Sidan designad av
Bara en räknare
Mar
14
“Ny” elaking låser datorn och kräver lösensumma
14 Mar 2012
Ibland är elakingarna förutsägbara och tråkiga, och ibland är de lite uppfinningsrika. Nu har en ny variant av en lite äldre trojan dykt upp, denna gång på svenska.
Det handlar om en så kallad lösensummetrojan (smaka på det ordet… Ransomware på engelska). Denna är väldigt elak och jobbig. När den aktiverar lägger den upp en bild över hela skärmen och stänger av tangentbord och mus. Man kan liksom inte göra så mycket då.
Jag vet inte exakt vilken version av trojanen det handlar om eftersom jag inte fått in någon exempelfil. Tyvärr vet jag heller inte var den kommer ifrån. Personen ville inte uppge det. Dock medgav personen att det handlade om … ska vi kalla det en “natursida” med många hudfärgade pixlar på bilderna (om du förstår vad jag menar). Så här ser det ut när man är …toast… (klicka på bilden för större version):
Som du ser så är det polis-loggor överallt och hela skärmen är täckt. Det är rätt snyggt gjort. Man har helt enkelt kört upp ett Internet Explorer-fönster i helskärmsläge. På maskinöversatt svenska står det att man gjort en massa brott och att polisen blockerat datorn så att man inte kan göra vidare brott. För att få tillbaka sin dator måste man betala böter på 100 Euro. Hmm… bara det borde vara en fingervisning om att inte allt står rätt till.
Om det är en ny variant av en äldre trojan (vilket jag misstänker) så handlar det om trojanen Ransomlock som nu alltså kommit i en svensk variant. Den är som du märker väldigt jobbig när man fått in den. Inte nog med att datorn är låst tills man betalar lösensumman – den stjäl information också! I tidigare varianter har den stulit lösenord till e-posten, pokersajter, FTP-konton, certifikat etc. Om man råkar ut för denna så är det viktigt att man byter samtliga lösenord efteråt.
Denna är mycket svår att få bort. Speciellt eftersom den låser ned datorn och startar varje gång man startar om Windows. Ett sätt kan vara att boota om datorn från Windows-skivan och välja att reparera en trasig installation. Ett annat kan vara att starta om i felsäkert läge och sen köra Norton Power Eraser och försöka få bort trojanen den vägen.
Eftersom man inte vet vad mer trojanen kan ha laddat ned så är det säkraste alltid att installera om Windows. Har du en bra backup så är det inga problem. Kom dock ihåg att inte ta backup på program utan bara bilder, musik och egenskapade filer (.doc, .xls etc). Installera om programmen från orginalmedia efter ominstallationen av Windows.
Som jag skrev ovan vet jag tyvärr inte var den kommer ifrån. Dock misstänker jag att man infekterar dig automatiskt när du kommer in på en preparerad sida med hjälp av ett kommersiellt attackverktyg vid namn Black Hole Exploit Kit. Det är ett av de attackverktyg som används mest de senaste åren. Den är mycket avancerad och “pålitlig”. De som köper och använder den kan räkna med en bra “return on investment”. Som vanligt gäller det att hålla datorn uppdaterad. Ofta använder de attacker mot tidigare kända säkerhetshål för att infektera dig. Håller du datorn uppdaterad minskar den risken.
En gissning är att trojanen är rysk till ursprunget. När de som ligger bakom den registrerar domäner för sina elakheter så använder de ofta e-postadresser som slutar på .ru. Det kan dock vara så att det handlar om kapade mejladresser som råkar vara ryska, men det är nog en rätt kvalificerad gissning att elakingarna bakom den är ryssar.
Vi tittar vidare på detta och jag kommer återkomma om och när vi får reda på något mer. Vet du mer om denna så får du gärna höra av dig. Speciellt om du vet var man kan hitta en preparerad webbsida. Vi vill såklart ha tag i trojanen så vi kan lägga in den i våra skyddsprogram.
Uppdatering: Det finns kanske ett sätt att lura trojanen. Läs detta och prova om du råkat illa ut.
Taggar: Bedrägerier, Intrång, Jobbigt, Säkerhetshål, Trojaner
Svensk trojan låser datorn och kräver lösensumma…
Säkerhetsexperten Per Hellqvist uppmärksammar idag en ny trojan som låser din dator och kräver att du betalar en lösensumma för att återfå tillgången. Den här typen av trojaner har funnits länge, och de kallas för ransomware, men den här sticker ut ur …
[...] via ett inlägg hos Tommy K Johansson vidare till säkerhetsexperten Per Hellqvists blogg och läser där om en ny trojan som kidnappar datorn och kräver en lösensumma för att den ska gå att använda [...]
[...] är ”Awareness Raising” Läs mer: http://blogg.tkj.se/polisen-boter-bedragier-it-brott/ http://blog.perhellqvist.se/blog/2012/03/14/ny-elaking-laser-datorn-och-kraver-losensumma/ http://www.dn.se/nyheter/sverige/nytt-natvirus-fran-polisen-och-regeringskansliet [...]
Råkade ut för denna i Frankrike när jag klickade bort en annons på thepiratebay.
Skulle kosta 200£ där…
Är dock enklet att ta bort starta om i safe mode med nätverk och gå till http://www.mcafee.com/us/downloads/free-tools/stinger.aspx
Tar bort skiten lätt som en plätt. Absolut onödigt med ominstallation!
Viruset låg i c:\Users\\AppData\Local\Temp som en exe-fil med slumpmässigt namn (t.ex arg447408.exe).
File Desc: Total Commander Administrator Tool
File Size: 208 408 bytes
Company: Ghisler Software GmbH
Ikon: Blå floppy-disk, med gul/röd utropstecken.
