NL Computer Forum
Software => Computerbeveiliging (anti-virus) => Topic gestart door: martinhw op 20 juli 2013, 22:22:32
-
kreeg vanmiddag plotseling een melding van het Ucash virus.
kan het niet eraf krijgen. heb al hitmanpro starter geprobeert.
Dit werkt niet omdat ik niet uit het opstartscherm van hit-man pro kan komen.
Moet hier een optie 1 2 of 3 kiezen maar dit kan niet.
Heb ook via via een oplossing gekregen om via de veilige modus met internet-
mogelijkheden de computer te herstellen. He;aas mijn computer start wel op
in de modus maar sluit direct weer af.
wie kan me helpen dit te verwijderen.
-
Welkom martinhw,
Welke Windows versie gebruik je?
Haal de kabel voor de internetverbinding naar deze computer los.
Probeer of Windows op wil starten in "Veilige modus met opdrachtprompt" zodat je eventueel een herstelpunt terug kan zetten toen je de infectie nog niet had.
In de opdrachtprompt typ het volgende:
Windows XP: %systemroot%\system32\restore\rstrui.exe
Windows 7: rstrui.exe
Druk dan op het enter-toets om systeemherstel te starten.
Volg de aanwijzingen die verschijnen om de computer terug te zetten naar een vorige toestand.
Lukt dit?
-
Hoi Peter
ik heb de computer opnieuw gestrat zoals je zei.
hij heeft wel een herstel aangemaakt waarchijnlijk want hij startte opnieuw op.
Probleem nu is ik heb nu alleen een wit scherm.
mijn bureaublad is dus weg.
btw ik heb windows 7
-
Hoi martinhw,
hij heeft wel een herstel aangemaakt waarchijnlijk want hij startte opnieuw op.
Wat bedoel je precies, heb je een herstelpunt aangemaakt of een herstelpunt teruggezet?
Probleem nu is ik heb nu alleen een wit scherm.
mijn bureaublad is dus weg.
;Dus je kan nu wel opstarten in normale modus zonder dat de computer weer afsluit?
Heb je een Windows 7 installatie CD?
-
Ik heb hem opgestart zoals je zei.
hij gaf 1 herstelpunt, maar dat was die van gisteren.
ik had de optie om aan te vinken voor meerdere herstelpunten.
hierbij gaf hij aan 2 juli systeemherstel
deze datum heb ik gekozen.
verder het scherm gevolgd en hij was aan het configureren.
daarna sloot hij hem af en startte opnieuw op.
Beeld scherm blijft wit.
heb hem opnieuw aan en uitgezet en nogmaals opgetstart zoals altijd.
Hij staat dus wel op maar het scherm blijft wit.
Opstarten deed hij trouwens nog steeds wel maar kreeg steeds dat politie
scherm in beeld.
Ik vermoed dat dat nu dat witte scherm is alleen zonder internet kabel.
Ik heb wel een windows cd (origineel)
-
Doe op een andere computer het volgende:
Download Malwarebytes-AntiMalware (http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1).
(het bestand mbam-setup-x.xx.x.xxxx.exe wordt dan gedownload)
Kopieer dit bestand vervolgens naar een USB stick.
Herstart de besmette computer in Veilige modus met opdrachtprompt", nog steeds zonder internetkabel.
Kopieer het installatiebestand naar de besmette computer.
Dubbelklik erop om het programma te installeren.
De eerste keer na installatie krijg je een aantal mogelijkheden:
Let op: Haal het vinkje weg bij Start de gratis probeer versie van Malwarebytes Anti-Malware PRO.
Updaten:
Klik op tab Update en dan op "Controleer op updates".
Ga naar tabblad Instellingen.
Vink aan: Sluit Internet Explorer tijdens verwijdering van malware.
Scannen:
Ga naar tab Scanner, kies Snelle Scan en klik op Scan.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, klik daarna op "Verwijder geselecteerde".
Na het verwijderen zal een log openen en kan er gevraagd worden om de computer opnieuw op te starten. Herstart dan de computer en MBAM.
Ga naar tab Logs, dubbelklik op de logfile die als laatste gemaakt is.
Kopieer en plak de inhoud van de logfile in een nieuw bericht.
-
moet ik de usb stick er bij het opstrten direct indoen?
moet ik ook eerst dat commando rstrui.exe in de opdrachtprompt zetten?
Op de usb stick staat nu het setup programma, moet ik dat niet eerst openen
dan?
-
moet ik de usb stick er bij het opstrten direct indoen?
