Gijzelvirus, wat precies te doen?

opstart in veilig modus met netwerkmogelijkheden.(F8 drukken vlak na het bios scherm).
dan malwarebytes downloaden. scannen. ook ff nog spybot S&D downloaden en scannen.
in malwarebytes moet je ja aaklikken voor een test versie van 14 dagen. daarna normaal opstarten en met beide opnieuw scnannen.

hoor graag van je.

Mijn advies: gaan voor de simpele en meest effectieve oplossing. Formateer je HDD en installeer Windows opnieuw, weet je zeker dat je er van verlost bent. Of durf jij straks nog met een gerust hart te internetbankieren op die machine terwijl je niet 100% zeker weet of je alles kwijt bent?

Rupie schreef op maandag 12 maart 2012 @ 10:34:
Mijn advies: gaan voor de simpele en meest effectieve oplossing. Formateer je HDD en installeer Windows opnieuw, weet je zeker dat je er van verlost bent. Of durf jij straks nog met een gerust hart te internetbankieren op die machine terwijl je niet 100% zeker weet of je alles kwijt bent?

zo blijf je bezig.
het nadeel is dat je windows gebruikt. maar ik denk dat we die discussie maar beter links laten liggen.
verder als je die dingen gebruikt en aan laat staan dan zit je redelijk veilig.

darkmagic schreef op maandag 12 maart 2012 @ 10:36:
zo blijf je bezig.
het nadeel is dat je windows gebruikt. maar ik denk dat we die discussie maar beter links laten liggen.
verder als je die dingen gebruikt en aan laat staan dan zit je redelijk veilig.

Nee, zeggen dat het 'stom' is dat je Windows gebruikt is een lekkere discussie?

Windows 7 heb je in max uurtje volledige herinstallatie gedaan incl drivers en basiszut.

Rupie schreef op maandag 12 maart 2012 @ 10:34:
Mijn advies: gaan voor de simpele en meest effectieve oplossing. Formateer je HDD en installeer Windows opnieuw, weet je zeker dat je er van verlost bent. Of durf jij straks nog met een gerust hart te internetbankieren op die machine terwijl je niet 100% zeker weet of je alles kwijt bent?

Tja, hoe weet je zeker dat in de data (die ze vast en zeker eerst veilig wil stellen) geen sporen van het virus/ de trojan zitten?

Ik zou proberen je PC op te schonen zoals hierboven wordt aangeraden. Zorg daarbij dat als je niet zeker weet wat je doet, je iemand vraagt die dat wel weet Hier, of je lokale computerzaak oid.

darkmagic schreef op maandag 12 maart 2012 @ 10:36:
[...]


zo blijf je bezig.
het nadeel is dat je windows gebruikt. maar ik denk dat we die discussie maar beter links laten liggen.
verder als je die dingen gebruikt en aan laat staan dan zit je redelijk veilig.

je kan het best het advies over Spybot opvolgen.. of je draait een isolinux met een antivirus..
zelf heb ik hier een CD van Panda voor(zakelijk gekregen van Panda zelf. dus weet niet of je hem kan downloaden.)

Documenten backuppen op externe opslag (bv USB stick), PC volledig formatteren en installeren vanaf een VERTROUWDE LEGALE windows 7 DVD. Daarna alle updates draaien, anti-virus installeren. Kloon van PC maken. Pas daarna, echt pas als alles weer dichtgetimmerd zit, en zeker niet vanaf een administrator account, ga je je USB stick scannen op bagger.

SinergyX schreef op maandag 12 maart 2012 @ 10:38:
[...]

Nee, zeggen dat het 'stom' is dat je Windows gebruikt is een lekkere discussie?

Windows 7 heb je in max uurtje volledige herinstallatie gedaan incl drivers en basiszut.

ik heb nergens gezegd dat het stom is dat hij/zij widnows gebruikt. het is alleen een nadeel.

sebastius schreef op maandag 12 maart 2012 @ 10:42:
Documenten backuppen op externe opslag (bv USB stick), PC volledig formatteren en installeren vanaf een VERTROUWDE LEGALE windows 7 DVD. Daarna alle updates draaien, anti-virus installeren. Kloon van PC maken. Pas daarna, echt pas als alles weer dichtgetimmerd zit, en zeker niet vanaf een administrator account, ga je je USB stick scannen op bagger.

En dat is inderdaad het beste advies. Opschonen klinkt leuk maar je weet inderdaad niet wat er toch nog achterblijft. Meestal zijn dit soort tronjans erg hardnekkig en zou ik inderdaad niet het risco willen nemen om daarna nog even te telebankieren.

Windows wordt nu eenmaal veel gebruikt en maakt ook verder niets uit. Dit soort dingen kunnen gebeuren en kun je altijd weer oplossen. Je leert er altijd weer iets van.

[ Voor 16% gewijzigd door MikeOO op 12-03-2012 10:48 ]

zoals al geoppert,herinstallatie van je pc.beste oplossing.
ik heb op mijn prive ook echt alleen OS + een aantal standaard programma's op mijn SSD staan.
Voordeel van SSD is ook dat de windows installatie zo gedaan is

Op 1 andere schijf heb ik een txt met programma's en eventueel een folder met alle programma's die ik niet meteen van internet kan halen (aangekocht etc)

Herinstalleer mijn pc sowieso 1x in de 6 maanden,hierdoor ben ik daar maar een uurtje mee bezig ofzo (zet meestal image terug)

Net als anderen: data op een stick zetten en Windows er volledig nieuw opzetten. Eenmaal geïnfecteerd met malware weet je nooit voor 100% zeker dat alles er af is tenzij je de harddisk formatteert en het besturingssysteem volledig herinstalleert.

