'Een op vijf slachtoffers politie-ransomware betaalt'

Eén op de vijf computergebruikers die slachtoffer wordt van het inmiddels beruchte politievirus, dat een systeem gijzelt, betaalt in de hoop de computer weer te kunnen gebruiken, zegt de Politie. Er zou een sterke toename in het aantal besmettingen te zien zijn.

Al sinds minstens vorig jaar december maakt het zogenoemde politievirus slachtoffers. Deze malware kijkt op basis van het ip-adres uit welk land een gebruiker komt, waarna de pc vergendeld wordt en het slachtoffer een melding krijgt die afkomstig lijkt van het nationale politiekorps. De gebruiker zou zijn systeem volgens de melding voor illegale activiteiten, zoals het downloaden van kinderporno, gebruikt hebben.

Alleen tegen betaling van een boete van bijvoorbeeld 100 euro via de Britse betalingsdienst Ukash zouden de bestanden weer toegankelijk gemaakt worden. Ook na betaling blijft de computer echter op slot. "Eén op de vijf slachtoffers trapt er in en betaalt,” zegt Pim Takkenberg van het Team High Tech Crime van het Korps Landelijke Politiediensten tegen Zembla, dat aandacht aan de malware geeft. Er zijn ook varianten van de malware in omloop, het Buma Stemra-virus genoemd, waarbij de melding weergeeft dat de gebruiker zich schuldig heeft gemaakt aan illegaal downloaden. Volgens Symantec gaat het om bendes uit Rusland en Oekraïne, die er maandelijks een half miljoen euro mee verdienen.

Zembla heeft meerdere computerreparatiebedrijven gesproken die claimen dat er sprake is van een flinke toename. "Een paar maanden geleden ging het om incidenten. Nu krijgen we dagelijks geïnfecteerde machines binnen", zegt een bedrijf terwijl een ander claimt dertig besmettingen per week te moeten verhelpen.

BumaStemra-virus

IT-banen

Reacties (235)

svenk91 23 november 2012 13:02

Zo een kreeg ik er ook. Goed Nederlands in de text maar ten eerste sloeg de beschuldiging nergens op en ten tweede zou de politie nooit zo werken. Kreeg de software er niet af zonder windows opnieuw te installeren helaas.

Ghostface9000 @svenk91 • 23 november 2012 13:04

http://windows.microsoft....-windows-defender-offline

Hiermee zou het moeten lukken

Scannen vanaf een usb stick zonder windows op te starten.

b12e @Ghostface9000 • 23 november 2012 14:02

in safe mode booten, in de AppData/roaming map de EXE vervangen door een leeg tekstdocument met dezelfde naam en extensie en in msconfig bij opstarten de exe uitvinken en je bent ervan verlost.

Overigens komt het virus er door een verouderde Java-versie, waarna de kwaadaardige Java-toepassing gebruik maakt van een lek in Internet Explorer om verder te geraken dan de Java-sandbox. Slim trucje.

Update: zo werkt het in elk geval voor het "politievirus" dat de Belgische variant toont. Maar als ik me niet vergis is dat, zoals het artikel zegt, hetzelfde virus met een andere webpagina via IP-check.

[Reactie gewijzigd door b12e op 23 juli 2024 20:02]

Anoniem: 25087 @b12e • 24 november 2012 09:47

Buma-Stemra virus was voor mij onverwijderbaar, en dan heb de nodige ervaring met o.a. malwarebytes via de hirens bootcd.

probleem was dat de geinfecteerde bestanden wel weg waren, maar de computer dus zover omzeep was door veranderingen die niet teruggezet werden (oa. local policies) dat ik dus voor het herinstall heb gekozen.

Systeemherstel werkt trouwens maar zelden, de spyware zorgt eerst voor een nesting in de system files (en dus de registry) van de snapshot, zodat als deze teruggezet worden, het er al weer opstaat.

Dit is 1 van de redenen dat wij hebben besloten om de systemresore in het Windows image uit te schakelen.

Gavriil @Ghostface9000 • 23 november 2012 13:45

ik heb dit virus ook gehad, echter ik heb deze wel met succes kunnen verwijderen,

ik heb gebruik gemaakt van de kaspersky rescuedisk 10. Deze werkt met een linux omgeving.

http://www.winportal.nl/kaspersky-rescue-disk

Het is mogelijk om te gaan scannen maar dit resulteert niet altijd,
Het is beter zelf via de explorer naar verdachte bestanden te gaan zoeken.

Bij mij had het virus een rare naam in de Temp en Appdata folder, deze had als icoontje een porche logo. Aangezien ik verder niets met porche heb kon ik ervan uitgaan dat die map besmet was.

Na het verwijderen van de inhoud van die map en nadat ik de map Temp had leeggehaald was het virus verdwenen. en kon ik windows weer benaderen op de gebruikelijke manier.

TimSeve @Ghostface9000 • 23 november 2012 16:02

Download en brand de Kaspersky Rescue Disk hier
- boot vanaf die CD,
- kies voor Graphic Mode,
- In het scan scherm dat tevoorschijn komt, klik je op de grote rode diamant. Hierdoor gaat Kaspersky even updaten.
- Scannen

Heeft bij mij alle besmette PCs gecleand!

Mandrake466 @Ghostface9000 • 23 november 2012 13:09

•We recommend that you download Windows Defender Offline and create the CD, DVD, or USB flash drive on a PC that isn't infected with malware—the malware can interfere with the media creation.

Als je dit dus op een besmet pc doet kan het alsnog fout gaan.

Waarom niet een online malware check ipv offline?

[Reactie gewijzigd door Mandrake466 op 23 juli 2024 20:02]

Fire69 @Mandrake466 • 23 november 2012 13:18

Je kan het niet vanop een besmette pc doen, want je geraakt helemaal niet voorbij dat 'politie-scherm'

Bijgevolg kan je dus ook niet online laten scannen

Gewoon vanop een andere pc een stickje maken met een scanner erop.

Hoewel je hem ook manueel kan verwijderen, heb ik al meerdere keren gedaan.
Meestal staat er gewoon een vreemd genaamd bestandje in 1 van de startup-locaties van Windows (startmenu, registry, ...)
Bij sommige varianten kan je gewoon opstarten in Safe Mode.
Lukt dat niet, dan kies je voor 'Opstarten met command-prompt' en start je zo Explorer.exe of regedit.exe

Als je die files weghaald, kan je gewoon normaal opstarten en dan een scan laten doen om de restjes weg te halen

mad_max234 @Fire69 • 23 november 2012 13:32

Kom je ook niet voorbij de melding als je Windows minimaal opstart zonder iets te laden van drivers of wat dan ook? Zoals bijvoorbeeld veilige mode.

Maar goed een besmet systeem is nooit meer te vertrouwen hoeveel scans je ook uitvoert, al gooi je er elke virus scanner er overheen die er bestaan is je systeem nog steeds niet te vertrouwen en kan je NIET met 100% zekerheid stellen dat je pc schoon is van troep. Scanners vinden nooit alles en lopen altijd achter de feiten aan, is schijnveiligheid!

Enige oplossing is alles eraf, en bootsector overschrijven en opnieuw indelen, geheugen wissel door pc uit te zetten, en dan weer opnieuw beginnen met uiteraard legale software want illegale software zit vol met troep, is niet te vertrouwen.

_Eend_ @mad_max234 • 23 november 2012 14:33

Nope, de malware start vrolijk mee in safe mode. Heb een paar maanden geleden een PC gehad met dergelijke malware, voordat er (dedicated) tooltjes waren om het te verwijderen. Het is wel gelukt met de Kaspersky livecd.

Helaas wilde de eigenaar niet dat ik het OS opnieuw installeerde.. En om het nog iets erger te maken: de eigenaar is een leraar op een basisschool, en hij deelt en neemt huiswerk in via zijn eigen USB stick die dan de PC's in de klas rondgaat. En alsof dat nog niet erg genoeg was stonden automatische updates uit, en stond er een stokoude versie van Java en flash op dat ding..

Svardskampe @_Eend_ • 23 november 2012 16:29

Je had je punt alleen al duidelijk gemaakt met 'leraar op basisschool' hoor

Zunflappie @Svardskampe • 24 november 2012 16:03

Want?
Dat ben ik ook en update wel gewoon mijn zooi, gebruik Opera en boot Windows 7 ook met een handmatige configuratie.
En ja, ik houd msconfig- ook in de gaten.

Tha_Butcha @_Eend_ • 23 november 2012 18:16

Ik neem aan dat je hem de hoofdprijs berekend hebt en uiteraard de volgende keer, als je uberhaupt al op komt dagen? Anders heeft ie nog niks geleerd.

