Ukash -> Systeem teruggezet -> Alles zwart (behalve taakbeheer)

[Dr.Spock]

nee inderdaad dat is geen speeltje, het is aan jullie om hem de handleiding te geven zodat hij misschien van die hardnekkige virus verlost is op zijn pc begrijp je?

[peenif]

Indien je eens heel goed de richtlijnen op het HijackThis forum zou lezen Dr.Spock zou je meteen weten hoe de vork aan de steel zit. Malware, virussen en dergelijk gespuis laten we over aan geaccepteerde spywareslayers die sinds geruime tijd hun kennis hebben bewezen. Indien een topicstarter op het HijackThis forum een logje plaatst en het gebruik van Combofix vereist is, krijgt de TS de noodzakelijke informatie die met deze potentiële gevaarlijke tool gepaard gaat.
Ik heb de indruk dat je zich aan het opdringen bent...eender welk certificaat zal niks veranderen aan het feit dat je je eerst moet bewijzen, dit zal helaas niet gebeuren door iemand als Juisterr te zeggen hoe het moet.

[Dr.Spock]

Peenrif nogmaals ik wil hier niemand op zijn tenen trappen of een elleboogstoot geven omdat ik certificaten heb of niet, maar heb de indruk dat ik nog veel moet doorlopen om mijn advies te willen delen .....

[Maxstar]

Hoi,

Het probleem van de TS is dat de trojan.ransom diverse policies in het register aanpast en die gaat ComboFix niet vanzelf herstellen.
Tevens heeft de TS geen toegang tot zijn bureaublad, dit is sowieso de locatie die wordt geadviseerd om ComboFix vandaan te starten.

Gekende aanpassingen in het register zijn;

Register Editor Goed
[HKEY_USERS\Software\Microsoft\Windows\Current Version\Policies\System]
"DisableRegistryTools"=dword:00000000
Register Editor Fout
[HKEY_USERS\Software\Microsoft\Windows\Current Version\Policies\System]
"DisableRegistryTools"=dword:00000001
Taakbeheer Goed
[HKEY_USERS\Software\Microsoft\Windows\Current Version\Policies\System]
"DisableTaskMgr"=0
Taakbeheer Fout
[HKEY_USERS\Software\Microsoft\Windows\Current Version\Policies\System]
"DisableTaskMgr"=1
Bureaublad / Desktop Goed
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoDesktop"=0
Bureaublad / Desktop Fout
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoDesktop"=1

Tevens zijn er momenteel veel verschillende Trojan.Ransom varianten in omloop, waarbij je dus eerst exact moet weten om welke variant het gaat zodat je gericht tot een oplossing kan komen.
Ik zie zo hier en daar wel eens adviezen geplaatst worden die men zo heeft overgenomen zonder te om welke variant het precies gaat.

Een goed voorbeeld is de eCops Trojan.Ransom verwijderen - (TROJ_RANSOM.BPA) Hierbij is de originele Explorer.exe hernoemd naar Twexx32.dll, Explorer.exe verwijderen en Twexx32.dll hernoemen naar Explorer.exe werkt bij deze variant, maar dit werd dus ook bij andere varianten geadviseerd en de mensen verwijderde Explorer.exe en kwamen er daarna achter dat er helemaal geen Twexx32.dll aanwezig is...


Er zijn momenteel zoveel varianten dat je echt precies moet weten om welke variant het gaat voordat je aan de slag gaat met 'tools' en dan veranderen regelmatig de instructies nog wel regelmatig.

Ik heb de meeste Trojan.Ransom infecties zelf getest, en bij sommige varianten moet je eerst het register buiten Windows om of bijvoorbeeld via een *.VBS sccript herstellen gezien de policies op de eerder genoemde sleutels zijn aangepast.

Code:

WScript.CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", 0, "REG_DWORD"

Het zomaar inzetten van 'tools' en zeker ComboFix wordt juist afgeraden net zoals het gebruik van Cleaners die de %temp% mappen legen, en het gebruik van instructies van anderen met hetzelfde probleem.

Dit zijn de Trojan.Ransom varianten die ik zelf heb getest en zie de verschillende behandel methoden.
1. Gijzelvirus (trojan.ransom) Nederlandse politie verwijderen
2. eCops Trojan.Ransom verwijderen - (TROJ_RANSOM.BPA)
3. Willkommen bei Windows (Trojan.Ransom) verwijderen
4. Trojan.Ransom Nederlandse politie verwijderen
5. Buma / Stemra politie melding verwijderen Trojan.Ransom
6. KLPD / Bundespolizei trojan.ransom verwijderen
7. FCCU Federal Computer Crime Unit trojan.ransom verwijderen

Groet Maxstar