Pixeltje schreef op maandag 12 maart 2012 @ 10:38:
[...]


Tja, hoe weet je zeker dat in de data (die ze vast en zeker eerst veilig wil stellen) geen sporen van het virus/ de trojan zitten?

Afaik kunnen er in documenten plaatjes en filmpjes (wat je wil veiligstellen) geen virus zitten.
Dus dat is de reden dat je dat gewoon kunt laten staan.
Dus als jij daar meer over weet ben ik daar wel benieuwd naar.

Een back-up draaien? En gewoon al je harde schijven formateren.

heuveltje schreef op maandag 12 maart 2012 @ 11:45:
[...]


Afaik kunnen er in documenten plaatjes en filmpjes (wat je wil veiligstellen) geen virus zitten.
Dus dat is de reden dat je dat gewoon kunt laten staan.
Dus als jij daar meer over weet ben ik daar wel benieuwd naar.

Nou echt wel hoor, kunnen gemold zijn, voorzien van exploits en weet ik wat voor ellende. ALLES backuppen en ALLES scannen. Geen uitzonderingen!

sebastius schreef op maandag 12 maart 2012 @ 12:01:
[...]

Nou echt wel hoor, kunnen gemold zijn, voorzien van exploits en weet ik wat voor ellende. ALLES backuppen en ALLES scannen. Geen uitzonderingen!

Er zijjn genoeg voorbeelden van malware / virussen die embedded zijn in een bestand (jpeg, mp3, doc etc)
Dus zoals al gezegd werd, alles scannen, geen uitzonderingen.

Nu heeft dit virus ook mijn computer "gegijzeld".Nog net in veilige modus Malwarebytes kunnen installeren, snel een scan gedaan, maar nog geen 10seconden later kwam die zelfde melding weer. Je kan echt helemaal niks. Alt+tab werkt niet en je taakbeheer wordt ook niet geshowed. Ben zelf al enigszins op zoek geweest met hijackthis, maar dat mocht ook niet baten. Iemand al meer ervaringen met eigenaardig stukje software hoe dit op te lossen ?

Rupie schreef op maandag 12 maart 2012 @ 10:34:
Mijn advies: gaan voor de simpele en meest effectieve oplossing. Formateer je HDD en installeer Windows opnieuw, weet je zeker dat je er van verlost bent. Of durf jij straks nog met een gerust hart te internetbankieren op die machine terwijl je niet 100% zeker weet of je alles kwijt bent?

Dit inderdaad. Data veiligstellen, de boel formatteren, afgrendelen (met de nodige scanners en firewalls) en dan je data controleren. Opschonen is wat mij betreft altijd maar een tijdelijke maatregel, al zou je me op dat vlak paranoïde kunnen noemen.

Verwijderd schreef op vrijdag 23 maart 2012 @ 03:39:
[...]

Dit inderdaad. Data veiligstellen, de boel formatteren, afgrendelen (met de nodige scanners en firewalls) en dan je data controleren. Opschonen is wat mij betreft altijd maar een tijdelijke maatregel, al zou je me op dat vlak paranoïde kunnen noemen.

Kan begrijpen dat een format de boel weer op zou schonen. Het frapante is natuurlijk dat dit fenomeen zich al weken zo niet maanden afspeelt. Ik als tweaker heb al de nodige virussen op me computer gehad. Deze werden vaak herkent (op tijd of niet is even niet relevant) en zou er een oplossing zijn. Noem me eigenwijs, maar ik ben nog niet als oplossing tegen gekomen van AV fabrikanten om een "format c" te doen en probeer enigszins het virus te begrijpen waar het zich probeert in te nestelen(bestanden en mappen). Punten wat ik al heb gedaan op mijn Windows 7 computer :
Veilige modus met netwerkmogelijkheden : virus kom terug
Malwarebytes herkent het niet met een snelle scan, extended heb ik nog niet geprobeerd
Register ingedoken, maar wordt vaak gerefereerd naar Windows XP.
In standaard veilige modus krijg ik niks op me beeldscherm dus virus wordt gestart als er een internet verbinding is.

Ik gebruik voor de rest Microsoft security essentials als virusscanner. Ik hoop zonder format verder te kunnen .

maar ik ben nog niet als oplossing tegen gekomen van AV fabrikanten om een "format c" te doen

Let op wie dat zegt: die hebben er natuurlijk een belang bij dat hun cleaner worden gebruikt

Pixeltje schreef op maandag 12 maart 2012 @ 10:38:
Tja, hoe weet je zeker dat in de data (die ze vast en zeker eerst veilig wil stellen) geen sporen van het virus/ de trojan zitten?

Ook een gedachtenfoutje: op een niet-besmet systeem is het enorm veel eenvoudiger te checken dan op een nu of ooit besmet systeem. Als er sporen (?) zitten in een backup dan zitten ze zeker in het (ex-)besmette systeem

Overigens mis ik hierboven een stap tussen backuppen en formatteren: de backup controleren (op volledigheid/leesbaarheid en op malware) op een ander apparaat en toch nog een tweede backup maken. Je wilt niet na het formatteren merken dat je backup niet compleet is of de files niet leesbaar zijn.

Misschien moet je een postcheque naar de Belgische politie sturen, dan zakt mijn belasting misschien...

Ik denk dat als je het niet meer tegenkomt, het ook niet meer op je computer te vinden is. Anders had je virusscanner het wel gevonden.

Ik heb toevallig van de week een PC onderhanden moeten nemen met exact hetzelfde virus / trojan.

