Het KLPD-Virus hulptopic.

Hoe krijg je dat virus zo snel ? Je zit dan echt op verkeerde sites of doet iets vreselijk fout.

Wellicht leuk, een gerenommeerde bron (ministerie van Justitie), heeft er ook wat over geschreven: http://www.waarschuwingsd...n+malware/ransomware.html

Wat probeer je nu precies te bereiken met dit topic?

Er zijn inmiddels ook al wel wat eenvoudigere methodes dan die rescue cd's.
Maar inderdaad: is dit een soort aanwijzing voor AVG of..?

Sowieso zul je toch niet goed uitgekeken hebben met wat je bent wezen downloaden en heb je dan wel de verkeerde links aangeklikt dan wel cracks/illegale dingen gedownload vermoed ik.

En hoe slim is het om met een totaal onbeschermde pc het internet op te gaan om van alles binnen te gaan halen .

[ Voor 65% gewijzigd door Eagle Creek op 13-01-2013 03:03 ]

Exact de reden waarom ik een onafhankelijke site noem .

dit staat ook gewoon 500.000 keer op google?

Klopt, geldt helaas voor wel meer op GoT.

Eagle Creek schreef op zondag 13 januari 2013 @ 03:01:
En hoe slim is het om met een totaal onbeschermde pc het internet op te gaan om van alles binnen te gaan halen .

Prima te doen, mits met gezond verstand en wat intuitie (na een beetje ervaring kun je op de Google-pagina al wel zien welke links leiden naar dubieuze sites)

Ik draai wel Avast op mijn PC, maar heb het zover ik me kan herinneren nog nooit nodig gehad.

Ik bedenk me nu ineens, waarom draai ik het dan eigenlijk nog?

[ Voor 51% gewijzigd door Compizfox op 13-01-2013 03:47 ]

Compizfox schreef op zondag 13 januari 2013 @ 03:42:
[...]

Prima te doen, mits met gezond verstand en wat ervaring.

Ik draai wel Avast op mijn PC, maar heb het zover ik me kan herinneren nog nooit nodig gehad.

Ik bedenk me nu ineens, waarom draai ik het dan eigenlijk nog?

Je provider kan je ook nog bescherming bieden tegen bepaalde inkomende traffiek stromen, ga er dus niet vanuit dat dat algemene wijsheid is.

analog_ schreef op zondag 13 januari 2013 @ 03:45:
[...]

Je provider kan je ook nog bescherming bieden tegen bepaalde inkomende traffiek stromen, ga er dus niet vanuit dat dat algemene wijsheid is.

Eh, ik snap niet precies wat je bedoelt.

Compizfox schreef op zondag 13 januari 2013 @ 03:42:
[...]

Prima te doen, mits met gezond verstand en wat intuitie (na een beetje ervaring kun je op de Google-pagina al wel zien welke links leiden naar dubieuze sites)

Ik draai wel Avast op mijn PC, maar heb het zover ik me kan herinneren nog nooit nodig gehad.

Ik bedenk me nu ineens, waarom draai ik het dan eigenlijk nog?

Gezond verstand houdt geen fouten tegen. Per ongeluk een verkeerde link te snel aanklikken is snel gebeurd.
Het houdt geen zero days tegen, die bovendien op legitieme sites voor kunnen komen.
TS vermeldt niet of zijn versie van Windows überhaupt al bijgewerkt was. Gezien zijn rappe start hoeft dat ook nog niet eens, wat met zo'n 120 openstaande Windows 7-patches al een aanzienlijk probleem kan opleveren.

Dat er uitzonderingen op de regel zijn vind ik prima en zul je mij niet horen ontkennen, maar de gemiddelde gebruiker moet je echt niet willen adviseren dat hij zonder enige bescherming het net op kan. En zeker niet als hij meteen begint van alles te downloaden voor zijn nieuwe installatie. Hoeveel schimmige downloadlinks zijn tegenwoordig niet weggestopt en hebben plaatsgemaakt voor veel grotere, schreeuwerige "Download me!"-knoppen.

En om maar even een wat ouder voorbeeld erbij te pakken: Blaster, anyone? Vers geïnstalleerde pc met Windows, netwerkstekker erin, nog geen enkele website bezocht, nog geen kans gehad om Windows Update te installeren en bam: RPC-melding en "Uw systeem wordt afgesloten". Nu komt dít vrijwel nooit meer voor omdat Windows voorzien is van een ingebouwde firewall en alle routers een soortgelijke trucendoos presenteren, maar dat is niet aan de gebruiker te danken.

