Politie Virus - Gebruik van AVG rescue USB disk

[raoulb]

Goedemiddag Forum leden.

Ik ben nieuw hier en zit me mijn handen in het haar. Het politie virus / Ukash heeft ook bij mij toegeslagen. De andere reacties hier op het forum hebben mij nog niet in staat gestld het virus te verwijderen. Vandaar dus dit bericht en mijn oproep om hulp!

Gegevens:

Laptop ACER ASPIRE 5536G - WINDOWS VISTA 32bit sytem

Gebruiksmogelijkheden nu door het vius:

• bij een normale opstart sluit de computer uitendelijk gewoon af
  
• bij opstart in safe-mode + netwerk mogelijkheden zijn mogelijkheden beperkt en sluit computer uiteindelijk af
  
• virus scanners kunnen niet gebruikt worden
  
• Hijjackthis krijg ik niet gedownload
  

Ik heb begrepen dat een reboot met de AVG Rescue disk (ik gebruik een USB versie vandaag gedownload) het virus verwijderd en dat mijn computer weer 'hersteld' wordt.

Hiertoe heb ik het volgende geprobeerd te ondernemen:

• Met F2 in de boot directory USB FDD 1e prioriteit gegeven (ook geprobeerd met USB key)
  
• Vervolges save uitgevoerd en de computer laten opstarten ....
  

Helaas start het AVG rescue programmatje niet op.

HELP! Wat doe ik verkeerd, hoe kan ik snel en eenvoudig verlost worden van dit virus?

[Jion]

Dag raoulb,

welkom op PCH!

Download op een andere niet geïnfecteerde computer de Kaspersky Rescue CD en sla deze op je bureaublad op.

Download daarna IMG Burn en sla deze op je bureaublad op en installeer deze.

Start "IMG burn" en klik op "Write image file to disc"

• Selecteer het image bestand van de Kaspersky Rescue CD en klik op de knop "Write".
  
• Stop de Kaspersky Rescue CD, in de besmette PC.
  
• Start die PC opnieuw op.
  
• Druk op F11 en selecteer dan het cdrom station om het rescue systeem van Kaspersky te starten.
  

Bij “Press any key to enter the menu” druk je op gelijk welke toets om het menu van de Kaspersky Rescue CD te openen.

· Kies in het volgende scherm de optie "Kaspersky Rescue Disk - Grafische modus" en druk op enter.

· Druk hierna op "A" of op “1” om de licentie overeenkomst te accepteren.

Als de computer is opgestart van de Kaspersky Rescue CD klik dan op de start (KDE) knop in de taakbalk en klik op "Terminal"

• Geef in de terminal het commando windowsunlocker op gevolgd door enter.
  
• Via de terminal zullen nu de registerwaarden die door de ransomware infectie zijn aangemaakt hersteld worden.
  

In het rode kader hieronder kunt u zien dat de registerwaarden zijn hersteld.

• Herstart de computer.
  

[raoulb]

Beste Jion,

Bedankt voor je snelle en gedetailleerde reactie. I did all that en dacht dat het probleem nu wel gefixed zou zijn; ben al de hele dag bezig. Maar helaas.

Als ik de computer opstart met de Kaspersky rescue cd-rom (gebrand etc. zoals door jou beschreven) gebeurt er het volgende:

• scherm gaat op zwart
  
• in de linkerbovenhoek van het scherm verschijnt een knipperende cursor
  
• ik hoor dat de cd-rom drive 'gelezen' wordt .... 'doet ie het wel of doet ie het niet .....'
  
• ... en dan ineens valt het scherm/de pc uit
  

Wat gaat er fout en is mijn laptop nog wel vandaag te herstellen .... van manic sunday naar panic monday?

Alvast bedankt voor een reactie!

Raoul

- - - Updated - - -

Nog even dit: ik kan helaas niet gebruik maken van een herstelpunt mogelijkheid.

So still stuck.

[Jion]

Heb je al systeemherstel geprobeerd en is dat mislukt? Of bedoel je dat je geen herstelpunten hebt?

Probeer eens op te starten met de USB van Kaspersky:

1. Download de onderstaande ISO en bijbehorende utility.

• Kaspersky Rescue Disk (ISO)
  
• rescue2usb.exe
  

2. Kaspersky Rescue USB stick maken

• Dubbelklik op rescue2usb.exe, dit is een Winrar self-extracting archive.
  