Filen startas via “All Programs/Startup”
Vid uppstart tryck Alt-Tab och välj filhanteraren som är igång. Gå till mappen och ta bort filen(erna). Starta om. Ta bort startkommandot ur Startup-katalogen.
Varken Stinger eller mitt antivirusprogram kunde hitta det och ta bort.
Alt: gå till Windows\System32 och kör cmd.exe som Admin. kör sen taskmgr.exe från cmd, och döda alla processerna iexplore.exe, notepad.exe och explorer.exe, starta en ny explorer via cmd och nu kan du använda datorn normalt igen. Ta då bort viruset enligt ovan.
Glöm inte att scanna hela datorn efteråt med ett ordentligt antivirusprogram, då det möjligen kan ligga kvar andra virus/trojaner eller malware.
Det kan även vara bra att rensa bort alla temporära filer och cache för både Windows och din webläsare.
jag har försökt få bort filen med alla ovanstående alternativen utan att lyckas. Problemet är att jag inte kan ta bort det eftersom det används av Rundll32. tips?
Ok Fredrik, du får starta en taskmanager i admin-läge och helt enkelt slå ihjäl de rundll32-processer som ligger igång.
Dvs: gå till Windows\System32 m.h.a utforskaren och kör taskmgr.exe som admin.
Lycka till.
Ett annat alternativ är att först ta bort
startkommandot/länken till viruset/trojanen i mappen “All Programs/Startup” och sen starta om. Förhoppningsvis ska datorn då starta normalt och du kan ta bort Virus/Trojan filen utan problem eftersom denna då ej borde vara laddad/låst av rundll32.
Fick trojanen via fileserve när jag skulle ladda ner:
http://www.fileserve.com/file/FU2Mnng/Adventure.Time.with.Finn.and.Jake.S02E04.Power.Animal.Crystals.Have.Power.WEB-DL.AAC2.0.H264-12DOG.mp4
(inte när jag öppnade sidan utan när jag klickade på att ladda ner gratis och den vanliga reklamen poppade upp. brukar normalt bara stänga ner reklamen genom att högerklicka på reklamens flik, men denna gång öppnades varningsfönstret) Jag använde Opera, btw.
Jag kan INGET om datorer så jag gjorde bara så gott jag kunde. Detta gjorde jag:
Ryckte ut modemsladden ur väggen.
Startade om i felsäkert läge.
Viruskollade hela datorn (medans jag sov) med AntiVir men det verkade inte funka som det skulle för den stannade på 22% trots att den fortsatte gå igenom filer, och när jag vaknade såg jag den gå igenom samma filer som när jag gick i säng.
Den hittade de vanliga WinRar, och sådant som jag satte på ignore eftersom jag visste att de var ok.
Den hittade också en fil vid namn “opr8IECR.tmp” (eller möjligtvis opr81ECR.tmp) som jag lät den sätta i karantän eftersom jag inte visste vad det var.
Startade om datorn som vanligt.
Internet Explorer täckte hela skärmen igen men utan polisvarning (kanske för att internet var borta?). Det dök upp ett löst IE-fönster också (med ett IP-nummer som url) så jag var inte helt låst som tidigare. Passade på att radera cache och sånt. Pillade en massa tills IE stängde ner sig (kanske krashade?), även den fullskärmsvarning som hindrat mig att komma åt startmenyn.
Fältet där man ser datum och tid hade bara ikoner för Safely Remove Hardware och en till som kanske var Sound Effect, och resten som brukar vara där var borta. Aktivitetshanteraren funkade inte.
Fick detta meddelande: “Task manager has been disabled by your administrator”.
Tittade i startmenyn under “Startup” för att se om nåt konstigt dykt upp på att autostarta. Hittade Adobe Gamma Loader (kollade egenskaper och adressen ledde till Adobe Photoshop-mappen) och “Run Registration Tool” (WiFi som jag haft sedan jag köpte den för många år sedan), och nåt mystiskt med namnet “wpbt0.dll”. Kollade egenskaper för att se var den låg och den hade en mystisk dubbel adress:
“D:\WINDOWS\system32\rundll32.exe D:\DOCUME~1\XXXXXXX\LOCALS~1\Temp\wpbt0.dll,NameFunEx”
Startade om i felsäkert läge.
Jag tittade först i den första halvan av adressen men rundll-filen såg bekant ut och det fanns ingen wpbt0.dll där. Sen kollade jag den andra halvan av adressen (D:\Documents and Settings\XXXXXXX\Local Settings\Temp) och där låg det en fil vid namn wpbt0.dll och den hade exakt samma datum och klockslag som då jag fick denna trojan. Jag deletade den. Sedan deletade jag genvägen till den från “Startup” i startmenyn.
Startade om normalt.
Nu startade datorn utan att skärmen täcktes. när fältet där klockan finns nere till höger började fyllas av de tidigare frånvarande ikonerna så fick jag syn på Spybot-SD som jag glömt att jag hade så jag körde den för att se om den skulle hitta nåt. Den hittade en Registry Change för Task Manager, och lite diverse cookies. När jag klickat i att den ska fixa problemen så kunde jag använda task manager igen.
Ingen aning om det är bra nu eller om det fortfarande finns kvar något. Har kört Avira Antivir och Spybot flera gånger men de säger inget och datorn uppför sig normalt.
Glömde säga att Adventure Time är en tecknad TV-serie som sänds gratis på nätet fast jag kan inte komma åt kanalens hemsida och se den för den är för “tung” för min stackars gamla dator. Tänkte bara nämna det så du inte behöver oroa dig för hudfärgade pixlar om du vill kolla om problemet finns kvar på sidan
Och jag har kvar IP-adressen som syntes i det ej maximerade IE-fönstret. Verkar vara ryskt. När jag startat om datorn utan internet så visades ett annat IP där och det verkar vara från USA. Inte för att jag vet vad jag pratar om, men i alla fall =P
@Musse!
