Virus

[redman]

Ne kameraad heeft voor de zoveelste keer een nieuw virus opgedaan op zijne computer met windows 7,
maar deze keer heb ik wat help nodig, vermits ik vooral linux ken.



1 Gewoon opstarten helpt niet meer want de pc is geblokeerd en vraagt om geld te storten, nog van die virussen gehad maar deze kon ik verwijderen met de antivirus software in veilige modus.
Als ik met dit virus naar veilige modus ga dan blijft de antivirus uitgeschakeld en inschakelen gaat niet meer.

2 Verschillende antiviurssen geprobeerd zoals Kaspersky, windows defender allemaal opgestart vanaf een usb stick.
Al de antivirussen vinden niets.

3 Malwarebytes geprobeerd maar vindt ook niets.

Hoe ga ik te werk? Nog tips op te proberen?

[Dima_2005]

Aah, de gekende UKash virus...
Hier kun je het nalezen:
http://www.pcwebplus.nl/phpbb/viewtopic ... 222&t=5927

[mailracer]

http://www.pcwebplus.nl/phpbb/viewtopic ... 222&t=5927

Edit : Dima was eerst

[redman]

Amaai, een heel gedoe dus,

zal het deze avond of morgen eens proberen.

Bedankt.

[mailracer]

Ze zijn er in alle varianten met met een boot disk van bijv kasperski kan het lukken.

[Devilzown]

Kzou de moeite niet doen en met een schone lei beginnen.

[meon]

Ik heb 'm ook aan de hand gehad. Ik heb 'm uiteindelijk weg gekregen dankzij remote CLI (console)-toegang...

[q-tec]

Code: Selecteer alles

Dear Hotmail Customer ([email protected]) , 

We are sending this e-mail to inform you that your e-mail account has excedeed it's sending and receiving limit in the last 7 days.
Due to this , we have to suspend your account in order to prevent unwanted bots and spyware using our customer's accounts.

In order to verify your account and lift the suspenion limit, please verify your account information on the link below: 

http://www.hotmail.com/msn-unsuspend-account/[email protected]/index-5121-dq73

The limit applied on your account will be lifted as soon as you verify your account.

After verification , you may use your e-mail account as usual.

Microsoft Account Security Team.
© Hotmail 2012 - E-mail security [Anti-Malware Team]  

[email protected]

Die hadden me ook bijna liggen deze morgen

[skipper]

Ik ben dit enkele maanden geleden kwijtgeraakt door eerst op te starten in veilige modus, en dan Ccleaner te draaien. Opschonen, en zeker register niet vergeten. Daarna Malwarebytes en Microsoft Security Essentials eens laten scannen, en alles was schijnbaar van de pc verdwenen. Proberen waard!

[cptKangaroo]

Enig idee hoe hij het virus heeft opgelopen? Is het een illegale Windows installatie - if so, welke release of loader werd er gebruikt? En dan zoek je hem beter een echte Windows 7 cd (Microsoft publiceert de hashes van die .iso images) anders heeft hij het volgende week weer zitten.

[brubbel]

Ne kameraad heeft voor de zoveelste keer een nieuw virus opgedaan op zijne computer met windows 7,
maar deze keer heb ik wat help nodig, vermits ik vooral linux ken.

Onlangs ook moeten oplossen (XP met norton):
1. Start de computer in safe mode
2. start->run->msconfig
3. In de "startup" sectie vind je een 1 of 2 .exe files die daar niet thuishoren (met een vreemde naam).
Schakel deze uit. Als je niet weet welke juist, is het wat proberen.
4. Start terug op in gewone modus.
Als je de juiste gevonden hebt, zoek het pad van de verdachte .exe en verwijder van de computer...

Mvg,

[redman]

Deze link helpt niet http://www.pcwebplus.nl/phpbb/viewtopic ... 222&t=5927, ik krijg het probleem hiermee niet opgelost,

Ook de andere oplossing met eerst CCleaner en daarna Malwarebytes helpt niet.

Nog andere ideeën zonder een herinstallatie?

