.scr extensie (Screen saver)

Ik las er iig iemand over in het systeembeheertopic:

talin in "Systeembeheerders en hun problemen - deel 32"

EnnaN schreef op woensdag 08 augustus 2012 @ 17:05:
Ik las er iig iemand over in het systeembeheertopic:

talin in "Systeembeheerders en hun problemen - deel 32"

Hier ook bij klanten last van. Met deze tool kun je het verwijderen: http://support.kaspersky.com/downloads/utils/tdsskiller.exe

Backup terugzetten zal echter noodzakelijk zijn omdat het virus ook de bestanden injecteert. Previous versions is ook niet mogelijk.

Een permanente oplossing is er nog niet aangezien het virus nog steeds in een nieuwe vorm opduikt.

[ Voor 8% gewijzigd door Gekkenhuis op 08-08-2012 17:15 ]

Wat bij ons werkt:

Kijk bij de gebruiker in de volgende map c:\users\<gebruikersnaam>\AppData\Roaming\
Daar moet een mapje staan met een willekeurige reeks letters en getallen (meestal hoofdletters en een getal op het eind).
Gooi dat mapje weg, als het niet lukt omdat de bestanden in gebruik zijn. Start dan Taakbeheer, het virus stopt dan even om niet ontdekt te worden. Als je Taakbeheer open houdt, kan je het mapje verwijderen.

Open vervolgens het register en navigeer naar de volgende key:

[HKEY_CLASSES_ROOT\.scr]

@=""
(tussen de quotes moet leeg zijn, was origineel: @=“scrfile”)

Daarna de volgende key leegmaken:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
Load=""

(moet leeg zijn, bevatte een pad naar een shortcut bestand (.LNK).)

Vervolgens starten we een online scan van ESET

Ga naar www.eset.eu, vervolgens klik je op HOME. Helemaal naar beneden scrollen, klik daar op "Eset Online Scanner" en start deze. Hierna is het bij ons weg...

Security.nl heeft een artikel over deze malware, misschien we interressant: http://www.security.nl/ar...ederlandse_bedrijven.html

Extra DAT is uit bij McAfee. Die hersteld ook direct de bestanden. Ik heb ze getest, ze zijn weer te openen...

De superdat kun je overigens hier vinden.

Zelf heb ik vandaag de Sophos command line scanner gebruikt om alle besmette bestanden er uit te kunnen filteren, die kan je hier vinden.

http://mcaf.ee/nc6wo

staat alles wat je moet weten voor mcafee

Het herstellen van de office documenten kan met de volgende tool:
http://www.surfright.com/support/dorifel-decrypter

ik heb gisteravond van Symantec ook een oplossing gekregen en deze lijkt te werken maar wat ik hier lees dat er een tool is om bestanden te herstellen ga ik zo direct ook eens uitproberen.

dat zou mooi zijn anders ben ik 6 Terra aan data kwijt en 2 dagen werk weg.

Voor Meer Info.
www.damnthoseproblems.com

[ Voor 65% gewijzigd door TeH_oNe op 13-08-2012 11:56 ]

hmm Symantec belde net dat ze binnen een uur een totaal oplossing hebben.

1 die verwijderd, bestanden hersteld en pc repareert.

phoe zag et al aankomen, alle pc's opnieuw uitrollen....

Doet dit ding ook iets met UAC (User Acces Controll) toevallig?
Meende het gelezen te hebben, maar kan het niet meer terugvinden

Hier meer informatie en een tool om de bestanden te herstellen:

http://blog.emsisoft.com/2012/08/09/dorifel-crypto-malware-paralyzes-dutch-companies-and-public-sector/

Volgens mij gaat nieuws: Nederlandse organisaties getroffen door onbekend virus over hetzelfde virus. Staan ook nog wat tips in

[ Voor 6% gewijzigd door Cloud op 09-08-2012 11:18 ]

talin schreef op donderdag 09 augustus 2012 @ 09:24:
hmm Symantec belde net dat ze binnen een uur een totaal oplossing hebben.

1 die verwijderd, bestanden hersteld en pc repareert.

phoe zag et al aankomen, alle pc's opnieuw uitrollen....

Iemand al nieuws van Symantec toevallig? Wij hebben bij onze omgeving met Symantec zo te zien geen last van dit virus, maar toevallig wel van een andere.

De decrypter is geupdate, deze kan nu onder andere geloopt worden in een batch file.
- ADDED: Support for multiple paths in one call.
- ADDED: Support for file paths.
- ADDED: /all switch to scan all files instead of just *.scr files.
- ADDED: /np switch.
http://www.surfright.nl/en/support/dorifel-decrypter

Overigens wordt het onderwerp hier ook nog steeds actief bijgehouden; http://www.damnthoseproblems.com/?lang=en

[ Voor 28% gewijzigd door Tiuri2000 op 09-08-2012 14:17 ]

Verwijderd schreef op donderdag 09 augustus 2012 @ 11:30:
[...]


Iemand al nieuws van Symantec toevallig? Wij hebben bij onze omgeving met Symantec zo te zien geen last van dit virus, maar toevallig wel van een andere.

nope, na 2 telefoontjes durven ze nu geen tijdstip meer te geven.

Bij mij worden helaas niet alle bestanden hersteld... Bij een aantal vind McAfee niks. En de decrypter zegt dat er geen virus is aangetroffen... Iemand nog een andere oplossing?

kw_nl schreef op donderdag 09 augustus 2012 @ 19:50:
Bij mij worden helaas niet alle bestanden hersteld... Bij een aantal vind McAfee niks. En de decrypter zegt dat er geen virus is aangetroffen... Iemand nog een andere oplossing?

kw_nl,

Weet je zeker dat die bestanden ook echt Word of Excel documenten waren/zijn?
Er staan ongetwijfeld nog andere bestanden op het systeem met een *.scr extensie die hier verder niets mee te maken hebben.

Het waren echt .doc bestanden. Maar inmiddels heeft de Emsisoft (maker decrypte tool) een update uitgebracht. Hiermee kon ik de bestanden wel terug krijgen.

Mooi om te horen (eigenlijk lezen, maar als je hardop leest hoor je 't ook..) dat 't is opgelost.