Ladda ner Malwarebytes och kör en scann, det hittar väldigt ofta saker som dom “vanliga” AV programmen missar. http://majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html
Hittar Malwarebytes något så kan du gärna kommentera om det.
@Per Hellqvist
Har du vågat dig in på Fileserve-länken jag gav och sett om du lyckats fånga dig en liten lösensummetrojan?
@Johan
Tack för länken! =)
Innan jag såg ditt meddelande så kollade jag “D:” (där jag har Windows) med Avira ännu en gång. Ställde in Aviras egenskaper så den skulle kolla ALLA filer och inte bara de troligaste. Denna hittades nu:
D:\Documents and Settings\XXXXXXXX\Local Settings\Temporary Internet Files\Content.IE5\2Y9SQD21\info[1].exe
Fast när jag letade efter den i Utforskaren fanns ingen mapp vid namn “Content.IE5″ där.
Jag tog bort filen med hjälp av instruktionerna här:
http://www.novirus365.com/Softwareantivirus/64232.html
Körde Malwarebytes (både quick och full scan) och sedan Spybot och Antivir ännu en gång, och de hittade inte något så det kanske är bra nu =) Om den rackarns trojanen inte skickat en massa privat info någonstans förstås…
@Musse
Om jag skulle sprida en trojan från min hemsida, så skulle det inte märkas förrän datorn startats om, och jag tror det är så dessa “ryssar” gör. Min bror drabbades av denna Trojan, när han satt och lade patiens! Frågan är vilke sajt han besökt föregående dag, då han kanske blev smittad. I en virtuell PC har jag försökt bli smittad med hjälp av din länk, men inte lyckats. Det skulle vara intressant att se din surfhistorik före omstarten när du upptäckte problemet, eftersom det är genom uppstartsfunktionen som trojanen aktiveras.
Intressant kan också vara vilket version av Windows du kör, och versionen av Opera.
Denna trojan har slagit till i min mans dator. Vi är ett par i 70-åldern och inte klarar vi av sånt här.
Datorn har låst sig och det enda som kommer upp är just Polisfönstret. Man kommer inte in i Windows alls.
Jag skriver från en annan dator.
Om jag skulle säga till gubben att uppdatera antivirusprogram och Windows (7), så skulle han inte begripa hur man gör.
Datorn är en HP G72 med Windos 7.
Jag kan inte komma ihåg om det fanns någon recoveryskiva med.
Vad gör man?
Trojanen vill ge sken av att man besökt någon “olämplig” sajt, men kan spridas på många andra sätt också, så var inte rädd att ta hjälp av någon granne, barnbarn eller annan ungdom ……
Steg ett är att rädda eventuellt data i datorn, som ni vill ha kvar. Man kan starta datorn från ett USB-minne (se t ex http://www.knoppix.com) och spara undan på detta minne de bilder, dokument o dyl man vill bevara.
Steg två är att installera om Windows. Personen som klarar steg ett kan säkert hjälpa till med detta också. Datorleverantören kan säkert hjälpa till också, till en viss kostnad.
Råkade precis ut för detta. Men åtgärdade det väldigt enkelt efter förslag härifrån. Läs kommentar nr 4 ovan. Att det fungerade är kanske beroende på operativsystem. Jag har Windows 7. Så här gjorde jag.
1.Startade om datorn i felsäkert läge med nätverk. (när datorn startats om kommer först en “promt” med att köra setup och när denna slocknat blinkar en markör uppe i vänstra hörnet, TRYCK då F8.)
2. Starta datorn i felsäkert läge med nätverk
3. Surfa till http://www.mcafee.com/us/downloads/free-tools/stinger.aspx
och ladda ner programmet.
4. När det är nedladdat så går du till mappen där det sparats och kör programmet.
5.Glöm inte att kolla OBS för vissa operativsystem. Man måste stänga av återställningsfunktionen annars sparas viruset i detta. Jag behövde dock inte göra detta.
6. I programmet är det sen bara att trycka på “scan” och du kommer att se att programmet hittar filen och att den är rensad.
@Misse
Stäng av datorn med Power-knappen genom att hålla den intryckt tills datorn stängts av. Tar 8-10 sekunder. Därefter kan ni troligen få igång datorn utan att “spärrbilden” dyker upp på en gång.
Spara ner på ett USB-minne de bilder och dokument ni vill ha kvar.
HP-datorer har en inbyggd återställningsfunktion för att få datorn i det skick den levererades ( återställningspartition). HP har säkert skickat med eller kan ge instruktioner på telefon hur ni ska göra återställningen. Det står nog på deras hemsida också.
Hej!
Min andra dator har drabbats av detta viruset.
Det är en laptop så det blir lite svår!
Snälla hjälp.
Det är en dell och är ganska gammal
Jag är inte ett geni på datorer.
Kan ej heller på upp någon sida för länkarna eller start knappen där nere är borta!
Hur gör jag?
[...] “Ny” elaking låser datorn och kräver lösensumma [...]
Hej alla! Stort tack för alla kommentarer! Ursäkta att jag varit frånvarande. Jag tror att det finns ett sätt att lösa detta enkelt. Kolla in detta: http://blog.perhellqvist.se/blog/2012/03/22/lura-polis-trojanen/ Kanske någon har möjlighet att prova och återkomma?
Hej!
Jag drabbades av “Polisen” för någon vecka sedan.
Hade som tur var sett info om eländet och bl a följt länk till denna sida. Var alltså “förberedd”.