[2Flip]

Ik heb deze virus al enkele keren verwijderd (bij buren, vrienden, klanten, ...).
De twee manieren:

1) Opstarten in safe mode, en herstelpunt terugzetten van voor de infectie. Dan gewoon opstarten en voor de zekerheid een (volledige) virusscan uitvoeren (maar dan ben je toch al verlost van dat wit scherm). Maar: het kan voorvallen dat er geen herstelpunten gemaakt zijn, of dat het virus deze reeds verwijderd heeft. Ga dan naar optie 2.

2) Iets meer werk, maar "beter": http://windows.microsoft.com/en-US/wind ... SignedIn=1 --> Windows Defender Offline downloaden (32-bit of 64-bit, afhankelijk van de windows installatie).
Gedownload bestand runnen --> branden op CD/DVD (op USB-stick gaat in principe ook, doch niet getest) --> Bij opstarten van geïnfecteerde pc/laptop op F2 drukken om in BIOS te raken --> CD/DVD-lezer instellen als eerste boot --> cd/dvd insteken --> Defender Offline runnen (VOLLEDIGE SCAN aanduiden!!) --> na verwijderen van Trojan opnieuw opstarten, en voor de zekerheid nog eens een (volledig) virusscan uitvoeren.

Daarna eventueel nog, indien dit nog niet gebeurd is: goede virusscanner installeren (Avast is in mijn ogen de beste gratis virusscanner, op av-compartives scoort deze ook steeds goed) + (eventueel) firewall installeren (PrivateFirewall is een hele goede, simpel en gratis)

[redman]

Windows Defender via usb stick geprobeerd, maar die heeft niets gevonden!!!

Daarom vraag ik mij ook af of die persoon een variant van het virus heeft dat nog niet gekend is.

[iceke]

SImpele hoor, opstarten in veilige modus, netwerk eruit... malwarebytes installeren en activeren.
Opnieuw opstarten zonder netwerk en laten scannen.
VIrus zit in gehackte site dus zeker adblockplus installeren in je browsers en je runtimes updaten (gaat makkelijkst met ninite)

Wanneer je scant in veilige modus met malwarebytes is het in ieder geval nooit opgelost bij mij, den truc is dus malwarebytes activeren en later scannen.

[svenska]

Ook dit probleem al eens moeten oplossen bij een vriend, maar opstarten in veilige modus was zelfs f*cked up, dus heb ik de Kaspersky Live CD wel moeten gebruiken, die kon (na een lange uitgebreide scan) het probleem oplossen, en de computer startte perfect terug op zoals voordien.

http://rescuedisk.kaspersky-labs.com/re ... updatable/

[fredo66]

Als de computer nog werkt in veilige modus met netwerkverbinding kan je ook online scanners proberen bv eset online scanner.
http://www.eset.com/us/online-scanner-popup/ Die heeft me wel eens geholpen daar waar Security Essentials, Mbam en dergelijke de bedreiging niet konden verwijderen/vinden.

En ook het proberen waard is Comodo cleaning essentials
http://www.comodo.com/business-security ... ntials.php

[FunkStar]

Op een andere pc Combofix downloaden en op een usb stick zetten.

- Opstarten in veilige modus zonder netwerkmogelijkheden (trek die netwerkkabel ook maar uit)
- Combofix opstarten (indien geen reactie, opnieuw op andere computer combofix downloaden en direct de naam veranderen naar fixer of iets dergelijk [dot]exe)
- Combofix zal het wel opruimen normaal gezien.

Indien mogelijk log hier eens pasten voor ons eens te laten meekijken.

[iceke]

Ik zie deze bedreigingen meer en meer, trouwens bijna geen enkele virusscanner houdt deze tegen. Heb het al voor gehad met Gdata, Panda, Avg, Security essentials, Avast & trend micro. Gisteren had ik de mannen van Gdata over de vloer, blijkbaar is er vandaag topoverleg in Duitsland over hoe ze dit probleem gingen aanpakken.
Ben eens benieuwd, want dit sleept nu toch al een paar maand aan...

[fredo66]

Is een beetje off topic maar kan me alleen maar aansluiten bij bovenstaande conclusie. Het valt me ook op dat niet alleen configuraties met gratis av in de problemen komen. Het lijkt er sterk op dat al de av fabrikanten de strijd aan het verliezen zijn ...