JW1

@mad_max234 • 23 november 2012 14:12

Omgekeerd is het dan ook zo dat je nooit met 100% kan stellen dat een pc die schijnbaar niet geïnfecteerd is daadwerkelijk ook schoon is. Wie zegt dat de virusscanner die je gebruikt wel die ene drive-by-download heeft afgevangen?

Bor Coördinator Frontpage Admins / FP Powermod @Mandrake466 • 23 november 2012 13:17

Omdat een online check niet meer werkt op een gelocked systeem

Een dergelijke cd / dvd maak je natuurlijk nooit op een systeem waarvan je weet dat het geinfecteerd is.. Dat lijkt mij een behoorlijke open deur.

SaiKoTiK @Bor • 23 november 2012 14:19

Mijn zus haar netbookje heeft de 'FCCU' variant beet.

Als ik wat creatief ben met ctrl-alt-del en alle door mij niet gekende processen kill in de taskmanager is het systeem weer 'te gebruiken'.
Alhoewel ik er niet veel tijd aan besteed heb, heb hem gewoon afgesloten erna, ga het ding toch formatteren.

Wel een slordigheidje van de virusmakers.
Onder het FCCU logo staat federal computer crime unit, met daaronder een regel uitleg over FCCU in het Nederlands, de rest van de tekst, met aanklacht enz, is in het Frans.
Als ze het echt geloofwaardig wilden maken hadden ze het tweeltalig opgesteld in België.

Ook wel dom dat de beschuldiging om kinderporno gaat. Zus is gescheiden, met 2 dochters, überhaupt niemand in huis die naar gewone porno surft dus hoe gaan ze dan kinderporno op de pc krijgen?
En daarvoor zou de politie geen 100€ boete vragen maar je gelijk in de bak steken...
Zelfs mijn digibete zus en nichtje hadden dus direct door dat dit om een virus ging.
Waarschijnlijk daardoor dat het aantal mensen in Nederland die er in trappen hoger is.

edit:
Ongewenst? Waarom, als ik dat even weten mag?

[Reactie gewijzigd door SaiKoTiK op 23 juli 2024 20:02]

coalman007 @SaiKoTiK • 23 november 2012 14:46

Ik dacht er ineens weer aan; dat is omdat ze zichzelf in de vingers snijden wanneer ze een goed bericht opstellen:

Deze personen hebben profijt van mensen die niet al te helder zijn, en snel in een zielig bericht trappen. Als ze goede berichten schrijven bereiken ze ook mensen die wel weten hoe ze dit moeten aanpakken, en word het simpelweg het zoveelste bekende mailtje/virus. It's a circle.

Ik herinner me een boek hierover, maar volgens mij is deze onderstaande PDF soortgelijk.

Bron:
http://research.microsoft.com/pubs/167719/whyfromnigeria.pdf

bogy @coalman007 • 24 november 2012 03:03

Ik moet wekelijks meerdere van zulke besmettingen herstellen...

de oorzaak is simpel; outdated JAVA...
wie z'n java dus niet update en op een besmette site komt (of op pornosites komt die het virus propageren; want daar komt het vaak voor) kan er op rekenen dat zijn pc besmet zal worden vroeg of laat...

een antivirus helpt niet altijd; aangezien het niet echt als virus herkend wordt door de meeste antivirussoftwares... het is namelijk een géldige en gesigneerde microsoft dll als je de eigenschappen van het bestand gaat bekijken die gewoon mee wordt ingeladen met windows...
juist omdat hij niets 'malicious' doet wordt hij vaak niet herkend (hij wist niets, wijzigt ook niets aan je pc... gaat enkel full screen en schakelt tijdelijk een aantal functies uit, iets wat een game even goed zou kunnen doen)

via safe mode kan je hem perfect verwijderen...
Best ook wel scannen op virussen, want in sommige gevallen is hij binnengekomen via een trojan ipv rechtstreeks, en dan is het zaak om ook die trojan te verwijderen.... Vaak is dan je antivirus al gedeactiveerd; gebruik dan een usb-stick of een boot-cd om te scannen.. (avg, kaspersky, ... gratis te downloaden)

Anoniem: 25087 @bogy • 24 november 2012 09:35

Dit gaat je dus nooit lukken.
Ik ben een half jaar geleden hiermee bezig geweest, en het zit dieper dan je denkt.

Lokale policies worden aangepast zodat een taskmanager niet gestart kan worden, bureaublad achtergrond kan niet meer worden aangepast.

Dit lost een malware scanner niet op, die haalt slechts de geinfecteerde bestanden weg.
En blijf je dus zitten met een cleane pc, waar de helft nog maar van werkt.
Ga dat maar uitzoeken met de registry editor, en gpedit.msc ...

Overigens heb ik zelf geprobeerd om via Hirens Bootcd een alternate boot te starten en daaruit te cleanen, maar dan krijg je dus hetzelfde zoals ik al had beschreven.

Opstarten in Safe Mode heeft geen zin, deze meuk zorgt dat het zich nestelt in de explorer.

Enige ECHTE optie is gewoon een reinstall, dan weet je zeker dat er niets achter is gebleven !

bogy @Anoniem: 25087 • 24 november 2012 14:10

het politie ransomware virus doet echt niets meer dan wat ik omschreven heb hoor ...

het aanpassen van registry en taskmgr echt onmogelijk maken (melding "taakbeheer is uitgeschakeld door de administrator / u moet administrator rechten hebben om taakbeheer uit te voeren) gebeurt niet door de ransomware maar daar is een ander virus schuldig aan...
dan heb je dus al meerdere virussen op je pc staan..

nu hoef je daarvoor geen gpedit.msc te gebruiken (in windows xp home zit dat trouwens niet in; enkel in de pro versie heb je dat want da's iets voor policies te beheren). Je kan je taskmgr ook terughalen door een aantal registry keys te wissen die het virus heeft toegevoegd.

ff googlen zal je zeker helpen. Ik heb laatst zelf nog een pc van een klant gehad waar al enkele jaren norton antivirus op draaide en die nu ook ineens het ransom virus had... toen ik 'm scande met m'n avg stick bleken er meer dan 80 virussen op te staan... omdat het al een oudere XP machine was (vééél werk om te herinstalleren / updates / software ...) besliste ik om toch te gaan voor de removal...
hebben al de virussen verwijderd; dan in windows via safe mode het gijzelvirus eruit gehaald (was dus verstopt in een geldige microsoft dll in de system32 folder met een random filenaam). en daarnaa MBAM gedraaid om nog eens een hoopje virussen / rootkits te verwijderen (avg is ook niet feilloos).
Daarna de problemen aangepakt, want hier was ook dat probleem met taakbeheer dat foutmeldingen gaf.. ondertussen kon ik wel procexp heel de tijd gebruiken... maar via een klein zoekopdrachtje had ik meteen gevonden dat er dus een aantal registry entries gewist konden worden... en ja hoor; de pc werkte weer als een zonnetje... nadien nog eens een laatste keer MBAM gedraaid terwijl ik ingelogd was op de accounts van de pc en outlook, IE, FF en WLMail had openstaan om zeker te zijn qua scripts enzo... kwam er nog eentje kijken bij outlook... die ook verwijderd en dan was de pc volledig clean...
1 uurtje werk; 103 virussen in de vuilbak; Norton ook verwijderd en een deftig AV erop gezet.... klant zeer blij

Anoniem: 373833 @Anoniem: 25087 • 24 november 2012 14:26

Ik heb dit virus laatst bij een vriend verwijderd.
Op deze computer had ik wel Malwarebytes geinstaleerd.

In de veilige modus opstarten en verwijderen ging niet.
Computer opnieuw opgestart, en voor dat het z.g. politescherm actief wordt, dit duurt even, constant met de muis op het icoon van Malwarebytes blijven klikken tot je er gek van wordt.

Als de computer nu verder doorstart zal Malwarebytes als eerste verschijnen.
Scannen en het virus verwijderen.
Daarna updaten en opnieuw scannen.

Laat ook andere progjes even rond kijken op resten zoals Super AS en MS Essentials.

Het virus was hierna definitief verdwenen, en is ook nooit meer terug gekomen.

actionInvoke @SaiKoTiK • 23 november 2012 20:19

Ah, ik vroeg me al af hoe zo'n ding je buiten windows zou kunnen sluiten. Ik dacht dat je het gewoon kunt killen met de task manager en zo niet in een veilige boot of gewoon de hdd unpluggen, in een andere pc doen (geen bestanden draaien) en dan scannen.