Löste problemet enligt följande:
Startade i felsäkert läge. Tryckte på startknappen
och skrev msconfig i sökfältet (W7, i XP skriv det i körfältet). I W7 klickade sedan på “msconfig” som hittades. Under fliken Autostart fanns sedan boven. Avbockade den och startade om datorn vilket gick normalt. Letade sedan reda på argxxxxx-filen enligt ovan och tog bort den.
Körde för säkerhets skull SpyBot och FSecure men de hittade inget. Har inte märkt något skumt efter detta.
hej. tog bort viruset så här
Gå in i felsäkert läge med nätverk, gå till microsofts sida, gå till Microsoft Security Essentials (detta funkar inte i felsäkert läge) men på samma sida finns ett program som hette microsoft helth care, körde genomgång av hela datorn (3 timmar)8 skadliga filer hittades och togs bort. därefter gjorde jag en diskrensning också för att tömma på allt onödigt trams som sparas på datorn.. det verkar som det är helt borta nu.. körde f-secure efteråt men det hitta inget.. hoppas det funkar för er andra också.. lycka till
RÄTTELSE… jag skrev fel. Microsoft safety scanner ska det vara inte microsoft helth care . Ligger under säkerhet på Microsofts hemsida.
Eslövs kommun fick ett krav på 60 € enl Svenska Dagbladet vid total stoppet.
Kan någon tipsa dom om hur man fixar problemet?
Jag använde tipset att starta om i felsäkert läge och sen köra
Norton Power Eraser
och försöka få bort trojanen den vägen.
Det verkar fungera för jag använder datorn utan problem nu….
Fick troligen en “polis” på piratebay.
Har försökt att starta om i felsäkert läge både med och utan nätvek för att lyckas öppna task managern och klicka ur lämplig fil vid uppstart, men hur jag än gär vinner trojanen och jag kommer bara till den vita “polissidan”. Kör windows XP.
Har testat kodnumret på Pers blog, men det funkar inte på den variant av trojanen som jag fått.
Vad göra?
har testat att starta i felsäkert läge med kommanotolken och skriva tasmmgr.exe och då får jag upp den….återstår bara frågan vilka processer som skall svslutas?? Eller är det något annat jag skall skriva göra?
Fick “Polisen” och provade Bosses tips, fugerade helt perfekt. Installerde också Malwarebytes och scannade med den och hittade ytterliggare 1 trojan. Rekomenderarar Bosses tips.
Fick “Polisen” här om dagen och provade Bosses tips, fungerade perfekt. Installerade också Malwarebyes och hittade ytterliggare en trojan. Min rekomendation är Bosses tips.
Kan inte öppna datorn i flesäkert läge med nätverk. Det är en liten eepc som jag laddar ned lite musik och annat med och därför använder jag den sällan och jag gissar att virus def är gamla. Hur som helst så uppträder en del problem för mig med alla vänliga tips……..
1. Jag är datoranalfabet…:-(
2. Windows ligger förinstallerat på HD och inte på någon disk.
3. Jag kan inte öppna datorn i felsäkert läge med nätverk utan bara med kommandotolken.
Har testat att boota datorn via ett usb mkinne med resque filer från AVG…hittar inget! ?
så nu har mina ideer och kunskap tagit slut…
Vad gör jag?
Kan iofs tänka mig att blåsa om datorn då jag inte har nått viktigt på den, men vill inte för då “vinner” polacken eller ryssen som skapat skiten….så av princip så SKALL det besegras?
HJÄLP någon?
Är det här en version av “Metropolitan Police Ukash”? Den verkar ju fungera på ett likartad sätt, fast den senare är på engelska, enligt vad jag läst i nätet. Själva det skadliga programmet i den ska tydligen heta “[random].exe”.
Dottern fick denna igår och hon porrsurfar INTE! =)
Jag löste det ännu enklare men vet inte om det är optimalt men det funkar.
Starta om datorn i felsäkert läge och backa till en tidigare återställningspunkt i Windows och vips så är programmet inte installerat längre.
Jag tror dessa fulingar kamoflerar sej som vanliga länkar när man googlar och man kan inte skydda sej mot dom. Däremot upptäckte jag efter reparationen att Microsoft Security Essentials var avstängt och gick inte starta igen, installerade om det och körde en scan dock. Inga problem hittades =)
%%fokuskw%%…
Säkerhet…
Min dotter fick också detta “virus”. Vi har PC med Win7. Jag startade om i felsäkrat läge och backade till en äldre systemåterställning. Startade om PC:n och allt verkar funka. Därefter uppdatering av “alla” program (windows update, Microsoft Security Essentials). Följt av scanning, som inte hittade något. Sedan kollade jag igenom alla Temp kataloger och på min dotters användarkonto i Tempkatalogen för IE hittade jag filen “superfish.args[1].js” med datum som sammanfaller med tiden då PC:n låste sig. Ingen aning om vad detta javascript med okänd utgivare är för något eller vad det gör. Men skriptet är i alla fall nu raderat.
Nu verkar allt vara funkis, men jag vet ju inte om det finns kvar något på datorn. Någon som har några tips eller rekommendationer?
/R
Jag blev av med “Polisjäveln” genom att starta WindowsVista i felsäkert läge, och göra en systemåterställning. WindowsVista föreslog en tidpunkt bara två dagar innan jag blev infekterad. Efter systemåterställningen sökte jag av datorn med Malwarebytes Anti-Malware, och hittade en liten plitjävel som heter “Trojan.FakeAlert” som raderades. Har sedan kört uppdatering och full genomsökning med Microsoft Security Essentials, kliniskt rent blev svaret. Lycka till alla andra!
Den har kommit i finsk variant också *morr*
Har virusscanning på och internet borta, får se om det hjälper.