[ubremoved_539]

Ik kan me moeilijk inbeelden dat deze dingen gebruik maken van zero-day exploits ?

Waren de betreffende PC's up-to-date met hun patches en hadden ze een officiele Windows ?

[fredo66]

Als die vraag voor mij bedoeld is: ja, alle legale windows en windows update op auto. Het gaat wel om laptops, die worden naar huis meegenomen hé ...
Voor pc's zijn die problemen er veel veel minder, al komt het daar ook wel eens voor.

[tonym]

Eenvoudigste is van de geinfecteerde harddisk eruit te halen en in een
andere PC aan te sluiten als slave; en deze dan te scannen als non-actieve drive.

Nog efficienter als je kan achterhalen over welk exact "Ransom-trojan" het gaat
je de geschikte tool hiervoor kan downloaden bij oa. Kapersky-utilities:
in hun specifieke tools webpage: http://support.kaspersky.com/viruses/utility

[ubremoved_539]

die worden naar huis meegenomen hé ...

Naar huis meenemen of niet mag geen reden zijn om minder veilig te zijn (althans daar bestaan oplossingen voor zoals Scansafe).

Ik vraag me gewoon af hoe dit soort infecties op je PC geraakt... is het echt een exploit (bv. via gemanipuleerde images op websites die je bezoekt, al zou dit niet mogen kunnen met een correct gepatchte Windows), of is het naiviteit van de gebruiker die zomaar code download en installeerde (en daarbij een virusscanner die het niet stopt) ?

[redman]

Tis ne officiele windows 7 up to date met betaalde mcafee antivirus.

Zal deze avond nog de andere voorgestelde oplossingen proberen.

Volgens mij was het echt een exploit, deze persoon zou echt geen code downloaden en uitvoeren.

[iceke]

Nogmaals, ze hacken een website en zetten hun java?code in een advertentie. Dus met adblock zouden de meeste problemen van de baan zijn...

[redman]

Als de computer nog werkt in veilige modus met netwerkverbinding kan je ook online scanners proberen bv eset online scanner.
http://www.eset.com/us/online-scanner-popup/ Die heeft me wel eens geholpen daar waar Security Essentials, Mbam en dergelijke de bedreiging niet konden verwijderen/vinden.

En ook het proberen waard is Comodo cleaning essentials
http://www.comodo.com/business-security ... ntials.php

Eindelijk, virus is verwijderd, dat zo'n online scannertje malwarebytes en consoorten verslaat is toch straf.

Duimpje up voor fredo66

[ubremoved_539]

Nogmaals, ze hacken een website en zetten hun java?code in een advertentie.

Java zit in een sandbox... dus zo eenvoudig is het allemaal niet vrees ik.

Blijf nieuwsgierig naar de manier hoe zo'n ding op je PC komt (zonder dat je domweg het toelating geeft).

[iceke]

vandaar het "?", kan ook een andere runtime zijn...

[wimpie3]

Heb dit virus ook gezien bij een vriend, die helemaal in paniek was vanwege de tekst die op het scherm kwam. Gelukkig was het eenvoudig opgelost: opstarten in veilige modus, en "terugkeren naar vorige goed werkende configuratie" kiezen uit het bootmenu.

Wat mij echter enorm veel zorgen baart, is dat de pc volledig up to date was. OOK de virusscanner (met betalend abonnement) en ingebouwde firewall. Er bestaan dus virussen die ZONDER PROBLEMEN de scanner omzeilen. SLIK! Conclusie: niks is meer veilig...???

[fryelectro]

Natuurlijk is niks meer veilig, dat is ook nooit zo geweest. Informatica beveiliging is een zeer relatief gegeven. Alles valt altijd op elke moment te kraken. Het gaat over risico's beperken en zo dus de kans op oa. virusbesmetting te verkleinen. Het is dus niet omdat je een betalende up-to-date AV gebruikt, dat je daarom mag geloven dat je niets meer gaat overkomen.

[on4bam]

Het grootste gat in de beveiliging van een PC zit op een stoel aan het toetsenbord.

