LOCKY ransomware

[stephanreisig]

Hallo,

In december 2016 werd mijn pc ( Windows 7 Ultimate 64-bit SP1) gehacked.

Ik merkte opeens dat er op afstand op mijn computerscherm gescròlled werd.

En de pc was erg traag.

Toen ben ik in Teamviewer gaan kijken bij logboeken en zag allerlei activiteiten op het tijdstip van het 'scrollen'.

Ik heb het logboek Teamviewer bewaard en het programma Teamviewer zèlf accuut verwijderd.

Vervolgens allerlei anti-virusprogramma's laten scannen, zoals MSE en MBAM. 

Ik had geen Windows wachtwoord en heb deze vervolgens aangemaakt.

De pc gereboot, maar wachtwoord vergeten.

Na twee maanden, met de hulp van een ICT student, heb ik eindelijk weer toegang tot mijn pc.

 

Nu laat ik elke keer als ik mijn pc afsluit CCleaner scannen

en de afgelopen driè dagen , achter elkaar, vindt ie een bestand met de naam 'Locky" .

Ik heb deze naam gegoogled en las dat het een aan ransomeware gelieerde file is!!

Na elke scan van CCleaner zie ik dat dat bestandje op een àndere plaats staat

en elke dag verwijder ik het weer,

maar ik heb de indruk dat ie steeds naar een àndere plek skipt ?? Kàn dat??

 

Ik zou graag Uw hulp willen om hiervan definitief àf te komen.

Bijgaand een foto van het Locky bestand in het register. 

 

 

 

[Passer]

Download RSIT van de onderstaande locaties en sla deze op het bureaublad op.

Hier staat een beschrijving hoe je kan kijken of je een 32- of 64-bitversie van Windows hebt.

 

• RSIT 32 bit (RSIT.exe)
• RSIT 64 bit (RSITx64.exe)

 

Dubbelklik op RSIT.exe om de tool te starten.

• Gebruikers van Windows Vista en later dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
• Vervolgens wordt de "Disclaimer of warranty" getoond, klik vervolgens op "Continue"
• Wanneer de tool gereed is worden er twee kladblok bestanden geopend genaamd "Log.txt" en "Info.txt" .

 

RSIT Logbestanden plaatsen

• Voeg het logbestand met de naam "Log.txt" als bijlage toe aan het volgende bericht. (Dit logbestand kunt u tevens terug vinden in de map ""C:\rsit")
• Het logbestand met de naam "Info.txt" wat geminimaliseerd is hoeft u niet te plaatsen. (Dit logbestand wordt enkel de eerst keer bij het uitvoeren aangemaakt).
• Hoe u een bijlage kunt toevoegen aan het bericht leest u hier.

 

Bekijk ook de volgende video:

 

 

[stephanreisig]

Hallo Passer,

 

Hier het  RSIT Logbestand  

 

Bedankt voor de snelle reactie.

 

MVG, Stephan Reisig 

log.txt

[Passer]

Ik verwittig even de ontleders, even wachten tot een van hen op het forum komt.

[Leono]

Hoe goed je het ook bedoelt je bent niet gemachtigd hier te antwoorden lees:

 

14 maart 2017 aangepast door abbs
Mag in deze sectie geen advies geven.

[abbs]

Hallo,

 

Download de Farbar Recovery Scan Tool 32 of 64 bit van één van de onderstaande links

• Farbar Recovery Scan Tool 32 bit (x86)
• Farbar Recovery Scan Tool 64 bit (x64)
  

Hier staat een beschrijving hoe u kunt kijken of u een 32 of 64 bit versie van Windows heeft.
Farbar Recovery Scan Tool uitvoeren

• Klik met de rechtermuisknop op FRST.exe en kies voor de optie "Als administrator uitvoeren".
• Als het programma is geopend klik Yes (Ja) bij de disclaimer.
• Druk vervolgens op de Scan knop, er zal nu eerst een back-up van het register worden gemaakt.
• Wanneer de scan gereed is worden er twee logbestanden aangemaakt met de naam (FRST.txt) & (Addition.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
• Voeg beide logbestanden als bijlage toe aan het volgende bericht.
  

Een handleiding via een filmpje van Farbar Recovery Scan Tool kan je HIER vinden.

 

 

[stephanreisig]

Goedendag, 

 

Hier zijn de twee  Farbar Recovery Scan Tool  logbestandjes: als bijlage toegevoegd.

En alvast bedankt voor de hùlp, allemaal. 

 

MVG, Stephan 

Addition_14-03-2017 10.34.59.txt

FRST_14-03-2017 10.34.59.txt

[stephanreisig]

Even nog twee vragen tussendoor:

 

1) Ik zie in de FRST logje dat ik Firefox heb. Ik wist niet dat ik die browser überhaupt hàd! Hoe dat zo?

2) Ik ben de enige, die mijn pc gebruikt en in het 'Addition" logje lees ik dat ik van een 'Homegroup' gebruik maak ??

    > " HomeGroupUser$ (S-1-5-21-3820285416-1422433888-2532357495-1002 - Limited - Enabled) " . 

    Moet ik dit niet 'dis-ablen" ? 

[abbs]

Hallo,

 

Zoals Leono al had beschreven (heb ik verwijderd) word deze map aangemaakt door BDAntiRansomware (onderdeel van Bitdefender).
Hier hoef je dus niet druk om te maken.

 

Ik zie en verouderde Java: Java 8 Update 91 <==== Verwijder die en installeer na een herstart de nieuwste: https://www.java.com/nl/download/

 

Ga naar C:\Program Files (86)\Mozilla Firefox dan kan je zien of Firefox aanwezig is (en de instellen uit je vraag staan goed)

 

Schakel uw antivirussoftware tijdelijk uit en download de Junkware Removal Tool naar het bureaublad.

Junkware Removal Tool uitvoeren
Wanneer u problemen ondervindt bij het uitvoeren van dit programma of bepaalde foutmeldingen te zien krijgt laat dit dan even weten in uw bericht.

• Klik met de rechtermuisknop op JRT.exe en kies voor de optie "Als administrator uitvoeren".
• Druk bij het commandprompt venster op een willekeurig toets om door te gaan, vervolgens zal er een back-up van het register gemaakt worden.
• De tool zal vervolgens het systeem scannen.
• De scan kan afhankelijk van je systeemspecificaties soms vrij lang duren, wacht geduldig af.
• Als de scan gereed is zal er een logje (JRT.txt) op het bureaublad opgeslagen worden en automatisch worden geopend.
• Voeg dit logbestand als bijlage toe aan uw volgende bericht.
  

 

 

[stephanreisig]

Hallo,

 

Ik heb Java vernieuwd naar de nieuwste versie.

Ik gebruik Google Chrome en op de site van Orakel Java wordt gezegd dat Chrome Java niet meer ondersteund.

Heeft 't dan nog uberhaupt zìn om Java te hebben? ( zie bijlage foto )

 

Mozila Firefox nergens aanwezig.

Slechts een .exe file en een Read Me-file. > ook verwijderd. 

 

Logje van  Junkware Removal Tool  toegevoegd. 

 

MVG, Stephan 

JRT.txt