en till användare i förebyggande syfte, förhoppningsvis inte för att datorn blir infekterad utan för att det är rätt vanligt med skadade användarprofiler.

Nja, för ett halvår sedan så fick jag den elakare versionen (eftersom dom andra användarkontona inte heller funka) men felsäkert läge funka så jag körde systemåterställning genom att skriva in: %systemroot%\system32\restore\rstrui.exe

fick bort skiten på det sättet men gjorde ändå en ominstallation iom att vissa saker inte funka så bra.
så ett gott råd är att fixa en återställningspunkt snarast efter ominstallation

Sorry för bump, men är lite orolig nu.

Två frågor:

1. Om jag använde privat surfing när det hände. Klarar man sig då?

2. Om man kan använda datorn utan problem, är problemet löst? Jag har inte vågar starta om datorn än dock, men jag kan använda den utan problem just nu.

Jag använde nämnligen privat surfning när jag fick upp detta meddelande. Kunde inte göra någonting så tänkte att det var kört. Det var ändå så sent på kvällen så jag försökte bara trycka av datorn på knappen. Eftersom att jag hade en massa program uppe så kom det upp rutor efter ett tag om ifall jag vill spara vissa saker innan jag avslutar. Under den tiden så stängde den dock det privata fönstret och sen dess har jag kunnat använda datorn utan problem.

Kommer problemet återuppstå senare eller när jag startar om datorn eller lyckades jag "dodge a bullet" här?

Jag hittade en fil 9vzjffre (ingen filändelse) i autostart. Den har jag inaktivterat. Denna fil ligger dock inte i C:/ProgramData som många pratar om. Den verkar ha två adresser. Ena är Windows/System32/Rundll.exe och andra är */Users/*/appdata/local/temp/. Låter det som detta virus? Jag hittar däremot en film med samma namn också i C:/ProgramData/ om jag aktiverar att visa dolda filer. Där har den filändelsen .odd. Ska jag ta bort den manuellt eller görs det automatiskt när datorn startas om nästa gång efter att ha kört malwarebytes? Filen är på 0kb och skapades ungefär när jag fick upp rutan.

Malwarebytes hittade 17 filer. Men majoriteten kan jag koppla till legitima program. Det är inget virus som gömmer sig hos såna vá?

Däremot hittade den två filer som hette erffjzv9.cpp och 0743.dll. Kan någon av dom vara kopplade till detta virus? Båda är i karantän och ska tas bort nästa gång datorn startas om. Något jag inte vågar göra nu.

Eller ligger detta virus alltid i .exe? I så fall. Kan jag pusta ut ifall Malwarebyte inte hittade något? Nämnvärt är också att filerna som Malwarebyte hittade INTE kallades för Trojan.Ransom.ED utan bara Trojan.Agent.ED.

Klarar sig? Alltså det är ju inte polisen som låst din dator, det är bara ett virus. Om du tror det

Och starta datorn så lär du ju märka om den låser sig.

Ni har tur som kommer in i felsäkert läge med mera, det gjorde då inte jag när jag hade skiten. var bara ominstallation som gällde. knappt så det funkade..

Med klara sig menar jag såklart ifrån att få viruset som låser datorn.

Jag vågar inte starta om förrän jag gjort allt som kan tänkas motverka viruset.

1. Ingen aning, men med tanke på att det verkar finnas ett antal skadliga filer i datorn så verkar det inte så.

2. Går inte att svara bestämt på det.

Det varierar var de skadliga filerna läggs in och oftast är de flera.

"Windows/System32/Rundll.exe" är ingen adress utan det är ett program som kan köra DLL-filer.

Går inte att svara på om Malwarebytes Anti-Malware (MBAM) kommer att ta bort .odd-filen. Men om du kan ta bort filen manuellt så gör det, liksom den som ligger i */Users/*/appdata/local/temp/.