Jag har fått denna fruktansvärda inte överhutaget starta datorn, det kommer upp följande “Det gick inte att starta Windows eftersom följande fil saknas eller är skadad: \WINDOWS\SYSTEM32\CONFIG\SYSTEM” Hur kan man gå vidare, har försökt starta upp med Windows XP skivan utan att lyckas, kommer ett felmeddelande. Är det bara att kasta datorn eller… Tacksam för alla förslag för att kunna starta upp eller formatera om.
Jag fick detta virus i datorn jag har Vista, när jag fick det hade jag ett flertal olika sidor uppe eftersom jag satt och jobbade hemifrån. Det som löste det hela för mig var jag loggade om och använde felsäkert läge klickade på startknappen och gick till Tillbehör, systemverktyg och drog ut en genväg till systemåterställning på skrivbordet.Jag gjorde också datorn “trög” genom att plugga in något i alla USB portar så att jag skulle få lite mer tid vid omstart att hinna klicka på systemåterställnings ikonen, jag hann precis få igång processen så bilden dök aldrig upp. Sen återställde jag ett par veckor tillbaka. Jag vet dock inte om filerna finns kvar i datorn har gjort ett flertal viruscheck och hittat 18 olika virusfiler hitills??!! Ingen av de tipps som nämndes här ovan funkade för mig tyvärr. En riktigt jobbig trojan den här men den verkar bestå av ett flertal filer. Ja har ändrat alla lösenord för säkerhets skull.
Satt och letade på nätet efter bra bilder för vår hemsida i pensionärsföreningen då datorn plötsligt blockerades. Inget av det de påstår har jag gjort.
Vad kan jag göra nu???
Fick nyss den jäkeln. Medan jag satt och leta på via annan dator hitta “säker surf” den och tog bort den. Startade om och allt verkar funka. Krävs det något mer?
Jag laddade ner mcaffes stinger på en annan dator la filen på ett usb startade den infekterade datorn i felsäkert läge pluggade in usbet och scannade med stinger tog bort infekterade filer nu funkar allt igen men tar nog bakupp och formaterar om för säkerhets skull.
Jag provade tipset att systemåterställa till ett datum före problemet och det fungerade!!! Tack till alla som tipsat om åtgärder för denna polisjävel som inget viruprogram verkar komma åt.
Fick denna för några timmar sedan och efter många om och men och ett antal svordomar lyckades jag till slut få bort det på följande sätt:
(Windows 7)
1. Startade upp datorn i Felsäkert Läge (F8 i bootup)
2. Körde igång msconfig.
3. Hitta en väldigt misstänksam fil i Autostart: topctfewketknea (C:\ProgramData\topctfew.exe).
4. Tog bort ovannämnda fil och startade om burken.
Hittills funkar allt perfa, skannar igenom hela datorn med diverse anti-virus och anti-malware progam för att få bort eventuella rester/kopior.
Hoppas det här hjälper de som fortfarande har problem med det här förbenade virusf*nskapet!!!
Ett sätt som jag fixade detta var via återställning. Tryckte F8 innan windows symbolen kom (jag har windows 7). Återställde datorn till en tidpunkt innan jag installera en java uppdatering (det visade sig vara denna som var infekterad lr nåt) och sedan var det bara att ladda ner secunia, Comodo, och x-antal andra antimalware program.
Fick skiten idag när jag googlade på “mercedes”, tror nog att det ligger latent en stund för att inte avslöja källan. Provade all typ av städning med litet resultat. Återställning till 10/7 tycks funka. Frågan nu är vad skit finns kvar, vågar jag gå till banken eller andra konton? Måste jag byta allt?
Jag har lyckats få bort detta. Jag kör W7 64-bit och efter lite surfande på “vuxensidor” drabbades jag av den här trojanen. Så här fixade jag det:
När datorn låste sig och det fejkade polismeddelandet visades tryckte jag Ctrl-Alt-Del och valde i högra nedre hörnet att logga ut. Windows börjar då att stänga ner all programvara inkl. trojanen. Samtidigt brukar en del processer ta tid och Windows frågar då om man vill forcera logout. Då tryckte jag Cancel och kunde sedan komma in i Windows utan att trojanden var aktiv. Dock krävdes det att jag dödade explorer.exe i task managern och sedan startade upp den igen. Slutligen laddade jag ner både Norton Power Eraser och Malwarebytes Anti-Malware då varken Forefront Client Security eller Microsofts malicious software removal tool lyckades skydda mig eller ta bort eländet. Nu fungerar min dator perfekt igen.
Jag har också råkat ut för problemet, jag skrev ihop en blog post om hur jag löste det:
http://www.carl-berg.se/post/fighting-ransomware
Hur kan man fastställa ifall man fortfarande har kvar trojanen eller om man lyckats tagit bort den 100%?
När jag fick upp skärmen bootade jag direkt om datorn och drog en scan. Jag har sedan dess inte fått upp skärmen som låster datorn någon mer gång. Jag använde mig även av #17 Benny’s förslag och körde http://www.mcafee.com/us/downloads/free-tools/stinger.aspx som inte hittade något. Så kan jag med 100% säkerhet säga att jag har lyckats rensat datorn från denna trojan eller finns det yttligare steg kan jag vidta för att säkert säga att trojan är borta?
Till alla drabbade av detta skadliga datavirus.
Börja med att slappna av. Ta ett djupt andetag… andas ut… och följ sedan nedanstående 17 enkla steg så kommer ni att bli av med detta “Ukash”-virus från er dator. Att drabbas av ett Malware-virus kan vara stressande, speciellt om man aldrig drabbats tidigare och/eller inte har någon större erfarenhet av datorer och virus. “Polisen-viruset” är ganska lätt att bli kvitt.
Okej. Är ni med? Då kör vi.
Steg 1: Se till att få tillgång till en dator som inte är smittad.
