Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

  • Bart Giesen
  • Registratie: januari 2010
  • Laatst online: 23-10 20:18
Ik was even een liedje aan het beluisteren via YouTube. Opeens kreeg ik een mooi wit scherm. Ik zal de foto later plaatsen, maar het komt hierop neer;

'Uw computer is geblokkeerd (door het systeem van automatische informatiecontrole). De reden hiervoor kan zijn;

1 Uw computer is gebruikt om verboden websites te bezoeken
2 Uw computer is gebruikt om verboden websites van kinderporno te bezoeken
3 Uw computer is gebruikt om verboden informatie door te geven
4 Uw computer is gebruikt om verboden illegale content te bekijken...'

Er staat nog een hoop meer klets / politielogos. Strekking is dat ik 100 euro via Ukash moet overmaken en dan zou het probleem over zijn.

Ik een systeem met 2 schijven, op de ene XP (die is besmet en primair in gebruik) en de ander Windows 7.
Probleem is, dat als ik mijn computer opstart (xp) dat ik na invoeren van het wachtwoord dit scherm krijg en vervolgens ook niets meer kan doen (geen ALT - TAB etc.). Windows 7 werkt wel.

-Vanuit Windows 7 met ESET een voledige scan gedaan, niks gevonden (voor wat het waard is)
-Vanuit Windows 7 met MABM (Malware scanner), niks gevonden
-Vanuit de prompt Kaspersky rescue disk 10 gedraait, niks gevonden

Ik doe vast iets verkeerd, of zie iets over het hoofd... Zijn er andere mogelijkheden? Of moet ik het anders aanpakken? Heb ergens gelezen voer veilige mode en dan msconfig en bij start up alles uitvinken.

Help! :(

===
Opgelost
===

*Computer opgestart, Veilige Modus - met opdrachtpromp. Ik vond 2 opvallende zaken op ondergenoemde plek, welke zijn aangemaakt op de dag dat het probleem ontstond;

C:\Documents and Settings\All Users\Application Data\

1) wzakkiwkdwkc.exe
2) een directory (werowwzasewaa) met de inhoud welke benodigd is om het scherm samen te stellen wat ik telksen zag (u bent geblokkeerd omdat ...)

Directory en bestand deleted

*Vervolgens, zoals geopperd het cache geheugen van Java verwijderd;

C:\...\LocalLow\Sun\Java\Development\cache

*Vervolgens msconfig commando gegeven en onder blad 'Opstarten' 2 opties uitgeschakeld welke als naam soortgelijk / gelijk waren aan bovengenoemd + verwezen naar het .exe bestand zoals ook boven genoemd. Ik moest nu rebooten en dit ook gedaan.

Windows XP komt bij het inlogscherm. Ik voer me gegevens in. Het scherm met het virus / Politie UKash melding is inderdaad verdwenen, maar ik zie alleen maar de desktop. GEEN taakbalk of wat dan ook :(! Als ik CTRL-ALT-DEL geef, kom ik wel in de taksmanager, maar meer ook niet.

In Taskmanager gekeken... Daar stond 'explorer_new.exe'.
Via opdrachtprompt, regedit uitgevoerd en onderstaande regel opgezocht

1HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\

Shell moet de waarde explorer.exe hebben en type REG_SZ.

Heb explorer_new.exe aangepast naar Explorer. Reboot gegeven, en het systeem werkte weer.

M.a.w allen dank voor de moeite!

Bart Giesen wijzigde deze reactie 31-05-2012 20:14 (35%)


  • Mektheb
  • Registratie: december 2006
  • Laatst online: 21-12 20:00
Veilige Modus met Netwerkconnectie en dan Hitmanpro gebruiken te vinden op Hitmanpro.nl.

En anders kan je altijd nog DRWEB gebruiken.

En schoon <3

  • drunkfux
  • Registratie: september 2000
  • Laatst online: 17:14
http://malware-removal.wi...-for-50100-how-to-remove/

drunkfux wijzigde deze reactie 31-05-2012 10:11 (23%)

Systeem Specs


  • Bart Giesen
  • Registratie: januari 2010
  • Laatst online: 23-10 20:18
Bedankt voor je snelle reacite Mektheb. Het vervelende is, wanneer ik via Veilige Modus met Netwerkconnectie het systeem opstart, ik precies hetzelfde probleem heb. Na invoeren wachtwoord krijg ik meteen dit scherm / virus en derhalve is het voor mij onmogelijk wat te ondernemen.