Opstarten in veilige modus zonder netwerk etc.. Daar MSE een volledige scan laten doen (die vond ook een trojan).

Zelf in het register bij h-key_current_user/software/microsoft/windows/currentversion/run en h-key_local_machine/software/microsoft/windows/currentversion/run een rare key verwijderd (eentje die daar duidelijk niet thuis hoorde).

Vervolgens kijken bij h-key_local_machine/software/microsoft/windowsnt/currentversion/winlogon
of de tekenreeks "shell" naar explorer.exe verwijst en zo niet, dit aanpassen naar explorer.exe

Ik kwam in de C-directory nog een 3-tal bestanden tegen welke er niet hoorde en heb deze verwijderd. Sindsdien geen klachten meer gehoord.

Edit:
Ik wil er nog aan toevoegen dat ik eerst alleen de scan met MSE heb gedaan in veilige modus, deze vond dan de trojan en verwijderde deze ook. In veilige modus was het probleem opgelost, maar opnieuw opstarten in normale modus en je kreeg direct weer dezelfde melding (in dit geval van de KLPD, maar de rest ging exact hetzelfde). Daarna weer opnieuw in de veilige modus, weer de scan (en weer verwijderd), maar nu ook het register gecontroleerd / aangepast zoals hierboven vermeld en de bestanden op C verwijderd (rare bestanden, lange bestandsnaam met veel cijfers).

[ Voor 26% gewijzigd door Lucky-Shirt op 23-03-2012 09:54 ]

Volgende patient, nu van een zgn. engelse politie

Hierboven regkeys en C-files heb ik niet, maar opstarten in Normalmod lukt niet (krijg alleen dat scherm, niet eens taskmanager)

Malwarebytes vind een aantal dingen (vanuit Safe mod), maar ESET wil niet scannen lijkt het.

Met windows 7 manager zie ik alleen arg123810.exe als onbekend programma in de startup staan, die heb ik maar verwijderd. Scannen MWB loopt nog, MSE krijg ik niet geinstalleerd onder safemode.

[ Voor 95% gewijzigd door Stefke op 23-03-2012 10:20 ]

Net aangepaste scan gedaan in veilige modus zonder netwerkmogelijkheden met MSE en aangegeven dat hij alleen C: moest doen. Op een gegeven moment begon hij toch aan E: en heb ik de scan geannuleerd.

In het "start"menu staat een map met de naam "Opstarten" en er stond iets van AMD in. Weet niet of het er mee te maken had, maar waarom wil AMD iets op mijn computer automatisch opstarten? Gekeken waar het stond op de computer (c:\amd app en nog zo een map). In die mappen gekeken maar er staat niet veel in en de details van de bestanden waren niet bekend. Stond helemaal niks in door wie hij gemaakt is en neem aan dat AMD dat wel doet. Het enige wat ik van AMD heb is een videokaart, maar dan nog.

Dus in combinatie van MSE (half geannuleerd, want liet ook geen resultaten zien) en het verwijderen van de bestanden in opstarten is het probleem voor mij nu zo ver opgelost. Hoop dat ik iemand hier mee kan helpen:).

Die heb ik niet. Wel start een AMD Device install (kbdsync.exe) maar die is volgens mij wel degelijk van AMD na wat googlen, maar wat ik even snel kon vinden kan het probleemloos gedisabled worden.
Wel geeft deze exe ook geen informatie weer over maker etc.
*delete

edit: bij mij staan de twee genoemde directories (AMD APP en AMD AVT) in C:\program files X86\ (win64)

Ik ga nu opnieuw opstarten, als het weer werkt gebruik ik hem dit weekend nog en gaat komende week alles eraf.

edit: hij doet t weer

[ Voor 49% gewijzigd door Stefke op 23-03-2012 13:15 ]

En nog een slachtoffer meldt zich. Rap virus dit. Was gewend dat je echt iets moets aanklikken of accepteren om dit soort geneuzel te krijgen.

Meestal maken dit soort virussen gebruik van een vunerability van flash of java in de browser. Gewoon al een geinfecteerde pagina bezoeken kan dit soort problemen al veroorzaken.

Dan is het maar hopen dat je antivirus ingrijpt, maar dat is ook niet altijd.

Ik raad aan om sowieso de java plugin voor je browser uit te schakelen, java servlets worden amper nog gebruikt. Flash is gewoon braaf updaten als de updater er om vraagt.
Voor pdf bestanden raad ik aan om of te blijven updaten of voor een basic pdf reader te gaan zoals bijvoorbeeld sumatraPDF.

Denk dat het voornamelijk scareware is aangezien het makkelijk te verwijderen is.

Zilver schreef op maandag 26 maart 2012 @ 23:08:
En nog een slachtoffer meldt zich. Rap virus dit. Was gewend dat je echt iets moets aanklikken of accepteren om dit soort geneuzel te krijgen.

En dat heb je toen maar gedaan?...
Ik trek toch wel een lange neus nu met ubuntu 11.10...

[ Voor 9% gewijzigd door Verwijderd op 27-03-2012 09:19 ]

En even een tip: als je format c: doet, ook even een nieuwe master boot record aanmaken met bootrec /FixMbr. Trojans, virussen, etc hebben nog wel eens de neiging om in je mbr te nestelen en dan gaat een simpele format & reinstall niets oplossen

Standeman schreef op dinsdag 27 maart 2012 @ 09:54:
En even een tip: als je format c: doet, ook even een nieuwe master boot record aanmaken met bootrec /FixMbr. Trojans, virussen, etc hebben nog wel eens de neiging om in je mbr te nestelen en dan gaat een simpele format & reinstall niets oplossen

Moeten we echt zo bang zijn als ik het uiteindelijk zo simpel kan oplossen?