Om du är osäker på vad MBAM hittade kan jag kolla loggen. Den finns på fliken Loggar i MBAM och du kan klistra in innehållet direkt i ditt svar, men använd gärna spoiler-funktionen.

erffjzv9.cpp och 0743.dll kan mycket väl tillhöra polistrojanen.

Tack för att du erbjuder hjälp. Jag håller just nu på med en fullständig genomsökning av C: och kommer inte åt loggfilerna. Det kommer ta hela natten då jag har cirka 800.000 små bildfiler till ett spel som den måste gå igenom varenda en. Jag återkommer med det.

Jag har tagit bort filerna jag hittade manuelt. Filen i C:/ProgramData samt tre filer, med samma namn med med olika ändelser, från Users/Appdata/temp. Sorterade på datum och hittade de tre filerna.

Eftersom att jag kunde komma runt viruset genom att bara "fejka" en omstart så bör jag väl ha en av de mildare versionerna av viruset? Då kanske det räcker att plocka bort filerna samt avaktivera det i autostart. Mitt i natten är inte rätt tidpunkt att råka ut för sånt här. Vill helst undvika att tvingas till en total ominstallation. Tänkte testa starta om datorn imorgon.

Något jag såg nu är att filen som Malwarebyte hittade och filerna som jag själv hittat inte har samma namn men... Det är samma namn fast bakvänt.

Brukar det vara ett sånt där jobbigt virus som känner av när det blir borttaget och lägger tillbaka sig själv eller har folk tidigare lyckats ta bort det genom att lokalisera vart det är och bara plocka bort det? Jag har läst flera sidor på olika forum om det, men folk säger så olika överallt och rörigt. Samt att det verkar ha muterat flera gånger.

Dom flesta som fått det innan har inte haft den turen att dom kan ta bort det där viruset känner av att det blir borttaget (i vanlig windows boot).
En regel när man tar bort skadliga program brukar ju dock vara att ta bort det i felsäkert läge utan internet så att viruset inte kan känna av eller kontakta "någon" och säga att det blivit borttaget.

Om du skannar med malwarebytes och tar bort det du får upp behöver du inte oroa dig efter det, det svåra är att få upp malwarebytes. Tänk dock på att förhindra källan till viruset.

Okej. Nu har jag tagit bort filerna utan att gå genom Malwarebytes. Även fast jag tror att Malwarebytes möjligtvis oskadliggjorde viruset innan. Filen som låg i C:/ProgramData var på 0kb och hette .odd som sagt.

Filerna har inte återkommit än så länge heller. Jag har kikat tillbaka i mapparna. Det är även avaktiverat i autostart. Eller brukar den återaktivera sig där också?

Jag har däremot inte startat om datorn någon gång sen meddelandet kom upp. Det blir imorgon.

EDIT:
Vad bör jag göra innan jag startar om datorn imorgon?

Jag har:
* Sökt igenom med Malwarebyte (tog inte bort de filer som tillhör applikationer jag känner igen)
* Sökt igenom med ESET (Hittade ingenting, men det var efter att Malwarebyte hade sökt igenom snabbt)
* Raderat filer jag hittat som jag tror är kopplade (En av filerna var en fil för registret. Finns det någonstans i registret också då eller kan man ha sån tur att man raderar den från registret genom att radera den filen?)
* Avmarkerat filen/viruset från autostart.
* Säkerhetskopierat det viktigaste från min disk. Min C: är en partion på samma fysiska disk som min primära disk som jag använder för att spara vardagliga filer. Vid en eventuell ominstallation, bör man radera båda partitionerna?

Något jag glömt som man kan göra för att maximera möjligheterna att slippa få upp meddelandet igen när man startar om? Tror ni att det kommer att fungera att "fejka" en omstart igen eller var det något som bara fungerar första gången? Den här gången räddades jag av att jag hade ett textdokument (notepad) uppe som inte var sparat.

Blir lite orolig när du nämner filer i "registret" och så. Om du inte har riktig koll på vad du gör i Regedit så kan du skada din dator ordentligt. Var försiktig.