Steg 2: Sätt i ett USB-minne i den datorn.
Steg 3: Gå till sidan http://www.malwarebytes.org.
Steg 4: Ladda ned gratis-versionen av “Malwarebytes Antimalware” till Skrivbordet.
Steg 5: För över detta nedladdade program till ditt USB-minne.
Steg 6: Ta bort USB-minnet från datorn.
Steg 7: Starta den infekterade datorn i “Felsäkert läge med nätverk” (så att man får tillgång till Internet). Detta gör du genom att klicka på F8 upprepade gånger strax efter start av datorn (möjligen någon annan F-knapp på vissa datorer, se manualen). Upplösningen på skärmen vid “Felsäkert läge” kommer att se tokig ut, detta är normalt och inget att oroa sig för.
Steg 8: När du är inne i “Felsäkert läge” sätter du i ditt USB-minne.
Steg 9: Leta upp filen på USB-minnet och för över filen “mbam-setup…” till skrivbordet och dubbelklicka sedan på den. Låt programmet installeras och uppdateras. Följ anvisningarna och godkänn det som kommer upp.
Steg 10: När programmet har installerats, klickar du på programmets röda ikon på skrivbordet, ett vitt “M” i en röd ruta.
Steg 11: Välj “Utför en fullständig skanning”.
Steg 12: Gå nu och gör några goda smörgåsar, nåt gott att dricka, sätt dig framför datorn, se Antimalware-programmet jobba och koppla av. Låt programmet arbeta och rensa de skadliga filerna.
Steg 13: När programmet arbetat klart, det brukar ta ca 45 min till 120 minuter, får du ett meddelande om att trojaner (eller nåt annat lika irriterande) hittats. Låt programmet ta bort dem.
Steg 14: Ta bort USB-minnet och starta om datorn i normal-läge (ej “Felsäkert läge” denna gång).
Steg 15: Kör “Malware Antimalware”-programmet en gång till, “Fullständig skanning”.
Steg 16: Om programmet hittar virus, låt det ta bort det.
Steg 17: Grattis! Nu har du återställt din tidigare infekterade dator och den är fri från Malware.
(Gjorde detta på flickvännens dator senast igår, med lyckat resultat. Det tog ca en timme att söka igenom den och få bort viruset.)
Mvh Robert
Datanörd sedan 1993
Förts och främst ett tack till alla som postat tips på att lösa detta!
Löste det genom Peter´s tips att använda Norton Power Eraser.
Startade i felsäkert läge och körde Norton.
tack
Blev drabbad av samma virus/trojan som ni beskriver. Försökte först med McAfee enligt #17. Gick in i fail safe läge via F8 och installerade ner filen från internet (annan dator) till USB. Stinger plockade bort 8 av 9 infekterade filer. Den sista låg under C:Documents and settings/local servce/local settings/temp.internet files content.IE5/ som någon random kod ( i mitt fall OXIVG5IV/upgrade(1).cab/UPGRADE.EXE
Stinger identifierade filen som trojan “Artemis!57A50A34E5AF” men kunde inte plocka bort den.
När jag letade lite i filerna hittade jag ett “ferrari”-liknande emblem med en gul bakgrund och en svart häst på. Det stod MS under. Jag klickade på den för att kunna plocka bort den men då kickade “Ucash” filen igång igen… Klicka med andra ord inte på dylik symbol!
Försökte sedan med #50 förslag och laddade ner MalwareBytes via USB. Det verkade funka. Efter en quick scan lyckades jag rensa bort “Ucash” i fale safe läget och kunde sedan starta om i vanligt läge.
Just nu kör jag en full scan och hittintils har programmet hittat 12 upptäckta objekt. Flera scanning omgångar är med andra ord att rekommendera.
B.T.W. så kör jag med Windows XP professional.
Tack alla ni som bidragit med tips.
[...] “Ny” elaking låser datorn och kräver lösensumma [...]
Fick viruset också. Jag gick först in på felsäkert läge. Sen försökte jag leta efter program som tar bort det men hittade inte, men så hittade jag “Norton Power Eraser” och där tog det bort nån cccccccc.exe fil tror jag och “sumo paint” fil. Sen gick jag in på “Felsäkert läge” och skannade efter virus med “SpyHunter” och då fanns inte Polis-viruset kvar men det var nån “pop-up” virus (kommer inte ihåg namnet) som var kvar och jag hade typ 564 virus och jag tror att polis-viruset är borta men vågar inte kolla för jag tror att den kanske kommer upp igen. Vad ska jag göra? Hade egentligen tänkt att ta med den till polisen om viruset var kvar men nu vet jag inte om den är kvar. Ska jag fortfarande ta med den till polisen då?
tackar som fan ! är helt iq-bad boll på datorer och sånt här ! men starta datan i fel läge nätverk eller vad det stod gick i oh sökte på google fick upp denna sidan ! läste kommentar 26 ( peter ) gjorde som han och nu funkar de ! tusen tack !
hejsan. jag fick en dator från skolan ja går på för 2 dagar sedan och det har kommit upp en exakt sådanruta och det går inteklicka någon stans förutom nån kod som ska skrivas in. sen startar jjag datorn i felsäkert läge då måste ja logga in (som varje gång) med mitt användar namn o lösenord men ja kommer inte in på mitt rätta namn o lösenord, vad gör jag? tackar för svar i förväg.
Min dotter fick detta virus igår, hon hade surfat runt med googlechrome då helt plöstligt IE öppnade sig med en himla massa flikar. Hon stängde ned dom sedan låste sig datorn med polisvirusbilden. Det mest oroväckande är att jag var inne på blocket imorse då jag helt plötsligt fick en “virus varning” från Microsoft Security Essentials. Jag har inte detta program installerat och blev misstänksam. Högerklickade på bilden visade egenskaper och det visade sig vara en .PNG bild med en länk under. Tryckte CTRL-ALT-DELETE och stängde ned bilden från aktivitetshanteraren. Klarade mig undan med hjärtat i halsgropen från att med största sannolikhet drabbas av viruset.
