Politie virus!

[jodydubois]

Beste heer/mevrouw,

Na het Buma Stemra virus heeft nu het politie virus zich in mijn computer genesteld.

Probleem nummer 1 voor mij is dat ik geen HiJack logje kan geven want iedere keer als ik de pc aanzet komt het politie scherm weer tevoorschijn!

Is er geen manier om de pc op te starten buiten dat scherm om, om zodoende een HiJack logje te kunnen maken!?

Mvg. Jordy.

[Dasle]

Heb je al geprobeerd HJT uit te voeren in Veilige Modus

1. Download HijackThis. (klik er op)

Klik op HijackThis.msi en de download start automatisch na 5 seconden.

Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren".

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

Als je geen netwerkverbinding meer hebt, kan je de download doen met een andere pc en het bestand met een usb stick overbrengen

Als je enkel nog in veilige modus kan werken, moet je de executable (HijackThis.exe) downloaden.

Sla deze op in een nieuwe map op de C schijf (bvb C:\hijackthis) en start hijackthis dan vanaf deze map.

De logjes kan je dan ook in die map terugvinden.

---

2. Klik op de snelkoppeling om HijackThis te starten. (lees eerst de rode tekst hieronder!)

Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. (Bekijk hier de afbeelding ---> Klik hier)

---

3. Na het plaatsen van je logje wordt dit door een expert (Kape of Kweezie Wabbit) nagekeken en begeleidt hij jou verder door het ganse proces.

Tip!

Wil je in woord en beeld weten hoe je een logje met HijackThis maakt en plaatst op het forum, klik dan HIER.

[jodydubois]

Beste Dasle,

Allereerst bedankt voor de snelle reactie maar de pc start ook niet meer op in de veilige modus????

Wat kan ik nu nog doen?

[kape]

Stap 1

Download op een andere niet geïnfecteerde computer de kaspersky Rescue CD en sla deze op je bureaublad op.

Download daarna IMG Burn, unzip en installeer dit programma. Standaard worden deze bestanden geplaatst in de map C:\Program Files\ImgBurn. Klik daar op ImgBurn.exe om het programma op te starten. Gebruikers van Vista en Windows 7 moeten dit “uitvoeren als administrator”.

• Start "IMG burn" en klik op "Schrijf image bestand naar schijf"
  
• Selecteer het image bestand van de Kaspersky Rescue CD en klik op de knop "Schrijf"
  

Stap 2

Voer dit uit op de geïnfecteerde computer.

• Stop de Kaspersky Rescue CD, in de PC.
  
• Start die PC opnieuw op.
  

3. Opstarten van de Kaspersky Rescue CD.

Als u problemen heeft met het opstarten vanaf de rescue cd controleer dan de instellingen in de BIOS voor het opstarten vanaf een bootable CD.

:>: Hier staat beschreven hoe u de CD / DVD drive als first boot device kunt instellen.

Druk op bovenstaande venster op een willekeurige "toets" om van de Kaspersky Rescue CD te starten.

Kies is het bovenstaande scherm de de gewenste taal wat standaard op Engels staat ingesteld en druk op "Enter"

Druk in het bovenstaande op "1" en om door te gaan.

Kies in het volgende scherm de optie "Kaspersky Rescue Disk - Grafische modus" en druk op enter.

Windowsunlocker

• Als de computer is opgestart van de Kaspersky Rescue CD klik dan op de start (KDE) knop in de taakbalk en klik op "Terminal"
  
  
• Geef in de terminal het commando windowsunlocker op gevolgd door enter.
  
• Via de terminal zullen nu de registerwaarden die door de ransomware infectie zijn aangemaakt hersteld worden.
  
• In het rode en groene kader hieronder kunt u zien dat de registerwaarden zijn hersteld.
  
  
• Herstart de computer.
  

[jodydubois]

Beste Kape,

Ik krijg een error tijdens het schrijven van de disc hier een ImgBurn logje:

I 11:05:01 ImgBurn Version 2.5.7.0 started!

