blackmail en systeemherstel werkt niet

[bartjealberts]

Hoi allemaal,

Vanmiddag is mij via internet een blackmail aanval binnengekomen en ik typ dit nu vanuit de veilige modus. De blackmail aanval zorgder ervoor dat vista antivirus 2012 op mijn computer staat en die de hele tijd vraagt om te installeren en als ik internet opstart geeft ie een foutmelding want ik heb geen antivirus geinstalleerd. Dit is mij al eens eerder overkomen en toen heb ik het probleem op kunnen lossen door systeemherstel uit te voeren naar een herstelpunt voor die tijd.

Dus ik dacht doe het deze keer weer, maar helaas. Je moet toegang geven om systeemherstel te starten maar dit wordt geblokkeerd door de blackmail (een of andere keygenlocker).

De volgende optie die ik probeerde was systeemherstel uit de veilige modus. Maar blijkbaar staat hij bij windows vista niet in veilige modus?? Weet iemand waar? Evengoed als ik iets moet uitvoeren (dus toegang geven) geeft ie ook in de veilige modus de foutmelding van keygenlocker.

Optie 3 was het installeren van spybot search and destroy: probleem is echter dat je hier ook moet uitvoeren (.exe) bestand, dus ook dit werkt niet.

Nu is de enige optie die ik nog over heb volgens mij het installeren van spybot search en destroy op een andere computer en de programmaatjes via USB op mijn laptop zetten en dan het programma runnen. Ik heb hier echter een hard hoofd in.

Heeft iemand toevallig betere ideeen voordat ik windows vista opnieuw moet installeren? Ben echt ten einde raad!

Bij voorbaat dank,

Bart

[clarkie]

Download hijackthis, maar kies de executable versie, plaats die op je USB- stick.

Voer dan uit in veilige modus.

1. Download HijackThis.

Klik bij "HijackThis Downloads" op "Installer".

Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren".

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

---

2. Klik op de snelkoppeling om HijackThis te starten

Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis.

---

Dit (KLIK) filmpje kan je helpen om een hijackthis logje te plaatsen.

Na het plaatsen van je logje wordt dit door een expert (Kape of Kweezie Wabbit) nagekeken en begeleidt hij jou door het ganse proces.

[bartjealberts]

Probleem is dat ik geen executable versie kan uitvoeren in de veilige modus aangezien hij dan weer zegt dat de antivirus 2012 het blokkeert vanwege die keygenlocker. Is het een mogelijkheid om hem op een andere computer te installeren en dan met alle programmaatjes via de USB stick op de geinfecteerde laptop te zetten?

[clarkie]

Ik bedoel dat je die versie van hijackthis op een USB- stick moet zetten, via een andere PC.

En dan hijackthis uitvoeren vanaf je stick op de besmette PC.

Lukt dat?

[bartjealberts]

Net geprobeerd:

msi bestand op USB stick gezet en dan in de veilige modus via de USB stick proberen te installeren. Melding: windows installer werkt niet in veilige modus

exe bestand op USB stick gezet en dan uitvoeren in veilige modus: weer de melding van keylogger.gen

[clarkie]

Ik ga een expert op gebied van malware en virussen vragen of hij je kan verder helpen.

Wacht totdat hij je verder helpt.

[bartjealberts]

thnx i appreciate your help!!!

Begin het werken in de veilige modus toch al behoorlijk irritant te vinden. Vanavond nog even wat proberen en verder wacht ik af

[kape]

Download HijackThis met een externe PC, maar wijzig de naam van het bestand hijackthis.exe naar scan.exe bij het opslaan. Breng het dan over met USB naar de besmette PC. Je kan zowel in normale modus als in veilige modus proberen om die scan.exe dan uit te voeren.

[bartjealberts]

Ik heb dit dus geprobeerd maar hij blijft dezelfde meldingen geven. Het is zelfs nog erger dan ik dacht. Ik probeerde net in de veilige modus microsoft word vanaf het bureaublad te openen en dan geeft die de volgende melding:

vista antivirus 2012 has blocked a program from accessing the internet. Winword.exe is infected with Trojan-BNK.Win32.Keylogger.gen Private data can be stolen by third parties, including credit card details and passwords. Windows recommend Activate Vista Antivirus 2012.

Het rare is als ik een word-document probeer te openen vanuit mijn documenten, dan start hij word wel gewoon prima op. Dus het probleem lijkt mij te liggen bij het openen van .exe bestanden. En om deze blackmail weg te krijgen heb je natuurlijk een .exe bestand nodig...pff lastig! Iemand nog hulp?

[bartjealberts]

Yes mensen,

Ik ben een stap verder gekomen! Door op ctrl-alt-delete te drukken en naar de task manager te gaan, zie ik bij processen een onbekend exe bestand: oar.exe. Ik druk op proces beeindigen en prompt is de antivirus weg en kan ik dus dingen openen zoals ik wil . Helaas komt ie snel weer terug. Dus ik dacht procescelstructuur beeindigen, maar ook dit werkte niet. Hoe kan ik dit definitief verwijderen? We komen steeds dichter bij het antwoord

---------- Post toegevoegd om 19:23 ---------- Vorige post was om 19:12 ----------

Volgende stap,

ik heb het bestand weten op te sporen in Appdata onder de naam oar.exe. Hij is inderdaad vandaag aangemaakt en de aanstichter van al het kwaad. Dus ik denken hem simpel te verwijderen, maar daar ben ik niet gemachtigd voor. Hoe kan ik dit bestand toch definitief laten verdwijnen naar de hel van alle virussen!?

Ik heb hier behoorlijk wat aan gehad: Uninstall Vista Anti-Virus 2012 Malware – How to Remove Vista Anti-Virus 2012 Virus