Dalyxia @actionInvoke • 24 november 2012 00:51

De versie die ik heb meegemaakt zorgt ervoor dat taakbeheer (Taskmanager) ook niet meer werkt. Zodra je IETS met de pc deed, ging de poc op slot

Verhelpen doe je die door in veilige modus op te starten en het bestandje te verwijderen, meeste versies zijn dan eigenlijk al uit, maar kunnen naast de executable ook nog register instellingen hebben

vaak staat de .exe in de temp map van je browser of kopieert tie zich richting /windows/system32/

gangsta_playa @SaiKoTiK • 23 november 2012 20:39

Gewoon internet afsluiten en dan start het virus niet meer op

heb het zelf ook meegemaakt. dan een systeemherstel doen met windows systeemherstel en probleem opgelost

gewoon geen internet exploder meer gebruikten

Starke @gangsta_playa • 23 november 2012 21:11

Hoezo geen internet explorer meer gebruiken of je internet explorer, firefox (firefox based als palemoon e.d.), safari, opera of chrome gebruikt maakt niet uit. Je loopt deze dingen op door plugins te draaien als java, outdated pdf, outdated flash.

Firefox (en dergelijken) kan dit voorkomen worden door NoScript.

Internet Explorer zouden mensen er sinds 9.0 goed aan doen om ActiveX Filtering aan te zetten waardoor dit ook niet meer gebeurt.

Alleen mensen zonder verstand van computers zeggen ja gebruik maar een andere browser dat lost het probleem op, kijk naar wat het probleem veroorzaakt en schakel dat uit of gebruik het niet aka plugins zijn het probleem niet de browser.

[Reactie gewijzigd door Starke op 23 juli 2024 20:02]

Vburen @Starke • 23 november 2012 22:09

Welnu, ondanks dat het wisselen van browser niet een oplossing voor alles is, is het toch zeker wel aan te raden, zo updated chrome je flash automatisch en java wordt uitgeschakeld indien er een nieuwe versie is en dan moet je java handmatig aanzetten per pagina (of gewoon updaten ofc.).

Ook updated chrome zichzelf automatisch wat ook weer lekken scheelt; bij pc's van eindgebruikers wil ik zoveel mogelijk automatisch laten updaten want de gebruikers vinden het zelf doen eng of drukken altijd op annuleren indien ze niet weten wat het doet.

Het is het totaalpakket, maar de keuze voor een browser doet er wel degelijk toe!

Anoniem: 300710 @gangsta_playa • 24 november 2012 09:57

Dit heb ik idd ook gemerkt. Zo snel als er geen verbinding was startte de pc gewoon door.

himlims_ @Mandrake466 • 23 november 2012 13:50

hier in het dorp wordt er grof op mee gelift; diverse 'ict bedrijven' bieden het verwijderen van die haijjack aan voor 50-75euro. altijd nog 25euro geodkoper dan betalen. en geloof me het is druk!

dinkelover @himlims_ • 23 november 2012 14:16

Een paar maanden geleden hoorde ik iemand zeggen dat de reparatie haar 225 euro had gekost, ze konden het niet oplossen dus werd de windows opnieuw geinstalleerd

Hoezo in de maling genomen, van drie kanten worden sommige mensen geplukt; verkoop, reparatie en misbruik.

Ik heb het enkele maanden geleden ook bij weer iemand anders weggehaald, via een ander profiel op dezelfde installatie waar ik nog wel in kon. Op die manier was het een kleine moeite. Overigens kon ik ook in het besmette profiel nog iets doen omdat de PC zo traag startte dat ik via taakbeheer het proces kon killen voordat het kennelijk daadwerkelijk fullscreen werd

Proces ms.exe ging het om. Na verwijdering en opschoning geen klachten meer gehoord gelukkig, volgens mij was het Vista SP1 nog, dus die uiteraard volledig laten updaten.

ScytheNL @dinkelover • 23 november 2012 16:34

Er zijn meerdere versies van het virus op pad op het web, ik verwijder ze dagelijks bij mij op de zaak (Computerwinkel).
De een is met een KAV bootcd uit te schakelen, de ander door gewoon in veilige modus opstart bestanden te verwijderen.

Er zijn echter ook vartianten die zich diep in het OS nestelen en zelfs windows updates e.d. om zeep kunnen helpen.

In die gevallen gaan wij een klant niet met een half werkende PC naar huis sturen en zeggen van "85€ aub, het virus is verwijderd (maar uw PC krijgt geen updates van windows meer)"
Als er dan een herinstallatie uitgevoerd moet worden is dat voor diezelfde €85, Backup erbij is een uurtarief van 55€. Daar gaat wel wat meer tijd in zitten meestal. is er dan bijv. ook nog iets aan de PC kapot blijkt te zijn (HDD of RAM) dan wordt dat natuurlijk ook meegenomen in de evt. reparatiekosten. Hier wordt echter NIETS gerepareerd zonder klantaccoord.

Klachten over de prijs krijg je altijd, klanten zien alleen het eindresultaat. Wat er aan tijd heeft ingezeten om alles weer te fixen zien ze natuurlijk niet. Daarom maken wij altijd een lijst aan met de gedane werkzaamheden. Ook dan snappen ze het vaak nog niet maar kunnen ze wel zien dat er 3 of 4 pagina's met werkzaamheden zijn.

Laatst had ik weer een nieuwe versie die in 100% correct nederlands was en bijvoorbeeld de webcam activeerde zodat de klant nog meer het idee kreeg van dit is officieel. Ook was de pagina veel meer met informatie gevuld en hoge resolutie plaatjes van instanties.

Edit;

De enige manier om er zeker van te zijn dat het virus compleet verwijderd is (vooral de middenmoot aan hardnekkigheid) en voorlopig ook niet terug komt:

KAV live cd. (Haalt ook meteen alle andere meegekomen virussen eruit, een virus is meestal niet alleen, daarom is een restore ook gewoon geen oplossing)
Veilige modus opstarten
Temp files leeg gooien
Opstartlijst opschonen
Mbam draaien
Superantispyware oid
Softwarelijst nakijken en eruit knikkeren wat je er gewoon niet in wíl hebben
Normaal opstarten
Evt nog een combofix indien er GEEN SQL gedraait wordt (helpt SQL installaties om zeep)
Software lijst verder opschonen indien sommige progs niet verwijderd konden worden in safe mode
Windows updates
Java/flash/reader en evt silverlight, shockwave etc etc updaten ( virus komt eigenlijk altijd via java binnen afaik)

Dit alles na een HDD en memtest ivm evt. Foutive resultaten of vastlopers tijdens scans. Ook is het een beetje lullig als de HDD het begeeft na of zelfs tijdens de werkzaamheden. Al een keer mee gemaakt namelijk.

[Reactie gewijzigd door ScytheNL op 23 juli 2024 20:02]

Anoniem: 25087 @ScytheNL • 24 november 2012 09:39

mijn ervaring is dat dus de lokale policies aangepast worden, heb je dit ook ervaren?

mashell @ScytheNL • 24 november 2012 09:51

Ben je hier nu niet het geheim van de smit aan het verklappen?

Wallioo @himlims_ • 23 november 2012 14:21

Sommige 'bedrijven' zeggen ook meteen "We zullen Windows opnieuw moeten installeren, dus uw data bent u kwijt" omdat dit het makkelijkst is.
Dat is onnodig en vreselijk vervelend.

De acties die je moet uitvoeren is dan ook niet uit te leggen voor (een gokje) 80%+ van de gedupeerden, aangezien de meeste net weten hoe ze op internet hun weg vinden en spam niet weten wat ze er mee aanmoeten (en toch nieuwsgierig zijn), laat staan de gevaren er van inzien.
Dan ben je blij dat je zo nog iets kan laten doen.

Anoniem: 271482 @Wallioo • 23 november 2012 14:45

Als je zelf zo'n toko runt werk je ook uurtje-factuurtje.

Een image maken van de bestaande HDD, en de gebruiker hier documenten uit laten vissen, en een volledige herinstallatie doe ik voor 50 euro.

Bij het repareren van een geinfecteerde installatie laat ik gewoon de klok tikken voor een tientje per kwartier. De kassa moet blijven rinkelen en de schoorsteen moet blijven roken.

MxD @Anoniem: 271482 • 23 november 2012 15:27

10 euro per kwartier valt nog mee. Mijn oma zou 75!! euro betalen voor een backup van een schijf waar hooguit 3 gb aan data opstond (het was nog een computer met windows me)

btw, hoelang ben je aan het werk met dat image en herinstallatie? Effectief 10 minuten, gewoon bij weglopen en andere dingen doen en af en toe, als windows/image prog, er om vraagt op "volgende" en "Ok" klikken? Easy money! (geen verwijt hoor)

CH4OS @MxD • 23 november 2012 16:19

btw, hoelang ben je aan het werk met dat image en herinstallatie? Effectief 10 minuten, gewoon bij weglopen en andere dingen doen en af en toe, als windows/image prog, er om vraagt op "volgende" en "Ok" klikken? Easy money! (geen verwijt hoor)

Sterker nog; je doet dan gewoon meerdere machines tegelijkertijd...

