Multidesk.be » Forums » Virussen, adware, spyware, ... » federal computer crime unit virus (gesloten)

Helpinformatie
Dit onderwerp werd gesloten.
Het is bijgevolg niet mogelijk er nog op te reageren.
  • Pagina
  • [1]
  • 2
  • RSS
  • Eerste ongelezen reactie
  • Plaats een reactie
  • Abonneer mij
  • Onderwerp sluiten
0 gasten lezen dit onderwerp.
^ Onderwerp geschreven door mister green op zondag 2 september 2012 om 15:08:00.
mister green heeft nog geen avatar toegevoegd
Multiviteit: 101
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
PC besmet met het federal computer crime unit virus. Reeds verwijderd met de Kasparsky Rescue Disk, maar na het opstarten van de gast account terug aanwezig. Proberen opnieuw te verwijderen en daarna antivirus laten scannen in veilige modus, maar dit is niet mogelijk ( wil veilige modus niet opstarten ). Iemand enig idee hoe hier mee om te gaan ?
^ Reactie #1 geschreven door Wheeldigger op zondag 2 september 2012 om 23:46:43.
Wheeldigger's avatar
Multiviteit: 10173
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Vooraleerst lees deze Mededeling m.b.t. het plaatsen en analyseren van Hijack This logbestanden, daarna;
Volg eerst het Stappenplan VOLLEDIG,
zelfs al heb je al scans gedaan.
Hier staan de meest recente producten, en hier werken onze HJT mensen graag mee.
Zorg ervoor dat je logs als bijlage in je post staan!
Omdat een bijlage met als extentie txt op dit forum omzeggens niet te lezen zijn: Gelieve die bestanden eerst te hernoemen als een log bestand en dan pas mee te geven als bijlage.

Succes ;)
Deze tekst werd het laatst bewerkt voor 18.75 % door Wheeldigger op zondag 2 september 2012 om 23:47:41.
^ Reactie #2 geschreven door mister green op maandag 3 september 2012 om 10:18:35.
mister green heeft nog geen avatar toegevoegd
Multiviteit: 101
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Beste, het probleem is dat windows wel opstart maar van zodra aangelogd de pc blokkeerd door het virus. Stappenplan uitvoeren is op die manier niet mogelijk. Heb nu een CD gemaakt van Windows Defender Offline, en die is nu een volledige scan aan het lopen van de PC ( ben ondertussen werken, kan maar vanavond controleren of ie nu terug werkt ). Daarna voer ik het stappenplan uit en maak ik de log files.
Groeten
^ Reactie #3 geschreven door Wheeldigger op maandag 3 september 2012 om 11:13:07.
Wheeldigger's avatar
Multiviteit: 10173
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Opstarten in veilige modus is bij dit virus geen probleem.. je moet wel even alle kabels uittrekken mits scherm toetsenbord en muis.
In veilige modus het stappenplan uitvoeren.
Deze tekst werd het laatst bewerkt voor 29.5 % door Wheeldigger op maandag 3 september 2012 om 22:17:07.
^ Reactie #4 geschreven door Wheeldigger op dinsdag 4 september 2012 om 00:01:06.
Wheeldigger's avatar
Multiviteit: 10173
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid

Opmerking van de crew

Even een ingreep m.b.t. verwijderen/aanpassen van posten.
Enkel de TS (TopicStarter), de analyst (Joke in dit geval) en een moderator mag in deze sectie posten.
Alle anderen dienen als ze een aanvulling hebben een PB (Persoonlijk Bericht) naar Joke te sturen, overige zaken de knop te gebruiken en de opmerking daar te plaatsen.
Dit om te voorkomen dat in deze sectie de topics een rommeltje wordt.

Neem ook even notitie van *dit artikel*

Wheeldigger
^ Reactie #5 geschreven door joke op dinsdag 4 september 2012 om 13:59:54.
joke's avatar
Multiviteit: 2669
Morgen wordt het beter.
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Bedankt allen voor de rechtzettingen. En als "mister green" ook nog reageert kunnen we verder.