Kapersky rescue disk maakte er vrij eenvoudig korte metten mee. MSCE had het virus wel gespot, maar was te laat met ingrijpen. De PC zat al op slot.

Iemand nog andere tips om deze meuk te stoppen. Ik dacht dat een firewall en MSCE wel voldoende had moeten zijn.

En moet me ik me eigenlijk nog zorgen maken over mijn QNAP NAS of istie niet vatbaar omdat ie niet op WinDoos draait?

[ Voor 18% gewijzigd door Zilver op 27-03-2012 11:56 ]

Ventrigo schreef op dinsdag 27 maart 2012 @ 10:39:
[...]

Moeten we echt zo bang zijn als ik het uiteindelijk zo simpel kan oplossen?

Nee, hij zegt niet voor niks 'ook'. Een virus kan zich op verschillende plekken nestelen, waaronder het register (waardoor het wordt geactiveerd bij het opstarten van Windows of van bepaalde programma's), in andere executables, en ook in het MBR.

Zo kun je, nadat je je hele PC behalve de MBR hebt gefixt, eenvoudig je (vers geïnstalleerde) Windows opnieuw geïnfecteerd laten raken door de computer simpelweg opnieuw te starten.

Ventrigo schreef op dinsdag 27 maart 2012 @ 10:39:
[...]

Moeten we echt zo bang zijn als ik het uiteindelijk zo simpel kan oplossen?

Ik vind van wel, de vraag is of het daadwerkelijk opgelost is namelijk en hoe je dat zeker weet Als mijn pc eenmaal geinfecteerd is, vertrouw ik het systeem gewoon niet meer en is voor mij de enige optie een volledige reinstall.

Ik ben inderdaad een tikkeltje paranoia, maar dat komt omdat vrijwel al mijn financiele transacties via mijn computer lopen en ook de meeste communicatie met de (lokale) overheid. Ik zit er niet op te wachten dat iemand mijn identiteit steelt, mijn rekeningen leeghaalt en weet ik niet allemaal voor (criminele) zaken onder mijn naam uitvoert.

Standeman schreef op dinsdag 27 maart 2012 @ 14:02:
[...]

Ik vind van wel, de vraag is of het daadwerkelijk opgelost is namelijk en hoe je dat zeker weet

Ik ben inderdaad ook wel benieuwd hoe Ventrigo dan zo zeker weet dat hij het probleem 100% heeft opgelost en dat het niet gewoon tijdelijk een tijdje niet te merken is.
(ik moest gelijk denken aan http://nl.wikipedia.org/wiki/Pokken en dan bij het kopje symptomen, een tijdelijke opleving en dan weer ziek )

[ Voor 16% gewijzigd door elTigro op 27-03-2012 14:37 ]

CodeCaster schreef op dinsdag 27 maart 2012 @ 12:09:
[...]

Nee, hij zegt niet voor niks 'ook'. Een virus kan zich op verschillende plekken nestelen, waaronder het register (waardoor het wordt geactiveerd bij het opstarten van Windows of van bepaalde programma's), in andere executables, en ook in het MBR.

Zo kun je, nadat je je hele PC behalve de MBR hebt gefixt, eenvoudig je (vers geïnstalleerde) Windows opnieuw geïnfecteerd laten raken door de computer simpelweg opnieuw te starten.

Oke begrijpelijk dat je zo veel mogelijk wilt uitsluiten zodat de virusinfectie niet nog een keer kan gebeuren na herinstallatie.Het tweede stukje begrijp ik ook. Doe je dan ook een BIOS flash? Dan weet je ook zeker dat die niet in je bios kan gaan zitten. Hoe ver wil je door gaan?
Om even een situatie aan te halen toen "in den beginne" Windows Xp er nog was zonder SP1. Was er ook een "virus" die de computer opnieuw op liet starten. Via taakbeheer het proces uitschakelen en via DOS de automatische herstart annuleren en je was klaar. Hoe moeilijk kan het zijn? Moet ik nu banger zijn voor dit soort dingen omdat er in de afgelopen 10jaar er steeds meer persoonlijke dingen via de computer gebeuren. Neemt niet weg dat het nog steeds makkelijk is om een virus te "disabelen"?

Standeman schreef op dinsdag 27 maart 2012 @ 14:02:
[...]

Ik vind van wel, de vraag is of het daadwerkelijk opgelost is namelijk en hoe je dat zeker weet Als mijn pc eenmaal geinfecteerd is, vertrouw ik het systeem gewoon niet meer en is voor mij de enige optie een volledige reinstall.

Ik ben inderdaad een tikkeltje paranoia, maar dat komt omdat vrijwel al mijn financiele transacties via mijn computer lopen en ook de meeste communicatie met de (lokale) overheid. Ik zit er niet op te wachten dat iemand mijn identiteit steelt, mijn rekeningen leeghaalt en weet ik niet allemaal voor (criminele) zaken onder mijn naam uitvoert.

Je zegt inderdaad het woord "ik". Heel goed dat je voor je zelf weet wat waar je de grens trekt. Als je het 100% zeker wil weten zal lastig worden. De schrijver van het stukje software ( hou het even op software aangezien scareware geen virus is) geeft zijn code niet vrij tenzij je er voor betaalt misschien. En uiteindelijk zegt Microsoft niet wat er allemaal gebeurt als de software wordt uitgevoerd op een Windows systeem.
Hoe zit het dan met trace-cookies (http://www.automatisering...ivacy-instellingen-safari).
Een volledige reinstal? Wat is volledig? Zoals de persoon boven je, doe je dat dan ook of nog extremer?

