Borttagningsmanual för Google Redirects, TDSS, TDL3 eller Alureon

Innehållsförteckning:

1. En kort beskrivning av vad virus är och support enligt garantin
2. Borttagningsinstruktioner för TDSS, Alureon eller TDL3 Rootkit med hjälp av TDSSKiller
3. Associerade TDSS-, Alureon- eller TDL3 Rootkit-filer
4. Tillhörande registerinformation för TDSS, Alureon eller TDL3 Rootkit i Windows

En kort beskrivning av vad virus är och support enligt garantin

TDSS eller TDL3 är namnet på en serie rootkits för Windows-operativsystemet. Den laddar ner och startar andra skadliga program på datorn och ger annonser till datorn, samtidigt som det hindrar vissa program från att köras. Den infekterar datorn på flera sätt, t.ex. genom att ersätta hårddiskdrivrutinerna med skadliga versioner. När en dator är infekterad är TDSS osynlig för Windows och andra program för skydd mot skadlig kod. Den fortsätter att hämta och köra ytterligare skadliga program och leverera fler annonser till datorn. Infektionerna identifieras under olika namn beroende på vilken antivirusleverantör du använder.

Det finns symptom på att TDSS-infektionen kan visa som du bör vara uppmärksam på:

• Sökresultat – länkar omdirigeras till orelaterade webbplatser. När du klickar på ett av sökresultaten omdirigeras den istället till en annons.

• Oförmågan att köra olika program – vissa program startar helt enkelt inte. TDSS har en konfigurationsinställning som kallas otillåten och innehåller en stor lista över program som den inte tillåter att starta. Den gör det för att du inte ska kunna starta antivirusprogram och skydd mot skadlig kod för att ta bort infektionen.
• Olika platser är blockerade – TDSS blockerar åtkomsten till nedladdningssidor, forum och datorhjälp och säkerhetswebbplatser.
• Webbsurfning är långsammare än normalt – webbsidor läses in långsammare.

Det säkraste sättet att lösa detta är att utföra en fabriksåterställning eller en ren operativsystemsinstallation på datorn. Det är vad som täcks av vår pro-supportgaranti. Det finns även artiklar som tar dig igenom det här på länksidan nedan:

• En guide online för ominstallation eller återställning av operativsystemet på Dell-datorn

Som du ser är TDSS rootkit en störande infektion som tar över datorn och är mycket svår att ta bort.

Kaspersky Labs har släppt ett verktyg som kallas TDSSKiller som kan användas för att ta bort de flesta varianter av TDSS från datorn. Det finns andra program som gör samma sak. Du kan använda ett annat program. Den här programvaran är kostnadsfri och är den programvara som jag är mest bekant med.

Jag har förberett en steg-för-steg-guide nedan som visar hur du tar bort virus – förutom en fullständig ominstallation av operativsystemet. Detta omfattas dock inte av garantin och utförs på egen risk.

Borttagningsinstruktioner för TDSS, Alureon eller TDL3 Rootkit med hjälp av TDSSKiller

1. Det första du måste göra är att hämta TDSSKiller från följande länk och spara det på skrivbordet.

   • Nedladdningslänk för TDSSKiller 

2. När du kommer till ovanstående sida klickar du på länken TDSSKiller.exe för att hämta filen. Om du inte kan hämta filen kan TDSS blockera den. Du måste först hämta den till en ren dator och sedan överföra den till den infekterade datorn med en CD-, DVD-, extern enhet eller ETT USB-flashminne. När filen har överförts bör du nu ha TDSSKiller-ikonen på skrivbordet.

(Bild 1 TDSSKiller-ikon)

3. Innan du kör TDSSKiller för första gången måste du byta namn på det. Högerklicka på ikonen TDSSKiller.exe på skrivbordet och välj Byt namn. Redigera namnet på filen till ett slumpmässigt namn med tillägget .com.

   Till exempel: 123.com eller abc.com Om ett slumpmässigt namn inte fungerar kan du försöka att byta namn på det till något som iexplore.com och köra det igen.

4. Dubbelklicka på den för att starta den. När du kör programmet kan Windows visa ett varningsmeddelande på skärmen.

(Bild 2 Fönstret Kör)

5. Om varningen visas klickar du på knappen Kör för att låta programmet köras. Om du inte såg någon varning bör TDSSKiller redan ha startat. Gå i så fall till steg 10.