Du borde se till att ha allt uppdaterat. Windows update, Java, Flash, Microsoft Redist, you name it. Minskar dina säkerhetshål allmänt. Annars borde det nog funka fint. Citera om du lyckas dra på dig det ändå så kan jag länka hur du löser det.

Jag var inte in i registret själv utan en av de tre filerna jag hittade i temp-mappen var en registerfil. Den hette exakt samma som de två andra och skapades samtidigt så den tillhörde viruset.

Jag kunde inte sova så jag var tvungen att gå upp och testa med en omstart. Om det skulle lyckas så kanske jag skulle kunna sova och om det inte lyckades, ja, då hade jag fortfarande inte kunnat sova.

Men som tur är så lyckades det. Den startade upp utan problem. Är det lugnt i så fall? Om en omstart lyckas utan att meddelandet dyker upp igen direkt vid starten så kan man andas ut?

Filerna har inte kommit tillbaka i de mappar där de låg förut. Däremot ligger det fortfarande kvar som en post i autostart, men fortfarande urbockad.

Jag slänger upp loggen som det talades om tidigare. De filer som programmet reagerade på var dessa:

Av det som MBAM hittade är det bara de två som las i karantän som troligen har med polistrojanen att göra. De andra handlar om att installationsfilerna och temp-filerna vill installera onödiga program/tillägg (PUP) samtidigt som det önskade programmet. Softonic är en webplats som brukar lägga på lite extra till installationsfilerna för att få igen pengarna det kostar att hålla igång filservrarna.

Som Gublo skrev förut, när det gäller polistrojanen är det extremt viktigt att ha Java, Flash, Adobe Reader och andra tillägg till webbläsaren uppdaterade till senaste versionen eftersom polistrojanen normalt kommer in i datorn genom säkerhetshål i Java. Du ka låta t ex Secunias Software Inspector kolla upp datorn och fixa de säkerhetsproblem som den rapporterar.

Polistrojanen är (än så länge) inte smart på det sättet att den försöker återskapa filer och registerposter.

Tack! Så då bör den vara borta för den här gången.

Ska kika på Software Inspector.

Hej!

Jag har en fråga på ämnet. Igår när jag surfade fick jag upp detta "popup-fönster från Polisen". Fönstret gick såklart inte att stänga ner "som vanligt" men jag kunde utan problem trycka på Ctrl+Alt+Delete och avsluta Firefox. Sedan dess har jag inte sett röken av denna pop-up eller liknande varningar igen. Jag blev ändå nojjig då jag hört talas om "polisviruset" som ska vara svårt att få bort.

Jag har laddat ned och kört Malwarebytes Anti-Malware x flera (i felsäkert läge samt i "vanligt läge") och den har inte hittat några skadliga filer (förutom en fil som hette "PUP.Optional.InstallIQ" som togs bort av programmet). Mitt Anti-Virus (Avast Internet Security) hittar inte heller något. Har kört diverse andra program som t.ex. Hitman Pro (hittar bara tracking cookies som inte verkar vara relaterade till detta) och F-Secure online scan som inte hittar något heller. Datorn beter sig "som vanligt" och jag har som sagt aldrig sett pop-up:en igen. Alla mina program och plugins är uppdaterade enligt Software Inspector. Kan det vara så att jag bara råkade ut för en "lättare variant" av detta och bara fick en pop-up, eller att pop-upen misslyckades att infektera min dator? Jag har aldrig fått upp någon tillfrågan om att installera någon fil, som jag läst att vissa fått, utan pop-upen kom bara upp utan förvarning när jag gick in på en hemsida. Jag känner mig väldigt okunning när det kommer till virus osv. så jag vet inte om jag "klarat mig" eller om jag bara inte lyckas hitta ett eventuellt virus/trojan.

Vad tror ni? Har jag klarat mig eller kan jag göra något mer för att försöka hitta detta virus?

Mvh //empr