Zoals je in je tweede alinea aangeeft is dat je met "gevoelige" informatie werkt(als ik het zo mag omschrijven).Ook schrijf je dat je een tikkeltje paranoia bent op het gebied van computers mbt virussen/spyware/scareware enz. Is dat dan voor de nuchtere "computerhollander" een indicatie om te zeggen : "Goh laat ik dan ook maar een herinstal doen!" ? Waarom zou elk "stukje software" moeilijk moeten zijn zoals het volgende gezegde: Doel heiligt de middelen.

elTigro schreef op dinsdag 27 maart 2012 @ 14:16:
[...]

Ik ben inderdaad ook wel benieuwd hoe Ventrigo dan zo zeker weet dat hij het probleem 100% heeft opgelost en dat het niet gewoon tijdelijk een tijdje niet te merken is.
(ik moest gelijk denken aan http://nl.wikipedia.org/wiki/Pokken en dan bij het kopje symptomen, een tijdelijke opleving en dan weer ziek )

In het verleden behaalde resultaten bieden geen garantie voor de toekomst, geef ik toe! Maar door eerder genoemd verhaal, zoals hierboven door mij uitgelegd, heb ik positieve resultaten gehad met het werkend houden van mijn computer zonder herinstallatie. Want waarom zou dat niet mogelijk zijn? Zo ver ik nu heb gemerkt heb ik er geen last van en zal ik anders verdere stappen ondernemen als dit "grotere" gevolgen heeft voor mij of mijn computer.

Zijn wij, als tweaker en als mens, dan zo makkelijk te manipuleren dat elk slecht "stukje software" invloed kan hebben op ons computer gebruik? Je voorkomt het liever dan dat je het geneest. Maar nu is mijn computer toch weer genezen? Om dan toch even te verwijzen naar de pokken. Ik heb vroeger toen ik klein was de waterpokken gehad. Ongeveer een jaar geleden had ik gordelroos (ook een vorm van de pokken). Wij zijn daar toch ook door studies achter gekomen dat dat ook jaren later kan plaats vinden en te "genezen" is? Waarom dan niet met computers? Het is dat ons lichaam complexer in elkaar zit, maar de computers worden ook complexer.

*Veilige modus met netwerk mogelijkheden
*MSE installeren / updaten en een Full scan draaien (geen Quick)
*Normale Modus MSE Full scan
*Hijackthis
*Combofix
*Super anti spyware full scan
*eigen virus scanner full scan

Na dit proces ben ik ervan overtuigd dat het virus weg is.
Draai mijn Windows 7 installatie al sinds de eerste versie beschikbaar was en ik heb nog nooit (op een HDD crash na ) mijn Windows moeten herinstalleren van wegen een virus

Dit proces doe ik trouwens ook 1x per 1a2 maanden om er zeker van te zijn dat mijn pc clean is en blijft

Ventrigo schreef op dinsdag 27 maart 2012 @ 22:08:
[...]

Oke begrijpelijk dat je zo veel mogelijk wilt uitsluiten zodat de virusinfectie niet nog een keer kan gebeuren na herinstallatie.Het tweede stukje begrijp ik ook. Doe je dan ook een BIOS flash? Dan weet je ook zeker dat die niet in je bios kan gaan zitten. Hoe ver wil je door gaan?
Om even een situatie aan te halen toen "in den beginne" Windows Xp er nog was zonder SP1. Was er ook een "virus" die de computer opnieuw op liet starten. Via taakbeheer het proces uitschakelen en via DOS de automatische herstart annuleren en je was klaar. Hoe moeilijk kan het zijn? Moet ik nu banger zijn voor dit soort dingen omdat er in de afgelopen 10jaar er steeds meer persoonlijke dingen via de computer gebeuren. Neemt niet weg dat het nog steeds makkelijk is om een virus te "disabelen"?

Ik begrijp je reactie niet helemaal. Bedoel je nu te zeggen dat een herinstallatie en een MBR-fix wellicht wat overdreven is?

Een aantal van die hedendaagse virussen die op je bankgegevens jagen, installeren zich overal waar ze maar kunnen. Een voorbeeld hiervan is Mebroot (Torpig, Sinowal), waarbij je na enkel een herinstallatie van Windows dus nog niet clean bent. Zie ook dit nieuwsartikel.

Edit: met F_J_K hieronder. Ik begreep niet wat je bedoelde, maar zie nu dat je het over 'shutdown -a' hebt in het geval van een Blaster-virus. Dat haalt het virus niet weg, maar zorgt er alleen maar voor dat het afsluiten van het systeem wordt afgebroken...

[ Voor 13% gewijzigd door CodeCaster op 29-03-2012 11:48 ]

Ventrigo schreef op dinsdag 27 maart 2012 @ 22:08:
Om even een situatie aan te halen toen "in den beginne" Windows Xp er nog was zonder SP1. Was er ook een "virus" die de computer opnieuw op liet starten. Via taakbeheer het proces uitschakelen en via DOS de automatische herstart annuleren en je was klaar. Hoe moeilijk kan het zijn? Moet ik nu banger zijn voor dit soort dingen omdat er in de afgelopen 10jaar er steeds meer persoonlijke dingen via de computer gebeuren. Neemt niet weg dat het nog steeds makkelijk is om een virus te "disabelen"?