Een Windows installatie is volledig te automatiseren, hoef je dus niet eens meer op Volgende, OK en noem alle alternatieven maar op, voor te klikken.

Cybergamer @Anoniem: 271482 • 23 november 2012 15:20

Same here, maar ik zet meestal de documenten dan op DVD's voor de klanten.

Edit:

@MxD: Wel wat meer hoor, ik zorg er meestal wel voor dat hun computer weer in oude staat is (updates en programma's).

Zelfs de oude documenten ed. zet ik weer terug, maar met een backup op DVD die ze erbij krijgen. Effectief zou het denk ik 30 minuten werk zijn, maar omdat het grotendeels wachten is ben ik wel wat meer tijd kwijt.

Meestal doe ik dit soort dingen op me gemak in een avondje, naast mijn gewone computer gebruik.

[Reactie gewijzigd door Cybergamer op 23 juli 2024 20:02]

massareal @Wallioo • 23 november 2012 14:47

...zouden dat soort bedrijven ook meteen mogen oplappen....stelletje prutsers.

R0KH @Ghostface9000 • 23 november 2012 13:49

Wij hebben op onze TD de afgelopen maanden al heel erg veel van deze infecties gezien op systemen, maar het begon al ergens aan het begin van het jaar. Wij doen altijd de verwijdering buiten Windows om met de nodige AV tools en vervolgens nog met de hand het verwijderen van register sleutels die door dit virus worden gegenereerd.
Dit werkt goed en voorkomt dat het virus zichzelf weer kan herstellen.

Overigens lijken vooral veel AVG Free gebruikers hier last van te hebben.

Overigens is het opvallend dat dit bericht nu komt, want het is dus al maanden actief en 2 maanden terug veel meer actief dan nu zo lijkt het.

[Reactie gewijzigd door R0KH op 23 juli 2024 20:02]

Teijgetje @R0KH • 23 november 2012 13:54

Ik heb, in veilige modus, de computer teruggezet/hersteld naar enkele dagen eerder.............?

Werkte prima en redelijk snel.
Scans achteraf gaven geen positieve resultaten.
Mis ik wat dat velen moeite hebben het te verwijderen???

[Reactie gewijzigd door Teijgetje op 23 juli 2024 20:02]

Wallioo @Teijgetje • 23 november 2012 14:27

Er zijn meer varianten als ik zo lees uit reacties.

Er is dus een variant dat dit dus ook niet kan.
Je moet het dan via een bootable USB stick/CD starten, zoeken naar de bestanden (meestal in Temp en appdata map) en daarna het register opschonen.

Wildfire

@R0KH • 23 november 2012 14:02

Zelfde ervaring hier... paar maanden terug kregen we dagelijks dit soort besmette systemen binnen, de laatste tijd nog maar nauwelijks.

Heb zelf ook een klant gehad die had betaald... die was dus nog meer geld kwijt om het alsnog te verwijderen, alhoewel wij met 35 euro voor virus/malware-verwijdering zeker niet duur zijn.

Kwakkel @Ghostface9000 • 23 november 2012 13:25

Tenzij die geupdate is, werkte die voor mij niet. Heb een andere tool gebruikt (in veilige modus, als ik mij goed herinner), en die kreeg het wel voor mekaar.
Weet alleen niet meer zo 1-2-3 welke dat was.

sygys @Kwakkel • 23 november 2012 15:21

De vraag blijft hoe krijg je die shit op je pc als je niets illegaals download? Die virussen zitten bijna altijd op van die vage websites waar je eigenlijk niet hoort te komen.

Zeker als tweaker zijnde zou je toch beter moeten weten wat je waar vandaan moet halen.

Dysmael @sygys • 23 november 2012 20:30

Je bedoelt websites zoals nu.nl, nrc.nl, weeronline.nl, detelegraaf.nl et cetera? Dat zijn voorbeelden van websites die namelijk onder andere 'geïnfecteerd' zijn geweest.

Anoniem: 364278 @Ghostface9000 • 23 november 2012 13:46

is al ongedaan gemaakt door de makers ze updaten dit stevig we zien dit elke dag in de winkel maar is heel eenvoudig te verwijderen

p.mallegrom @Ghostface9000 • 23 november 2012 16:13

Ik heb deze malware van een aantal pc's af weten te krijgen zonder enige hulp van wat voor virusscanners oid dan ook.

Er wordt gewoon een executable in C:\Users\<Gebruiker>\AppData\Local directory of een van de subdirectories gezet. Deze wordt tijdens het opstarten opgestart (startup folder in het startmenu). Als je de computer in beveiligde modus opstart, worden extra programma's niet opgestart en is de executable gewoon te verwijderen.

Edit: Na uitgebreider lezen van de reactie, blijkt deze oplossing al eens gegeven te zijn.

[Reactie gewijzigd door p.mallegrom op 23 juli 2024 20:02]

dasiro @Ghostface9000 • 23 november 2012 17:15

ik heb er ook al een hoop mensen mee geholpen. Ik brand het op cd's zodanig dat moest er een aangepaste versie van uitkomen de usb-sticks niet besmet kunnen raken. Ze mogen de CD's trouwens houden zodanig dat ze anderen ook kunnen helpen of zichzelf opnieuw.

MossMan @Ghostface9000 • 23 november 2012 18:24

Misschien nu wel, maar toen ik'm had terug in de lente was het echt een ochtend hard werk om het er af te krijgen... en wat bleek? Ondanks het feit dat ik 'm uiteindelijk uitzette, verwijderde en meerdere besmette Windows bestanden uit de backup terug zette kwam ik in October achter dat de firewall en andere netwerking dingen toch nog steeds vernaggeld waren.

En dat terwijl AVG, Windows defender en andere tools helemaal *niets* mis hadden gevonden na de opruiming (dat ik min of meer met de hand moest doen omdat diezelfde tools hem niet konden wissen).

En voor mij gold ook dat ik, na enkele dagen zoeken naar oplossingen, Windows opnieuw moest installeren.

Maw. dat was echt geen geval van "draai even dit anti-virusje en het is weg".

Anoniem: 25087 @Ghostface9000 • 24 november 2012 09:37

Helaas... deze troep past local policies aan, en windows defender verwijderd alleen de geinfecteerde bestanden en registry verwijzingen ernaar.
Je blijft hierdoor met een half werkende pc zitten omdat bijv. de taskmanager en display properties zijn uitgeschakeld.

overigens werkt spyware in een veelhoeks verhouding, vergeet je 1 ding weg te halen, rebuild het zichzelf.

ShakerNL @Ghostface9000 • 23 november 2012 18:08

Ik ben het ook tegengekomen op de laptop van een vriend en heb het met behulp van systeemherstel kunnen verwijderen.

Saampje1460 @svenk91 • 23 november 2012 13:06

Het virus zelf is niet zo moeilijk te verwijderen. In de Veilige modus kan je het virus uitschakelen in msconfig waardoor het virus niet meer automatisch mee opstart. Vervolgens kun je met Malwarebytes Anti-Malware en Anti-Rootkit het virus van je computer afhalen zonder enig probleem. Zo heb ik het virus al van verscheidene computers kunnen verwijderen.

marcovtjetje @Saampje1460 • 23 november 2012 13:13

Veilige modus werkte voor mij (Windows XP) niet. Veilige mode "command prompt only" wel.

Mogelijk OS versie (en malware versie?) afhankelijk dus.

[Reactie gewijzigd door marcovtjetje op 23 juli 2024 20:02]

Tvern @marcovtjetje • 23 november 2012 13:48

Hetzelfde had ik bij een sommige infecties op windows7. Veilige mode werkte niet, tenzij "command prompt only".
De infecties die ik gezien heb zijn meestal veroorzaakt door het bezoeken van een piratebay proxy site met internet explorer, waarbij de malware aangeboden lijkt te worden door de reclames op die sites.
Verwijderen is tot nu toe altijd eenvoudig geweest met MBAM vanuit veilige modus.

Edit: Het zou handig zijn als UKash verkoop punten zouden waarschuwen voor deze ransomware, maar dat zou ze natuurlijk inkomsten kosten.

[Reactie gewijzigd door Tvern op 23 juli 2024 20:02]

Gavriil @marcovtjetje • 23 november 2012 13:51

veilige modus werkte voor mij niet, ik gebruikte zelf windows 7 ultimate.
tevens was ook prof geinfecteerd. ik weet wel dat deze windows specifiek is aangezien die in een linux omgeving niet werkt.

Bor Coördinator Frontpage Admins / FP Powermod @Saampje1460 • 23 november 2012 13:18

Het is niet altijd zo makkelijk bij ransomware. Er is verschillende malware met min of meer dezelfde strekking die niet altijd makkelijk te verwijderen zijn, zeker niet voor een leek.

SniperEye @Saampje1460 • 23 november 2012 13:46

Wat zet je dan uit in MS config? Explorer.exe?