[ Voor 7% gewijzigd door Eagle Creek op 13-01-2013 03:52 ]

Eagle Creek schreef op zondag 13 januari 2013 @ 03:51:
[...]
Gezond verstand houdt geen fouten tegen. Per ongeluk een verkeerde link te snel aanklikken is snel gebeurd.

En dat laatste is nou net wat gezond verstand tegen houdt
En dat scenario gaat dan nog alleen op als er gebruik wordt gemaakt van een exploit. Zelf ben ik nog nooit een exploit tegengekomen, te komen gewoonweg weinig voor.
In de meeste gevallen gaat het gewoon om malware die wordt gedownload en uitgevoerd.

Het houdt geen zero days tegen, die bovendien op legitieme sites voor kunnen komen.
TS vermeldt niet of zijn versie van Windows überhaupt al bijgewerkt was. Gezien zijn rappe start hoeft dat ook nog niet eens, wat met zo'n 120 openstaande Windows 7-patches al een aanzienlijk probleem kan opleveren.

Dat is denk ik ook de enige reden dat ik nog een anti-virus draai.

Dat er uitzonderingen op de regel zijn vind ik prima en zul je mij niet horen ontkennen, maar de gemiddelde gebruiker moet je echt niet willen adviseren dat hij zonder enige bescherming het net op kan.

Dat heb ik ook nooit gezegd
Als bijbaan repareer ik computers in de omgeving en ik weet dus uit ervaring wat mensen voor een rotzooi op hun PC kunnen krijgen, zelfs met goede anti-virus. Meestal gaat het om lichte malware (toolbars, adware, spyware, dat soort rotzooi) maar toch.

En om maar even een wat ouder voorbeeld erbij te pakken: Blaster, anyone? Vers geïnstalleerde pc met Windows, netwerkstekker erin, nog geen enkele website bezocht, nog geen kans gehad om Windows Update te installeren en bam: RPC-melding en "Uw systeem wordt afgesloten". Nu komt dít vrijwel nooit meer voor omdat Windows voorzien is van een ingebouwde firewall en alle routers een soortgelijke trucendoos presenteren, maar dat is niet aan de gebruiker te danken.

Zoals je zelf al zegt tegenwoordig niet meer relevant door NAT wat in praktisch 100% wordt gebruikt.

Compizfox schreef op zondag 13 januari 2013 @ 03:55:
[...]
En dat laatste is nou net wat gezond verstand tegen houdt
En dat scenario gaat dan nog alleen op als er gebruik wordt gemaakt van een exploit. Zelf ben ik nog nooit een exploit tegengekomen, te komen gewoonweg weinig voor.
In de meeste gevallen gaat het gewoon om malware die wordt gedownload en uitgevoerd.

[...]
Dat is denk ik ook de enige reden dat ik nog een anti-virus draai.

[...]
Dat heb ik ook nooit gezegd
Als bijbaan repareer ik computers in de omgeving en ik weet dus uit ervaring wat mensen voor een rotzooi op hun PC kunnen krijgen, zelfs met goede anti-virus. Meestal gaat het om lichte malware (toolbars, adware, spyware, dat soort rotzooi) maar toch.

[...]

Zoals je zelf al zegt tegenwoordig niet meer relevant door NAT wat in praktisch 100% wordt gebruikt.

Ja oa. NAT maar sommige providers blokkeren ook inkomende poorten naar clients toe. (lees: voornamelijk windows services) en dat vormt ook nog bescherming. Bijvoorbeeld xs4all (by default, kan af), telenet, belgacom, ...

En dat laatste is nou net wat gezond verstand tegen houdt

Gezond verstand is niet je vingers in een stopcontact steken. Een foutje is per ongeluk een kapotte draad aanraken.

De gevolgen laten zich raden.
Net even te snel een "I agree" opgeven in een installer, of net te snel een UAC-melding accepteren met een download die toch niet goed bleek te zijn is heel menselijk.

Sec genomen kan gezond verstand dit allemaal tegenhouden in de praktijk werken mensen toch wat sneller.

Zoals je zelf al zegt tegenwoordig niet meer relevant door NAT wat in praktisch 100% wordt gebruikt.

Gaat om het principe. Het is niet zo dat de pc daarmee onkwetsbaar wordt. Zo'n volautomatische besmetting als destijds komt gelukkig niet meer voor. Hulde voor de Windows firewall .

analog_ schreef op zondag 13 januari 2013 @ 03:58:
[...]