Nee, eerst de computer laten opstarten in "Veilige modus met opdrachtprompt", daarna pas de USB stick plaatsen.
moet ik ook eerst dat commando rstrui.exe in de opdrachtprompt zetten?
Nee.
Op de usb stick staat nu het setup programma, moet ik dat niet eerst openen dan?
Nee, eerst het setup programma kopiƫren naar de besmette computer.
-
Hoi Peter
hij staat nu te wachten op een opdracht
C:\Windows\system32>
nu de usb stick erin?
je ziet ik ben echt een kenner
zo ja welke opdracht geef ik hem dan?
-
Hoi,
nu de usb stick erin?
zo ja welke opdracht geef ik hem dan?
Je zal even moeten proberen welk stationletter de USB stick gekregen heeft.
Typ eens Dir E: en druk op enter. (let op de spatie)
Krijg je de bestanden op de stick te zien, typ dan Copy E:\mbam-setup*.exe C:\ en druk op enter. (let op de spaties)
Krijg je niet de bestanden op de stick te zien, vervang dan in bovenstaande opdrachten E: door F: en probeer het opnieuw. Dit kan je herhalen tot en met Z:
-
Hoi Peter
letter bleek een G te zijn
hij geeft aan:
Map van G:\
21-07-2013 12:33 10.285.040 mbm-setup-1.75.0.1300.exe
1bestand<en> 10.285.040 bytes
0 map<pen> 2.032.762.880 bytes beschikbaar
opdrachtprompt gegeven
Copy G:\mbam-setup*.exe C:\
hij komt terug met
G:\mbam-setup-1.75.0.1300.exe
1 bestand<den> gekopieerd.
er staat nu weer
C:\Windows\system32>
hij wacht nu weer op een opdracht?
-
Hoi,
hij wacht nu weer op een opdracht?
Klopt.
Typ het volgende: CD C:\ en druk op enter. (let op de spatie)
Typ vervolgens: mbam-setup-1.75.0.1300.exe en druk op enter.
Het programma wordt nu geinstalleerd.
Na de installatie krijg je een aantal mogelijkheden:
Let op: Haal het vinkje weg bij Start de gratis probeer versie van Malwarebytes Anti-Malware PRO.
Vink ook uit Update Malwarebytes Anti-Malware aangezien je nu geen internetverbinding hebt.
Vink ook uit Start Malwarebytes Anti-Malware aangezien we nog handmatig gaan updaten.
Klik op Voltooien.
Doe nu eerst het volgende:
Op een schone pc, download mbam-rules.exe (http://data.mbamupdates.com/tools/mbam-rules.exe) en bewaar het op je USB stick.
Plaats de USB stick weer in de besmette computer.
Typ in het zwarte venster copy G:\mbam-rules.exe C:\ en druk op enter om het bestand van de stick naar de harde schijf te kopieren.
Typ vervolgens mbam-rules.exe en druk op enter om het te starten.
Volg de aanwijzingen die verschijnen, MBAM wordt nu bijgewerkt.
We gaan nu MBAM starten.
Typ in het zwarte venster C:\progr~1\malwar~1\mbam en druk op enter om MBAM te starten.
Ga naar tab Scanner, kies Snelle Scan en klik op Scan.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, klik daarna op "Verwijder geselecteerde".
Na het verwijderen zal een log openen en kan er gevraagd worden om de computer opnieuw op te starten. Herstart dan de computer en MBAM.
Ga naar tab Logs, dubbelklik op de logfile die als laatste gemaakt is.
Kopieer en plak de inhoud van de logfile in een nieuw bericht.
-
hoi Peter
had vanmiddag even iets anders.
het eerste gedeelte is gelukt.
tweede gedeelte ook (download mbam-rules.exe)
ingevoerd in de opdrachtprompt zoals aangegeven
hij vond een bestand op mijn usb stick maar bij het indrukken van enter na
het commando mbam-rules.exe
kwam mijn computer terug met
the setup files are corrupted. Please obtain a new copy
(ik heb het bestand direct op mijn stick opgeslagen en niet eerst op de andere
computer)
martin
-
Hoi martin,
the setup files are corrupted. Please obtain a new copy
Download hem dan opnieuw en bewaar hem eerst op de andere computer. Daarna kopieer je het naar je USB stick.
Lukt het nu wel?