Wallioo @Saampje1460 • 23 november 2012 14:57

Het virus zelf is niet zo moeilijk te verwijderen.

Voor een 'tweaker'/ IT mannetje/hobbyist is het idd appeltje eitje en zal de melding ook bijna niet tegenkomen.

Voor degene die dit al krijgt is het meestal onwetendheid van dit soort gevaren. Probeer het maar eens uit te leggen wat ie moet doen.
Grote kans dat je een glazige blik krijgt, of een snelle 'ooooohhh'/'jaja...' en de volgende keer het nog een keer mag doen (als je het gratis hebt gedaan voor familie/vrienden.)

Titan_Fox @svenk91 • 23 november 2012 13:50

Mijn broer had deze melding ook. Heb het op deze manier opgelost :

- Computer opstarten (F8) : Windows starten met opdrachtprompt
- Als Windows is gestart typ je in de console "regedit"
- Blader naar deze locaties :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup

- Kijk of hier ongebruikelijke zaken instaan. Schrijf de bestandslocatie(s) hiervan op.
- Gebruik de console om naar de betreffende map te dirigeren en verwijder het betreffende bestand (kan ook met wildcards, bijvoorbeeld *.exe)
- Verwijder vervolgens de vermeldingen in het Windows Register.
- Start computer normaal op
- Doe voor de zekerheid een virusscan m.b.v. TrendMicro Housecall

Bij mijn broer stond er een of andere wazige file in een van de TEMP mappen van Windows. Het Windows register gaf dit handig aan welk bestand dit was. Nadat ik de bovenstaande procedure heb doorgevoerd was het systeem weer normaal te gebruiken.

Waterbeesje @svenk91 • 23 november 2012 13:05

Ook niet door de HDD aan een ander systeem te koppelen en daarmee scannen?

Ik vind het apart dat mensen hier gewoon met open ogen, met 2 voeten tegelij in trappen...
Mocht ik een goedgelovig persoontje zijn die zich bewust is van dingen downloaden en deze melding voor echt aanzien, zou ik met zo'n melding eerst eens met oom agent gaan bellen! Een boete gaat toch altijd met een overschrijving naar het CJIB?

LOTG @Waterbeesje • 23 november 2012 13:18

Het gaat dan ook om bangmakerij, zoals in de tekst staat word de persoon in kwestie vaak beschuldigd van het downloaden van kinder-porno. Ik neem aan de het niet zo is, maar de mensen worden bang.

Dan word er de makkelijke uitweg geboden: direct betalen.

Ze mogen dit van mij direct achter de fishing reclame uitzenden zo dat mensen bewust worden van het feit dat de politie zo niet te werk gaat.

Het probleem is dat de het allemaal steeds beter word en echter lijkt. Goed Nederlands, officiele logo's en zo voorts.

De mails met money scams worden ook steeds beter. Ik kreeg er laats een van de FBI, goed engels en een goedlopend verhaal. Het was nogal lachwekkend om te lezen, maar er werd ook gedreigt met de IRS als niet binnen aanzienlijke tijd word gerageerd.

Dus er word al niet meer gezegd dat je geld krijgt, maar ook als het niet van jou is moet je reageren om gerechtelijke vervolging te voorkomen.

Veel mensen weten niet dat dit soort procedures nooit zo worden opgezet, en zijn bang en doen maar wat gevraagt word. (Het mail adres was een dead give-away vond ik als de rest dat al niet was).

Ik vind een percentage van 20% wat in deze politie scams trapt echt schrikbarend hoog, en ik vermoed dat een groot deel zoals meestal bij scams weer ouderen zijn die niet weten wat ze anders moeten doen.

i-chat @LOTG • 23 november 2012 13:44

als je dat zo stelt, zou een computer rijbewijs helemaal zo gek nog niet zijn..

natuurlijk is het fout om mensen op te lichten maar als je zo dom bent om er in te trappen, is het dan alsnog niet een beetje eigen schuld dikke bult,

als 2e ben ik bijv ook een voorstander van het straffen van spam-verspeiders. ook als dat mensen zijn die onderdeel uitmaken van een botnet... (had je maar een degelijke firewall en viruscanner moeten installeren)...

maar een computer gelijk stellen aan een auto, ik denk dat er maar weinig mensen zijn die het verband zullen snappen...

colleoni @i-chat • 23 november 2012 14:16

Je kunt geen mensen gaan straffen die redelijkerwijs niet kunnen weten hoe ze alle lekken en gaten moeten dichten. Het is simpelweg een grote chaos, een grote gatenkaas. Als eindgebruikers gestraft gaan worden dan wil niemand nog met een dergelijk systeem werken. Wat beter programmeren, dat zou een hele stap zijn...en niet met al die pulp werken....

Anoniem: 28912 @i-chat • 25 november 2012 04:09

Ja, maar als je toch op dezelfde manier benaderd als een auto.

Je krijgt bij je rij examen niet hoe je bougies maken borstelen, kleppen moet afstellen en olie moet verversen.

Het probleem is dat het systeem een beetje verwacht dat je een para-systeembeheerder bent.

Installaties zouden completer uitgeleverd moeten worden. Als ik zie wat je krijgt als je bijvoorbeeld een kant-en-klare desktop/laptop koopt, staat het vol met allerlei shareware. Bijvoorbeeld Virusscanner die het zoveel dagen doet, Firewall die het zoveel dagen doet.

Na die aantal dagen houdt die functionaliteit op en is de gebruiker onbeschermd of moet hij op internet op zoek naar een activering of een alternatief.

Ik heb de uitzending van Zembla ook gekeken op mijn werk, omdat daar security momenteel nogal een hot topic is.

Die eerste meid die geïnterviewd werd, had een laptop gekregen zonder virusscanner.

De 2de geïnterviewden waren een jonge gozer met zijn moeder, die had een spel geprobeerd te downloaden van een site. (werd niet verteld of illegaal was of niet)

Ook werd de laptop van de eerste meid niet goed gerepareerd door een shop, dus even daarna was het weer raak. (prutsers)

De laatste was ook een meid en die was nu überhaupt bang dat er gekke dingen gebeuren als ze op internet zit. (Daar sloot de uitzending mee af)

De aflevering heette de "Onderwereld Online" en is te vinden bij uitzendinggemist.

mad_max234 @LOTG • 23 november 2012 13:40

Alleen na betalen gebeurd er niks, je pc blijft gewoon vergrendeld, je denk toch niet dat boefjes echt doen wat ze beloven na het innen van je geld.

mischaatje2 @Waterbeesje • 23 november 2012 13:27

Je krijgt problemen met een virus dat registry entries aanmaakt; bij een hdd scan op een andere pc wordt de registry niet als registry gescand.

Voorbeeld: De meest irritante versies zetten zichzelf graag in HKEY_Local_Machine\Microsoft\Software\Windows\CurrentVersion\Policies\Explorer als extensie voor de Explorer.exe shell. Wat inhoudt dat elke keer als een willekeurig programma wordt geopend, het langs het virus wordt geleid. Als het virus dan via een andere pc weg is gehaald, heb je kans dat het systeem helemaal vast loopt. Omdat het bestand weg is, maar niet de registry entry.

Ik ben het eens met Saampje1460 hieronder; eerst veilige modus en Malwarebytes Anti-Malware om registry hiervan te schonen. Ik raad wel aan als extra maatregel, om tijdens het scannen van MBAM, het proces "explorer.exe" te doen crashen (control-alt-delete, taakbeheer, tab processen) om mogelijke complicaties te voorkomen. Zelfs al zit je in veilige modus. Ná het scannen wil MBAM toch opnieuw opstarten, wat ook meteen je explorer shell opnieuw opstart.

Gavriil @Waterbeesje • 23 november 2012 13:49

dit zal helaas niet werken, bij het initialiseren of inlezen van de schijf start dat scriptje wat aan dat virushangt ook op. het enige wat werkt is om dit via een andere omgeving dan windows te regelen, bijv. linux

seapip @Gavriil • 23 november 2012 16:27

start van je windows dvd en doe systeem herstel, makkelijkere manier om je registry schoon te maken en die zooi eraf te halen is er niet

Mandrake466 @svenk91 • 23 november 2012 13:04

Als de politie dit weet waarom pakken ze de bende niet op dan in samenwerking met de landen waar het tuig zit? Er wordt geld overgemaakt dus achterhalen zou toch mogelijk moeten zijn?

mad_max234 @Mandrake466 • 23 november 2012 13:36

Of blokkeer minstens alle betaaldiensten, licht ze in en geef ze tijd om het af te sluiten, werken ze niet mee zijn ze medeplichtig vanaf moment dat ze op de hoogte zijn gesteld. Is nota bene een EU land waar de betaling via lopen.