Voorlopig kan ik zeggen dat ik sinds 1983 nog geen enkel virus opgelopen heb. Buiten technische hulpmiddelen FW, AV en het gebruik van noscript, adblock, hostfile e.d. kijk ik natuurlijk ook wel uit op welke site ik terecht kom. Geen P2P enz.
Het blijft natuurlijk een feit dat beveiligingen steeds achter lopen op de bedreigingen maar voorlopig....

[TomVH]

Eenvoudigste is van de geinfecteerde harddisk eruit te halen en in een
andere PC aan te sluiten als slave; en deze dan te scannen als non-actieve drive.

Niet nodig met UBCD. Hiermee kun je met enkele muisklikken de HDD benaderen via het netwerk. Je moet je pc niet open vijzen dan.

[iceke]

...kijk ik natuurlijk ook wel uit op welke site ik terecht kom...

En dat is nu net het grote probleem met dit soort virussen, ze hacken een onbekende site om hun exploits proberen te installeren.
Je krijgt dit soort rommel dus eerder binnen vanop de site van uw bakker dan vanop de site van hln/Gva enz...
Nu, adblock will do the trick...

[nonkie]

Nogmaals, ze hacken een website en zetten hun java?code in een advertentie.

Java zit in een sandbox... dus zo eenvoudig is het allemaal niet vrees ik.

Blijf nieuwsgierig naar de manier hoe zo'n ding op je PC komt (zonder dat je domweg het toelating geeft).

Ik heb vandaag ook iemand verder geholpen om dit virus te verwijderen.
Na de cleaning heb ik eens gaan zien in zijn historie en blijkbaar is hij via een (gehackte) site doorgelust naar een andere site en zo is de pc geïnfecteerd.
Het is wel degelijk via java die eerst begon te laden vóór de infectie.
Windows, AV, Adobe en Java waren zeker niet up-to date.
Het is wel makkelijk te verwijderen zelfs zonder bijkomende progs. Misschien dat sommige varianten wat hardnekkiger zijn.
Ik denk dat alles steeds mooi up-to date is dat het virus weinig kans maakt.

[iceke]

Ik zet een ninite.exe met alle runtimes & browsers & viruscanner op de mensen hun bureaublad zodat ze dat makkelijk uptodate kunnen houden...
samen met addblock plus ben ik tot nu toe geen geïnfecteerde pc meer tegengekomen.

Soit, vandaag ook een update van gdata gekregen (en die zit naar mijn mening er kompleet naast) :

Ik zou u nog verder informeren m.b.t. het “politievirus” :

Het is vrij complex : eigenlijk krijgt de gebruiker een programma binnen via mail of surfgedrag. Na bepaalde tijd wil dit programma zich installeren – op dat moment verschijnt er een popup die meldt “malware aangetroffen in bestand, wilt u dit installeren? Toestaan – Niet toestaan”. Vele gebruikers lezen dit niet of slecht of klikken uit gewoonte op “toestaan”, op dat moment wordt het virus geïnstalleerd. Nu houdt het zich terug een paar weken stil om dan plots te verschijnen en je pc te blokkeren. Op dat moment herinneren de gebruikers zich ook niet meer dat ze een tijd voordien een programma hebben geïnstalleerd. Het is dus in feite de gebruiker zelf die het virus installeert!
Tweede kans op besmetting is echt een laatste nieuwe variant die nog niet wordt ontdekt door onze AV.

Zoals gemeld is het momenteel een probleem voor elke vendor en niet specifiek voor G Data.
Alleszins biedt u de klant steeds de beste beveiliging met G Data : de hoogste detectiegraad (99,7%), extra beveiling voor Androïd en BankGuard.

[nonkie]

Soit, vandaag ook een update van gdata gekregen (en die zit naar mijn mening er kompleet naast) :

Misschien ook niet, dat E-cops virus is er in veel verschillende variaties.

[vuurvos]

Niet nodig met UBCD. Hiermee kun je met enkele muisklikken de HDD benaderen via het netwerk. Je moet je pc niet open vijzen dan.

Geldt ook voor Hiren BootCD

Voorlopig kan ik zeggen dat ik sinds 1983 nog geen enkel virus opgelopen heb.

Ja natuurlijk, van 1983 tot 1987 kón je gewoonweg géén virus op de PC krijgen