Spøkelsesvirus?

I går dukket det plutselig opp noen bokser med virusvarsler på skjermen min:

«Virus oppdaget (5). Datamaskinen din er skadet av mistenkelige programmer. Klikk på for å fjerne viruset. Systemet er infisert! Klikk her for å rengjøre.» Det var også en info-knapp der, og da jeg klikket på den, flagret noen skumle betegnelser raskt forbi. Ved å kjøre om igjen noen ganger fikk jeg tak i følgende navn: «Trojan IRC/Backdor Sd. FRV High risk» «TrojanFakealert.356» «Trojan Qoologig Key Logger.» Da jeg klikket på «her», ble jeg ført rett til en oppfordring til å gjenoppta betalingen for Norton, som jeg ikke lenger bruker. Jeg fant også en henvisning til no.geekmarkt.com.

Naturligvis kastet jeg meg over Bitdefender Antivirus Free, som jeg har brukt ganske lenge, og kjørte en skanning. Bitdefender fant noen mistenkelige filer, som så ble slettet. Deretter kjørte jeg en ny skanning, og nå var det intet galt å finne. Jeg kjørte også en runde med Malwarebytes, som heller ikke fant noe. Til slutt gikk jeg inn på Windows Sikkerhet, som meldte at alt var i orden.

Likevel har alarmene fortsatt å dukke opp på skjermen. Så forsvinner de, for deretter å dukke opp igjen. Nye runder med Bitdefender, Malwarebyates og Windows Sikkerhet, avslører intet galt. Jeg har begynt å tro at det dreier seg om falsk alarm, men hva bør jeg gjøre med dette?

Hei,

det du først beskriver med «Virus (5).. » -meldingen er veldig typisk for hvordan malware/virus prøver å lure deg til å trykke på utrygge lenker o.l. Det er kanskje fortsatt et virus på PCen, og muligens en såkalt Keylogger. Sistnevnte registrerer hva du skriver inn via tastaturet, inkl. alt av passord, brukernavn, tilfeldige google-søk, osv. Vil også tro at Norton-referansen du fikk var et forsøk på å få deg til å betale penger til de som lagde viruset, men vanskelig å si uten at jeg får se det selv.

Det er imidlertid ingenting jeg kan si med sikkerhet uten å få undersøke PCen selv. Men tenk gjennom hva du gjorde på PCen/nettsider når virusmeldingen først dukket opp (hvilke nettsider/emailer/lenker/programmer du kan ha trykket på, installert eller brukt), og begynn å undersøke disse. Sjekk også prosessene på PCen etter mistenkelige programmer som ikke skal være der. Du kan høyreklikke hver prosess du lurer på og åpne fillokasjon for å se hva det faktisk er. Slik kan du oppdage om prosessen er legitim eller ikke. Vær da spesielt OBS på programmer som hevder å være noe de ikke kan være (f.eks. Norton, om du faktisk har avinstallert dette).

Det sikreste er kanskje å gjenopprette systemet til en sikkerhetskopi før viruset dukket opp, men kan være lurt å få en ekspert til å hjelpe deg om du er i tvil. Som du sier, så kan det også være at problemet er fikset, men at det fortsatt er noen falske utslag på noe som ligger igjen.

Jeg sitter med mange spørsmål her. Du åpner for muligheten av at det fortsatt er virus på maskinen. Vil det si at Bitdefender Antivirus Free og Malwarebytes ikke er bra nok?

Du nevner også muligheten for at en Keylogger er på ferde. Da tenker jeg at jeg kanskje må bytte ut alle passord, men hjelper det? Og kan Keyloggeren også følge med på passordendringen?

Kan dette ha noe med no.geekmarkt.com å gjøre? Jeg vet ikke hva slags nettsted dette er, men det navnet har dukket opp på mange varsler. For en liten stund siden dukket det opp en boks nederst til høyre på skjermen. Der ble jeg oppfordret til å klikke for å lese mer om følgende: Magnus Carlsen, som også var avbildet, skal ha vært utsatt for en tragisk ulykke, og mistet alt i morges! Jeg klikket ikke for å lese mer, men sjekket en rekke store nettaviser som VG, NRK, TV2 og Dagbladet, for jeg regnet med at en slik nyhet om sjakkmesteren ville bli bredt dekket. Jeg googlet navnet hans også. Men som jeg antok: Ingen andre skriver noe om dette, så trolig er det falske nyheter.

