[Q] Ukash virus i felsäkert

Permalänk
Medlem

[Q] Ukash virus i felsäkert

Hej!

Jo jag har jobbat med att ta bort virus från kunders datorer nu ett tag nu, det vanligaste viruset vi brukar komma i kontakt med är Ukash. Vi har haft samma procedur för att ta bort det som alltid men efter nyår märkte jag en underlig sak. En av mina egna vänner ringer in och klagar på viruset och påpekar att han har försökt ta bort det med den vanliga proceduren man får om man googlar på det:

  1. Starta i felsäkert

  2. Kör en anti-malware skan

Men dock så var det lite problem redan här.
Istället som vanligt så hade hans Ukash fungerat även i felsäkert, vilket verkade skumt för mig. Jag bad honom stänga av routern så han inte hade internet, han startade om datorn men samma resultat.

Då undrar jag, hur ska man gå tillväga? Min enda lösning som jag har att förslå är väl att ta bort den ur registret i HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Fast ur andras synpunkt vore ju ominstallation enklare, men ur ett perspektiv att man inte har tagit backup så är det ett sämre enligt mig.

Jag undrar, finns det enklare alternativ eller gör jag det bara jobbigt?

Visa signatur

Citera om du vill ha svar, hjälpte jag dig, gilla svaret!
Felkod40

Permalänk
Arvid Nordqvist-mannen

Är det inte från "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" du ska ta bort nycklarna?
Att starta om datorn gör ju inget, koppla in disken i en annan dator och kör ett vettigt AV och MBAM.

Rensa även datorn från alla tempfiler först.

Permalänk
Medlem

Att Ukash-trojanen är aktiv i felsäkert läge tyder på att det är ett rootkit inblandat, åtminstone är betydligt mer inblandat än bara ett par enkla registernycklar. Backup kan man ju greja genom att starta från Puppy Linux eller någon annan distribution.

Jag brukar använda FRST, RogueKiller, ComboFix för att vara säker på att datorn med stor sannolikhet blir ren. Men det är ju verktyg som man behöver kunskap om för att använda på rätt sätt, annars är risken stor att man förstör något i Windows när man ska ta bort de skadliga filerna.

Permalänk
Medlem
Skrivet av tcntad:

Är det inte från "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" du ska ta bort nycklarna?
Att starta om datorn gör ju inget, koppla in disken i en annan dator och kör ett vettigt AV och MBAM.

Rensa även datorn från alla tempfiler först.

Möjligt. MBAM har varit det jag använt hittills och det funkar mot Ukash viruset varje gång, AV funkar dock inte eftersom det inte är ett virus egentligen, snarare spyware/malware.

Skrivet av CeciliaB:

Att Ukash-trojanen är aktiv i felsäkert läge tyder på att det är ett rootkit inblandat, åtminstone är betydligt mer inblandat än bara ett par enkla registernycklar. Backup kan man ju greja genom att starta från Puppy Linux eller någon annan distribution.

Jag brukar använda FRST, RogueKiller, ComboFix för att vara säker på att datorn med stor sannolikhet blir ren. Men det är ju verktyg som man behöver kunskap om för att använda på rätt sätt, annars är risken stor att man förstör något i Windows när man ska ta bort de skadliga filerna.

Vi snackar att kunder ska kunna göra det över telefon. Försök beskriva det där för en 70 åring och få han att lyckas. Knappast enkelt. Jag vet hur man gör backup och med vad, men det är att få det att vara så enkelt för kunden som möjligt. Kravet är ju liksom att kunden ska kunna rensa datorn med en dator och utan andra operativ.

Visa signatur

Citera om du vill ha svar, hjälpte jag dig, gilla svaret!
Felkod40

Permalänk
Medlem
Skrivet av freddyfresh:

Vi snackar att kunder ska kunna göra det över telefon. Försök beskriva det där för en 70 åring och få han att lyckas. Knappast enkelt. Jag vet hur man gör backup och med vad, men det är att få det att vara så enkelt för kunden som möjligt. Kravet är ju liksom att kunden ska kunna rensa datorn med en dator och utan andra operativ.

Alldeles riktigt, det går inte. Jag hjälper folk i forum och inte över telefon. Men det är inte bara Ukash-trojanen som kan sitta så hårt att specialprogram krävs utan det finns ju många typer av skadliga program som innehåller rootkit och inte enkelt kan tas bort med MBAM etc. och någon enkel ändring i registret.

Permalänk
Medlem

Brukar köra med kasperskys rescue-cd för att ta bort det här viruset då jag inte kommer in i felsäkert läge. Kan kanske fungera i det här fallet också. Annars avakta någon dag och se kan vara en variant som antiviruset inte känner till ännu.