wie helpt?

[liejp]

Bedankt Carfran, ik hoop dat het lukt... ik laat iets weten!

[liejp]

OK, twee infecties verwijderd, zijnde de trojan:win32/mevade.D en de TrojanDownloader:Win32/Moure.B
Ik dacht, ok, die zijn verwijderd! nu ist ok!... Niet dus...
Bij het booten na het welkomstscherm: een dos-scherm Administrator: cmd.exe met opdrachtprompt..

en nu?

:(

[carfran]

De laptop is dus heropgestart in veilige modus opdrachtprompt.
Bij het aanzetten van de laptop is het dan nog mogelijk door de F5 of F8 toets te gebruiken de laptop te starten in veilige modus ?

[compuchrisje]

In de hoop dat je bent opgestart in veilige modus met opdrachtprompt, kan je nu wel verder. Zorg er wel voor dat je een anti-virustool bij de hand hebt op USB of CD, naargelang de mogelijkheden die de laptop toestaat.
Begin alvast met een systeemherstel naar een datum waar de hooligans nog niet actief waren. Dit doe je zo:
Tik 'rstrui' en druk op Enter. Je krijgt nu normaal gezien een lijstje met mogelijke herstelpunten, als die niet door gebruiker of het virus werden verwijderd. Kies vrij ruim om zeker te zijn, dus zo ver mogelijk terug. Hierbij zullen wel installaties verloren gaan die na de gekozen datum zijn bijgezet, maar documenten enz blijven behouden.
Laat de laptop nu gewoon opstarten. Raak je nu in Windows dan ben je al een stapje verder, maar het virus zelf zal nog moeten verwijderd worden en dit kan enkel handmatig via Verkenner.

Verwijder volgende bestanden in de map ProgramData
C:\ProgramData\csrss.exe
C:\ProgramData\lsass.exe
C:\ProgramData\[Random.exe]

In de profielen van de gebruikers (alle gebruikers!) verwijder je

C:\Gebruikers\{gebruikersnaam}\AppData\Roaming\Mic rosoft\Windows\Start Menu\Programs\Startup\ctfmon.exe
C:\Gebruikers\{gebruikersnaam}\AppData\Local\Micro soft\Windows\[Random]\ [Random.exe]
C:\Gebruikers\{gebruikersnaam}\AppData\Local\Micro soft\Windows\ [Random]

Daarna laat je Emsisoft of een ander anti-virusprogje lopen, liefst vanaf een extern medium (usb-stick of CD)


Edit: daarna een bezoekje brengen aan Rosty in sectie Hijackthis en plaats daar een logje om zeker te zijn dat de boel zuiver is

[liejp]

Sorry voor de late reactie...
Het probleem is uiteindelijk opgelost...
Ben via de prompt naar de msconfig... daar kreeg ik het prompt-probleem weg.
Voor de rest startte de laptop keurig op, en leek alles prima!
Carfran, enorm bedankt voor al de tips en steun! Compuchrisje ook!

[vdhee]

Liejp, toch ni van de streek hier zeker?

Heb er via onze PZ ook al wat binnengekregen én via de kennissenkring idem.

Deze ransomware kent ondertussen al verschillende varianten/mutaties waarvan sommige bijzonder hardnekkig kunnen zijn; als ik je hiermee kan helpen stuur mij gerust een PM. Ook ik probeer de onschuldigen te helpen (met soms vele uren werk als gevolg) die nu eenmaal minder goed op de hoogte zijn en helaas geld moeten uitgeven om eea. op te lossen.

Erger nog, sommige PC-boeren maken er zich vanaf (waarschijnlijk omdat het te lang duurt) door de HDD te formatteren en opnieuw van nul te beginnen....

Wat ik je alleszins zou aanraden is om na elke "oplossing" het systeem in kwestie on-line te laten scannen, een link vind je hier :

http://www.eset.com/int/home/products/online-scanner/

Hiermee wordt alle andere malware, ad-aware, mogelijke overblijfselen van de ransomware enz. opgeruimd wat verdorie dikwijls nodig is!.

[vdhee]

@carfran :

Eigenlijk gaat het hier om een onherstelbare systeemfout.

Ter info: dit is niet geheel juist; een geëncrypteerde HDD (zie screenshot) is in de nieuwere varianten van het ransomware-virus al opgedoken.... helaas.

Een geluk dat dit hier niet het geval was.