Ja oa. NAT maar sommige providers blokkeren ook inkomende poorten naar clients toe. (lees: voornamelijk windows services) en dat vormt ook nog bescherming. Bijvoorbeeld xs4all (by default, kan af), telenet, belgacom, ...

Ja, maar wat doet dat af aan mijn argument van gezond verstand?

De poorten waar je het over hebt zijn trouwens alleen poort 25 (smtp), CIFS en NetBIOS en soms RDP, zo uit m'n hoofd.

Compizfox schreef op zondag 13 januari 2013 @ 03:55:
En dat laatste is nou net wat gezond verstand tegen houdt

Onzin. Een URL verraadt niets over diens inhoud.

De URL niet altijd, maar vaak wel de description op de Google-pagina.

Mwa aan sommige domeinen kun je wel zien dat het niet koosjer is, even een greep uit wat bekende domeinen rond dorifel:


Ik ben kende er een niet van maar zou die niet heel snel bezoeken als ik er een linkje naar vind .

Ik had deze laatst ook te pakken, was aan 't rondklikken op een vertrouwde site, klikte op terug en BAF, geinfecteerd. Ik zag nog net een java plugin laden en daarna 't KLPD ding. Heb 'm gelukkig weg weten te krijgen zonder al te veel gedoe.

Wat bleek: de site was gehacked en deed een redirect naar een exploit Ik had netjes Avast draaien en de laatste updates voor Windows, java en andere software geinstalleerd. Zelfs daarmee kun je dus gewoon 't haasje zijn op een vertrouwde site!

De rescue cd van AVG werkt helaas niet altijd. (Bijna nooit.)
Ik heb een Microsoft Security Essentials boot cd gedownload, en die heeft bij mij 75% van alle computers met dit virus het probleem opgelost.

Als dat niet werkte, heb ik de hd uit de pc gehaald en via een usb aan mijn eigen computer gehangen. Daarop heb ik dan in de Users-map allerlei zooi handmatig gewist.

HitmanPro KickStarter (handleiding staat op mijn eigen site dus URL zal ik even niet plaatsen) werkt in vrijwel alle gevallen. Stickje erin, ding doet z'n werk volautomatisch en daarna is de pc weer bruikbaar.

Nvidiot schreef op zondag 13 januari 2013 @ 19:47:
Ik had deze laatst ook te pakken, was aan 't rondklikken op een vertrouwde site, klikte op terug en BAF, geinfecteerd. Ik zag nog net een java plugin laden en daarna 't KLPD ding. Heb 'm gelukkig weg weten te krijgen zonder al te veel gedoe.

Wat bleek: de site was gehacked en deed een redirect naar een exploit Ik had netjes Avast draaien en de laatste updates voor Windows, java en andere software geinstalleerd. Zelfs daarmee kun je dus gewoon 't haasje zijn op een vertrouwde site!

Of drive-by-downloads via bijvoorbeeld banners, zoals bij nu.nl gebeurde. Tsja dan ben je gewoon bijna per definitie zuur... nu.nl is redelijk vertrouwd maar het zou hier op t.net ook kunnen gebeuren.

Nvidiot schreef op zondag 13 januari 2013 @ 19:47:
Wat bleek: de site was gehacked en deed een redirect naar een exploit Ik had netjes Avast draaien en de laatste updates voor Windows, java en andere software geinstalleerd. Zelfs daarmee kun je dus gewoon 't haasje zijn op een vertrouwde site!

Tja, Java exploits. Daarom kun je ook eigenlijk beter de Java-plugin voor je browser uitzetten als je het niet nodig hebt.

Maar waarom gebruiken jullie boot-CD's? De meeste malware weet ik wel weg te krijgen met MBAM en Combofix gebruiken in safe mode.

[ Voor 12% gewijzigd door Compizfox op 13-01-2013 20:14 ]

De meeste malware weet ik wel weg te krijgen met MBAM en Combofix gebruiken in safe mode.

Al eens een gijzelvirusje gehad?

Dikwijls kom je de pc geheel niet in (omdat Explorer gekaapt is), veilige modus niet in (omdat de malware daar ook actief is) of geheel Windows niet in (omdat je MBR in de prak ligt).

sfc /scannow vanaf Windows CD is dan nog een mogelijkheid

Ja en dan? Dan start je op, neem het virus direct de controle over en ben je je systeem weer kwijt.
Daarbij lost een /scannow geen MBR-probleem op.

Ik heb zelf nog nooit zo'n virus meegemaakt, maar hoe neemt het virus dan de controle over?

Je start op in safe mode, dus hij laad geen extra processen.