Fick upp en nyskapad version utav detta virus idag… For fort som attan in till affären och köpte ett paysafecard…. THANK GOD FOR kvittot… Står med stora bokstäver, om det handlar om att låsa upp datorn, kontakta kundtjänst.. Skönt att man har 1000kr att spendera på annat.. Men den nya bilden är oerhört mycket bättre gjord. Blev väldigt fundersam när det stod Polismyndigheten, anklagelserna och att om jag ej betalar inom 24h kommer det väckas åtal emot mig… Hm.. Känns inte alls bra att få ett sådant virus… Vilket jag verkligen hoppas att det är… Som tidigare person nämnt. google chrome verkar inte alls säkert ..
Fick detta ihelgen.. men jag fick nog en annan variant av detta virus.. för jag kunde ej starta i felsäkert läge utan bara i normalt.. så jag tog xp installations skiva och tänkte installera om på en annan pattion på disken men då visade c: som okänd pattion och då gick det inte att installera på D: i mitt fall. men lyckas få igång scandisk och reparede C: så till sist kunde jag installera och gå in och rensa C: disken
Helt klart är det ett nytt virus ute. För omkring 2-3 v sen fick jag in ett virus i en av våra datorer hemma, trots uppdaterade brandväggar och virusskydd. Var på Blocket när ett, till synes, program Win 7 (sen stod nåt mer) rasslade fram många infekterade filer. Blev misstänksam när bilden var så pixlig och amatörmässig ut. Stängde ner. Sambon har slitit sitt hår utan att få bort eländet.
Förra veckan satt jag på jobbet, som har ordentliga virusprogram, men fick samma sak på Blocket, dock en annan version. I båda fallen kunde man kryssa för och betala en summa. På jobbet fick man ominstallera hela datorn.
Idag fick jag höra att min väninna råkat ut för samma sak. Hon fick tyvärr ett dåligt råd av en support, att återställa datorn till ett tidigare datum och sen virusscanna. Hon gjorde detta men naturligtvis får man inte bort virus på det sättet. Förra veckan gick hon igenom datorn och upptäckte då att man länsat hennes konton på Swedbank. Min väninna är sjukskriven sen ett år och man har nu tagit rubb och stubb. Enligt banken har man sett att attacken skett från hennes dator, inte via bankservern, och man har kunnat leda detta till Polen, men sen säger de att man inte kan följa pengarna längre.
Det måste alltså betyda att Swedbanks system har hackats? Man ska ju ha en säkerhetsdosa med nya koder varje gång…hur har de lyckats plocka ut pengar flera gånger utan bankdosa? Det finns flera som kan vittna om att min väninna inte fanns hemma vid aktuellt tillfälle. Ersätter banken en sån här gång..?
Nummer 4 fungerade perfekt. Tack för hjälpen. Nu snurrar mina datorer igen rena och utan virus.
//Josue
Drabbades av polis viruset för 1 vecka sen och försökte först med Norton men sen när jag startade om så vart Polis grejen kvar på skärmen så jag körde förslag nummer 50 med Malwarebytes anti virus och det FUNKADE
har blivit av med Polis viruset…..Jippieee..tack för rådet Robert aka ” datanörd sen 1993 “
Fick det alldeles nyss och jag körd ctrl alt delete precis när jag logga in. Fick upp rutan och hann ta bort processen på mitt 10e försök. Körde virusscan, ccleaner, en systemåterställning och avmarkera processen på msconfig och radera filen. Den har inte kommit tillbaka än iaf.
Råkade ut för skiten ikväll på en Win7 64bit HP laptop. Tog fram en gammal Win98 laptop och började söka lösningar. Hittade hit. Lyckades lösa problemet genom att återställa datorn 9 timmar. Håller nu på med alla andra åtgärder som rekommenderas här. Ett stort tack till alla hjälpsamma och kunniga som tillhandahållit lösningar.
Hej! Jag fick skiten för någon dag sedan och blev vansinnig då jag hört talas om den och nu fick den. Jag provade ctrl, alt del men de funka inte. starta om med samma resultat… sen kom jag den brilijanta iden att använda mig av datorns egen “säkerhetsbackup” så jag startade med win7 skivan i och valde att reparera till den senaste backupen som gjordes några dagar tidigare. DET GICK! Som tur var hade jag olika diskar för arbete och operativ… =)
Hittade detta när jag surfade runt och bekräftar mina åtgärder….
Polisen varnar för IT-bedrägerier
HALLAND
Hallandspolisen har i år fått in ett 80-tal anmälningar från personer som har uppmanats att betala en avgift för att få sin dator upplåst. Nu går polisen på nytt ut med en varning.
Relaterat
- Vi vill än en gång informera så att inte folk tror att polisen ligger bakom, säger Thomas Tell, förundersökningsledare vid Hallandspolisen.
En stor mängd personer i hela landet har råkat ut för att ett meddelande visas på datorskärmen där de uppmanas att betala 100 euro för att få sin dator upplåst. I meddelandet står det att datoranvändaren har besökt webbplatser ”som innehåller pornografi, barnpornografi, tidelag och våld mot barn”. Det står också att ”videofiler som innehåller pornografi, våld och inslag av barnpornografi har installerats”. Polisen och regeringskansliet påstås vara avsändare till meddelandet.
Men det hela är bara en bluff, något som Hallandsposten tidigare har berättat.