Als we aan hetzelfde denken: slecht voorbeeld. Het opnieuw opstarten was een symptoom: IIRC een foutje in de malware. 'Shutdown /a' was geen verwijderen van Blaster (laat staan het gat dichten). De commandline DOS noemen betekent dat je de interne werking van Windows misschien niet helemaal in de vingers hebt (Maar waarschijnlijk bedoelde je het niet zo).

Geen idee wat dit specifieke stukje malware doet maar in het algemeen: ook alle stappen van R.plas in "Gijzelvirus, wat precies te doen?" zien niet dat er bijv wat poorten zijn open gezet of andere settings zijn aangepast voor een volgende keer.

Wij zijn daar toch ook door studies achter gekomen dat dat ook jaren later kan plaats vinden en te "genezen" is? Waarom dan niet met computers? Het is dat ons lichaam complexer in elkaar zit, maar de computers worden ook complexer.

Het leuke van een gewone PC is dat het maken van een backup zo verschrikkelijk eenvoudig is. Een kopie van het lichaam maken duurt bij mensen 9 maanden en het besmette origineel vernietigen is in beschaafde landen verboden (behalve in bepaalde zware gevallen). Bij een PC is format+restore beduidend makkelijker.

Dat gezegd hebbende: per definitie formatteren gaat inderdaad wat ver. Dat neemt niet weg dat je altijd een recente backup moet hebben (immers kan de PC ook "gewoon" helemaal overlijden en bedenk: "1 backup is geen backup"). En dat je goed moet kijken wat de malware was, waar het zat, wat het deed, wat er nog meer mee kwam, etc. Formatteren en backup terugzetten is dan sneller, maar uitzoeken hoe en wat is misschien meer leerzaam.

En in alle gevallen er van leren om voortaan meer te doen aan rechten, patchen en opletten

CodeCaster schreef op donderdag 29 maart 2012 @ 11:06:
[...]
Ik begrijp je reactie niet helemaal. Bedoel je nu te zeggen dat een herinstallatie en een MBR-fix wellicht wat overdreven is?

Een aantal van die hedendaagse virussen die op je bankgegevens jagen, installeren zich overal waar ze maar kunnen. Een voorbeeld hiervan is Mebroot (Torpig, Sinowal), waarbij je na enkel een herinstallatie van Windows dus nog niet clean bent. Zie ook dit nieuwsartikel.

Edit: met F_J_K hieronder. Ik begreep niet wat je bedoelde, maar zie nu dat je het over 'shutdown -a' hebt in het geval van een Blaster-virus. Dat haalt het virus niet weg, maar zorgt er alleen maar voor dat het afsluiten van het systeem wordt afgebroken...

@ je edit . Doordat niet iedereen de moeite neemt waardoor het komt dat de pc afsluit ben ik dat eerst gaan onderzoeken. Door te weten hoe ik dit proces kon stoppen ben ik verder gaan kijken welk proces niet in het bekende "taakbeheerproceslijst" (<--bestaat dit woord wel ) stond. Als er een rare *.exe stond heb ik die opgezocht. Eenmaal gevonden heb ik de details bekeken van het bestand. Onder de detail tab van het bestand gekeken. Stond daar niks ben ik in het configuratiescherm gaan kijken of ik het terug kon vinden in het lijstje van de "software" die ik zelf geïnstalleerd zou hebben. Staat die daar ook niet tussen dan is het bij mij gewoon "shift+delete". Wellicht heb ik ook nog in het register gekeken of de naam die ik tegenkwam nog meer tegenkwam. Als dat veel voor komt dan had ik meestal zoiets dat ik het niet meer kan oplossen. Als het weinig voorkwam had ik al gouw het idee dat het een stukje software is om je bang te maken.

Ik heb voor me zelf een bepaald manier van werken gevonden om te kijken hoe ik ongewenste stukjes software kan verwijderen. Dat niet iedereen daar de tijd voor heeft om alles te onderzoeken is begrijpelijk. Dat iemand anders niet verder kijkt en het anders wil oplossen, mij hoor je niet.

F_J_K schreef op donderdag 29 maart 2012 @ 11:36:
[...]
Als we aan hetzelfde denken: slecht voorbeeld. Het opnieuw opstarten was een symptoom: IIRC een foutje in de malware. 'Shutdown /a' was geen verwijderen van Blaster (laat staan het gat dichten). De commandline DOS noemen betekent dat je de interne werking van Windows misschien niet helemaal in de vingers hebt (Maar waarschijnlijk bedoelde je het niet zo).

Uitleg over het Blaster virus : Wikipedia: Blaster (in de Engelse staat het over het commando "shutdown -a")

"shutdown -a" was inderdaad geen gat dichten, maar de timer stoppen. Zoals hierboven aangegeven was dat het punt waar je als eerst doorheen moest. Toen kon ik verder gaan kijken.

Geen idee wat dit specifieke stukje malware doet maar in het algemeen: ook alle stappen van R.plas in "Gijzelvirus, wat precies te doen?" zien niet dat er bijv wat poorten zijn open gezet of andere settings zijn aangepast voor een volgende keer.

Hoe weet jij dat er een volgende keer is? Misschien door een update patched Microsoft dat vanzelf? Had ook een keer een virus/malware/spyware, maar door een update voor Windows Defender heb ik er geen last meer van gehad. Moeten we dan in "paniek" de pc formatteren of een back-up terug gaan zetten? Waarvoor niet als een "echte" Tweaker verder zoeken en proberen op te lossen? Tijd, moeite ? Ik heb er juist veel over geleerd hoe Windows in elkaar kwam te zitten en vooral als ik weer een stukje ongenodigde software op mijn PC stond.