Mocht het zich genesteld hebben in een systeembestand, dan is dat weg met een sfc /scannow. Mocht het in de MBR zitten (bestaan die virussen nog?) dan is dat weg met een fixmbr

Bij hele hardnekkige rootkits (dus op bovenstaande manier niet goed weg te krijgen) vind ik het sowieso slimmer om een reinstall te doen.

[ Voor 7% gewijzigd door Compizfox op 13-01-2013 21:18 ]

Als je dit leest, ga dan vooral alle genoemde software in dit topic achteloos uitvoeren.
Daar word je pc gegarandeerd beter van...

Compizfox schreef op zondag 13 januari 2013 @ 20:13:
[...]

Tja, Java exploits. Daarom kun je ook eigenlijk beter de Java-plugin voor je browser uitzetten als je het niet nodig hebt.

Ik heb nu in firefox 'click to play' aangezet voor alle plugins. Als ik dat eerder gedaan zou hebben dan had ik dit virus niet gehad. Al doende leert men zullen we maar zeggen (Ook prettig voor alle flash banner meuk, die zie ik nu ook niet meer)

[ Voor 7% gewijzigd door Nvidiot op 13-01-2013 21:25 ]

Awsom schreef op zondag 13 januari 2013 @ 02:21:
Hoe krijg je dat virus zo snel ? Je zit dan echt op verkeerde sites of doet iets vreselijk fout.

Haha, dat vraag ik me ook altijd af bij mijn klanten (ik werk op de TD van een MyCom filiaal). Computers die binnenkomen met weet ik allemaal niet wat voor troep, maar die keren dat ik bewust zelf probeer een PC te besmetten (een virtuele Windows om zelf wat dingen te testen) lukt het je gewoonweg niet om besmet te raken

De KLPD-varianten zijn tegenwoordig trouwens wel goed te verwijderen, zeker met antivirus-bootschijfjes en dingen zoals Hitman Pro Kickstart

Compizfox schreef op zondag 13 januari 2013 @ 21:18:
Ik heb zelf nog nooit zo'n virus meegemaakt, maar hoe neemt het virus dan de controle over?

Je start op in safe mode, dus hij laad geen extra processen.

Mocht het zich genesteld hebben in een systeembestand, dan is dat weg met een sfc /scannow. Mocht het in de MBR zitten (bestaan die virussen nog?) dan is dat weg met een fixmbr

Bij hele hardnekkige rootkits (dus op bovenstaande manier niet goed weg te krijgen) vind ik het sowieso slimmer om een reinstall te doen.

Jij vroeg toch waarom men in de weer was met boot cd's? Je komt zelf nu aan met sfc en fixmbr. Dus dan ben jij óok in de wir met cd's.

Besides, je lost het probleem er niet mee op. Je hebt daarna nog steeds een werkende Windows-omgeving nodig om jouw tools te starten.

Safe mode is aan te passen waardoor malware ook daar actief kan zijn, evenals dat de toegang tot safe mode volledig gemolesteerd kan worden. Met sfc kun je systeembestanden herstellen maar wanneer een virus laadt vóórdat Windows dat doet en dus meteen bij het opstarten allerlei wijzigingen aanbrengt, ben je nog nergens.

Wat betreft hoe het inhoudelijk werkt, kom ik nog op terug.

Eagle Creek schreef op zondag 13 januari 2013 @ 23:14:
[...]
Jij vroeg toch waarom men in de weer was met boot cd's? Je komt zelf nu aan met sfc en fixmbr. Dus dan ben jij óok in de wir met cd's.

Kan. Je kunt ook de recovery console starten vanaf Windows' bootpartitie.

Besides, je lost het probleem er niet mee op. Je hebt daarna nog steeds een werkende Windows-omgeving nodig om jouw tools te starten.

Dat heb je dan toch?

Safe mode is aan te passen waardoor malware ook daar actief kan zijn, evenals dat de toegang tot safe mode volledig gemolesteerd kan worden. Met sfc kun je systeembestanden herstellen maar wanneer een virus laadt vóórdat Windows dat doet en dus meteen bij het opstarten allerlei wijzigingen aanbrengt, ben je nog nergens.

In zo'n geval, zou ik het system te 'compromised' achten en een reinstall doen.

Nvidiot schreef op zondag 13 januari 2013 @ 19:47:
Ik zag nog net een java plugin laden

Java is nog steeds vulnerable en wordt actief geëxploiteerd.
nieuws: Oracle: Java-lek wordt 'binnenkort' gerepareerd
http://www.java.com/en/download/help/disable_browser.xml

edit: Ik lees zojuist dat er een patch is

[ Voor 39% gewijzigd door Henk007 op 13-01-2013 23:43 ]

Compizfox schreef op zondag 13 januari 2013 @ 23:17:
[...]
Kan. Je kunt ook de recovery console starten vanaf Windows' bootpartitie.

