Tssss... Ik heb zulke virussen zo vaak gehad bij klanten van mij. Het is onzin om je systeem te herinstalleren.

Klant komt bij met met politievirus, wat heb ik gedaan?

Een beetje logisch denkwerk en voila, stappenplan:
1: Boot in veilige modus
2. Malwarebytes anti-malware (volledige scan) laten runnen
3. Zodra die voltooid is, Boot in normale modus
4. Combofix laten runnen
5. Computer reboot om van alles zeker te zijn

Dit werkte voor mij, kostte me maar een anderhalf uur, dit hele stappenplan. En geen bestanden waren beschadigt en niks is verwijderd. En het is goedkoper dan een herinstallatie.

Ler0y, uw methode werkt alleen op de oude rootkit varianten.

Ik verwijs je hierom ook door naar: http://www.security.nl/artikel/43760/1/Nutteloze_reacties.html

Na succesvol uitvoeren van kwaadwillende code is een machine mijn inziens niet meer te vertrouwen. "Code that runs first wins". Herinstallatie is de enige juiste actie bij infectie.

Computer herinstalleren is een certificaat van onvermogen waarmee je zegt dat je geen prof bent maar slechts een amateur.

Nou, dat is ook niet aardig!

@anoniem, herinstallatie is zeker geen certificaat van onvermogen. Zodra er een virus op een pc staat, kunnen er nog wel 100 verborgen varianten op staan. Virusscanners pakken lang niet alles op, ook niet off-line scanners Virus = Herinstallatie.
En natuurlijk niet meer als administrator op de pc werken, en uac aan laten!

ligt eraan hoeveel haast je hebt. Je kunt de pc 3 of meer dagen uit laten staan en dan booten met een kaspersky rescue cd. Die draait onder linux en die kan je updaten en laten scannen. Die pakt ook de droppers mee, zeker na een dag of 3, daarna start je in veilige modus op en trap je alle historie eruit, veegt je temp lokaties leeg, je checkt de hosts file en de proxy settings van je brouwser(s) en daarna kan je de andere tools gaan draaien van de verschillende leveranciers (hitman, tdsrootkit killer en dat soort dingetjes). Al met al is het een kwartiertje hands-on en de rest is wachttijd.

politie virus is zo simpel te fixe je verwijderd gewoon even je appdata en klaar :)
of zoekt hem op in msconfig bij opstarten

Sommige reacties ook. Er zijn dus varianten waarbij je veilige modus niet eens in komt en dus alsnog dat logo krijgt.

Zoals al eerder vermeld, ondanks je denkt het verwijderd te hebben, kan het virus zichtbaar weg lijken, maar wie garandeed dat er op de achtergrond niet nog iets onzichtbaars doordraait (Bijvoorbeeld iets dat wacht op commando's van een botnet).... Hoe denk je dat al die PC's bij de gemeente ineens al die bestanden gingen encrypten, geloof me die virusscanners die erop stonden hadden niets in de gaten, de gebruikers ook niet, omdat het niet zichtbaar was, totdat de malware aktief werd.

Dus een nieuwe installatie is nog niet zo heel erg gek....
Voor thuis misschien vervelend, maar bij bedrijven is het meestal F12 en nieuwe unattended installatie via SCCM via PXE boot, en staat je OS er zo weer op en je data staat op netwerk schijven.

Plan van aanpak bij ons;
1, data van de klant veiligstellen middels boot disk,
2, systeem scannen met o,a Kaspersky R boot disk,
3, controleer de MBR,
4, verwijder de internet aansluiting, opstarten in safe mode en scan met Mbam,
5, bij twijfel draai Hitmanpro,
6, verwijder Java en update Flashplayer,
7, adviseer de klant om de browser virtueel te draaien, ( kleine training nodig)

Veel van de hierboven beschreven scans kunnen draaien zonder input van de shop, dus lage kosten voor de klant. Alle persoonlijke software blijft behouden en de klant is goed geholpen.
Laat onverlet dat de klant moet worden gewezen op het oorzaak gevolg verhaal. Een goed geïnformeerde klant is een blije klant.

Herinstallatie alleen in het uiterste geval.

http://helpdesk.malwarebytes.org/entries/21892442-should-i-scan-with-malwarebytes-anti-malware-in-safe-mode
"Unless otherwise directed always run Malwarebytes Anti-Malware in normal mode. Malwarebytes Anti-Malware is not designed to find all infections when in safe mode."

hernoem gewoon lokaal profiel mapje, klaar is kees.