Het leuke van een gewone PC is dat het maken van een backup zo verschrikkelijk eenvoudig is. Een kopie van het lichaam maken duurt bij mensen 9 maanden en het besmette origineel vernietigen is in beschaafde landen verboden (behalve in bepaalde zware gevallen). Bij een PC is format+restore beduidend makkelijker.

Back-up maken verschrikkelijk eenvoudig? Waarom doen zo weinig mensen dat dan? Als je een kopie van het lichaam gaat vergelijken met een computer dan is dat natuurlijk appels met peren vergelijken. Een menselijk lichaam bevat meer en ingewikkelder data dan de gemiddelde PC. Verder vind ik het irrelevant.

Dat gezegd hebbende: per definitie formatteren gaat inderdaad wat ver. Dat neemt niet weg dat je altijd een recente backup moet hebben (immers kan de PC ook "gewoon" helemaal overlijden en bedenk: "1 backup is geen backup"). En dat je goed moet kijken wat de malware was, waar het zat, wat het deed, wat er nog meer mee kwam, etc. Formatteren en backup terugzetten is dan sneller, maar uitzoeken hoe en wat is misschien meer leerzaam.

En in alle gevallen er van leren om voortaan meer te doen aan rechten, patchen en opletten

Sorry, ik ben allergisch voor het woord "moet". Ik denk dat je bedoeld dat je het voornamelijk aanraad . Met de laatste twee regels ben ik het met je eens. Als mensen denken niks van een computer af hoeven te weten of er niks vanaf willen weten ga dan maar langs de paardenboer die heeft vast nog een paar oogkleppen .

Ventrigo schreef op vrijdag 30 maart 2012 @ 00:42:
Sorry, ik ben allergisch voor het woord "moet". Ik denk dat je bedoeld dat je het voornamelijk aanraad . Met de laatste twee regels ben ik het met je eens. Als mensen denken niks van een computer af hoeven te weten of er niks vanaf willen weten ga dan maar langs de paardenboer die heeft vast nog een paar oogkleppen .

Als je niet met problemen wil eindigen moet dat wel degelijk

M'n broer had ook zo'n randsom trojan in verband met Belgische politie op z'n Windows XP SP3.
Ik vroeg hem pc op te starten in veilige modus met netwerkondersteunig, omdat wij ver van elkaar wonen.
Eenmaal in veilige modus opgestart, met Teamviewer verbinding gemaakt zodat ik z'n pc remote kon overnemen.
Dan met trial versie van Hitman Pro 3.x gescanned en vond die random trojan en wijziging in register door die trojan. Windows Explorer werd vervangen door trojan exe bestand.

Door 30 dagen trial te activeren in Hitman Pro 3.x kon ik trojan verwijderen en werd wijzing in register terug juist gezet.
Nadien voor zekerheid pc gescanned met Malwarebytes Antimalware, SuperAntiSpyware, Spybot Search en Destroy en Nod32 antivirus 4.x.
Deze vonden niet meer van die randsom trojan.

Nadien alle updates voor Windows en Office gedownload en geinstalleerd.
Ook laaste versie van Adobe Acrobat Reader, Adobe Flash, Marcomedia Shockwave en Sun Java.
Oude versies van deze software kunnen veiligheidsgaten bevatten en zodoende deze nu geupdate.

PC terug in orde nu.
Omdat Hitman Pro 3.x een zeer goed programma is tegen mooie prijs heb ik een licentie voor 3 jaar aangekocht voor m'n broer.

[ Voor 12% gewijzigd door Ra_gdd op 30-03-2012 15:37 ]

Al die verhalen.. Het is gewoon je hardeschijf aan een Linux machine hangen, alle bestanden backuppen en een herinstall doen.

Mijn vader belde mij vanavond op dat hij een soortgelijk virus op de pc had.
Wat ik heb gedaan:
* opgestart in veilige modus
* de verdachte .exe in /users/appdata/local/temp verwijderd
* betreffende verwijzing in het register verwijderd

Opnieuw opgestart en het probleem was verdwenen.
Uiteraard vertrouw ik de zaak niet en komt er alsnog een clean install maar zo kan mijn vader in ieder geval even rustig een back-up van zijn belangrijke data maken.

Hoe komen die politie trojans binnen?
Via beveiligingsgat in oude Java versie?

Ik heb geen java geinstalleerd. Ik kreeg het via een site. Ik heb naderhand die site nog eens geprobeerd, en toen werd hij geblokkeerd door ESET.

Ra_gdd schreef op zaterdag 31 maart 2012 @ 12:04:
Hoe komen die politie trojans binnen?
Via beveiligingsgat in oude Java versie?

Ik vermoed via zo'n multi exploit pack omdat dit de meeste infecties op kan leveren. Deze probeert lekken in verschillende software te misbruiken Flash/Java/Missende MS patches/etc
Via 0-day lijkt me zonde van de 0-day want die is daarmee gelijk waardeloos geworden. Kosten/baten analyse van de cyber crimineel

Zie hier een filmpje met uitleg hoe HitmanPro gestart kan worden wanneer de PC is overgenomen door het KLPD gijzelvirus (ransomware).

