Category Archives: Virus

Fjern Ransomware (ukash, Politi virus, ect.) og alle andre vira

Det skal du bruge følgende:

  1. USB pen på 2 GB eller derover – med en ny mappe der hedder Antivirus
  2. Emsisoft Emergency Kit – (God idé er at åbne programmet og opdatere) http://www.bleepingcomputer.com/download/emsisoft-emergency-kit/
  3. RebootToSafeMode.bat
    bcdedit /set {current} safeboot network
    Pause
    shutdown -r -t 05
  4. RebootToNormalMode.bat
    bcdedit /deletevalue {current} safeboot
    pause
    shutdown -r -t 05
  5. RogueKiller – http://www.bleepingcomputer.com/download/roguekiller/
  6. Junkware Removal Tool (JRT) – http://www.bleepingcomputer.com/download/junkware-removal-tool/
  7. AdwCleaner – http://www.bleepingcomputer.com/download/adwcleaner/
  8. ComboFix – http://www.bleepingcomputer.com/download/combofix/
  9. SUPERAntiSpyware – http://www.bleepingcomputer.com/download/superantispyware/
  10. Læg alle filer i USB:\Antivirus\

Fremgangsmåde:

  1. Start PC op og tryk på F8 i opstart, vælg ”Fejlsikret tilstand med kommandopromt”
  2. Når den viser Kommandopromt skriv: explorer og tryk på enter.
  3. Skriveboret starter op uden Ransomware aktiv.
  4. Flyt USB:\Antivirus\ mappen over på C: drevet.
  5. Gå ind i Computer – C:\Antivirus\, kør RogueKiller og fjern det den finder.
  6. Kør RebootToSafeMode.bat som administrator.
  7. Start Emsisoft Emergency Kit
    Lav en Smart scan, fjern de vira den finder og genstart PC.
  8. Kør disse programmer:
    1. Junkware Removal Tool (JRT) – http://www.bleepingcomputer.com/download/junkware-removal-tool/
    2. RogueKiller – http://www.bleepingcomputer.com/download/roguekiller/
    3. AdwCleaner – http://www.bleepingcomputer.com/download/adwcleaner/
    4. ComboFix – http://www.bleepingcomputer.com/download/combofix/
    5. SUPERAntiSpyware – http://www.bleepingcomputer.com/download/superantispyware/
  9. Kør RebootToNormalMode.bat som Administrator.

Ransomware genstarter pc i fejlsikret tilstand med kommandopromt.

Start ERD 6.5 op og start ERD regedit og find strengen:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4

Derinde er der en key der hedder F dobbeltklik på den og I 8. linje, hvor der står 11 skal den ændres til 10.

Tjek “HKEY_USERS\<RANDOM NUMMER eller BRUGERNAVN>\Software\Microsoft\Command Processor”

Hvis der er en nøgle der hedder “AutoRun” skal den bare slettes.

Tjek HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Tjek nøglen der hedder “Shell” og tjek at der står explorer.exe, ellers skal den ændres til explorer.exe

Gør det samme ved (kan kun tjekkes I Windows, kan ikke tjekkes I ERD regedit) HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon – Shell – explorer.exe

 

Tjek evt. Programmer som starter automatisk i:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

 

Disse skal tjekkes I Windows, kan ikke tjekkes med ERD regedit:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

 

Genstart pc og log på Administratoren – fortsæt guiden til fjernelse af Ransomware.

For at skjule Administrator brugeren igen, tast dette i CMD:

net user administrator /active:no

Hvis den stadig genstarter

Tag harddisk ud og sæt i en anden pc, scan med MBAM – https://www.malwarebytes.org/free/

Følg derefter starten af guiden igen.