Op voorwaarde dat die aanwezig is;
Op voorwaarde dat die niet gecompromitteerd is;
Op voorwaarde dat je MBR intact is;

Besides (zoals gezegd): je hebt er niets aan als je installatie direct weer gekaapt wordt.

Compizfox schreef op zondag 13 januari 2013 @ 23:17:
Dat heb je dan toch?

Nee die heb je dan niet.. Dan heb ik je nu al 2x uitgelegd.
Zodra je Windows opstart neemt de malware de controle weer op.

Compizfox schreef op zondag 13 januari 2013 @ 23:17:
In zo'n geval, zou ik het system te 'compromised' achten en een reinstall doen.

Eeh ja.. Of je gebruikt gewoon een genoemde boot cd en schoont de boel.

Hallo,

Ik wil eigenlijk geen nieuw topic maken gezien er zoveel zijn, ik zie ook veel 'oplossingen' voorbij komen die ik al geprobeerd hebt, maar na 5 uur ben ik toch maar opgehouden met proberen.

Verhaal:

Computer aangezet, ziet heel even het bureaublad en je kunt vervolgens niks meer. Bij iedereen bekend (met dit virus (ukash)).

Dus ik googlen, kom ik op een handleiding waarmee ik onder veilige modus met opdrachtprompt de explorer.exe moet laden. Ja leuk, maar daarmee komt ook in mijn geval onder veilige modus gewoon dat scherm naar voren.

Dus ik denk slim te zijn en open dus eerst een kladblok document met wat tekst, start explorer.exe en druk daarna op de powerknop. Het politievirus scherm gaat dan weg maar het afsluitproces blijft dan hangen door het niet af te sluiten tekstdocument. Helaas werkt half windows dan niet meer omdat blijkbaar heel veel shit al wel is afgesloten. Behalve wat bladeren door de computer en zo eventueel een backup maken zou dan nog wel moeten lukken.

Gezien ik in de veilige modus met dosprompt zit zou ik geen internettoegang moeten hebben, dus de tip die ik lees over het afkoppelen van de netwerkkabel heeft dan geen effect.

Dan maar Hitman pro (http://www.surfright.nl/nl/downloads/ 3.7 met kickstart) gedraaid vanuit het prompt met een usb stick. Draaien met "doorzoek éénmalig mijn systeem" en heeft daarna niks gevonden.

Dus toen maar de AVG Rescue USB drive gedownload en 2.5 uur laten draaien (slome oude pc) die in de TMP wel wel wat vind en een troyan vanuit een keygen opspoort, maar na aan het einde deze files 'gehealed' te hebben krijg ik na een reboot weer gewoon het bewuste virus in beeld.

Ik zat bij een vader van een vriend, dus ik had niet goede spullen voorhanden waardoor ik het maar opgaf.

Nu staat het hele internet vol met oplossingen en heb ik er dus een paar geprobeerd, maar dat lijken ze dus niet te zijn.

Iemand een tip hoe ik dat virus nu echt weg krijg? Het moet toch haast zo simpel zijn dat je voor dos een tooltje van een paar honderd KB download die effectief naar dat virus zoekt?

Hitman, veilige modus, AVG rescue disks, linux, hardeschijf extern scannen via usb...

Wat is nu de ultieme tool/manier om het weg te krijgen?

Er is geen ultieme tool. Van geval tot geval variëert wat de beste oplossing is.

BLACKfm

Het opstarten van die malware voorkomen door dat uit het register te verwijderen moet voldoende zijn.
Kan met Kaspersky Rescue Disk, eventueel ook mogelijk via USB stick.
Meer info hier: http://support.kaspersky.com/4162
Voorbeeldje hier: http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=6309

Wildfire schreef op zaterdag 02 februari 2013 @ 02:30:
Er is geen ultieme tool. Van geval tot geval variëert wat de beste oplossing is.

er is er 1tje....Combifix
maar niet altijd geheel zonder risico om als normale gebruiker je pc ermee schoon te maken.

Afgelopen weken heb ik twee mensen gesproken die slachtoffer waren van het politievirus, beide PC's waren geïnfecteerd nadat ze op marktplaats.nl gezeten hadden.

Hebben meer mensen dit patroon gezien?

Nope, is willekeurig. (eigen ervaring bij mensen die mijn hulp nodig hadden voor dit virus)