Joke

Dochters, tot hun 16e zeuren ze om een paard en op hun 17e komen ze thuis met een ezel
^ Reactie #6 geschreven door mister green op dinsdag 4 september 2012 om 19:12:20.
mister green heeft nog geen avatar toegevoegd
Multiviteit: 101
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Joke,
Net thuis, dus nu de reactie :-). Het probleem is dat ik niet kan opstarten in veilige modus wegens " veranderingen in de hardware of software die onlangs gebeurd zijn" . Heb nu geprobeerd om op te starten via CD Rom met de disk " Windows Defender Offline ". Die vond een aantal onregelmatigheden, en heeft die hersteld. Toen ik daarna terug aanlogde had ik opnieuw het virus. Ik ben nu dus bezig op de laptop, en zoek iets om het virus te verwijderen via de CD Rom, alvorens terug aan te loggen en het stappenplan uit te voeren.
Greets

P.S. Doe nu een poging met de Hirens Boot CD, laat de pc scannen vanop de schijf met Avira. Hopelijk met meer succes dan voorheen
Deze tekst werd het laatst bewerkt voor 10.87 % door mister green op dinsdag 4 september 2012 om 19:57:26.
^ Reactie #7 geschreven door joke op woensdag 5 september 2012 om 12:03:50.
joke's avatar
Multiviteit: 2669
Morgen wordt het beter.
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Mister Green,

Heb je op http://www.polfed-fedpol.be/crim/crim_fccu_ransomware_nl.php al eens gekeken?

Je zegt dat "een aantal onregelmatigheden" nu zouden hersteld zijn door gebruik te maken van "Windows Defender Offline" wil dat dan zeggen dat je terug normaal kan opstarten of in veilge modus?

Joke

Dochters, tot hun 16e zeuren ze om een paard en op hun 17e komen ze thuis met een ezel
^ Reactie #8 geschreven door mister green op woensdag 5 september 2012 om 14:49:58.
mister green heeft nog geen avatar toegevoegd
Multiviteit: 101
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Joke,
Alhoewel de onregelmatigheden werden hersteld door Windows Defender Offline ( trouwens gedownload vanop de link van polfed-fedpol, was het virus nog steeds aanwezig en kon ik nog altijd niet in safe mode werken. Via de Hirens Boot CD 15.1 heb ik eerst Avira laten lopen, maar die vond niks. Nu heb ik ClamWinFreeAntivirus laten lopen ( via de optie mini XP ) en die heeft een tiental virussen gevonden. Heb het deze morgen vooraleer te gaan werken gecontroleerd en een logfile van gemaakt ( waarschijnlijk vind ik die later niet meer terug want hij heeft het op B:\ gezet, maar die heb ik nog nooit gezien in m'n explorer ). Van zodra terug thuis laat ik opruimen en probeer dan opnieuw op te starten. In elk geval, van zodra het virus verwijderd loop ik het stappenplan af, want niet kunnen werken in safe mode is niet optimaal.
^ Reactie #9 geschreven door mister green op donderdag 6 september 2012 om 16:55:53.
mister green heeft nog geen avatar toegevoegd
Multiviteit: 101
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Virus nog steeds aanwezig, ondanks pogingen met Avira en ClamWin. Ik zoek dus nog steeds naar een programma om, vanop de cd, het virus te kunnen verwijderen.
^ Reactie #10 geschreven door mister green op vrijdag 7 september 2012 om 17:26:06.
mister green heeft nog geen avatar toegevoegd
Multiviteit: 101
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Joke,
Ondertussen ten einde raad. Met geen enkele antivirus krijg ik het verwijdert via cd rom. Safe mode opstarten lukt ook nog altijd niet. Weet jij misschien nog een programma om het te verwijderen vanop cdrom ? Heb ondertussen Kaspersky ( 2 maal ) / Windows Defender / Avira en ClamWinFreeAntivirus geprobeerd.

Thx
^ Reactie #11 geschreven door joke op vrijdag 7 september 2012 om 19:13:27.
joke's avatar
Multiviteit: 2669
Morgen wordt het beter.
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hoi Frank,

Dan wordt het moeilijk. Je kan ook eens kijken op *klik*
Daar staan meerdere mogelijkheden.
Ik heb de indruk dat er meer aan de hand is op je pc omdat je zelfs niet opgestart geraakt in veilige modus.
Ontkoppel je pc van het internet en start dan je pc op, met welk beeld stopt Windows dan? Kan je daar een foto van maken? En vertel ook eens met welke Windows versie je werkt? Je hebt toch maar 1 antivirus op je pc staan?