@korakies

Controleren van de MBRis aardig, maar daar komt nu ook UEFI bij. Oude tools werken niet g
altijd goed samen met UEFI.
wees voorbereid.

Inderdaad onzin om de boel opnieuw te installeren. Je kunt deze troep sneller zelf verwijderen dan een herinstallatie aan tijd in beslg neemt.

Ik lag iedereen hard uit die denkt dat zijn PC veilig na een infectie te hebben verwijderd. Geven jullie er ook garantie bij dat er niets anders is gedropped ? De manier waarom security.nl dit post doet mij ook denken dat de auteur van het artikel ook onzin vind om de machine opnieuw te installeren.

Stelletje amateurs hier zeg.

Herinstallatie in een commerciele omgeving (pc winkel) is geen kwestie van ''onvermogen''.

Per geval zal het meer om ''time management'' oftewel kosten gaan.

Vragen zullen zijn....

Hoeveel machines zijn geinfecteerd en hoeveel tijd en personeel e.g. kosten wil je kwijt om het incident op te lossen?

Is herinstallatie een betere optie i.p.v uren te besteden aan scans en het gebruik van av tools en scripts? Hangt af van je budget ;-)

Het is idd onzin om de pc geheel opnieuw te moeten installeren.
Ook de nieuwe versie is zeer gemakkelijk te verwijderen.

Erik Duits
MB Amersfoort

Tsss, simpelweg even je OS partitie reimagen in 15 minuten (en MBR d'r bij pakken) lijkt me toch de meest simpele en juiste methode.
Vrijwel altijd ook sneller dan scannen, rebooten, nog een flash scan, rebooten in safe mode, weer een extra scan en dan tevreden te zijn met 3 maal het berichtje 'Geen malware gevonden'...

Herinstallatie heeft uiteraard een prachtige schone omgeving, maar met een minuscuul klein bij-effect;

Windows has been detected on your system,

Would you like to :

1: Delete
2: Delete

Beetje ouderwets met BSOD e.d., maar om nu met windows 8 te beweren dat het geen virus/worm/trojan/backdoor behelst lijkt naief.

Random vraagje:

Is er iemand in de security business die adviseert om data in de cloud te bewaren ?

Ik snap al die negatieve reacties niet zo goed...
Herinstallatie is zonder uitzondering het veiligst en -vaak- sneller dan scannen, logs bestuderen en napluizen, boot-cd's DL & branden en vervolgens uit laten voeren en herhalen na iedere stap. Voor iedereen die commercieel aan de slag moet met particuliere systemen is dit dan ook veruit de beste oplossing en daarom het standaard protocol.

Dat het hier om niet-al-te-technische-particulieren gaat mogen we natuurlijk ook niet vergeten, anders zouden ze hun geliefde computertje niet zomaar bij een winkel inleveren. Dat dat gevolgen heeft voor de informatie die de klant vervolgens verstrekt (Bijvoorbeeld: "Hij doe ut nie meer zo snel als eerst" of "Ik krijg zo'n vreemd scherm als ik 'm aanzet") lijkt me dus logisch. Wie is die medewerker dan nog om te bepalen wat er waar en wanneer fout is gegaan en hoeveel malware er naast de genoemde ransomware is geïnstalleerd?
Denk (of nog beter, Google) even aan (op) key-logger, RAT of botnet bijvoorbeeld... Ik wil maar zeggen dat zulke rommel zelden alleen komt, JUIST in het geval van ransomware...

Het risico dat een stukje malware vervolgens niet wordt gedetecteerd (om wat voor reden dan ook) vind ik persoonlijk onaanvaardbaar, zeker omdat er zeer uiteenlopende versies zijn van dit specifieke groepje ransomwares, zowel m.b.t. wijze van infectie als payload.
Daarnaast is de kans ook nog eens een STUK kleiner dat meneer of mevrouw de winkel-expert je persoonlijke data door gaat lopen pluizen wegens de botte verveling tijdens het scannen. Iemand DAAR al aan gedacht? De beleidsmakers van het betreffende bedrijf waarschijnlijk wel ;)


Het enige nadeel dat ik zie zijn persoonlijke instellingen die verloren gaan en natuurlijk data-verlies, maar hadden we daar de term back-up niet voor uitgevonden? Beter een paar foto's kwijt dan een geplunderde bankrekening lijkt me...

Tot slot, als u garantie wilt kunnen geven op een dienst of product, wat is er dan mis mee er voor te zorgen dat de daarbij horende verplichtingen worden nagekomen? (Iemand bekend met de garantie-voorwaarden van het hierboven veelgenoemde MBAM e/o HitmanPro? Die betalen niets terug hoor, aan úw klant...)

