Politievirus (veilige modus + avg rescue cd lukt niet)

[Jormu]

Hey iedereen

Ik heb een computer van een vriend gekregen waar het politievirus opstaat.

Ik heb al geprobeerd om in alle 3 de veilige modussen op te starten, maar de computer wordt gewoon vanzelf opnieuw opgestart.

Dus de cmd-methode lukt niet.

Daarna heb ik geprobeerd om met de AVG Rescue CD via een USB de computer te laten scannen. De allereerste keer dat ik hem liet scannen, waren er 5 infecties gevonden.

Allemaal trojans. Deze heb ik allemaal aangeduid om te verwijderen. Na een herstart was het politievirus er nog altijd.

Dus heb ik nog eens laten scannen met AVG en zegt die dat er nog 1 infectie is: Documents And Settings\All Users\Application Data\btnwlqrj.pff (Found Luhe.Lockscreen.A)

Het is dus vrij duidelijk dat dit bestand de pc locked. Als ik dan verder ga om het bestand te verwijderen, zegt AVG dat er geen resultaten zijn gevonden hoewel de scan wel zegt dat er 1 infectie is.

Weten jullie hoe ik dit kan oplossen? Bedankt!

[kape]

Download MalwareBytes' Anti-Malware (website) en sla het op je bureaublad op. Lukt downloaden niet via de besmette computer, doe het dan op een andere niet-besmette en breng het over met een USB-stick.

Zorg dat er na de installatie een vinkje is geplaatst bij:

• Update MalwareBytes' Anti-Malware
  
• Start MalwareBytes' Anti-Malware
  
• Je krijgt hier ook de keuze om de evaluatie versie van MBAM te gebruiken, indien je dit niet wilt vink dit dan uit.
  

Klik daarna op "Voltooien".

Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.

• Zodra het programma gestart is, ga dan naar het tabblad "Instellingen".
  
• Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
  
• Ga daarna naar het tabblad "Scanner", kies hier voor "Snelle Scan".
  
• Druk vervolgens op "Scannen" om de scan te starten.
  
• Het scannen kan een tijdje duren, dus wees geduldig.
  
• Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
  
• Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
  
• Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
  
• Herstart de computer indien nodig en post hierna de log in het volgende bericht.
  

[Jormu]

Ik geraak niet op internet met de besmette computer omdat het virus na het Welkom-scherm al meteen verschijnt. Ik geraak ook niet in veilige modus omdat de computer dan vanzelf afsluit na het Welkomscherm.

Het enige wat werkt is een iso maken op een USB en vandaaruit een soort van virtuele machine opstarten om zo te kunnen scannen.

Ik heb al AVG rescue CD, Anvisoft rescue cd, Bitdefender rescue cd, Avira rescue cd geprobeerd, maar bij een paar waren er infecties en ook opgelost, maar het politievirus is er nog altijd.

Ik heb ook HitmanPro geprobeerd, maar na het opstarten waar ik het politievirus scherm krijg, wordt HitmanPro niet geopend (wat normaal vanzelf zou moeten zijn). Hoewel bij het afsluiten via de powerknop zie ik 2 seconden het afmelden scherm waar dan staat compabiliteitsprobleem (de computer heeft windows xp).

[Jormu]

Ik heb nu de Kaspersky Rescue CD gebruikt die een aantal infecties heeft gevonden en ook verwijderd. Er was mij aangeraden om dan ook het register op te schonen met Kaspersky.

Na een herstart kwam ik op het bureaublad waar het politievirus NIET meer verscheen, maar wel een lichtblauw scherm waarop ik niets kon doen. Ik kon enkel alt+ctrl+del doen. Ik heb geprobeerd om een cmd of explorer te openen, maar niets lukte. Na opnieuw opstarten krijg ik een BSOD met als foutmelding: STOP 0x000000024 (ook in veilige modus gebeurt hetzelfde)

Ik heb dan opnieuw de Kaspersky Rescue CD gebruikt om zo de in-quarantaine-geplaatste bestanden terug te zetten, maar de BSOD blijft. Dus ik vrees dat die registerclean iets heeft verwijderd wat niet mocht, maar ik kan de registercleaning niet meer ongedaan maken.