DR. WEB ken ik verder niet? Is dat beter t.a.z van b.v. een ESET?

  • Bart Giesen
  • Registratie: januari 2010
  • Laatst online: 23-10 20:18
Drunkfux, thanks ook voor je reactie.

  • pianoman
  • Registratie: juni 1999
  • Laatst online: 26-11 18:43
Heb ik vorige week ook gehad. Opstarten met opdrachtprompt. Als ik mij goed herinner staat er een verdachte exe in C:\users\*jouwnaam*\appdata\roaming.

zoiets als j8cn0k.exe

Bij mij was het voldoende om deze te verwijderen, en vervolgens de cache van je java (C:\users\*jouwnaam*\localLow\Sun\Java\cache geloof ik)

Als je klaar bent moet je ook je java even updaten.

  • Iva_Bigone
  • Registratie: maart 2001
  • Niet online

Iva_Bigone

Te koop: diversen

Da's zogenaamde ransomware, zie bijv. dit topic op GoT.
Of zoek eens op KLPD-virus, dan krijg je topics zoals deze.

Ze gebruiken meestal lekken in oudere versies van Java en Adobe-producten om je systeem te infecteren.


Te koop:
diversen


  • LnC
  • Registratie: juni 2005
  • Laatst online: 12-12 14:30

LnC

Got Virus?

Misschien is het handig om veilige modus op te starten zonder netwerk. Mijn ervanring leert dat de virussen zich soms makkelijke laten verwijderen.
(Wel van te voren je antivirus / windows update, etc. bijwerken naar de laatste definities :9 )

  • Bart Giesen
  • Registratie: januari 2010
  • Laatst online: 23-10 20:18
===
Update
===

*Computer opgestart, Veilige Modus - met opdrachtpromp. Ik vond 2 opvallende zaken op ondergenoemde plek, welke zijn aangemaakt op de dag dat het probleem ontstond;

C:\Documents and Settings\All Users\Application Data\

1) wzakkiwkdwkc.exe
2) een directory (werowwzasewaa) met de inhoud welke benodigd is om het scherm samen te stellen wat ik telksen zag (u bent geblokkeerd omdat ...)

Directory en bestand deleted

*Vervolgens, zoals geopperd het cache geheugen van Java verwijderd;

C:\...\LocalLow\Sun\Java\Development\cache

*Vervolgens msconfig commando gegeven en onder blad 'Opstarten' 2 opties uitgeschakeld welke als naam soortgelijk / gelijk waren aan bovengenoemd + verwezen naar het .exe bestand zoals ook boven genoemd. Ik moest nu rebooten en dit ook gedaan.

Nu komt het vervelende;

Windows XP komt bij het inlogscherm. Ik voer me gegevens in. Het scherm met het virus / Politie UKash melding is inderdaad verdwenen, maar ik zie alleen maar de desktop. GEEN taakbalk of wat dan ook :(! Als ik CTRL-ALT-DEL geef, kom ik wel in de taksmanager, maar meer ook niet.

M.a.w; ik ben doodgelopen!

  • iMick
  • Registratie: november 2009
  • Laatst online: 02:16
Start via taakbeheer dan eens het proces explorer.exe op.

 iMac 27” (late 2009) - 2,66 Ghz i5 - 16GB - 256GB SSD + 1TB HDD  Retina Macbook Pro 15” (late 2013) - 2,6 Ghz i7 - 16GB - 512GB SSD  iPhone 6 Plus  iPad Air 2 


  • sig69
  • Registratie: mei 2002
  • Laatst online: 16:08
Waarschijnlijk stond die exe als shell ingesteld, dat moet normaal explorer zijn geloof ik. Win + r, explorer.exe, enter zou dan in ieder geval weer wat moeten dan. Zie ook hier: Shells Other Than Explorer.exe Replaced on Installation or Upgrade (is voor win2000 maar idee is hetzelfde)

sig69 wijzigde deze reactie 31-05-2012 18:32 (35%)

Feestje? Rob Versluys Entertainment!


