Archief - Ukash/Ransomware/Politie virus. Problemen na het verwijderen.

Hey

recentelijk hadden wij het zogenaamde politievirus.
Ik heb dit verwijderd met Kaspersky, althans, zo dacht ik toch. Deze vond twee files en deze zijn gedelete. Ik heb ook de windowsunlocker gebruikt.

Hierna konden we de PC terug iets normaler opstarten. Bureaublad en icoontjes komen tevoorschijn, maar geen tekst. Er staat niets onder de icoontjes, ik kan de task manager niet gebruiken, ik kan Mozilla niet openen (krijg blue screen dan), ik kan eigenlijk nog altijd niets.

Hoe kan ik dit het beste oplossen? Ik kan dus met die PC dus echt niets doen, enkel Kaspersky (of iets anders booten), ook niet in safemode.

Heb al checkdisk gedaan via safemode - command prompt maar dit heeft ook niets opgeleverd.

Momenteel ben ik bezig met scannen via de AVG tool (opgestart via USB stick). Hierna de tool van HitmanPro eens proberen?
Heb ook de tool van BitDefender geprobeerd maar geeft geen reactie.

Eens proberen met Malwarebytes Anti-Malware of HitmanPro inderdaad

Ik heb het gedacht dat het wel volledig weg is. Probleem is dus dat er geen tekst kan weergegeven worden.... Enkel de tekst van command prompt als ik het in veilige modus opstart.
Als ik mozilla of iets anders met veel tekst wil opendoen, krijg ik dus een blauw scherm.
Ik vermoed precies dat er een file beschadigd is maar geen idee wat ik er mee moet doen.
In elk geval ga ik HitmanPro eens proberen.

Ik kan trouwens ook mijn USB stick niet openen of dergelijke spijtig genoeg, natuurlijk wel via de command prompt in veilige mode maar programmatjes opendoen zit er dus ook niet in

edit: hitmanpro werkt dus ook niet, bluescreen. Paged file in non paged area of iets dergelijks. win32k.sys komt er ook in voor, misschien is deze beschadigd..? Ik zou toch graag die format vermijden....

via commando kan je de syteem file check starten:
sfc /scannow

Kan je zien welke files je hebt gedelete? Misschien zat er een belangrijke file tussen (Als dat files met random filenames waren heeft dat geen belang)

Misschien vind je hier je antwoord: Bluescreen crash followed by vanished text - Am I infected? What do I do? deze heeft ongeveer hetzelfde probleem denk ik.

Btw just saying, een reinstall hoeft niet per se een format te zijn, als je herinstalleert zet hij je vorige files in een Windows.old map

Even een bump, geen nood om een nieuwe thread te starten:

ukash-virus op laptop (W7), AVG Rescue op USB geïnstalleerd en via boot menu een scan daarop gedaan. 1 virus gevonden en verwijderd, nu lukt normaal opstarten niet meer, hij vraagt altijd een schijfcontrole die eindeloos duurt. schijfcontrole niet uitvoeren = ook geen loginscherm, alleen zwart scherm en muisaanwijzer. opstarten in veilige modus blokkeert op Drivers/avgidshx.sys. HDD is ook niet meer te vinden in AVG Rescue om te scannen, alleen de USB en een tweede schijf (waar maar 88 files zouden opstaan). Ik gok dat de laptop de harde schijf met het OS op niet meer kan vinden?

laatste variaties van dat Ukash/FCCU virus zijn vrij eenvoudig te verwijderen.

Start Windows op in Veilige modus met command prompt (andere 2 veilige modussen gaan automatisch rebooten normaal gezien na het inloggen).
Tik dan in de commandprompt "explorer.exe" in. Zo kan je makkelijker navigeren.

FCCU virus zit meestal verpakt in een skype.dat en/of skype.ini bestand. Deze bevindt zich in de c:/users/<uwbesmetteuseraccount>/Appdata folder. Of in de subfolder local of roaming.

Verwijder skype.dat en skype.ini en je kan je pc weer normaal opstarten.

Scan dan nog eens uw pc met malwarebytes, normaal vind hij nog een 3-tal sporen hiervan terug. En dan is je pc terug clean wat dat FCCU virus betreft.

Ik verwijder ze quasi wekelijks. Op minder dan een halfuurtje is dat in principe gefikst.


Ik vertrouw meer op wat ik zelf manueel vindt dan tooltjes die voor mij gaan bepalen wat een virusbestand is en wat niet.
Laatst ook zo een klant die het via usb stick op eigen houtje eerst wou verwijderen en eindigde met een pc die een BSOD gaf.
Gelukkig was dit via de recovery console vrij gemakkelijk terug gefikst. Dan virus verwijdert via bovenstaande procedure en pc was weer topfit na halfuurtje werk.

Heb er ook al een aantal mogen verwijderen, steeds op variërende manieren, ga dat van die skype-bestanden ook eens proberen als ik weer zo'n pc krijg.

en explorer starten via commando is ook niet altijd mogelijk
heb paar weken terug ook 1 gedaan en daar werd de virus direct gestart zodra je explorer opent
zolang die gesloten bleef kon je iets doen

er zijn heel wat varianten ... bij de ene kan je dit en bij de andere moet je dat ....
dan kan je malwarebytes/msconfig/... via console starten en laten werken

Als je besmet bent (geweest) met een virus, kan je dan niet beter gewoon een clean install doen? (gegevens overzetten met een live-linux/HitmanPro USB/CD ). Ik zou niet kunnen leven met de gedachte dat er mss nog een FUD virus op je PC staat.

bij zware infecties (en nieuwe virussen) is dat soms wel het makkelijkste/beste

bij 'gekende' virussen (of varianten) is dat veelal niet nodig
deze kunnen gewist worden zonder problemen op later tijdstip.
als er een lek zit op uw pc war deze is binnen gekomen en de virus is verwijdert is dat lek wel nog niet dicht en is de kans dat deze terug komt groot natuurlijk
de gedacht is dan direct dat er nog iets op de pc zat wat dus niet het geval is/was ...

@Exit, je hebt gelijk, in 1 geval heb ik tot 3 keer toe dezelfde besmetting voorgehad. En dan met handen en voeten uitleggen dat bepaalde sites te mijden zijn, dat ze moeten kijken voor een goed pakket security, noodzakelijke updates uitvoeren, ...!