Gavriil @mad_max234 • 23 november 2012 13:47

de betaaldienst zelf verklaart op hun website dat het niets met die kwaadwillenden heeft.
Die paysafe card is vergelijkbaar met de Wallie kaarten die we in nederland hadden.

De betaal dienst is een engels bedrijf wat verder niets met dat virus te maken heeft.

Finraziel

@Mandrake466 • 23 november 2012 13:22

Afgaande op de screenshot werkt het met paysafecard codes. Ik weet niet hoe traceerbaar dat is, maar vast een stuk minder dan een reguliere overboeking of creditcard transactie.

Wallioo @Mandrake466 • 23 november 2012 14:38

gokje:
Omdat er nauwelijks afspraken zijn met deze 2 landen (Rusland en Oekraine) en deze landen altijd al een van de bronen was van malware?

Er kunnen ook andere redenen zijn, geen idee.

Anoniem: 312701 @Mandrake466 • 23 november 2012 15:43

Follow the money..

AW_Bos

@Mandrake466 • 23 november 2012 21:46

Russische criminelen zijn lastig op te sporen. De Russische politie wil nook iet echt snel meewerken.

Maarten21

@svenk91 • 23 november 2012 13:04

Hoe kreeg je de malware erop? Iets verkeerds gedownload? of via een andere weg?

aZuL2001 @Maarten21 • 23 november 2012 13:07

Meestal via verouderde Adobe Flash / Java.

MissileHugger @aZuL2001 • 23 november 2012 14:05

En de verkeerde websites.
Meestal is het een combinatie van een onveilige browser (IE of andere browser met plugins) en (foute) websites die malware aanbieden.

Tribits @MissileHugger • 24 november 2012 00:09

Vaak gaat het om gerenommeerde websites die of zelf gekraakt zijn of gebruik maken van een advertentie dienst die gekraakt is. In die gevallen hoeft de gebruiker dus zelf niets verkeerd te doen (behalve een oude versie van flash/java/adobe reader te draaien).

Ik denk daarnaast dat er ook nog wel het nodige binnenkomt via cracks en patches. Veelal wordt daar tegenwoordig standaard bij gezegd dat je de waarschuwing van de virus scanner maar moet negeren omdat het 'false positives' zijn maar in veel gevallen zijn die meldingen gewoon volledig terecht.

TimSeve @Maarten21 • 23 november 2012 16:03

- Pornosites
- malware sites
- torrents

in combinatie met een Java versie onder 6.2 dacht ik

Khitha @TimSeve • 24 november 2012 09:25

Ik heb dit virus gisterenochtend opgelopen bij Java versie 7.7, verwijderd met Kapersky Recue CD (Rescue CD van F-Secure hielp deze keer niet !

) omdat de pc niet meer in veilige modus wilde opstarten en volledig blokkeerde, daarna MBAM gedraaid (die haalde de trojan eruit), vervolgens Java geupdate naar versie 7.9 en No-Script add-on aan Firefox gekoppeld.

Alles draait nu weer prima

ElectroDonker @svenk91 • 23 november 2012 13:09

Goed Nederlands? De eerste zin van de derde paragraaf luidt: "Het downloaden van auteursrechtelijk beschermde liedjes via het internet of om muziek te delen netwerk is illegaal en is in overeenstemming met (_prgrf) 106 van de Copyright Act met een geldboete of een gevangenisstraf van een boete van maximaal 3 jaar."

Screenshot ziet er slick uit maar goed Nederlands is het niet. Maar misschien zegt dat des te meer over het niveau van de mensen die erin trappen

. Sommige lui zijn gewoon vatbaar voor dit soort scams.

i2Paq @svenk91 • 23 november 2012 13:36

Kijkend naar het bijgevoegde plaatje is de gebruikte taal aller belabberdst en ik zou daar dus nooit intrappen (ook al was ik illegaal bezig).

egnappahz @svenk91 • 23 november 2012 13:42

een andere werkende oplossing is 'Combofix' mocht het iemand intreseren. bleeping computer is een geldige referentie. gewoon ff googelen. dit gebruik ik om pcs weer gebruikklaar te maken bij mn buren en kennissen, heeft altijd al gewerkt; als je tenminste in safe mode geraakt.

cheers

Anoniem: 384777 @svenk91 • 23 november 2012 13:58

Ik fix bijna dagelijks computers van klanten met dit probleem, echter heb ik nog nooit windows opnieuw hoeven te installeren. Meestal kom je met een simpele veilige modus er al omheen.

Anoniem: 225253 @svenk91 • 23 november 2012 14:15

Bij mij is het gelukt door op te starten in safe mode.

jurrie @svenk91 • 23 november 2012 14:34

Goed Nederlands? Hopelijk heb je dan een andere mail gekregen dan die in de schermafdruk staat afgebeeld, want nog voor ik de eerste zin uit had gelezen lag ik al op m'n snufferd door de taalfouten.

"Illegaal gedownloade muziek stukken" = muziekstukken. "gelegen op de computer". Wablief? Gelegen? Dat gebruikt niemand. "Met het downloaden de liedjes zijn gekopieerd". Eerst zijn het muziekstukken en nu liedjes? Bovendien slaat de zin nergens op. "zodat kan ook een strafbaar feit". No comment. Volgens mij gebruikt de politie ook artikels en geen secties (§).

De eerste zin uit de volgende paragraaf begint aardig, tot we op de tweede regel komen en er geen zak meer van klopt. De Auteurswet verandert daarna opeens in een Copyright Act. "De" eigendom is nog altijd "Het" eigendom. De zin om de dikgedrukte tekst heen klopt voor geen meter en ze sluiten nog eens af met een komma op de verkeerde plek.

Zo ben ik krap halverwege en schort er al zo enorm veel aan de tekst dat het overduidelijk om een slecht vertaald stuk gaat. Door het gebruik van wat officiële logo's wordt het nog wat leuk aangekleed, maar een drol met een strikje blijft een drol. Als je hier intrapt kun je zelf geen Nederlands of geef je graag geld weg.

Shanquish

@svenk91 • 23 november 2012 14:57

zijn genoeg tutorials te vinden ervoor, maarja.. zoek die maar eens als je enigste pc gegijzeld is..

desondanks heb ik 't al voor verschillende mensen moeten verwijderen, is vrij simpel te doen...

CMD-Snake @svenk91 • 23 november 2012 15:30

Je kan ook Hitman Pro proberen. Die werkt ook effectief hier tegen.

Benne @svenk91 • 23 november 2012 16:02

Ik kon deze relatief makkelijk verwijderen.safe mode opstarten en verdachte.exe verwijderen uit app data.

RMU @svenk91 • 23 november 2012 16:13

In veilige modus opstarten werkt 9 van de 10 keer wel, vervolgens kun je Combofix draaien en is het virus weg.

Ook start de PC soms wel op zonder melding als je de netwerkkabel uit de PC haalt (of draadloze adapter uitschakelt) en kun je hem dan scannen.

BitsThatByte.nl @svenk91 • 24 november 2012 14:14

Het virus is makkelijk te verwijderen met de F-Secure Rescue CD of vergelijkbare software.

In de lijst van start-up programs staat het bestand ook vermeld. Het is te herkennen aan de 'vage' naam en de locatie van het bestand welke altijd in de AppData folder staat.
Normaal starten programma's, m.u.v. Google en HP dingen, niet op vanuit de AppData folder.

Overigens toont het virus zich niet zolang er geen verbinding is met internet.

Dweebus @svenk91 • 23 november 2012 15:59

Heb het virus ook gehad. Is vrij lastig te verwijderen inderdaad als je geen gebruik maakt van restorepunten. Proces killen en rebooten heeft geen nut. Denk je dat je het geinfecteerde bestand hebt verwijderd? Niet dus...

Opstarten in Safe modus en dan ff restoren naar een vorig opslagpunt. Klaar

PS. Zo goed was dat nederlands nou ook weer niet trouwens

Madrox @svenk91 • 23 november 2012 16:13

Heb het onschadelijk gemaakt met een veiige mode boot. En dan idd een herstelpunt herstellen.
Schoonmaken en/of onschadelijk maken kan ook.

Volgens mij is er ook nog een toetsenbord combo (shift-shift? of ctrl-ctrl?) die ervoor zorgt dat Windows onder al die run apps gestart word.

ps: Is dit geen optie om het makkelijk en snel om zeep te helpen ?
http://www.ebay.nl/itm/c-...atten&hash=item230dcd0403

[Reactie gewijzigd door Madrox op 23 juli 2024 20:02]

Ceejay @svenk91 • 23 november 2012 22:07

Ik had het Buma Stemra virus. Je kunt tijdens het opstarten via control-alt-delete naar de task manager komen, en dan even kijken naar een verdacht serviceje/opstart-item, en dat vervolgens uitvinken. Dan kun je weer bij je comp. Als je te laat bent gewoon nog een keer opstarten. Het helpt wel als je comp een beetje traag opstart, de mijn doet er minuten over grrrJe moet nog wat dingen herstellen als ik me goed herinner, maar al met al is het 3 minuten werk.

corporalnl 23 november 2012 13:10

Gelukkig zijn er genoeg manieren om deze vervelende virus te verwijderen.