Jeg har som nevnt stadig sett geekmarkt nevnt i disse varslene. Så derfor gikk jeg nå inn på den lange listen i «Innstillinger» som heter «Se tillatelser og data lagret på alle nettsteder». Listen er sortert etter Mest besøkt, og jeg fant geekmarkt.com høyt oppe på listen. Jeg klikket på «tilbakestill tillatelser», men lurte på om jeg også/heller burde valgt «Slett data». Så får vi se …

Jeg fant noe som kanskje er relevant på spørresiden til danske Komputer for alle. Det ser relevant ut: https://forum.komputer.dk/forum/internettet/emne/hvad-er-geekmarkt-com-spam/ og https://forum.komputer.dk/forum/sikkerhed/emne/er-angrebet-af-skadelig-hjemmeside/#post-100965

Når det gjelder nettsider: Så vidt jeg vet, har jeg ikke vært inne på noen farlige nettsider forut for varslene. Heller ikke har jeg mottatt noen mail med lenker jeg har klikket på (bortsett fra noen Word-filer fra datteren min) eller brukt noen spesielle programmer.

«Sjekk også prosessene …» skriver du. Det høres ut som en god idé, men hvordan gjør jeg det?

«Gjenopprette systemet til en sikkerhetskopi …» Altså prøve å bruke et gjenopprettingspunkt? Det prøvde jeg nå, men Windows klarte ikke å gjennomføre det. Visstnok var det antivirusprogrammet som var i veien, så jeg ble anbefalt å deaktivere det midlertidig. Men jeg fant faktisk ikke ut hvordan jeg deaktiverer Bitdefender midlertidig.

Det er ikke det at antiviruset ditt ikke er nok, men heller at man ikke alltid kan få fjernet alt av virus. Og jeg vet jo ikke om du fortsatt har virus, men jeg vet at keyloggere må man grundig undersøke at faktisk er fjernet, og det at du fortsatt får opp meldinger om virus, tyder på at problemet ikke er helt løst.

Keyloggeren følger med på alt. Fra det jeg ser på nett, er geekmarket en kilde til virus, så det kan definitivt være årsaken her. Slett alt av nettleserdata og informasjonskapsler fra denne nettsiden, og fjern alle evt. tillatelser den har. Følg gjerne de lenkene som du fant i det danske forumet.

Prosessene sjekker du via oppgavebehandleren, og så kan du undersøke hver prosess slik jeg beskrev over. Det krever imidlertid litt kunnskap om hvilke prosesser som er nødvendige, og hva som kanskje kan være skummelt.

Ja, det er slik gjenoppretting jeg snakker om. Det er fordelaktig om du har en nylig sikkerhetskopi, om ikke kan du miste nylige endringer.

Jeg skal prøve det du sier. Men jeg lurer på: Hvis Bitdefender, som har stått på hele tiden, er nok, hvordan kan virus ha tatt seg inn på maskinen?

Hvordan avdekker jeg en evt. Keylogger, og hvordan fjernes den?

Når det gjelder gjenoppretting: Finnes det noen fremgangsmåte for å deaktivere Bitdefender midlertidig, eller må jeg avinstallere programmet og installere det på nytt etterpå?

Antivirus er ingen 100% garanti mot virus. Det er fortsatt fullt mulig å laste ned malware eller trykke på farlige lenker. Antivirus oppdateres kontinuerlig for å avverge dette, men man kan ikke beskytte mot alt.

Vedr. keylogger, så refererer jeg til det jeg sa ovenfor om å sjekke prosesser.

Du kan gå inn på Bitdefender og deaktivere det – trykk på ikonet på oppgavelinjen, og åpne innstillingene.

Dette svaret løste problemet