  • AntonyterHorst
  • Registratie: juli 2008
  • Laatst online: 19-12 20:12

AntonyterHorst

Henk jij hem al?

niet nuttig blijkbaar

AntonyterHorst wijzigde deze reactie 31-05-2012 22:37 (95%)

Potje CS of CS:S? Steam : ajantony1991


  • Bart Giesen
  • Registratie: januari 2010
  • Laatst online: 23-10 20:18
In taakbeheer zie ik; explorer_new.exe

Ow, als je msconfig doet, tab Algemeen... Welke van de drie opties hoort aangevinkt te zijn? Normaal, Diagnostisch of Selectief?

Bart Giesen wijzigde deze reactie 31-05-2012 18:56 (10%)


  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

explorer_new.exe is niet best, dat hoort explorer.exe te zijn, waarschijnlijk staat de betreffende registersleutel zo ingesteld de niet juiste te laten laden na het inloggen.
code:
1
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\

Shell moet de waarde explorer.exe hebben en type REG_SZ.

Om explorer.exe (de goede) uit te voeren, kijk eens in het menu bestand in taakbeheer ;) , daarna (of daarvoor) kijken wat er bij bovenstaande registersleutel staat.

Raven wijzigde deze reactie 31-05-2012 19:03 (121%)

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • Bart Giesen
  • Registratie: januari 2010
  • Laatst online: 23-10 20:18
Raven, klopt wat jij verteld. Stond inderdaad als explorer_new.exe. Nu aangepast naar Explorer.exe.

En het werkt!!! Echter! Mijn startmenu is zo ongeveer gehalveerd, nagenoeg al mijn applicaties zijn foetsie in het startmenu!

Bart Giesen wijzigde deze reactie 31-05-2012 19:18 (98%)


  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

:)

Hmm, raar. Zijn de programma's nog wel aanwezig? Ik bedoel, zijn het alleen de snelkoppelingen die weg zijn?

Raven wijzigde deze reactie 31-05-2012 19:22 (108%)

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • Bart Giesen
  • Registratie: januari 2010
  • Laatst online: 23-10 20:18
Programmas zijn wel aanwezig nog.

Weet je wat me opvalt;

C:\Documents and Settings\All Users\Menu Start\
C:\Documents and Settings\All Users\Menu Start\Programmas

Lijken wel alle koppelingen te hebben... Deze zou ik eigenlijk verwachten onder

C:\Documents and Settings\Bart Giesen\Menu Start\
C:\Documents and SettingsBart Giesen\Menu Start\Programmas

  • Bart Giesen
  • Registratie: januari 2010
  • Laatst online: 23-10 20:18
P.s; welk programma moet ik nu even downloaden en draaien om definitief te checken of al dat spyware spul echt weg is??

  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

Dat hangt er vanaf hoe de programma's geïnstalleerd zijn. Bij een aantal kun je aangeven "alleen voor deze gebruiker snelkoppeling aanmaken", dan komt ie dus in de map van de gebruiker waar het programma wordt geïnstalleerd. Anders in all users, de snelkoppelingen in all users verschijnen bij iedereen in het startmenu.

Installeer gewoon een virusscanner, genoeg te vinden met Google ;) . Ik geef zelf de voorkeur aan die van ESET, maar indien het gratis moet zijn: AVG of Avira.

Raven wijzigde deze reactie 31-05-2012 19:32 (18%)

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • Bart Giesen
  • Registratie: januari 2010
  • Laatst online: 23-10 20:18
Ik zal je eerlijk zeggen... Heb nog nooit een scanner gehad. Ga er nu meteen 1 kopen van ESET.

De koppelingen heb ik gekopieerd uit de map: all users naar mijn map Bart Giesen. Allen geslecteerd, eigenschappen en 'verborgen' uitgevinkt. Klaar! Alles werkt weer! Top!

Bart Giesen wijzigde deze reactie 31-05-2012 20:11 (51%)


  • FlipFluitketel
  • Registratie: juli 2002
  • Laatst online: 17:08

FlipFluitketel

Frontpage Admin
Tip voor een volgende keer: temp-files niet direct verwijderen maar eerst unhide gebruiken. Er zijn diverse spyware-varianten die de icoontjes op het bureaublad en in het startmenu verbergen in een temp-map. Als je dan die temp-map leeg gooit krijg je ze ook niet meer terug (behalve zoals Bart Giesen in "Ukash - Politie" beschrijft maar niet alle programma's staan onder "all users").

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!


  • ebia
  • Registratie: maart 2007
  • Laatst online: 21-12 20:57
Beetje late ingeving, maar toch: Waarom zo'n systeem uberhaupt nog proberen te schonen?