Joke

Opmerking van de crew

Even de link ingepakt om het topic overzichtelijk te houden :)

Wheeldigger
Deze tekst werd het laatst bewerkt voor 1.27 % door Wheeldigger op vrijdag 7 september 2012 om 21:14:30.

Dochters, tot hun 16e zeuren ze om een paard en op hun 17e komen ze thuis met een ezel
^ Reactie #12 geschreven door mister green op vrijdag 7 september 2012 om 19:53:05.
mister green heeft nog geen avatar toegevoegd
Multiviteit: 101
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hoi Joke,

Ik werk met Office XP Pro en met AVG als antivirus. Weet niet precies wat je bedoeld met, met welk beeld stopt windows. Wat ik wel weet is dat, als ik probeer op te starten in veilige modus, er onderaan op het zwarte scherm komt " Press Esc to stop loading SPTD.sys. Misschien is dat een indicatie ? Ik probeer ondertussen je laatste link, hopelijk met succes :-)

Groetjes
^ Reactie #13 geschreven door Wheeldigger op vrijdag 7 september 2012 om 21:28:20.
Wheeldigger's avatar
Multiviteit: 10173
Moderator
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
- SPTD.SYS is part of daemon tools, a cd/dvd emulation tool, that allows you to mount iso images as virtual drives.

- it's also part of Alcohol burning soft.

Het is een veilig bestand, kunt het laden annuleren of door laten laden.
Joke wil een afbeelding van het scherm waar je computer niet meer doorloopt bij opstarten in veilige modus.
Dat kan met een fotocamera een foto te nemen (zonder flits) en hier als bijlage bij te voegen.
^ Reactie #14 geschreven door mister green op zaterdag 8 september 2012 om 13:59:39.
mister green heeft nog geen avatar toegevoegd
Multiviteit: 101
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Joke,
Hierbij gevoegd de foto van m'n bureaublad. PC is nu gescand met Avira Rescue Disk ( laatste versie ), maar ik wacht nog met opstarten of jij misschien er kan voor zorgen dat ik dit in veilige modus kan doen.

Greetz
Bijlage: 56aa9712296bb113ed1d4acc0bb238e6.jpg
^ Reactie #15 geschreven door joke op zaterdag 8 september 2012 om 18:30:46.
joke's avatar
Multiviteit: 2669
Morgen wordt het beter.
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hoi Frank,

Dat normaal is een scherm dat Windows geeft bij problemen. Ga nu omhoog met de pijltjes knoppen en kies voor Veilige modus en druk op Enter.

Als je pc nu niet meer doorloopt maak dan een foto van en plaats die nog eens hier.

Joke

Dochters, tot hun 16e zeuren ze om een paard en op hun 17e komen ze thuis met een ezel
^ Reactie #16 geschreven door mister green op zondag 9 september 2012 om 12:54:10.
mister green heeft nog geen avatar toegevoegd
Multiviteit: 101
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hallo Joke,
Virus is verdwenen na de scan met Avira Rescue Disk ( gevonden op de laatste link die je mij doorstuurde, waarvoor dan :-) ). Heb het risico genomen om, ten lange laatste, gewoon de pc op te starten ( waarbij wel een CHDSK werd uitgevoerd ). Ik begrijp de vragen die ik krijg over het uit te voeren stappenplan, maar zolang het virus de overhand nam eens ik opstartte, kon ik dit gewoonweg niet uitvoeren. Dit is deze morgen dus gelukt, waarbij hier nu de logfiles. Alvast bedankt voor je hulp zover.
Greetz


Bijlage: d59f597ae0ca89881e20ce62199fe44f.log




Bijlage: d9630c5dcb5e82587512c16d9e25f02b.log
Deze tekst werd het laatst bewerkt voor 0.37 % door Wheeldigger op zondag 9 september 2012 om 15:45:21.
^ Reactie #17 geschreven door joke op dinsdag 11 september 2012 om 11:39:33.
joke's avatar
Multiviteit: 2669
Morgen wordt het beter.
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hoi mister green,

  1. Na het downloaden moet je alle programma's (ook je browser) sluiten. Het is ook belangrijk dat je de programma's in dezelfde volgorde uitvoert als ik ze voorschrijf. Dus om deze richtlijnen te kunnen volgen print deze tekst uit.
    Heb je geen printer zet dan deze tekst in een tekstbestand, bijvoorbeeld op je bureaublad.