Wat kan ik nu doen? Ik heb nog een cd van Windows XP, maar ik heb schrik dat ik iets zal fout doen als ik de installatie van XP probeer te repareren. (Ook kan ik dit repareren zonder de documenten, afbeeldingen, muziek,... te verliezen?)

18 oktober 2013 aangepast door Jormu

[kweezie wabbit]

Gebruik de windows XP installatiecd om de herstelconsole op te starten.

Hoe je dit doet, kan je lezen op deze pagina bij optie 2

In de herstelconnsole typ je Chkdsk c: /f /r (let op de spaties) en druk enter.

Als de schijfcontrole afgelopen is, typ je exit en drukt enter.

Probeer nu de pc normaal op te starten (eventueel de cd uit de lade verwijderen).

[Jormu]

Ik heb zowel een chkdsk gedaan als een fixboot via de Recovery Console van de Windows XP opstartcd.

Nu start Windows terug op tot het scherm Welkom. Hier na kom ik voor 5 seconden op het bureaublad (waar tevens ook een knop staat met Active Desktop) Maar de muis werkt niet totdat het bureaublad weggaat en ik een lichtblauwe achtergrond krijg met niets op. Ik kan wel Taakbeheer openen met ctrl+alt+del. Ik heb geprobeerd om explorer.exe te openen, maar dat lukt niet. Wel kan ik via een USB Malwarebytes installeren en hij is nu een full scan aan het doen.

Wat er wel gebeurde, was een popup met kan Documents And Settings\All Users\Application Data\btnwlqrj.pff niet openen met als titel van het venster RUNDLL.

[Jormu]

De scan is gedaan en er zijn 2 bestanden verwijderd.

De computer start nu terug normaal op. Ik zit nu op internet met deze computer. (Ik ga nog wel eens nakijken of alles up-to-date is van Java en dergelijke)

Moet ik nu nog iets doen? Er komt nog wel altijd een popup venster met kan bestand niet openen van mijn vorige post.

Hieronder is het logje:

Malwarebytes Anti-Malware (Trial) 1.75.0.1300

Malwarebytes : Free anti-malware download

Database version: v2013.10.21.03

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Administrator :: F83J42J [administrator]

Protection: Enabled

21/10/2013 11:22:21

mbam-log-2013-10-21 (11-22-21).txt

Scan type: Full scan (C:\|)

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM

Scan options disabled: P2P

Objects scanned: 45430

Time elapsed: 8 minute(s), 45 second(s) [aborted]

Memory Processes Detected: 0

(No malicious items detected)

Memory Modules Detected: 0

(No malicious items detected)

Registry Keys Detected: 0

(No malicious items detected)

Registry Values Detected: 0

(No malicious items detected)

Registry Data Items Detected: 0

(No malicious items detected)

Folders Detected: 0

(No malicious items detected)

Files Detected: 2

C:\Documents and Settings\All Users\Application Data\jrqlwtnb.plz (Trojan.Ransom.ED) -> Delete on reboot.

C:\Documents and Settings\Administrator\Local Settings\Temp\~tmf5885230866141695082.dll (Trojan.Ransom.ED) -> Quarantined and deleted successfully.

(end)

21 oktober 2013 aangepast door Jormu

[kweezie wabbit]

Heb je na de scan met malwarebytes de pc herstart?

Dat is nodig om de gevonden besmetting te verwijderen.

Dan mag je ook nog dit doen.

Download Zoek.zip naar het bureaublad.

• Wanneer Internet Explorer of een andere browser of virusscanner melding geeft dat dit bestand onveilig zou zijn kun je negeren, dit is namelijk een onterechte waarschuwing.
  
• Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe (hier en hier) kan je lezen hoe je dat doet.
  
• Klik met de rechtermuisknop op Zoek.zip en klik op de optie "Alles uitpakken".
  
• Dubbelklik op Zoek.exe om de tool te starten.
  
• Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
  
• Kopieer nu onderstaande code en plak die in het grote invulvenster:
  
• Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem.
  

startupall; 
filesrcm;

• Klik op de knop "Options" en vink nu de onderstaande opties aan.
  
• Running processes
  
• Startup Information
  
• Installed Programs
  
• HijackThis Log
  
• Silent Runners
  
• Empty Temp Folders
  
• Reset Hosts
  
• Auto Clean
  
• Klik nu op de knop "Run script".
  
• Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
  
• Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.
  
• Post nu de inhoud van het geopende logje in het volgende bericht.