I 11:05:02 Microsoft Windows XP Home Edition (5.1, Build 2600 : Service Pack 3)

I 11:05:02 Total Physical Memory: 490.992 KB - Available: 55.900 KB

I 11:05:02 Initialising SPTI...

I 11:05:02 Searching for SCSI / ATAPI devices...

I 11:05:23 -> Drive 1 - Info: SAMSUNG CDRW/DVD SM-352F T902 (D:) (ATA)

I 11:05:23 Found 1 DVD-ROM/CD-RW!

I 11:06:56 Operation Started!

I 11:06:56 Source File: C:\Documents and Settings\Gebruiker\Bureaublad\kav_rescue_10.iso

I 11:06:56 Source File Sectors: 137.696 (MODE1/2048)

I 11:06:56 Source File Size: 282.001.408 bytes

I 11:06:56 Source File Volume Identifier: KRD10

I 11:06:56 Source File Application Identifier: GENISOIMAGE ISO 9660/HFS FILESYSTEM CREATOR © 1993 E.YOUNGDALE © 1997-2006 J.PEARSON/J.SCHILLING © 2006-2007 CDRKIT TEAM

I 11:06:56 Source File File System(s): ISO9660 (Bootable); Joliet

I 11:06:56 Destination Device: [3:0:0] SAMSUNG CDRW/DVD SM-352F T902 (D:) (ATA)

I 11:06:56 Destination Media Type: CD-R (Disc ID: 97m26s66f, CMC Magnetics Corp.)

I 11:06:56 Destination Media Sectors: 359.844

I 11:06:56 Write Mode: CD

I 11:06:56 Write Type: SAO

I 11:06:56 Write Speed: MAX

I 11:06:56 Lock Volume: Yes

I 11:06:56 Test Mode: No

I 11:06:56 OPC: No

I 11:06:56 BURN-Proof: Enabled

I 11:06:57 Write Speed Successfully Set! - Effective: 9.154 KB/s (52x)

I 11:06:58 Filling Buffer... (20 MB)

I 11:07:08 Writing LeadIn...

I 11:07:32 Writing Session 1 of 1... (1 Track, LBA: 0 - 137695)

I 11:07:32 Writing Track 1 of 1... (MODE1/2048, LBA: 0 - 137695)

I 11:08:33 Synchronising Cache...

I 11:08:37 Exporting Graph Data...

I 11:08:37 Graph Data File: C:\Documents and Settings\Gebruiker\Application Data\ImgBurn\Graph Data Files\SAMSUNG_CDRW-DVD_SM-352F_T902_ZATERDAG-28-JULI-2012_11-06_97m26s66f_MAX.ibg

I 11:08:37 Export Successfully Completed!

I 11:08:37 Operation Successfully Completed! - Duration: 00:01:40

I 11:08:37 Average Write Rate: 4.589 KB/s (30.6x) - Maximum Write Rate: 5.512 KB/s (36.7x)

I 11:08:37 Cycling Tray before Verify...

W 11:08:45 Waiting for device to become ready...

I 11:08:55 Device Ready!

I 11:08:55 Operation Started!

I 11:08:55 Source Device: [3:0:0] SAMSUNG CDRW/DVD SM-352F T902 (D:) (ATA)

I 11:08:56 Source Media Type: CD-R (Disc ID: 97m26s66f, CMC Magnetics Corp.)

I 11:08:56 Source Media Supported Read Speeds: 4x; 5x; 6x; 7x; 8x; 9x; 10x; 11x; 12x; 13x; 14x; 15x; 16x; 17x; 18x; 19x; 20x; 21x; 22x; 23x; 24x; 25x; 26x; 27x; 28x; 29x; 30x; 31x; 32x; 33x; 34x; 35x; 36x; 37x; 38x; 39x; 40x

I 11:08:56 Image File: C:\Documents and Settings\Gebruiker\Bureaublad\kav_rescue_10.iso

I 11:08:56 Image File Sectors: 137.696 (MODE1/2048)