  2. Start HiJackThis.

    Kies voor Do a system scan only.
    Vink alléén de items aan die hieronder zijn vermeld:

    - O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    - O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
    - O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    - O4 - HKLM\..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe"
    - O4 - HKLM\..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe"

    Klik nu op Fix Checked en bevestig het door in het volgende scherm op Ja te klikken en sluit HiJackThis af.

  3. Download GV_Killer.exe naar je bureaublad. Klik op GV_Killer.exe om het te installeren en klik op Voltooien.

    Klik op je bureaublad op de snelkoppeling van GV_Killer.
    Nu krijg je een blanco input.txt kladblokveld. Gebruik Kopiëren en Plakken om onderstaande blauwe lijnen in het venster input.txt te zetten.

    Files to delete:
    - C:\Program Files\Ask.com\GenericAskToolbar.dll
    - C:\Program Files\Ask.com\Updater\Updater.exe
    - C:\WINDOWS\prefetch\Updater*.pf

    Folders to delete:
    - C:\Program Files\Ask.com\Updater
    - C:\Program Files\Ask.com

    Sluit het venster input.txt en druk op de toets Start Killing.
    GV_Killer maakt zijn werk af en klik dan op Exit.
    Mogelijk zal GV_Killer je PC herstarten, sta dit toe en onderbreek een eventuele actie niet.
    Er opent na afloop een rapportje GVK_xx.log.
    Post het bestand GVK_xx.log in je volgende antwoord.
    De letters xx zijn een volgnummer, post dan ook het bestand met het hoogste nummer.

  4. Download CCleaner Slim en installeer het.Start CCleaner op.
    Klik in de linkse kolom op Cleaner.
    Klik achtereenvolgens op Analyseren en Opschonen..
    Klik vervolgens in de linkse kolom op Register en klik op Scan naar problemen.
    Als er fouten gevonden worden klik je op Herstel geselecteerde problemen en OK.
    Dan krijg je de vraag om een back-up te maken, klik op JA. en kies dan Herstel alle geselecteerde fouten.
    Sluit hierna CCleaner terug af.

    Wil je een uitgebreide beschrijving klik dan op CCleaner Slim

  5. Download Codestuff Starter.zip en extract het naar je bureaublad.
    Dubbelklik op StarterSetup.exe om de installatie te starten.Start Codestuff Starter en in de tekstbalk kies je voor Automatisch Opstarten en mag je volgende items uitvinken:

    - C:\Program Files\Common Files\Java\Java Update\jusched.exe
    - C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    - C:\Program Files\Lavasoft\Ad-Aware\AutoLaunch.exe
    - C:\Program Files\QuickTime\qttask.exe
    - C:\WINDOWS\system32\ctfmon.exe

    Items die je later terug automatisch wil laten opstarten mag je dan terug aanvinken.

  6. Zorg dat je Windows in normale modus draait en scan dan opnieuw met HiJackThis, hang aan je volgende bericht een BIJLAGE met de nieuwe HiJackThis log ter controle.

  7. Ik verwacht dus een bijlage van volgende programma's:
    - GV_Killer
    - HiJackThis
    Vertel ook even hoe het met je problemen gesteld is.

Succes,
Joke.

Dochters, tot hun 16e zeuren ze om een paard en op hun 17e komen ze thuis met een ezel
^ Reactie #18 geschreven door mister green op dinsdag 11 september 2012 om 20:19:55.
mister green heeft nog geen avatar toegevoegd
Multiviteit: 101
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hallo Joke,

Na het afsluiten van GV Killer werd ( alhoewel de vraag kwam en met ja beantwoord werd ) de pc niet terug opgestart. Na een half uurtje wachten heb ik dit dan maar zelf gedaan om verder alles te kunnen afwerken.

Greetz


Bijlage: 621f7c5eeee111dea3e14deaf10a5430.log


Bijlage: 0752c9ef7a16a09fff989bb542bf0139.log
^ Reactie #19 geschreven door mister green op dinsdag 11 september 2012 om 20:26:46.
mister green heeft nog geen avatar toegevoegd
Multiviteit: 101
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Joke,

Sorry, had vergeten te melden dat ik nog steeds niet kan opstarten in veilige modus.

Greetz Frank
  • Pagina
  • [1]
  • 2
  • RSS
  • Eerste ongelezen reactie
  • Plaats een reactie
  • Abonneer mij
  • Onderwerp sluiten