-
nu doet hij het wel.
ik ga nu verder met je andere aanwijzingen
-
hoi peter
ik wordt zo langzamerhand een beetje gestoord ervan
je moet echt een beetje computerverslaafd zijn om het nog te begrijpen
haha
ik type je opdracht in het zwarte venster
hij reageert terug dat hij het opgegeven pad niet kan vinden.
misschien een spatie vergeten.
overigens
bij elke stap kwam de computer terug met
C:\
nu komt hij terug met
C:\>
hierachteraan type ik dan gewoon C:\progr~1\malwar~1\mbam
dus
C:\>C:\progr~1\malwar~1\mbam of moet ik nog een spatie plaatsen?
-
Hoi martin,
ik wordt zo langzamerhand een beetje gestoord ervan
Geen paniek, daar schieten we niets mee op.
Als iets niet duidelijk is of niet werkt, vraag het dan gewoon.
ik type je opdracht in het zwarte venster
hij reageert terug dat hij het opgegeven pad niet kan vinden.
Heb je soms een 64bits Windows 7?
Zoja, dan kan je inderdaad die melding krijgen.
Typ dan "C:\Program Files (x86)\Malwar~1\mbam" inclusief de aanhalingstekens, en druk op enter.
Als het goed wordt MBAM nu gestart.
-
Hoi Peter
was ook meer een geintje hoor.
ben nu eenmaal niet zo handig met die computertaal
hij werkt nu wel (ja je moet het allemaal maar weten.)
hij is nu aan het scannen.
Als hij gereed is ga ik verder met je andere aanwijzingen.
-
Hoi martin,
was ook meer een geintje hoor.
Oke, dan gaan we eerst een nachtje slapen.
Welterusten, Peter
-
Hoi
Ja dat lijkt me een goed idee.
De scan is inmiddels uitgevoerd en er kwam een
kladblok file in beeld met de gegevens
hierin staat dat er niets is geinfecteerd.
ik kan dus niets aan vinken om te herstellen.
er werd ook niet gevraagd/gezegd de computer opnieuw op te starten
op je vraag kopieer dit logbestand en plak dit in een nieuw bericht?
dan zal ik het over moeten typen dus?
bedoel je daarmee het kladblokbestand dat in beeld kwam?
Op het malwareblad staan wel allerlei tabbladen
scanner,bescherming,updates,quarantaine,logbestanden,negeerlijst,
instellingen,gereedschap,over
of bedoelde je de gegevens van het tabblad logbestanden?
voor eerst ook welterusten en tot de volgende info.
gr. Martin
-
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org (http://www.malwarebytes.org)
Databaseversie: v2013.07.15.04
windows 7 Sevice Pack 1 x64 NTFS (veilige modus)
Internet Explorer 10.0.9200.16635
martin : : Martin-Home [administrator]
22-7-2013 0:15:41
mbam-log-2013-07-22 (00-15-41).txt
scan type: snelle scan
ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/extra | Heuristiek/Shuriken | PUP | PUM
uitgeschakelde scan opties: 2P2
Objecten gescand: 262891
verstreken tijd: 7 minuut/minuten, 31 seconde(n)
Geheugenprocessen gedetecteerd: 0
(geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen gedetecteerd: 0
(geen kwaadaardige objecten gedetecteerd)
Registersleutels gedetecteerd: 0
(geen kwaadaardige objecten gedetecteerd)
Registerwaarden gedetecteerd: 0
(geen kwaadaardige objecten gedetecteerd)
Registerdata gedetecteerd:0
(geen kwaadaardige objecten gedetecteerd)
Mappen gedetecteerd: 0
(geen kwaadaardige objecten gedetecterd)
Bestanden gedetecteerd: 0
(geen kwaadaardige objecten gedetecteerd)
(einde)
-
hoi Peter
dit is wat ik nu zie op het scherm van mijn computer.
zie vorige bericht
Of hij heeft niets gedaan of e al niets aan de hand moeten zijn?
weet niet of je er iets mee kunt aar ik hoor het wel.
gr.Martin
-
Hoi martin,
MBAM vindt niets, dat is goed.
We gaan een andere tool inzetten.
Download op een schone pc Zoek.exe (http://hijackthis.nl/smeenk/).
Verplaats het daarna naar de USB stick.
Download de bijlage bij dit bericht en verplaats deze ook naar de USB stick.
Herstart de besmette computer in Veilige modus met opdrachtprompt", nog steeds zonder internetkabel.
Plaats de USB stick.
Kopieer het programma Zoek.exe naar de harde schijf:
Typ het commando copy g:\zoek.exe c:\ en druk op enter.
