Ukash-virus (315)

[eagle6175]

Hallo Stijn,

start eens op in veilige modus, en ga eens kijken welke startup-items er staan onder

hkey_local_machine\software\microsoft\windows\currentversion\run

hkey_current_user\software\microsoft\windows\currentversion\run

als je kan maak van de startup-items in je register onder deze 2 takken eens een screenshot, en post dit eens.

mvg,

Chris.

[kape]

En naast je admin-account waarmee je deze logjes hebt gemaakt is er geen andere account aan boord (noch in veilige, noch in normale modus) ?

[Stijnley]

@eagle6175: ziehier de gevraagde screenshot. De "run" items zijn geselecteerd in blauw

@Kape: zover ik weet is er enkel 1 account, ik heb nooit een nieuwe account aangemaakt (ik formateerde nog in maart 2012). Als ik kijk bij accounts (configuratiescherm) zie ik enkel "Stijn (administrator)"

Bedankt voor het meedenken!

[kape]

In normale modus zie je enkel de gebruikersaccounts. Stijn heeft wel de bevoegdheden als "administrator", maar achter de schermen is er ook nog een basis-administratoraccount. Die zou je in "veilige modus" moeten kunnen oproepen. Bekijk eens of je die daar kan vinden ... en zo ja, maak daar dan eens logjes mee.

En bij de suggestie van Eagle is het de bedoeling dat je in het register gaat kijken naar de twee aangeduide locaties. In het register kom je door bij Start in het zoekvak regedit te typen. Via de aangeduide roots

hkey_local_machine\software\microsoft\windows\currentversion\run

hkey_current_user\software\microsoft\windows\currentversion\run

kom je dan uit op de locatie die Eagle heeft aangegeven.

[Stijnley]

Ok dan was ik niet helemaal mee in het verhaal.

Vanuit veilige modus (zonder netwerk) nam ik deze screenshots:

In veilige modus (zonder netwerk) ging ik ook op zoekn naar de gebruikersaccounts, opnieuw vond ik enkel Stijn (admin) en gastaccount (uitgeschakeld).

bedankt voor jullie hulp

[eagle6175]

Inderdaad Kape,

dat was inderdaad wat ik bedoelde, maar bon, ik zie dat stijnley het nu wel gedaan heeft.

Ik stel me wel serieuze vragen bij die rasmxs.exe. Kape, wat denk jij daarvan ?

Stijnley, weet je nog ongeveer op welke datum en rond welk uur je de infectie opgelopen hebt?

Zoja, ga die file rasmxs.exe eens bekijken in die genoemde directory, en kijk eens naar de properties daarvan. Als je bij modified als datum en uur ongeveer het tijdstip ziet als deze waarop je de infectie hebt opgelopen, dan ben ik bijna 100% zeker dat dat het virus is. En dan zal ik je zeggen wat te doen.

Maar kijk dat eerst eens na en laat dan iets weten.

[Stijnley]

eagle, je lijkt gelijk te hebben. Ik geraak enkel tot in de map 3699, in deze map staat enkel het bestand "19adc58b", zonder extensie.

Dit bestand werd wel degelijk aangemaakt op hetzelfde moment als wanneer het Ukash virus mijn pc overnam!

Het bestand rasmxs.exe zie ik echter niet staan in de map (verborgen bestanden worden weergegeven)

Wat adviseer je verder?

[eagle6175]

Stijnley,

Het feit dat je die exe niet ziet komt wsl doordat die "hidden" is en je de hidden files en folders niet kan zien.

Dat is een instelling in verkenner.

Ga naar die bepaalde map en dan in het menu boven klik je tools , folder options, view, en dan bij advanced settings moet je aanklikken "show hidden files and folders". Tenminste bij windows xp is dit toch zo, ik weet nu niet welke OS jij hebt, maar als je in die map zit, moet je ergens bij de opties "show hidden files and folders" aanklikken. Als je dat aanklikt, zou die exe moeten kunnen zien.

ALs je dan die exe ziet, en bij properties komt datum en uur ongeveer overeen met tijdstip van infectie, dan mag je die exe verwijderen.

En ten tweede moet je opnieuw in je register gaan, en die sleutel van die rasmxs.exe verwijderen die ik zag in je screenshot.

En probeer dan eens opnieuw op te starten.

Laat iets weten.

---------- Post toegevoegd om 14:45 ---------- Vorige post was om 14:40 ----------

EN als je die exe toch nog niet kunt zien, verwijder dan gewoon die registersleutel van die rasmxs.exe en probeer eens opnieuw op te starten.

MAAR voor je die registersleutel verwijderd, neem er wel eerst een backup van. Die doe je door op die sleutel te gaan staan, dan in het menu boven file, dan export, en dan kies je een naam voor je *.reg file.

Want moest het daarmee niet opgelost zijn, kan je hem dan nog altijd terugzetten.

Onthoud wel waar je je reg file zet natuurlijk.

[Stijnley]

Wel, ik draai windows 7 maar kan de pc momenteel enkel gebruiken in veilige modus (met of zonder netwerk).

In veilige modus kan ik via de knop "organiseren" de map en zoekopties aanpassen. Daar vinkte ik "beveiligde systeembestanden" uit en vinkte ik "verborgen station, mappen en bestanden weergeven" aan.

Ik moest dit reeds doen om "appdata" te kunnen zien bij users.

Maar jammer genoeg steeds geen .exe waarvan sprake...

bestaat er een andere manier om dit kleinood op te sporen en te verwijderen alvorens de Key te wissen?

---------- Post toegevoegd om 14:47 ---------- Vorige post was om 14:46 ----------

ok bedankt voor je update, ik hou je op de hoogte

[eagle6175]

Ja ok, maar elke map heeft wel zijn eigen opties, en het is niet omdat je de verborgen bestanden laat zien bij één map dat die dan ook in een andere map getoond worden. Daarom is het belangrijk dat je de optie "show hidden files en folders" aanklikt als het echt die map 3699 betreft !