Hej og velkommen til.
Hent Malwarebytes fra anden pc og læg den på usb pind.
Start op i fejlsikret tilstand og insteller programmet:
http://download.cnet.com/ (...)
Kør en tur med den og slet hvad den finder.
Genstart pc og kør normalt med den. Prøv at se om du kan opdatere Malwarebytes til nyeste version og kør en fuld scanning.
Husk at fjerne det den finder igen.

Nu har jeg den på USB, men hvordan starter jeg scanningen på den anden pc(er ikke så garvet udi pc) der står en masse ting når jeg lukker den op, men ikke noget med scanning?

Du opstarter den syge pc i fejlsikret tilstand og installerer Malwarebytes fra din usb pind.
Husk at højreklikke og kør som admin.
Kan du ikke få lov til det?

Fik lukket programmet op, men den kan ikke scanne, starter slet ikke scanningen, skriver at det er holdt op med at fungere og lukker.

Kan du få lov til at gå i joblisten?

Jeg prøvede at downloade igen, uden at åbne den, fik så ikke opdateret, men den scanner nu, så må jeg se.

Så har den scannet hele computeren, og den viste ingen fejl, er det fordi programmet ikke er opdateret? Hvad kan jeg ellers gøre?

SYSTEMGENDANNELSE !!

(Ikke at forveksle med FACTORY RESTORE)

Jeg har lige gjort det, og den startede uden den omtalte side, nu scanner jeg lige igen, med det program, som du anbefalede, det tar' en god time, så håber jeg det er klaret.

Ser foreløbig ud til at virke, tak for hjælpen.

Ping...

(Dette er så et [svar] - bør deles med andre ...)

---

* Oprydning med CCleaner
* Opret et FRISK SYSTEMGENDANNELSESPUNKT
* CCleaner - værktøjer - Systemgendannelse - Slet de gamle punkter
* Defragmentering

svar.
Tjek begge svar af, så deles point når du accepterer disse

Ps Jeg vil anbefale du har både Malwarebytes og CCleaner som faste programmer på din pc til at holde den fit for fight.
Kør med dem begge en gang om ugen ca. Husk at opdatere Malwarebytes før scanning hver gang.
Fortsat god weekend

Alt er gjort, men jeg ved ikke hvordan man lukker tråden igen.

Alt er gjort, men jeg ved ikke hvordan man lukker tråden igen.

Du sætter et tjektegn i svarene ude til højre i indlæg #11 og 12 og accepterer dem:
http://www.youtube.com/ (...)

Okay du fandt ud af det. Fint.

Jeg har været hos mange kunder, som havde denne virus. I alle tilfælde var der en fil, som lå i C:\ProgramData som hed FullRemove.exe. Ved at fjerne den, var problemet midlertidigt løst, og efter en scan med Combofix (ikke erfarne brugere: GØR DET IKKE SELV!!) var den helt væk.
Men nu for første gang lykkes det ikke som jeg vil. FullRemove.exe findes ikke. Har dog fundet ud af nogle ting.
Jeg har først startet computeren i fejlsikret tilstand. Virussen er ikke aktiv der. Jeg åbnede en command prompt, og aktiverede Administrator-kontoen (net users administrator /active:yes)
Jeg genstartede computeren normalt og loggede på som administrator. Virussen kom IKKE op. Jeg skiftede brugeren (uden at logge af), og så snart jeg loggede på som den anden bruger, poppede den der skærm op, at computeren er blokeret. Med Ctrl+Alt+Delete skiftede jeg brugeren tilbage til Administrator, og jeg afsluttede en proces ad gangen, som var startet af den anden bruger, og skiftede tilbage til den normale bruger, for at se om den der skærm stadigvæk blev vist. Først da jeg slukkede for WUAUCLT.EXE kunne jeg bruge brugerkontoen normalt. Jeg kunne sagtens starte WUAUCLT.exe igen, uden at virussen poppede op. Først da jeg loggede brugeren af, og på igen, dukkede virussen op igen.
Vha. Process Explorer (SysInternals) kan man iøvrigt suspendere WUAUCLT.exe, og det slår virussen også ud midlertidigt.

Altså konkluderer jeg, at virussen har kædet sig sammen med WUAUCLT.EXE, men kun under et bestemt brugernavn.
Jeg er nu i gang med Malwarebytes, og den har fundet nogle ting, men den er ikke færdig endnu. Så snart jeg har fundet ud af problemet, eller har yderligere informationer, melder jeg mig igen.

Venlig hilsen

Albert van Harten
Havécom Danmark

PS Jeg er klar over at tråden er lukket, men måske kan nogen bruge ovenstående til noget fornuftigt.

Lige en opdatering: Iflg. Process Explorer er der flere filer i brug af wuauclt.exe, bl.a. tre gange ntdll.dll. Ved at stoppe den første instans skete der intet, ved at stoppe nr. 2 stoppede jeg også virussen. Så virussen ligger altså i ntdll.dll. Altså en af de vigtigste filer i Windows. Forsøger nu at gendanne den fil.

En sidste update for i aften:
Jeg har omdøbt wuauclt.exe til wuauclt.avh (efter jeg har sat ownership til nuværende bruger og full control right til alle). Bagefter har jeg installeret WindowsUpdateAgent30-x86.exe /wuforce, men sjovt nok blev der ikke oprettet en ny wuauclt.exe. Windows kan stadigvæk opdatere. Eftersom filen wuauclt.exe ikke mere eksisterer, kan den heller ikke starte op. Virussen brugte den fil som udløser, så virussen er nu indkapslet. Den er ikke mere aktiv. Nu bare vente på et antivirusprogram der kan fjerne infektionen.

Jeg håber at nogen kan bruge mit skriveri, om ikke andet for at finde ud af hvad virussen er i stand til.

Albert

Er lige nu hos en kunde, som har samme virus, og denne gang har den kædet sig sammen med netsh.exe

Albert

Det viser sig, at der er en mappe i c:\users\<brugernavn>\appdata\roaming som hedder hellomoto. Man kan fjerne mappen, og så er virussen død. Men der er en anden udløser, fordi ved genstart af computeren er den tilbage.
Det man kan gøre: tøm denne mappe, indstil ejerskab til SYSTEM-account, og fjern adgang for alle og enhver (altså ikke til brugergruppen "alle").
Udløseren er der stadigvæk, men virussen har i hvert fald ingen adgang.

Hej. Hvordan kommer jeg ind i fejlsikret tilstand, og hvordan bære jeg mig ad med at installer programmet??

Fejlsikret tilstand kommer man ind ved hjælp af at taste F8 gentagne gange ind under opstart af en computer. Det kræver for det første at tastaturet, hvis det har en USB-tilslutning, kan bruges inden Windows er startet op. I tekniske termer hedder det at "USB Legacy" er sat til "i BIOS". For det andet kan det være at der popper et vindue op ved at trykke på F8, hvor man skal vælge fra hvilket medie man vil starte sin computer op. Der skal du vælge din primære harddisk, men jeg kan desværre ikke fortælle dig hvilken det er i din computer. LIGE efter du har valgt harddisken, skal du begynde igen at hamre løs på F8-tasten, indtil computeren spørger (indenfor et par sekunder altså) om du vil starte normalt, i fejlsikret tilstand, fejsikret tilstand med netværk, fejlsikret tilstand med kommandoprompt og en hel bunke af muligheder mere.

Håber det hjælper dig lidt.

OPDATERING: Havécom Danmark gør opmærksom på at der findes en ny version af denne slemme fyr. Læs mere om det på http://www.edbblog.dk/ (...)