Vervolgens typ je c:\zoek.exe en druk op enter.
Als het goed is, krijg je nu een melding van Zoek.exe dat het een zoekscript heeft gevonden.
Klik op Ja om dit te bevestigen.
Zoek.exe zal nu je computer gaan scannen.Wacht geduldig totdat Notepad opent met het logbestand zoek-results.log.
Bewaar dit op de USB stick en post de inhoud als bijlage in je volgend bericht.
-
Hoi Peter
nadat ik zoek exe had getyped kwam er een zandloper zeg maar.
ik heb geen melding gekregen van zoek.exe.
ik heb dus ook niet me ja bevestigd.
wel kwam er na 15 seconden een nieuw venster.
Zoek by Smeenk Version 4.0.0.4
het venster is tot nu toe een leeg scherm.
onderin staan wel dingen om aan te klikken.
run script load script paste from clipboard clear inputfield options
verder gebeurt er niet zo veel.
ik heb trouwens de computer alle tijd in veilige modus aan laten staan!
met de usb stick erin.
martin
-
Hoi martin,
wel kwam er na 15 seconden een nieuw venster.
Goed, klik dan op Load Script.
Zoek.exe zal nu je computer gaan scannen.
Wacht geduldig totdat Notepad opent met het logbestand zoek-results.log.
Bewaar dit op de USB stick en post de inhoud als bijlage in je volgend bericht.
ik heb trouwens de computer alle tijd in veilige modus aan laten staan!
met de usb stick erin.
Dat is prima.
-
hoi Peter
er verschijnt nu een scherm met de mededeling
A reboot is needed to complete zoek.exe tasks
het enige wat ik kan aanklikken is OK
martin
-
hoi peter
reboot: = OK button en dan ctrl alt delete?
of is de reset knop van de computer beter?
moet ik dan wel weer F8 vasthouden voor de veilige modus (met opdrachtprompt)
hoe krijg ik de info trouwens op mijn usb stick
in veilige modus.
anders zal ik het allemaal weer moeten overtypen.
martin
-
Hoi martin,
Gewoon op OK klikken. Zoek zal zelf de computer herstarten.
moet ik dan wel weer F8 vasthouden voor de veilige modus (met opdrachtprompt)
Ja.
hoe krijg ik de info trouwens op mijn usb stick
in veilige modus.
anders zal ik het allemaal weer moeten overtypen.
Nooit overtypen, de kans op fouten en daardoor verkeerde conclusies trekken willen we niet.
Vertel maar wat er gebeurt na de herstart en of de log van zoek vanzelf opent.
-
Hoi Peter
Vanmorgen vanuit het werk heb ik.
Op ok gedrukt en de computer is hertstart
Heb F8 nog vastgehouden en hij herstarte in veilige modus.
Er kwam nu een windows aanmeld scherm met button om mezelf aan te melden
rechtsonderin een afsluit button. gewoon een standaard scherm dus.
Verder bleef hij zo staan.
Ben om 07.45 gaan slapen en nu vanmiddag om 15.00 was de computer uit.
ik weet niet wat er gebeurt is maar hij heeft hem afgesloten denk ik.
de rest van de dagen bleef hij wel gewoon aangemeld staan in veilige modus.
hij doet momenteel dus helemaal niets.dat wil zeggen hij is uit.
martin
-
Hoi martin,
ik weet niet wat er gebeurt is maar hij heeft hem afgesloten denk ik.
Computer is in de slaapstand gegaan?
Heb je een andere computer beschikbaar om deze besmette harde schijf op aan te sluiten en zo op te schonen?
-
hoi Peter
vanmiddag kwam toevallig mijn handige neefje langs.
Een groot lachsalvo natuurlijk.
Heeft de computer uit elkaar gehaald en aangesloten op een andere.
weet niet wat of hoe maar alles werkt weer naar behoren.
er bleek wel heel veel rommel in en tussen te zitten.
hij heeft de harde schijf opgeschoond en alles weer up to date gemaakt.
wat extra programmaatjes voor me geinstalleerd voor extra controle en waakzaamheid.
met wat extra tips van wat te laten en niet te laten, is hij inmiddels weer vertrokken en
de computer werkt weer als vanouds.
Was al bang dat ik al mijn bestanden kwijt was maar alles is gered en nog belangrijker op een
externe harde schijf (die ik overigens al lang had) gezet.
In ieder geval bedankt voor de assistentie vanaf die kant.
martin
-
Ok, bedankt voor het afmelden.