I 11:08:56 Image File Size: 282.001.408 bytes

I 11:08:56 Image File Volume Identifier: KRD10

I 11:08:56 Image File Application Identifier: GENISOIMAGE ISO 9660/HFS FILESYSTEM CREATOR © 1993 E.YOUNGDALE © 1997-2006 J.PEARSON/J.SCHILLING © 2006-2007 CDRKIT TEAM

I 11:08:56 Image File File System(s): ISO9660 (Bootable); Joliet

I 11:08:56 Read Speed (Data/Audio): MAX / MAX

I 11:08:57 Verifying Session 1 of 1... (1 Track, LBA: 0 - 137695)

I 11:08:57 Verifying Track 1 of 1... (MODE1/2048, LBA: 0 - 137695)

W 11:10:33 Failed to Read Sectors 77280 - 77311 - Reason: No Seek Complete

W 11:10:40 Failed to Read Sector 77280 - Reason: No Seek Complete

W 11:10:40 Sector 77280 maps to File: \rescue\bases\base071d.kdc

W 11:13:20 Retrying (1)...

I 11:13:25 Verifying Sectors...

W 11:13:32 Failed to Read Sector 77296 - Reason: L-EC Uncorrectable Error

W 11:13:32 Sector 77296 maps to File: \rescue\bases\base071d.kdc

W 11:13:47 Failed to Read Sector 77297 - Reason: L-EC Uncorrectable Error

W 11:13:47 Sector 77297 maps to File: \rescue\bases\base071d.kdc

W 11:13:56 Retrying (1)...

W 11:14:02 Retry Failed - Reason: L-EC Uncorrectable Error

E 11:14:04 Failed to Read Sector 77297 - Reason: L-EC Uncorrectable Error

E 11:14:04 Sector 77297 maps to File: \rescue\bases\base071d.kdc

E 11:14:04 Failed to Verify Sectors!

I 11:14:05 Exporting Graph Data...

I 11:14:05 Graph Data File: C:\Documents and Settings\Gebruiker\Application Data\ImgBurn\Graph Data Files\SAMSUNG_CDRW-DVD_SM-352F_T902_ZATERDAG-28-JULI-2012_11-06_97m26s66f_MAX.ibg

I 11:14:05 Export Successfully Completed!

E 11:14:05 Operation Failed! - Duration: 00:05:08

I 11:14:05 Average Verify Rate: 505 KB/s (3.4x) - Maximum Verify Rate: 2.974 KB/s (19.8x)

Wat kan ik hier aan doen?

[jodydubois]

Ik zie wel bij eigenschappen dat het bestand op de cd even groot is als het bestand van [h=1]Kaspersky Rescue Disk 10[/h]Zal het dan toch gelukt zijn ondanks de error?

[kape]

Het lijkt er inderdaad op dat - ondanks enkele errors - het globale beeld wel OK is. Heb je nu - hetzij in veilige, hetzij in normale modus - toegang tot de PC ?

[jodydubois]

Ik heb idd toegang tot de pc in zovere dat ik de Kaspersky Rescue Disk kan gebruiken.

Het windows unlocken uitgevoerd maar nog steeds geen toegang tot de pc na herstart!

Politie scherm blijft in beeld komen.

Kaspersky Rescue Disc Scan uitgevoerd.

Tot 99% en nu geeft hij een alarm rechts onder waar dit in staat:

Kaspersky Rescue Disk

Alarm

Detected: malicious software

Object:

eployment/cache/6.0/39/4399327-71e700e4//ya_a/ya_c.class

Trojan program:

Exploit.Java.CVE-2012-1723.ba

>Disinfection is not possible

Reason: write not supported.

>Delete archive

Archive file will be deleted

>Skip (recommended)

Do not perform any action

Apply to all objects (met een vierkantje ervoor die aangevinkt kan worden)

Trojan program en de vet gedrukte opties kan ik aanklikken maar welke ik moet aanklikken???Ik zou zelf voor de optie waar recommended achter staat.

Moet de pc aan het internet hangen voor deze acties?

Mvg. Jordy.

[kape]

Kan je hierna de PC opstarten in "veilige modus" ?