• Klik op "Install" en de Kaspersky Rescue Disk maker zal gestart worden.
  

Klik op "Browse" en selecteer de gedownloade Kaspersky Rescue Disk (ISO) en klik op "Openen"

• Kies bij "USB Medium:" de gebruikte USB stick, als deze niet standaard is geselecteerd.
  
• Klik nu op "Start" en de benodigde bestanden vanuit de ISO zullen naar de USB stick worden gekopieerd.
  
• Als het kopiëren gereed is zal u de volgende melding krijgen; 'Kaspersky USB Rescue Disk has been succesfully created'.
  
• Klik in dit scherm op "OK" en sluit de Kaspersky Rescue Disk maker.
  

23 december 2012 aangepast door Jion

[raoulb]

Jion,

Bedankt!!! Systeemherstel is bij mij om de een of andere reden niet mogelijk en ik heb geen herstelpunten. Mijn laptop is een keer gecrashed en ik heb in goed vertrouwen deze laten repareren waarbij het geheugen van de laptop gehalveerd is (ik ben niet technisch, maar weet alleen dat er geknoeid is met het geheugen/geheugen kaart van mijn laptop waardoor ik bijvoorbeeld geen systeem herstel functie meer heb, i.e. er geen syteem herstelpunten gemaakt kunnen worden).

Anyway, als ik je dus goed begrijp

1. download ik beide files op een niet geinfecteerde PC
   
2. vervolgens open ik de Kaspersky Rescue Disk (ISO) en maak ik de Kaspersky USB Rescue Disk
   

Kan je me vervolgens aangeven hoe ik dan de boot functie van mijn laptop via de USB laat lopen? Begrijp ik het in dit verband het volgende goed?:

• Bij opstarten van de laptop, met F2 naar boot sectie en de USB optie op 1 zetten (in mijn boot directory kan ik geen removable devices selecteren en zijn er wel o.a. de USB FDD, YSB HDD en USB Key opties.
  
• vervolgens exit + save
  
• en dan de laptop opnieuw opstarten?
  

(Ik heb een ACER ASPIRE 5536 met Bios Phoenix Technologies LTD VI.06)

Bedankt voor je duidelijke antwoorden .... nu moet het nog met mijn hardware lukken !! By the way, doet de virus scanner ESET ook het werk, i.e. wordt daardoor het 'politie virus ook verwijderd?

Nog een fijne zondag en voor iedereen geweldige feestdagen toegewenst!

Raoul

[Jion]

Kan je me vervolgens aangeven hoe ik dan de boot functie van mijn laptop via de USB laat lopen? Begrijp ik het in dit verband het volgende goed?:

• Bij opstarten van de laptop, met F2 naar boot sectie en de USB optie op 1 zetten (in mijn boot directory kan ik geen removable devices selecteren en zijn er wel o.a. de USB FDD, YSB HDD en USB Key opties.
  
• vervolgens exit + save
  
• en dan de laptop opnieuw opstarten?
  

Dat is inderdaad de juiste procedure.

[raoulb]

Jion,

Fijne Kerst allemaal en nog bedankt voor je reactie!

Wel of geen geluk .... ik weet het niet, maar het lijkt dat het virus verdwenen is?!! Tot nu toe is het mij niet gelukt een AVR of Kaspersky (USB) rescue disk te maken. Heb van alles geprobeerd maar op de één of andere manier werkt ook d reboot functie via USB of cd-rom niet (of worden deze media niet gelezen).

Op mijn laptop heb ik 2 gebruikers ID’s: Beheerder en mijn eigen account. De Beheerders account wordt zelden of nooit gebruikt; ik doe alles onder mijn eigen ID (is ook beveiligd met een wachtwoord). Op de Beheerders ID heb ik de AVG Anti-virus scan gedraaid ... en ja hoor, de scan werkte prima en 5 serious threats werden verwijderd; vervolgens heb ik op dit ID Malware Bytes gedraaid en Microsoft Essentials.

Computer opnieuw opgestart en ingelogd op mijn eigen ID ..... en alles werkt weer prima! Virus schijnt nu dus verwijderd te zijn. Op dit ID heb ik vervolgens de volgende scans gedraaid:

AVG, Malware Bytes, Microsoft Essentials en EMSISOFT Emergency. Los van wat adware files, werden er geen andere malware/virussen gedetecteerd. Het enige wat opviel is dat Malware Bytes en EMSISOFT scans langer dan 6 uur duurden.