- Det finns ingen anledning att betala några pengar, säger Thomas Tell och uppmanar folk att polisanmäla alla sådana här bedrägeriförsök.
Den som har fått ett sådant här meddelande på sin dator kan behöva ”låsa upp datorn”. Thomas Tell uppmanar alla datoranvändare att se till att operativsystem och antivirusprogram är uppdaterade.
För att få bort meddelandet kan en ordentlig rensning behöva göras. Ett tips från polisen är att starta om datorn i felsäkert läge och återställa systemet till en tidpunkt då man vet att att datorn inte var smittad av något datavirus eller annan skadlig kod. Det är också bra om man sedan kör ett antivirusprogram från felsäkert läge.
- Det brukar oftast räcka med dessa åtgärder, säger Thomas Tell.
Råkade ut för ukashvarianten av viruset för någon dag sen. Gjorde först en systemåterställning (från annan användare) som fick bort låsningen och körde sedan igenom med diverse antivirusprogram.
Först F-secure som inte hittade något, sedan Microsoft Security Essentials som fann 7-8 program, MalwareBytes som fann 3 och slutligen Norton Power Eraser som hittade noll.
Så ett tips är att prova med flera olika antivirus för att va säker på att ni får bort allt av skräpet från datorn.
Jag råkade ut för eländet i går när jag sökte efter en adress på hitta. Sök resultatet blev helt tokigt, när jag skulle backa till baks till sök fönstret igen så kom det upp ett popup fönster. Som jag inte han med att läsa.
Jag har försökt med de flesta knep och knåp från den här sidan och andra. Utan att få bort trojanen. När jag försöker att starta i felsäkert läge så kommer sidan upp där också.
Jag har bra en användare på datorn så det går inte med det häller.
Någon som har ett tips!!
när datorn starta tryck F8 hela tiden tills det kommer upp en meny där väljer du starta i felsäkert läge med comando tolken “cmd”
när du sen får upp denna så skriver du
explorer.exe
sen kommer du in i datorn i felsäkert läge!
då kan du installera nåt av dom programen som finns angivet i domma kommentarena.
jag rek malwarebytes
ladda ner här
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
sen spara du den på en cd eller usb minne och sätter in den i den smittade datorn och installera programet och väljer full ständig scan!
sen när den är klar så starta du om och det ska funkar!
kommer inte ens in i felsäkert läge. Trycker f8 men kommer efter det bara till en bild där dwr hävdas att windows skall fixa säkerheten men sen händer inget. Hjälp!!!
Måste medge att jag vart lite rädd när rutan ploppade upp och jag såg ”Din dator är låst på gtund av…” Sen såg jag alla sjuka påståenden som jag vet att jag aldrig har gjort. Då visste jag på en gång att det var något skumt med det. Så jag gick in på våran andra dator och hittade din sida, Ville bara titta in och säga tack!
Det jag gjorde för att få bort det var att gå in i felsäkert läge och köra en Återställning några timmar bak i tiden sen var det klart. Installerade uppdaeringarna och ska köra en noggrann Virussökning.
hans söderström, vad har du för operativ system på datorn?
Vill bara varna för att trojanen just nu finns på youtube2mp3.com
Hej!
Min son råkade precis ut för detta och blev riktigt rädd. Tur jag hade läst om detta och kunde lugna honom.
Stakarn hade inte öppnat sin dator på evighet och så startar han upp den idag och en vit ruta slår upp med polisvarning samt att han säger att det blixtrar till och nån fotar honom och säger han måste betala 100 euro.
Han stänger ner datorn när han kommer ner till oss och berättar. Vi startar upp den och får bara upp en blank vit sida och inget mer.
Nu ska vi försöka installera om hela windows för honom och hoppas vi slipper detta. Tråkigt med sådan när man har senaste Norton uppdateringen av virusprogram.
Någon mer som råkat ut för detta och att en bild tas samtidigt?
Tack som fasen #50 / Robert!!!
Dock uppstod ännu ett litet problem, när jag nu för andra gången skannar datorn i vanligt läge så fastnar den och rör sig inte alls och efter en stund så poppar det upp en ruta från “microsoft. NET framework” att ett fel är i vägen och så får jag välja mellan att antingen ignorera felet eller avbryta hela grejen? Vad gör jag nu?
Mvh sjukt oteknisk (:
Hejsan !!
Jag försökte att formatera hårdisken med det kom bara en blue screen ?? Varför blev det så ??
Jag håller på att kriga mot polisens utpressningsvirus just nu. Med Guds hjälp kommer jag nog att fixa allt så småningom men det går ganska trögt.
Jag har tittat runt lite och det finns en hel del variationer av viruset eller trojanen. Koden funkade ej så jag valde att starta om datorn i felsäkert läge. Men så fort jag startade upp windows så slocknade det igen. Jag löste detta genom att starta om med felsäkert läge och kommandoprompten. Sedan startade jag windows manuellt därigenom.
Därefter lokaliserade jag i /TEMP filer som var förknippade med viruset och raderade dem. Det gjorde inget såklart.
Nu håller jag på att scanna igenom datorn med mcaffes STINGER och hoppas att det skall göra susen.
MvH
Olof
Spyhunter 4 är inte gratis alls. Spyhunter hittar infektionen direkt man börjar scanna datorn som om det visste precis vars man skall börja leta. Känns nästan som om viruset och spyhunter sammarbetar eftersom så fort genomsökningen blev klar så ombads jag betala för programmet för att få ta bort infektionen. Detta är bara spekulationer.
Nu kör jag Norton Power Eraser och dessförinnan raderade jag firefox och skype totalt emedan de verkade vara de program genom vilket angreppet spred sig.
Herrens Frid
Olof
Om polisbilden kommer upp direkt i felsäkert läge också, hur göra?