Klik

Het kost wel even tijd maar scheelt wel een reinstall.

Een kennis heeft deze ook gehad, gelukkig dat hij eerst mij gebeld heeft want hij wou betalen.
Op youtube is ook veel te vinden.

[Reactie gewijzigd door corporalnl op 23 juli 2024 20:02]

Nicked @corporalnl • 23 november 2012 13:53

Inderdaad, het kost je vrij veel tijd om dit virus te verwijderen, ook afhankelijk van de snelheid van je PC.
Nu bij twee mensen het virus verwijderd, duurde respectievelijk 3 en 4 uur.

De methode van ComputerIdee (jouw link) werkt inderdaad soms, maar niet altijd. Soms kom je namelijk ook niet meer in de veilige modus, dan is het virus dus iets dieper in het systeem gedrongen.
Via de volgende handleiding (bron) heb ik het virus weggekregen:
--------------------------------
1. Download Windows Offline Defender en maak een startup cd/dvd of usb stick (uiteraard op een andere PC).
2. Start daarna de pc op met de Windows Offline Defender disk.
3. Update de virusdefinities via het LAN-netwerk (via WiFi werkt vaak niet).
4. Scan uw computer op malware met de Windows Offline Defender software.
5. Scan daarna uw computer met MalwareBytes AntiMalware om het Buma Stemra / KLPD / Ukash virus te verwijderen of te detecteren.
6. Scan nogmaals met ComboFix! (Let op! Directe download link!) om deze malware nog dieper te detecteren en te verwijderen. (Handleiding voor ComboFix!)
7. Het virus zou nu weg moeten zijn. Installeer een goede (gratis) anti-virus of update je huidige programma.

[Reactie gewijzigd door Nicked op 23 juli 2024 20:02]

Anoniem: 56924 @Nicked • 23 november 2012 15:30

ironisch genoeg wordt jouw link naar die antivirussen website door mijn antivirus (trend micro) geblocked als zijnde een "verified fraudulent page or threat source".

Anoniem: 280967 23 november 2012 13:30

Redelijk makkelijk te verwijderen deze mallware.

http://malwaretips.com/Th...viteit-gedetecteerd-Alert

Hier staat heel duidelijk beschreven hoe je het scherm weg krijgt. Mij tot nu toe altijd gelukt om de mallware redelijk snel te verwijderen.

Na dit commando, programma:

Combofix downloaden en draaien, daarna Malwarebytes

en probleem is opgelost.

En als je het niet vertrouwd kan je in ieder geval via eerste link scherm weg halen zodat je een back-up van alles kunt maken en alsnog kunt herinstalleren.

Madrox @Anoniem: 280967 • 23 november 2012 16:40

Top tip. Alleen word het lastig met 1 pc die al besmet is. Sommige punten zal je dan echt ergens anders moeten regelen namelijk

smierlo 24 november 2012 18:32

Ben het virus al meerdere malen tegengekomen bij andere mensen. Enkele tips:

Virus staat vaak in c:/users/username/appdata/roaming of c:/windows/system32
Heb het toevallig vandaag ook gezien in de roaming map en dan adobe..
Gebruik MalwareBytes' Anti-Malware om het te verwijderen, werkt perfect.
Gewoon de computer opstarten, via F8 naar het opstartmenu en dan kiezen voor Windows met opdrachtpromp.. als je dan in windows komt, de opdrachtpromp verlaten met exit en via de taskmanager de explorer opstarten.

Wat ook kan is de computer gewoon opstarten, dan komt het witte scherm. kiezen voor ctrl-alt-del.. en dan andere gebruiker of afmelden kiezen. Als het goed is zegt windows dat er nog iets in de achtergrond draait, dan snel kiezen voor annuleren. Dat witte scherm is dan al weg, en kan je gewoon in windows om alles te verwijderen.

Wil je dat het virus geen vat op je heeft... zorg ervoor dat je username een spatie bevat..

Bijv. "Piet de Vries" is het virus niet op te starten, omdat bij het opstarten en om het hele pad " " gezet moet worden, en dat gebeurt vaak niet. Windows start het virus/malware dan niet op.

Tot op heden altijd nog kunnen verwijderen!

GrooV 23 november 2012 13:04

Dankjewel tweakers voor het leesbare High-res plaatje

egelalexander @GrooV • 23 november 2012 13:13

Via Google vind je zo een grotere afbeelding :
http://tinyurl.com/politievirus

Ik zelf heb een computer winkel, wij krijgen wekelijks ook meerdere laptop's en computers binnen met het 'politie virus'. Nu moet ik zeggen dat er de laatste tijd een afname is en dat we nu nog meer een enkele gebruiker binnen krijgen met het virus.

Het lijkt er toch op dat anti-malware en virus scanners ze tegenhouden via webprotectie. Tijd geleden was er ook een vertegenwoordiger van Panda Antivirus op bezoek bij ons. Ze vertelde dat er ook een paar duizend varianten van dit type. Zo heb je er ook bijvoorbeeld 1 die je webcam activeert en vervolgens aangeeft dat het word opgenomen.
Al met al is het gewoon heel erg smerig virus, vaak oudere mensen die per ongeluk ergens op hebben geklikt betalen de boete gewoon. Veel klanten van ons nemen ook meteen contact op met de politie en komen er al snel achter dat het gewoon oplichting is.

edit : Wat mij ook zelf opvalt is dat bijna alle besmette pc's meldingen hebben dat java of adobe flash out of date is. Eerder zag ik ook al een artikel dat hier vaak de besmetting doorheen komt, houd dus allen dat soort programma's up to date! Filehippo heeft daar een goede programma voor : http://filehippo.com/updatechecker/

[Reactie gewijzigd door egelalexander op 23 juli 2024 20:02]

BitsThatByte.nl @egelalexander • 24 november 2012 14:21

Ik deel dezelfde ervaring.
Meestal staat er op de PC een oudere versie van Java (versie 6). Bij computers met Java 7 ben ik het KLPD virus nog niet tegen gekomen.

Anoniem: 408992 @GrooV • 23 november 2012 13:22

offtopic:
Met Tineye kan je afbeelding zoeken op andere sites. in hogere resolutie: http://www.abuse.ch/wp-content/uploads/ransomware_nl.jpg .

ontopic:
hier in de organisatie ben ik hem ook al een paar keer tegen gekomen desondanks we wel alle updates hadden (java / flash).

even booten in safe mode, uitschakelen in msconfig, programma Rkill laten lopen en scannen met anti-malwarebytes en dan is het meestal al opgelost.

[Reactie gewijzigd door Anoniem: 408992 op 23 juli 2024 20:02]

Fire69 @GrooV • 23 november 2012 13:21

En je wil in detail lezen wat er op staat omdat.... ?

Anders bezoek je gewoon even een louche site, kan je het gewoon live meemaken

EKR88 23 november 2012 13:03

Deze heeft mijn vrouw een poosje ook op de laptop weten te krijgen. Nadat ze op een of andere vage website was geweest waar je gratis series online kunt kijken. Gewoon windows opnieuw installeren en je zit weer goed.

intGod @EKR88 • 23 november 2012 13:05

Wat voor virusscanner/browser gebruikte je vrouw toen? Dan gebruik ik die in ieder geval niet.

[Reactie gewijzigd door intGod op 23 juli 2024 20:02]

EKR88 @intGod • 23 november 2012 13:07

ik gebruik internet explorer 9, nod32 en windows firewall.. maar ik verwacht dat ze op die website gewoon een plugin heeft geinstalleerd om een filmpje te kunnen kijken ofzo

sjaak-IV @EKR88 • 23 november 2012 13:26

Misschien toch maar eens inloggen als gewone gebruiker inplaats van administrator ?

i-chat @EKR88 • 23 november 2012 13:47

dan nog zou nod32 hebebn moeten ingrijpen...

of het ding was uitgezet, niet up to date????

BitsThatByte.nl @intGod • 24 november 2012 14:17

Ik heb al een heleboel klanten gehad welke het KLPD virus op hun computer hebben gehad. Daarbij ben ik eigenlijk elke gangbare virusscanner tegen gekomen, zowel de gratis al betaalde versies.
O.a. AVG, Avira, Security Essentials, Bullguard, Norton, NOD32 etc.

Anoniem: 310408 @EKR88 • 23 november 2012 14:07

Deze heeft mijn vrouw een poosje ook op de laptop weten te krijgen. Nadat ze op een of andere vage website was geweest waar je gratis series online kunt kijken. Gewoon windows opnieuw installeren en je zit weer goed.