Je weet maar nooit wat er nog meer meegekomen is, en wat je niet hebt gezien (denk aan botnets). Ik zou de integriteit van die machine zwaar in twijfel trekken en het zekere voor het onzekere nemen: opnieuw installeren.

Het Scheertopic


  • Trommelrem
  • Registratie: februari 2009
  • Laatst online: 17:24
* schopje *

Symantec Endpoint herkent het hele virus niet. Logisch, want het is ransomware en Endpoint scant alleen op virussen.

Ik wil graag wat tests uitvoeren in een VM met snapshots om het verwijderen te testen. Maar waar vind ik dit virus? Inmiddels heb ik al tientallen mensen om me heen met dit virus gezien, maar ik krijg het virus zelf niet geinstalleerd. Hoe kan ik het virus overzetten naar mijn VM of hoe kan ik het virus downloaden?

Juist omdat het virus overal tegelijk verschijnt wil ik er zelf wat tests mee uitvoeren. Zo ook tests om te kijken hoe ik het kan blokkeren in firewalls.

  • photofreak
  • Registratie: augustus 2009
  • Laatst online: 15-11 21:21
@ Trommelrem

Je kan kijken of hij te vinden is op malware.lu. Hier zijn 1.2 miljoen unieke malware exemplaren te vinden.

  • Richard P
  • Registratie: oktober 2010
  • Laatst online: 05-12 22:26
De methode van Bart Giesen heeft me uit de brand geholpen. Net voor het slapen gaan sloeg het virus toe, en ik kon niet rustig gaan slapen voordat het opgelost was. Het ergste was nog dat ik héél even dacht dat Tim Kuik me dan eindelijk te pakken had :P

Overigens geen last van explorer_new.exe of iets dergelijks. Ben nu even aan het scannen, en java aan het updaten. Zit ik er erg naast als ik denk dat het komt omdat ik mijn Java update al enkele keren heb verzaakt? Erg blij dat ik weer op m'n PC kan, maar nu met een gerust hart naar bed.

Asrock Z77 Extreme4-M | 8GB RAM | Intel i5 3750K | ASUS GTX 670 DirectCU II | SAmsung 830 128GB SSD


  • Thralas
  • Registratie: december 2002
  • Laatst online: 17:09
Java is in ieder geval een beruchte vector. Overweeg ook om de Java plugin in je browser in z'n geheel te disablen - grote kans dat je er weinig mee doet, terwijl je er enkel risico door loopt.

  • Richard P
  • Registratie: oktober 2010
  • Laatst online: 05-12 22:26
quote:
Thralas schreef op zaterdag 14 juli 2012 @ 02:44:
Java is in ieder geval een beruchte vector. Overweeg ook om de Java plugin in je browser in z'n geheel te disablen - grote kans dat je er weinig mee doet, terwijl je er enkel risico door loopt.
Gedaan, thanks. :)

Ik houd alles even in de gaten en als het weer mis gaat zet ik er gewoon Windows 7 opnieuw overheen. Al het belangrijke is toch backed-up.

Asrock Z77 Extreme4-M | 8GB RAM | Intel i5 3750K | ASUS GTX 670 DirectCU II | SAmsung 830 128GB SSD


  • DRuw
  • Registratie: november 2009
  • Laatst online: 17:42

DRuw

Bacardi Bat on Ice:)

Ik had hem ook net verdomme...
opstarten met netwerk en hitman gebruikt... that did the trick.
Eerste keer dat ik shit binnenhaal:(
gelukkkig kun je bij hitman een tijdelijke account 30 dagen gebruiken hiervoor.
snap niet dat mijn Eset hem niet heeft tegengehouden:(

Deze signature is om volstrekt onduidelijke redenen verwijderd.


  • photofreak
  • Registratie: augustus 2009
  • Laatst online: 15-11 21:21
quote:
DRuw schreef op woensdag 18 juli 2012 @ 21:21:
Ik had hem ook net verdomme...
opstarten met netwerk en hitman gebruikt... that did the trick.
Eerste keer dat ik shit binnenhaal:(
gelukkkig kun je bij hitman een tijdelijke account 30 dagen gebruiken hiervoor.
snap niet dat mijn Eset hem niet heeft tegengehouden:(
Is je software up-to-date?
Exploits met malware als payload wordt geregeld niet opgemerkt door de virusscanner. Nu ben ik sowieso van ESET overgestapt naar de gratis versie van Avira, betere bescherming en ook nog eens gratis.

photofreak wijzigde deze reactie 18-07-2012 22:17 (19%)


  • DRuw
  • Registratie: november 2009
  • Laatst online: 17:42

DRuw

Bacardi Bat on Ice:)

jep.... helaas wel.
Ik ga ook maar es overstappen denk ik..