YouTube: HitmanPro removes KLPD ransomware

Zaterdag nog te maken gehad met het KLPD virus (o.a. ..), maar dat deed verder niks.. Goede indicatie hoe f*cked up die computer wel niet was/is.
Werk bij een groencentrum zaterdags, al vrij lang, bijbaantje. Is eenmansbedrijf, man samen met zn vrouw. Ken ze dus ook al heel lang. Alleen hun "ICT" is al heel lang nogal houtje-touwtje. Natuurlijk al vaker wat van gezegd, maar mag allemaal natuurlijk niet teveel kosten, en daarnaast is het ook niet mijn taak. Maar als er problemen waren werd ik wel altijd gevraagd erna te kijken.
Zaterdag dus ook. De computer was "stuk". Ik start em op, Win XP SP3. Welkomscherm, inloggen, prima. Bureaublad verschijnt. En dan, poef, alleen de achtergrond nog. Muis beweegt wel, verder reageert niks. Geen taakbeheer, niks. Ik wil in veilige modus opstarten. Ook niet, loopt vast.
Tweede poging, tijdens inloggen snel naar taakbeheer en vreemde processen killen. Gelukt, kon nu gewoon bij de desktop. Zag ook KLPD verschijnen, maar die deed verder niks. Uiteindelijk maar gaan scannen, kwamen iets van 10 virussen/trojans naar voren. Verwijderd, maar daarna wel aangeraden de pc opnieuw te installeren. Maar dat zal toch wel niet doorgaan, kost teveel tijd. Wil het best voor ze doen, maar ze hebben alleen backups van de bestanden, volgens mij niet eens een goed overzicht van de geinstalleerde programma's.
Zucht..

Secunia Personal Software Inspector vind ik persoonlijk een onmisbare tool, die automatisch updates download voor "kwetsbare" software waarvan lekken gevonden zijn. Je kan het programma hier gratis downloaden. Veel van die virussen komen door een oude versie van Java,Flash Player, Adobe Acrobat Reader, ...

Je kan met van DDS een lijst krijgen van alle wijzigingen die zich hebben voorgedaan op je systeem; Waaronder pas aangemaakte bestanden, mappen, opstartbestanden,...

Zo ga ik te werk: eerst pc in veilige modus proberen op te starten, hierna dr web cureit, MBAM draaien en Emsisoft Emergency Kit gebruiken. Lukt het niet om in veilige modus te geraken, dan start ik eerst een bootable rescue cd-rom op. Nadien ga ik met behulp van DDS checken of er nog verdachte bestanden aanwezig zijn.

Heb hem gisteren avond ook te zien gekregen Jaren virusvrij geweest en nu dinnetje er is zowel op laptop als desktop een virus.
Soit, veilige modus gestart en malwarebytes gedraaid, die kon niets vinden.
Spybot S&D en AntiVir draaien permanent.
Dan maar direct voor de korte pijn gekozen. Vanaf Norton startup disk nog een laatste back-up gemaakt en geformatteerd.

Schopje dan maar... Volgens mij heb hier ook last van op m'n server (Windows 2008 R2), en m'n raid array is aangetast (kan er weinig meer op doen ect) zou dit nog steeds zo zijn als ik hem benader door middel van een andere Windows installatie? (wil eigenlijk niet het risico lopen op nog meer te infecteren..)

3p0x,

Omdat je het over server hebt, misschien heb je hier iets aan:
http://blog.emsisoft.com/...rgetting-windows-servers/

Verwijderd schreef op zondag 22 april 2012 @ 19:48:
3p0x,

Omdat je het over server hebt, misschien heb je hier iets aan:
http://blog.emsisoft.com/...rgetting-windows-servers/

Bedankt maar ik weet niet zeker of het ransomware was... iig is m'n raid-array verneukt en alle data die erop stond corrupt. Dit was de laatste keer dat ik windows server heb gebruikt voor m'n data, nu maar opzoek naar een nieuwe controller welke wel ondersteunt word door debian/ubuntu. Voordeel is wel dat ik het nu in 1 keer goed kan gaan aanpakken

@stefijn
Lijkt mij scareware - deze vorm van malware is vaak te vinden in de map c:\users\gebruiker\AppData\Local\ waarin de .exe file zich verborgen houdt.
In safe mode kun je kun je AppData (zowel je eigen useraccount als ook all users) afsporen naar een .exe die het laatst is aangemaakt.
Vooraf zou ik nog even met dependency walker checken of de .exe (als deze wordt uitgevoerd) van "niet-windows" DDL's gebruik maakt waarna je deze handmatig kunt verwijderen als ze op ongeveer hetzelfde tijdstip als de .exe zijn aangemaakt. Indien je daarmee klaar bent de system file checker laten lopen zodat Windows kan controleren op schendingen in zijn eigen files.

Dit doe je als volgt:
CMD (opdrachtprompt, moet in de Admininstrator Modus) -> sfc /scannow

NVDS schreef op donderdag 12 april 2012 @ 22:12:
Secunia Personal Software Inspector vind ik persoonlijk een onmisbare tool, die automatisch updates download voor "kwetsbare" software waarvan lekken gevonden zijn. Je kan het programma hier gratis downloaden. Veel van die virussen komen door een oude versie van Java,Flash Player, Adobe Acrobat Reader, ...

Je kan met van DDS een lijst krijgen van alle wijzigingen die zich hebben voorgedaan op je systeem; Waaronder pas aangemaakte bestanden, mappen, opstartbestanden,...

Zo ga ik te werk: eerst pc in veilige modus proberen op te starten, hierna dr web cureit, MBAM draaien en Emsisoft Emergency Kit gebruiken. Lukt het niet om in veilige modus te geraken, dan start ik eerst een bootable rescue cd-rom op. Nadien ga ik met behulp van DDS checken of er nog verdachte bestanden aanwezig zijn.

Wat bedoel je juist met die DDS? De omschrijving "recente wijzigingen terugvinden die zich hebben voorgedaan" lijkt me heel interessant, maar ik kan met de zoekterm DDS niet vinden welke tool je hiervoor gebruikt.