Nogmaals, ik snap niets van al die negatieve reacties, ik zou juist graag zien dat meer mensen, instellingen en overheden zo correct en grondig te werk gingen... :(

Toch draai ik Mbam (quick scan) bewust in safe mode, ondanks dat deze niet alles verwijderd. Deze scan haalt de meeste restanten weg na de boot scan en zorgt er op die manier voor dat er geen nieuwe malware kan worden geladen tijdens het volledig opstarten van het OS. Na de Mbam scan in safe mode draai ik alsnog Mbam scan (full scan) in een volledig geladen OS.

Persoonlijk vind ik dat je eerst moet proberen zonder een herinstallatie. Ook de klanten hikken erg aan tegen een herinstallatie. Het OS staat er wel weer zo op, maar de overige persoonlijke programma's en andere zaken zijn voor de klanten een groot probleem.

We maken voor de klant elke keer een afweging van wat het beste advies is, op basis van de soort malware. Kosten zijn hierbij een belangrijke afweging.

Tja, er zijn veel methodes om ransomware te verwijderen. Bepaalde varianten blokkeren veilige modus , veilige modus met netwerkmogelijkheden ,maar laten veilige modus met opdrachtprompt open.

Britec09 heeft interessante ransomware removal video's op Youtube ;

http://www.youtube.com/playlist?list=PL302CE7037FD86F7B&feature=plcp

Regelmatig (OS) images/backups maken en MBRs verschonen werkt ook.

Weet je dan zeker dat je vergenoeg terug kunt om schoon te zijn? of gebruik je het alleen als data backup?

Ik vind het toch altijd wel een leuke uitdaging hoor, een pc'tje opschonen (met of zonder hulp), maar helemaal mee eens, better safe than sorry, zeker voor de gemiddelde end-user.

En OT: vooral dit...
+1

Van systeem-images bewaar je naast een serie recentere uiteraard ook een aantal oudere en ten minste één gegarandeerd schone die direct na een schone systeem-installatie en -configuratie is gemaakt.
Voer je met zo'n oud maar schoon image een herinstallatie uit, dan werk je het systeem daarna bij met de nieuwste patches en maak je vervolgens een nieuw gegarandeerd schoon image.
Op die manier zorg je ervoor altijd een bruikbaar schoon image beschikbaar te hebben.
Maar in het geval iemand nooit een image heeft gemaakt, is herinstallatie op basis van een schoon image vanzelfsprekend niet uit te voeren.

Hallo, Ik heb ook heet politievirus maar op een laptop met windows 8 en die kan je niet in de veilige modus opstarten.
Iemand enig idee hoe ik ervan af kom?? Ik heb de laptop net 4 dagen!!!! wie kan mij helpen?????

Hallo,

Nog geen enkel zinvol antwoord gezien. De oplossing is heel erg simpel. Dit virus is namelijk niets anders dat een automatisch startend programma dat een schermpje laat zien waardoor je niets meer aan kunt klikken of zo. PC werkt echter wel gewoon. BV geluid van filmpje blijft gewoon hoorbaar ondaks dat je de PC niet meer kunt bedienen. Ga als volgt te werk:

- houd de ann/uit knop van de pc ingedrukt --> de pc gaat uit
- start opnieuw op en druk herhaaldelijk op F8
- kies voor "PC Opstarten in Veilige modus"
- wacht tot PC in veilige modus is opgestart
- kies voor Start en RUN
- vul in MSCONFIG en klik op OK
- kies in het nu geopende venstertje voor Startup
- Vink onderin aan "Disable all" en klik op Apply en vervolgens op Close
- Er wordt gevraagd om opnieuw op te starten, doe dat
- Opgelost!!

Het virus staat weliswaar nog op de pc maar doet niets meer. Als je echt wilt weten waar het virus zit om het te verwijderen (maar dit is dus niet nodig, het virus is nu onschuldig geworden) herhaal je alle stappen hierboven en zet je de opstart opties één voor één weer aan.Dit totdat het virus weer actief is. Je weet dan waar het staat en kunt de map of het programma waarin het staat leegmaken.

Suc6

ik lees hier boven dat er ook politievirus varianten zijn waarbij de pc niet in veilige modus wil.
dit heb ik nu ook (windows 7)
F8 bij opstart, veilige modus geselecteerd --> & op het moment dat windows in veilige modus zou moeten starten, herstart deze in de gewone modus.
avg rescue USB, en hitman pro kickstart pakken beide niet.
heeft iemand (anders dan herinstalleren) een tip?