Politievirus kan niet in de veilige modus opstarten

[asbas]

Sinds gisteren voor de 2e keer het politie/ukashvirus op onze computer.
Vorige keer (jaar geleden) heb ik in de veilige modus het virus kunnen verwijderen met systeemherstel.
Nu lukt dat niet want ik kom niet in de veilige modus. Wordt dan meteen weer afgemeld en start hij weer gewoon op.
Ik heb met een avg recovery cd opgestart en die vond wat trojans. Heb ze hersteld maar bij opstarten komt nog steeds die politie melding.
Wat kan ik nog doen ?

 

[jackall]

je kan de kaspersky rescue disk downloaden op een andere pc en branden
start daarmee op en laat die zn werk doen.

 

[dnties]

Aanvulling op Jackall's tip: Hier is die rescue disk te downloaden, zodat je 'm kunt branden op cd/dvd m.b.v. (bijv.) ImgBurn [optie "Write image file to disk"]
Directe link naar het .iso bestand: deze

Tijs.

 

[de jean]

afhankelijk van de virusversie werken de verschillende rescuedisks niet meer ... de meest recente besmette pc die ik binnen kreeg was ontoegankelijk, enige optie was format.

 

[lightframe]

de jean,

Het is altijd wel op te lossen wanneer je bijvoorbeeld de rescue disk van kaspersky gebruikt en weet wat je moet verwijderen.
Via een forum is het lastiger, maar als je het systeem zelf voor je hebt staan moet dat toch wel te doen zijn.

 

[dnties]

@lightframe: Ik vind de uitspraak "altijd wel op te lossen" een uitspraak die geheel voor jouw rekening komt. Als veel/alle (gebruikers- en Windows-)bestanden zijn versleuteld d.m.v. ransomware (waar het politie-virus ook onder valt), er een krachtige versleuteling is gebruikt én er geen standaard ontsleutel-sleutel bekend is bij de anti-virusprogramma's voor het type ransomware dat de pc heeft besmet, dan is het onmogelijk om de bestanden te ontsleutelen.
Ik ga er hier vanuit dat de jean op een dergelijke variant doelde.

Daarmee willen ik en de jean niet (direct) zeggen dat de ransomware variant die de topic-starter heeft opgelopen daar onder valt. Er is dus een kans dat het met de Kaspersky rescue cd te verhelpen is, maar de zekerheid waar jij het over hebt is er niet/nooit.

Tijs.

 

[lightframe]

dnties,

Wanneer gebruikersbestanden zijn versleuteld dan krijg je die met een format natuurlijk ook niet terug. Daar zijn backups voor bedacht die bijna niemand maakt maar wel hard nodig heeft op een bepaald moment...

Ik doelde op het niet kunnen opstarten van de PC.

 

[dnties]

Natuurlijk is het mogelijk om een nieuwe installatie van Windows te doen áls de partitie nog wel gewoon te benaderen is of benaderbaar te maken is met wat acties of (extreme actie) na herpartitionering/formattering. Daarmee heb je de originele Windows installatie (met instellingen voor geïnstalleerd software etc.) niet terug, want het is dan een nieuwe installatie geworden.

De pc zal dan wel weer opstarten, daar heb je gelijk in, maar dan met een nieuwe Windows erop. Op dezelfde manier heeft de jean die ene pc weer werkend gekregen, maar (dus) zonder behoud van de originele Windows installatie en (erger) zonder de gebruikersbestanden te kunnen redden. Doel van de huidige discussiedraad is echter om de originele Windows installatie te behouden en ook de gebruikersbestanden.

Tijs.

 

[Spocky]

wat je nog wel kan doen is om die geinfecteerde HD eruit te nemen en aan te sluiten aan een andere pc via een HD dock en zo heel de HD te scannen met bv avast en malwarebytes..... ?

 

[dnties]

@Spocky: Dat is hier, naar mijn idee, niet het issue, daar de topic-starter er positief van overtuigd is (puur/vooral) met een Politie-/Ukash- virus te maken te hebben die (normaal gesproken) via die Kaspersky live cd verwijderd kan worden. En anti-malware programma's werken even goed als er een live-cd bij gebruikt wordt (zoals bij de Kaspersky rescue cd of Hiren's boot cd of Ubuntu live cd etc.) als dat de harddisk wordt uitgebouwd en die in/vanaf een andere pc wordt gescand. Uitzondering hierbij zou zijn als de oorspronkelijke pc een BIOS-virus opgelopen heeft en het BIOS-virus niet (eerst) verwijderd is voordat de live-cd wordt gebruikt.

Naar mijn idee dwalen we nu ver af. Laten we afwachten wat de topic-starter terugmeldt over het toepassen van de Kaspersky rescue cd.

Tijs.

 

[lightframe]

dnties,

Ik bedoel dat wanneer je met de Kaspersky cd kunt opstarten en de registry editor en file manager kunt gebruiken dan moet het probleem met het niet willen opstarten ook wel te verhelpen zijn.

 

[dnties]

lightframe: Dat wordt zeuren als (bijv.) de registry-bestanden (incl. de versies in de Systeemherstel mappen) ook versleuteld zouden zijn op een manier dat er niets mee aan te vangen is. Het vervangen van systeembestanden zou wellicht nog wel lukken via een live cd, maar het terugzetten van de originele registry en drivers etc. kan een probleem worden als die niet onversleuteld te vinden zijn op de harddisk.

Tijs.

 

[lightframe]

dnties,

Wie zegt dat er ook maar iets versleuteld is? Windows start in de veilige modus niet op, dat is wat nu bekend is. Tot zover ik uit de eerste post kan opmaken start het systeem wel in de normale modus op maar verschijnt dan weer die melding.

 

[dnties]

@lightframe: Laatste wat ik nog over zeg, want we draven met zijn allen flink door: Ik beweer nergens dat de huidige partitie/bestanden van de topic-starter versleuteld zouden zijn. Jij kwam zelf met het "altijd" verhaal, waar ik (naar mijn mening dan toch) duidelijk op gereageerd heb.

Tijs.

 

[lightframe]

asbas,

Probeer eens een simpele truc, haal de internetkabel uit de pc zodat er geen internetverbinding is en start het systeem normaal op. Veel varianten van die ransomware werken niet wanneer er geen internetverbinding is gedetecteerd.

Als dat lukt, kun je nog wat extra tools gebruiken om het systeem te scannen.

 

[de jean]

de jean,

Het is altijd wel op te lossen wanneer je bijvoorbeeld de rescue disk van kaspersky gebruikt en weet wat je moet verwijderen.
Via een forum is het lastiger, maar als je het systeem zelf voor je hebt staan moet dat toch wel te doen zijn.

de laatste varianten laten je niet opstarten van cd ....

 

[dnties]

@de jean: Niet laten opstarten van CD? Zijn dat BIOS-virussen dan? [Toevallig nog in posting #10 genoemd]

Tijs.

 

[de jean]

@de jean: Niet laten opstarten van CD? Zijn dat BIOS-virussen dan? [Toevallig nog in posting #10 genoemd]

Tijs.

normaal niet ... maar zelfs via een opstartcd van true image lukte het niet, de virusschrijvers zijn zo dom nog niet blijkbaar ..