Tja gewoon windows overnieuw instaleren is natuurlijk de best virus verwijderaar. Kom kom, minuutje op het internet en je weet hoe je dit kan verwijderen, je bent een tweaker or je bent het niet.

Wallioo @EKR88 • 23 november 2012 15:01

Gewoon windows opnieuw installeren en je zit weer goed.

En meteen al je data kwijt (documenten, vakantiefoto's e.d.) als je die er op hebt staan.

Zorn @Wallioo • 23 november 2012 15:50

Met een backup had dat probleem niet bestaan ;-)

nl-chrs 23 november 2012 13:36

Is er niemand die zich afvraagt waar je dit virus uberhaupt oploopt?

[Reactie gewijzigd door nl-chrs op 23 juli 2024 20:02]

Kaastosti @nl-chrs • 23 november 2012 13:40

Jawel, ik vraag me ook af hoe je hier aan komt... moet haast wel een 'ik zie een knop, dus ik klik er op' actie zijn.

Keypunchie @Kaastosti • 23 november 2012 14:43

Drive-by downloads.

De bekendste voorbeelden, dit jaar nog, zijn bij nu.nl en bij nrc.nl.

Kwaadwillenden smokkelen onveilige code in een advertentie. Die wordt geplaatst op de website. De gebruiker (en browser) herkennen de site als 'vertrouwd' en draaien de onveilige code.

Die exploiteert vervolgens bekende kwetsbaarheden in out-of-date versies van Flash, Java, of andere plug-ins die toegang tot het systeem hebben.

En klaar.

Anoniem: 28912 @Keypunchie • 25 november 2012 03:56

Dat is eigenlijk de kern van het probleem. Dat een willekeurige advertentie programmatuur kan installeren door er alleen met je browser langs te komen.

Wie dat ooit bedacht heeft..

Het kan heel nuttig zijn als het door goedwillenden gebruikt wordt, maar het kan net zo makkelijk door kwaadwillende gebruikt worden.

De websites hebben tekst, plaatjes, filmpjes en wat interactieve formulieren soms. Waarom al die taaltjes zijn gekomen die veel engere dingen kunnen, is mij een beetje een raadsel gebleven. En als je het dan toch doet, maak het zo dat het standaard allemaal uit staat.

Tvern @Kaastosti • 23 november 2012 13:56

Niet nodig. Er wordt gebruik gemaakt van kwetsbaarheden in bijvoorbeeld java. Een verkeerde site laden is genoeg voor besmetting zonder dat ergens toestemming voor gegeven hoeft te worden.

Gavriil @Kaastosti • 23 november 2012 14:07

Meestal worden deze bemachtigd via porno sites etc, Beetje slimme icter doet dit dan ook via ubuntu of een virtual pc

MicrozNL @Kaastosti • 23 november 2012 15:13

Nee via advertenties of java kwetbaarheden of sommige mails als je die alleen al aanklikt kunnen voldoen.

Of door een verkeerde download

schietdammer @nl-chrs • 24 november 2012 04:19

Ik heb hem ook gehad , nadat ik een youtube muziekclip wilde omvormen naar mp3 via een site die dat normaal altijd netjes deed , maar ineens het virus , ik had nergens ja op gezegt in popups , geen exe was nodig om om te vormen niks.

Ik zit op win7 pro 64bit , en veilige modes kwam ik niet in , oplossing zal wel usb stick of cd zijn met antivirus maar ik haalde gewoon - ik zeg wel egwoon maar geen idee eigenlijk waarom ik daar aan dacht - mijn internet kabel eruit en erna pc opstarten dan start heel dat virus gewoon niet op , zelfs niet als je pc normaal opstart ipv veilige modes.

Maar zodra je de kabel er weer terug er indoet als de pc opgestart is , heb je gelijk weer je buma stemra in beeld. Dus een antimalware programma kon ik niet installen want had geen internet , gelukkig staan er hier 2 pc's naast elkaar , en daar malwarebytes anti-malware setup.exe en avira antivir free setup.exe op downgeload en via usb stick op mijn geinfecteerde pc geinstalleerd en erna gescant ... klaar.

Heel veel mensen hier zeggen ook dat ze voor familie het virus hebben verwijderd en ik neem dan aan dat die hun pc naar degene hebben gebracht die het weer gefixt heb , en computerzaken ook veel hier die het fixen , maar ik denk dus dat gewoon op dat moment pc's zijn zonder internet en dan kan veilige modus wel , ook al is het niet nodig , volgens mij kan je dan gewoon normaal opstarten en erna via usb backups maken , want voordat ik het had , was het ook bij een vriend van mij en toen heb ik zo backups gemaakt erna format / reinstall want hij moest zo ie zo eindelijk is van xp naar 7.

Ik had enkelt windows defender op mijn pc , en die is gewoon shit ... volgens mij , maar vooral uit test gebleken van de conumentenbond , avira free antivir is de beste van de free versies bleek uit die test.

[Reactie gewijzigd door schietdammer op 23 juli 2024 20:02]

mike1992 23 november 2012 13:44

Toch is dit virus zo makkelijk te verwijderen,

Boot in safe mode met netwerkopties, mallware antibytes installeren, deze laten updaten en snelle scan doen, duurt 10 minutjes en weg is ie

voila!

Ikke_Niels @mike1992 • 23 november 2012 13:53

En dat moet de gemiddelde huis tuin en keuken gebruiker ook doen?

Anoniem: 304004 @Ikke_Niels • 23 november 2012 15:41

Of een slimme kennis vragen of hij het kan verhelpen, zo niet dan naar winkel wat dan weer goed is voor economie

MB54 @mike1992 • 24 november 2012 08:17

Zo doe ik dat ook, maar dan met SuperAntiSpyware (gratis versie). Vorige week nog een laptopje mee "gered". Sinds ik SAS al jaren succesvol gebruik bij de aanhang die mij als éénoog in het land der blinde digibeten ziet, draai ik zelf de betaalde versie. Nog altijd tot grote tevredenheid.

Convo 23 november 2012 13:37

Ze hebben wel tijd om de malware te schijven, maar blijkbaar hebben ze geen tijd om de tekst in fatsoenlijk Nederlands te schrijven of om iemand te zoeken die dat voor ze kan doen. Kleine inspanning voor een veel grotere geloofwaardigheid. Ik snap niet waarom er dan toch zoveel mensen intrappen.

Muziek stukken -> muziekstukken
Met het donwloaden de liedjes -> Met het downloaden van de liedjes
enzovoort.

Anoniem: 97348 @Convo • 23 november 2012 13:50

ze zien de politielogo in beeld, lezen het zwart gedrukte over geldboete en gevangenisstraf...
en bang dat ze zijn betalen ze.

zelf heb ik deze ook gehad, elke week maak ik een 1 op 1 kopie van mijn schijf voor back-up.
dus was een makkie om deze te ''verwijderen''.

aangezien wij de computer gezamelijk gebruiken, mijn vader en ik, en mijn vader zelf het ''klik met je muis virus'' heeft, klikt hij ook elke banner, e-mail, website aan die hij op het scherm ziet.
er wat van zeggen resulteert in ''we gaan klappen krijgen'' virus

Anoniem: 469097 @Convo • 23 november 2012 14:11

Ach, als politie boetes betalen via het tank-station niet vreemd vindt, val je waarschijnlijk niet over taalfoutjes.

1 op de 5 betaald is overigens wel een boude stelling, aangezien de politie geen idee heeft van het daadwerkelijke aantal infecties, enkel degenen waarvan melding gemaakt.

Anoniem: 360606 23 november 2012 13:05

Misschien logisch maar als er een tekst in staat zonder spelfouten dan is de kans groot dat ook Nederlandse criminelen meedoen aan dit soort dingen.

Finraziel

@Anoniem: 360606 • 23 november 2012 13:19

Heb je de tekst in de screenshot gelezen? Een spellcheck zal er waarschijnlijk geen fouten in vinden maar het is verre van foutloos nederlands hoor. Ik kan er dan ook echt niet bij dat 20% van de slachtoffers hier in zou trappen, vraag me af of dat wel correct kan zijn.

Gavriil @Finraziel • 23 november 2012 13:55

20% van de mensen praat misschien zelf niet zo goed nederlands of is dyslectisch dusja ik snap dat wel

Wallioo @Gavriil • 23 november 2012 15:06

of raakt in paniek en zien dit als een eenmalige uitweg, vooral als je een enkele keer een album ooit gedownload hebt of laten doen.

Op dit item kan niet meer gereageerd worden.

'Een op vijf slachtoffers politie-ransomware betaalt'

Lees meer

IT-banen

Reacties (235)

Sorteer op:

Weergave: