Help. Mijn computer is gekaapt. Hoe kan ik de ransonware KORPS LANDELIJKE POLITIEDIENSTEN verwijderen?
Alvast enige info:
De computer wil niet opstarten in de VEILIGE MODUS. Een poging daartoe wordt door de ransonware afgebroken en de computer wordt opnieuw opgestart.
De computer wil wel opstarten in de normale modus. Via het CONTROL PANEL kan ik nog net zien dat het programma 0.9571154558500655.exe wordt gestart alvorens het scherm KORPS LANDELIJKE POLITIEDIENSTEN wordt getoond. Helaas krijg ik niet meer de tijd op het proces te beëindigen.
2
Administrator
Administrator
Hoi en welkom op het forum,
Stap 1
Download de kaspersky Rescue CD en sla deze op je bureaublad op.
Download IMG Burn en sla deze op je bureaublad op en installeer deze.
Druk op bovenstaande venster op een willekeurige "toets" om het menu van de Kaspersky Rescue CD te openen.
http://www.malwareinfo.nl/submit.html" onclick="window.open(this.href);return false;
Stap 1
Download de kaspersky Rescue CD en sla deze op je bureaublad op.
Download IMG Burn en sla deze op je bureaublad op en installeer deze.
- Start "IMG burn" en klik op "Write image file to disc"
- Selecteer het image bestanden van de Kaspersky Rescue CD en klik op de knop "Write"
- Stop de Kaspersky Rescue CD, in de PC.
- Start die PC opnieuw op.
- Druk op een toets om het rescue systeem van Kaspersky te starten.
Info:
Als u problemen heeft met het opstarten vanaf de rescue cd controleer dan de instellingen in de BIOS voor het opstarten vanaf een bootable CD.
Hier staat beschreven hoe u de CD/DVD driver als first boot device kunt instellen.
Druk op bovenstaande venster op een willekeurige "toets" om het menu van de Kaspersky Rescue CD te openen.
- Kies is het bovenstaande scherm de optie "Kaspersky Rescue Disk - Grafische modus" en druk op enter.
- Druk hierna op "A" om de licentie overeenkomst te accepteren.
- Druk linksonderin het scherm op de taakbalk op het "pijltje" en kies de optie "bestandsbeheer"
- Ga in het bestandsbeheer naar "discs" en kies de "systeemschijf" waar Windows op staat.
- Zoek het onderstaande bestand.
- 0.9571154558500655.exe
- Kopieer hier het volgende vetgedrukte bestand: 0.9571154558500655.exe naar b.v. Mijn Documenten.
- Hernoem 0.9571154558500655.exe in de map Mijn Documenten naar 0.9571154558500655.VIR
http://www.malwareinfo.nl/submit.html" onclick="window.open(this.href);return false;
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
3
PC Web Plus - Member
PC Web Plus - Member
Dit heb ik al geprobeerd. Helaas zonder succes. De computer weigerde om van de rescue-CD op te starten, ondanks dat de CD/DVD-drive als 1e in de boot-order in het BIOS staat.
Ook een oude niet-besmette laptop (eveneens WinXP SP3) weigerde op te starten van de CD. Ik vermoed dat de rescue-CD niet past bij WinXP en ik ga dan ook de CD-rescue nog testen op een Win7-machine.
Verder kan ik succes melden, want het is mij gelukt om 'handmatig' de ransonware aan te pakken. De computer wordt niet meer geblokkeerd.
Mijn werkwijze:
01. Opstarten computer.
02. Kies een gebruikersaccount.
03. Zodra de melding komt dat de gebruikersinstellingen worden geladen op CTRL+ALT+DELETE drukken, zodat het WINDOWS TAAKBEHEER verschijnt. Mogelijk moet deze toetscombinatie meerdere keren worden gebruikt.
04. Klik op het tabblad PROCESSEN, indien nodig.
05. Klik op de kolomkop PROCESNAAM, zodat de sortering oplopend (van A naar Z) is.
06. Druk op CTRL+HOME, zodat het bovenste proces wordt gemarkeerd. Het kan sneller zijn om gewoon de toets 'cursor omhoog' ingedrukt te houden. Dit kan zeker handig zijn voor de volgende actie.
07. De toets 'cursor omhoog' ingedrukt blijven houden.
08. Zodra het proces '0.9571164558500655.exe' zichtbaar is, dan direct op DELETE en ENTER drukken. Het proces wordt dan beeindigd en het ransonware-scherm wordt niet getoond.
09. Een opstartmanager activeren en het proces '0.9571164558500655.exe' uit de opstartsequentie verwijderen.
10. Het systeem doorzoeken op de aanwezigheid van '655.exe' en alle relevante resultaten verwijderen (inclusief het leegmaken van de prullenbak).
Ik realiseer mij dat door stap 09 er mogelijk nog restanten van de ransonware op de machine aanwezig blijven. Aangezien de machine toch al 'vervuild' is, neem ik dit voor lief. Helaas werkt het opstarten in de VEILIGE MODUS niet (meer).
Ook een oude niet-besmette laptop (eveneens WinXP SP3) weigerde op te starten van de CD. Ik vermoed dat de rescue-CD niet past bij WinXP en ik ga dan ook de CD-rescue nog testen op een Win7-machine.
Verder kan ik succes melden, want het is mij gelukt om 'handmatig' de ransonware aan te pakken. De computer wordt niet meer geblokkeerd.
Mijn werkwijze:
01. Opstarten computer.
02. Kies een gebruikersaccount.
03. Zodra de melding komt dat de gebruikersinstellingen worden geladen op CTRL+ALT+DELETE drukken, zodat het WINDOWS TAAKBEHEER verschijnt. Mogelijk moet deze toetscombinatie meerdere keren worden gebruikt.
04. Klik op het tabblad PROCESSEN, indien nodig.
05. Klik op de kolomkop PROCESNAAM, zodat de sortering oplopend (van A naar Z) is.
06. Druk op CTRL+HOME, zodat het bovenste proces wordt gemarkeerd. Het kan sneller zijn om gewoon de toets 'cursor omhoog' ingedrukt te houden. Dit kan zeker handig zijn voor de volgende actie.
07. De toets 'cursor omhoog' ingedrukt blijven houden.
08. Zodra het proces '0.9571164558500655.exe' zichtbaar is, dan direct op DELETE en ENTER drukken. Het proces wordt dan beeindigd en het ransonware-scherm wordt niet getoond.
09. Een opstartmanager activeren en het proces '0.9571164558500655.exe' uit de opstartsequentie verwijderen.
10. Het systeem doorzoeken op de aanwezigheid van '655.exe' en alle relevante resultaten verwijderen (inclusief het leegmaken van de prullenbak).
Ik realiseer mij dat door stap 09 er mogelijk nog restanten van de ransonware op de machine aanwezig blijven. Aangezien de machine toch al 'vervuild' is, neem ik dit voor lief. Helaas werkt het opstarten in de VEILIGE MODUS niet (meer).
4
Administrator
Administrator
Hoi,
Mooi dat het is gelukt op deze manier.
1. Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.
Dubbelklik op mbam-setup.exe om het programma te installeren.
Zorg dat er na de installatie een vinkje is geplaatst bij:
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.
Bij problemen!!! (Lees de onderstaande instructies)
2. Download DDS van sUBS van één van deze locaties en plaats het op je bureaublad:
DDS - Bleeping Computer download.
DDS - Bleeping Computer download.
DDS - Infospyware.
DDS is een diagnosetool en maakt gebruik van scripts.
Schakel je beveiligings software uit voordat je DDS uitvoert!
Dubbelklik op DDS om de tool te starten.
DDS zal 2 logfiles openen:
* DDS.txt
* Attach.txt
Een scherm vraagt je om beide logjes op te slaan omdat de logjes weg zullen zijn als je ze sluit.
Sla de logjes op bijvoorbeeld op je bureaublad of een andere plaats waar je ze makkelijk terug vind.
Post het DDS.txt logje met je volgende antwoord. De Attach.txt post je alleen wanneer ik hier om vraag.
Plaats het logje van MBAM en DDS in het volgende bericht.
Mooi dat het is gelukt op deze manier.
Hiervoor kan je nu de volgende stappen uitvoeren.Ummi schreef:Ik realiseer mij dat door stap 09 er mogelijk nog restanten van de ransonware op de machine aanwezig blijven.
1. Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.
Dubbelklik op mbam-setup.exe om het programma te installeren.
Zorg dat er na de installatie een vinkje is geplaatst bij:
- Update MalwareBytes' Anti-Malware
- Start MalwareBytes' Anti-Malware
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.
Bij problemen!!! (Lees de onderstaande instructies)
- Het venster met de vraag of je de "Evaluatie wil starten" mag je in principe weigeren, deze kan je later ook nog inschakelen.
- Zodra het programma gestart is, ga dan naar het tabblad "Instellingen".
- Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
- Ga daarna naar het tabblad "Scanner", kies hier voor "Snelle Scan".
- Druk vervolgens op "Scannen" om de scan te starten.
- Het scannen kan een tijdje duren, dus wees geduldig.
- Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
- Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
- Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
2. Download DDS van sUBS van één van deze locaties en plaats het op je bureaublad:
DDS - Bleeping Computer download.
DDS - Bleeping Computer download.
DDS - Infospyware.
DDS is een diagnosetool en maakt gebruik van scripts.Schakel je beveiligings software uit voordat je DDS uitvoert!
Dubbelklik op DDS om de tool te starten.
DDS zal 2 logfiles openen:
* DDS.txt
* Attach.txt
Een scherm vraagt je om beide logjes op te slaan omdat de logjes weg zullen zijn als je ze sluit.
Sla de logjes op bijvoorbeeld op je bureaublad of een andere plaats waar je ze makkelijk terug vind.
Post het DDS.txt logje met je volgende antwoord. De Attach.txt post je alleen wanneer ik hier om vraag.
Plaats het logje van MBAM en DDS in het volgende bericht.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
5
PC Web Plus - Member
PC Web Plus - Member
A. Mijn werkwijze is alleen mogelijk bij de gratie van een slome machine (mijn dank dus aan de bedenkers van het 'XP-vervuilingsmechanisme').
B. De Kaspersky-rescue-CD was niet correct gebrand. De Win7-machine start keurig op vanaf een correcte gebrande CD.
C. MBAM geinstalleerd en snelle scan uitgevoerd. Resultaat: 3 hits, t.w.
[wordt vervolgd]
B. De Kaspersky-rescue-CD was niet correct gebrand. De Win7-machine start keurig op vanaf een correcte gebrande CD.
C. MBAM geinstalleerd en snelle scan uitgevoerd. Resultaat: 3 hits, t.w.
Geheugenmodulen gedetecteerd: 1
C:\WINDOWS\system32\cryptnet32.dll (Trojan.Agent) -> Zal worden verwijderd tijdens het herstarten.
Registersleutels gedetecteerd: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} (PUP.NavExcel) -> Geen actie ondernomen.
Bestanden gedetecteerd: 2
C:\WINDOWS\system32\cryptnet32.dll (Trojan.Agent) -> Zal worden verwijderd tijdens het herstarten.
C:\WINDOWS\system32\crt.dat (Malware.Trace) -> Succesvol in quarantaine geplaatst en verwijderd.
[wordt vervolgd]
6
Administrator
Administrator
Hoi,
Heb je ook het logje van DDS?
PUP staat voor Potential Unwanted Program, en dit is zo te zien een restant in register wat je in principe gewoon kan verwijderen.Ummi schreef:Wat is PUP.NavExcel?
Heb je ook het logje van DDS?
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
7
Administrator
Administrator
Bij gebrek aan feedback wordt dit topic gesloten en verplaatst naar de sectie opgeloste problemen / logs.
Als u dit topic heropent wilt hebben, dan kunt u mij of één van moderators een (PB) privébericht sturen met een link naar dit betreffende topic.
Indien het topic al langere tijd is gesloten kunt u het beste hier een nieuw topic aanmaken, en eventueel verwijzen naar dit topic.
Voor alle andere vragen kunt u in het juiste forum een nieuw onderwerp starten.
Als u dit topic heropent wilt hebben, dan kunt u mij of één van moderators een (PB) privébericht sturen met een link naar dit betreffende topic.
Indien het topic al langere tijd is gesloten kunt u het beste hier een nieuw topic aanmaken, en eventueel verwijzen naar dit topic.
Voor alle andere vragen kunt u in het juiste forum een nieuw onderwerp starten.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)