Deze signature is om volstrekt onduidelijke redenen verwijderd.


  • dnhelle
  • Registratie: februari 2004
  • Laatst online: 16:10

dnhelle

Singletrail Addict

Meldt. Gebruik zelf MSE, maar niet afdoende blijkbaar. Draai nu een kaspersky rescue disk, ben benieuwd wat ie kan doen.

P.s.: idioot, ze activeren zelfs je webcam :-)

Velozine.nl


  • DRuw
  • Registratie: november 2009
  • Laatst online: 17:42

DRuw

Bacardi Bat on Ice:)

Tja net echt... Had ik niet toevallig 3dagen geleden mijn wedcam op een pc gezet had ik er misschien nog ingetrapt ook...!

Deze signature is om volstrekt onduidelijke redenen verwijderd.


  • dnhelle
  • Registratie: februari 2004
  • Laatst online: 16:10

dnhelle

Singletrail Addict

Met kaspersky probleem gevonden en opgelost.

Velozine.nl


  • pfranze
  • Registratie: juni 2001
  • Laatst online: 19-12 14:58
Ik had deze vorige week ook. Ik gebruik ook MSE. Direct system restore uitgevoerd (Windows 7 Home Premium), daarna alles weer in orde.

  • darkone.be
  • Registratie: april 2009
  • Laatst online: 04-02 09:28
quote:
dnhelle schreef op donderdag 19 juli 2012 @ 14:10:
Met kaspersky probleem gevonden en opgelost.
kun je eens uitleggen hoe je die rescue disc van kaspersky moet gebruiken?

  • LnC
  • Registratie: juni 2005
  • Laatst online: 12-12 14:30

LnC

Got Virus?

quote:
darkone.be schreef op woensdag 25 juli 2012 @ 11:17:
[...]


kun je eens uitleggen hoe je die rescue disc van kaspersky moet gebruiken?
Misschien heb je hier iets aan.

  • darkone.be
  • Registratie: april 2009
  • Laatst online: 04-02 09:28
bedankt ga dit dan vnd eens proberen hopelijk lukt het ...

  • DaViDoViTsCh
  • Registratie: november 2004
  • Laatst online: 19-12 17:27

DaViDoViTsCh

Hier kan uw reclame staan.

Mijn moeder heeft dit net ook meegemaakt op d'r laptop. Politielogo's en 100,- betalen... Dus niet hè...
ff kijken hoe dit het makkelijkste verholpen kan worden...

Galaxy Note 3 - Android 4.3 - Stock


  • Mektheb
  • Registratie: december 2006
  • Laatst online: 21-12 20:00
quote:
DaViDoViTsCh schreef op vrijdag 21 juni 2013 @ 19:35:
Mijn moeder heeft dit net ook meegemaakt op d'r laptop. Politielogo's en 100,- betalen... Dus niet hè...
ff kijken hoe dit het makkelijkste verholpen kan worden...
Kaspersky live CD / USB internet erop en scannen maar daarna reboot en dan even combofix

  • DaViDoViTsCh
  • Registratie: november 2004
  • Laatst online: 19-12 17:27

DaViDoViTsCh

Hier kan uw reclame staan.

Bedankt, zal het doorgeven...

Galaxy Note 3 - Android 4.3 - Stock


  • DaViDoViTsCh
  • Registratie: november 2004
  • Laatst online: 19-12 17:27

DaViDoViTsCh

Hier kan uw reclame staan.

Fresh Windows installation did the trick! ;)

Galaxy Note 3 - Android 4.3 - Stock


  • Fire69
  • Registratie: juni 2001
  • Laatst online: 15:50
Pff, hoop werk voor een simpel te verwijderen 'virus' :)
Staat tegenwoordig altijd in de shell-value van de winlogon-key in de registry.
Leegmaken, bestandje waar het naar verwijst weghalen, done :)

Move along folks, nothing interesting to see here.

Pagina: 1


Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True