Ik ben er alleen niet zeker van of het virus verdwenen is. Ik heb dus nog de volgende vragen:

• Aangehecht de scan reports: is hier nog iets bijzonders aan op te merken dan wel kan op grond hiervan aangenomen worden dat het politievirus verwijderd is? Zie het EMSISOFT scan report. Omdat de scan zo lang duurde heb ik de scan bij 89% afgebroken. Ik heb wel daarna nog eens de EMSISOFT snelle en slimme scan gedraaid; geen infecties gevonden volgens de scan!
  
• Ik krijg zo nu en dan spontaan de volgende pop-up tekst: Microsoft Essentials heeft items gedetecteerd die niet worden herkend. C:\ProgramData\sacache\7\3241536.log.
  Ik heb deze info met een functie toets in de text pop-up doorgestuurd naar MicroSoft. Enig idee wat dit is?
  
• Ik heb geprobeerd HijackThis te draaien maar krijg het volgende pop-up screen: For some reason your system denied write access to the hostfile. If any hijacked domains are in this file, HijackThis may not be able to fix this.
  Edit myself: c:\windows\system32\drivers\etc.hosts
  VISTA: Exit HijackThis, right click icon and run as Administrator (Ik heb dit geprobeerd maar deze functie werkt niet). Betekent deze pop-up iets of moet ik hier wat anders mee?
  

Op dit moment draait op mijn laptop: AVG en Microsoft Securities. Als scanners heb ik daarnaast Malware bytes, Ccleaner. Ik voer ook regelmatig alle noodzakelijke updates uit. Nog andere suggesties / adviezen?

Laptop Info:

ACER ASPIRE 5536G (zie aangehechte bestanden)

Valt hierin nog iets op?

Processor : AMD Turion X2 RM 74

Moederbord : Acer JV50PU

Bios : Phoenix Technologies LTD

Ik hoop dat het virus nu verwijderd is; alvast bedankt voor een reactie!

Nog fijne dagen toegewenst,

Raoul

hijackthis.log

AVSCAN-20121225-115826-32F9255F 2012.txt

a2scan_121225-132447.txt

a2scan_121226-104957.txt

a2scan_121226-110527.txt

[Jion]

Dat is heel goed nieuws alvast!!

Het best hou je het met 1 virusscanner. AVG of MSE. Meerdere virusscanners op je computer kan deze sterk vertragen of zelfs instabiel maken. Omdat MSE over het algemeen heel zwak scoort, zou ik je aanraden om deze van je systeem te verwijderen.

Mbam mag je gerus houden als second opinion om af en toe eens mee te scannen.

We gaan toch proberen om een HJT logje aan te maken. Dan kunnen onze malware experts nakijken of dat je systeem nu volledig clean is.

Ik heb geprobeerd HijackThis te draaien maar krijg het volgende pop-up screen: For some reason your system denied write access to the hostfile. If any hijacked domains are in this file, HijackThis may not be able to fix this.

Bij deze melding mag je gewoon op OK klikken.

VISTA: Exit HijackThis, right click icon and run as Administrator (Ik heb dit geprobeerd maar deze functie werkt niet). Betekent deze pop-up iets of moet ik hier wat anders mee?

Indien het niet lukt om via de snelkoppeling als administrator uit te voeren ga dan via je verkenner naar de map: C:\Program Files\Trend Micro\HijackThis of C:\Program Files (x86)\Trend Micro\HijackThis. Klik daar met de rechtermuisknop op HijackThis in het rechterdeelvenster en kies "als administrator uitvoeren".

[raoulb]

Jion,

In mijn laatste bericht de Hijack logfile die ik heb kunnen draaien. Wat mij opvalt is dat het draaien van HijackThis en van een programma zoals EMSISOFT (de deep scan) dat dit heel erg lang duurt (langer dan 8 uur ...... net alsof de programma's ergens in blijven hangen ...).

Voor jouw informatiee COMBOFIX draaien is me ook niet echt gelukt; draaide langer dan 10 uur en er werd niet gevonden.

Ik heb op dit moment nergens last van. Wat denk je ook als je kijkt naar de logfiles? Ben ik vrij van het virus?

Thanks!

[raoulb]

Noot:

Nog aangehecht 2 anti-virus scan reports over de afgelopen dagen.

Ben ik nu virus vrij?

mbam-log-2012-12-24 (10-25-31).txt

avgrep.txt