6. TDSSKiller startar och visar välkomstskärmen.

(Bild 3 Starta genomsökning)

7. Klicka på startknappen för att söka igenom datorn efter infektionen.

8. När genomsökningen är klar visas en resultatskärm med information om huruvida infektionen har hittats på datorn eller inte. En skärm med en lista över vad som hittades visas.

(Bild 4: Genomsökning körs)

9. Om du vill ta bort infektionen klickar du bara på knappen Continue (fortsätt) och TDSSKiller försöker ta bort infektionen. Om alternativet Cure inte visas lämnar du det som standard för Skip (hoppa över) och trycker på knappen Continue (fortsätt). Ändra inte den till Delete (ta bort) eller Quarantine (karantän) eftersom den kan ta bort infekterade filer som krävs för att Windows ska fungera korrekt.

10. När rengöringen av infektionen är klar visas en rapport.

(Bild 5 Skanningsresultat)

11. Om TDSSKiller rengör TDSS-infektionen kan det krävas en omstart för att slutföra rengöringsprocessen. Klicka på knappen Starta om nu för att starta om datorn och slutföra borttagningen av TDSS-infektionen från datorn.

12. Vi rekommenderar att du kör ett skanningsverktyg som Malwarebytes eller ett liknande verktyg för skanning av skadlig kod för att säkerställa att allt skannas och rensas noggrant. Se till att du väljer ett väl känt verktyg och att du hämtar det från källan. Det går att infektera datorn på nytt genom att hämta från okända källor.

• Skapa en begäran om stöd på ett internetforum
• Kör igenom en fabriksåterställning eller en ren installation av operativsystemet

Associerade TDSS-, Alureon- eller TDL3 Rootkit-filer

C:\WINDOWS\_VOID\

C:\WINDOWS\_VOID\_VOIDd.sys

C:\WINDOWS\SYSTEM32\UAC.dll

C:\WINDOWS\SYSTEM32\uaservert.dll

C:\WINDOWS\SYSTEM32\UAC.db

C:\WINDOWS\SYSTEM32\UAC.dat

C:\WINDOWS\SYSTEM32\uactmp.db

C:\WINDOWS\SYSTEM32\_VOID.dll

C:\WINDOWS\SYSTEM32\_VOID.dat

C:\WINDOWS\SYSTEM32\4DW4R3c.dll

C:\WINDOWS\SYSTEM32\4DW4R3sv.dat

C:\WINDOWS\SYSTEM32\drivers\_VOID.sys

C:\WINDOWS\SYSTEM32\drivers\UAC.sys

C:\WINDOWS\SYSTEM32\4DW4R3.dll

C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys

C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys

C:\WINDOWS\Temp\_VOID.tmp

C:\WINDOWS\Temp\UAC.tmp

%Temp%\UAC.tmp

%Temp%\_VOID.tmp

C:\Documents and Settings\All Users\Application Data\_VOIDmainqt.dll

Filplatsanteckningar.

%Temp%:

Visar Windows Temp-mappen. Standardinställningen är C:\Windows\Temp för Windows 85/98/ME, C:\DOCUMENTS AND SETTINGS\\LOCAL SETTINGS\Temp för Windows 2000/XP och C:\Users\\AppData\Local\Temp i Windows Vista, Windows 7 och Windows 8

%CommonAppData%:

Visar programdatamappen för profilen Alla användare. Som standard är det här C:\Documents and Settings\All Users\Application Data för Windows 2000/XP och C:\ProgramData\ i Windows Vista, Windows 7 och Windows 8

%AppData%:

Visar den aktuella mappen Application Data, som standard är C:\Documents and Settings\\Application Data for Windows 2000/XP och för Windows Vista och Windows 7 är det C:\Users\\AppData\Roaming

%LocalAppData%:

Visar de aktuella användarnas programdatamapp för lokala inställningar. Standardinställningen är C:\Documents and Settings\\Local Settings\Aplincation Data for Windows 2000/XP. För Windows Vista, Windows 7 och Windows 8 är det C:\Users\\AppData\Local

%CommonAppData%:

Visar programdatamappen i profilen Alla användare. För Windows XP, Vista, NT, 2000 och 2003 dirigeras den till C:\Documents and Settings\All Users\Application Data\ och för Windows Vista, Windows 7 och Windows 8 är det C:\ProgramData

Tillhörande registerinformation för TDSS, Alureon eller TDL3 Rootkit i Windows

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOIDd.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOID

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4DW4R3