W.A. van der Steen

Alles wat mij bezig houd

Het politievirus

Afgelopen week kreeg ik de schrik van mijn leven, tijdens het opstarten van mijn computer, bleek ik te zijn getroffen door het politie computer virus, of ik even 100 euro wilde betalen, zou ik dat niet doen, zou men mijn computer blijven gijzelen.
De betaling kan geschieden via Ukash, paysafecard of een ander betaalmiddel, zolang het maar naar een dubieus account is.
Helaas zijn er mensen die dan toch geld over maken, zodat men toch bij hun geliefde bestanden kan, sommige mensen rennen met hun computer naar de winkel, en betalen alsnog 100 euro om het virus door de winkelier te laten verwijderen, terwij je er eigenlijk vrij simpel vanaf kan komen.

Voor dat we beginnen met het uitleggen van de verwijdering, wil ik u er op wijzen dat u niets met de beschuldigingen te maken heeft die het virus op uw scherm toont.
Veelal staan er beschuldingen op het scherm dat u kinderporno zou hebben op uw pc, tenminste als het goed is.
Het virus kan op een aantal manieren op uw computer terecht komen, het meest voorkomende is toch wel via een verouderde Java of Flash, zorg er dus voor dat u altijd de laatste updates van heeft.

Politie virus

Politie virus

Het virus komt niet alleen in Nederland voor, zo gaan er verschillende website rond van bijvoorbeeld de FBI, maar ook de belgische auteursrechten organisatie.
Voor Nederland alleen al gaan er (bij mij bekend) drie rond, het politie virus, waarbij de gebruiker in verband word gebracht met het korps landelijke politiediensten, maar ook zijn er gevallen bekend van de cyberpolitie.
In beide gevallen hebben de crimminelen gebruik gemaakt van de logo’s van de politie.
Overigens blijft Buma Stemra ook niet ongeschonden, ook hier zijn verhalen van bekend dat deze is misbruikt.

Het politievirus verwijderen

Laten we ons te ontdoen van dit virus, dit kost geen geld, hooguit zullen we wat programma’s opnieuw moeten installeren.
Hiervoor moeten we terug gaan naar een eerder herstelpunt.
Windows verwijderd alles wat er na dat herstelpunt werd bijgeplaatst aan programma’s, en dus ook het virus.
Gelukkig laat Windows uw bestanden zoals foto’s en word documenten met rust, deze blijven dus gewoon op uw computer staan.

De eerste stap

Onze computer is vergrendeld, en we zullen ons dus eerst toegang moeten zien te verschaffen, dit kunnen we namelijk heel simpel doen door tijdens het opstarten te drukken op F8, dit kunnen we doen 5 seconden nadat we de computer hebben aangezet.
Met de F8 toets zal Windows een heel klein opstartmenu laten zien, in dat menu kunnen we met de pijltjes toetsen een keuze maken, wij kiezen voor “Veilige modus met opdrachtprompt”.
Windows zal nu alleen die bestanden starten die Windows zelf nodig heeft, we noemen dit dan ook wel een “Kale Start”.
Deze start laat dan ook alleen de opstartprompt zien, ofwel we zitten in de niet grafische mode van Windows.

Zodra de PC is opgestart typen we op de opdrachtprompt het volgende commando “rstrui”gevolgd door een enter.
Met dit commando word systeem herstel opgestart, en we kunnen dus een keuze maken welk punt we terug willen gaan zetten, mijn advies is om minimaal een maand terug te gaan, want we weten namelijk nooit zeker wanneer we het virus hebben binnen gehaald.
Volg verder de stappen die op het scherm worden getoond, tot dat de computer opnieuw wordt opgestart.

LET OP, het virus is nog op de computer aanwezig, maar wordt niet meer automatisch mee opgestart.

De daadwerkelijke verwijdering

Gelukkig, Windows start weer normaal op, en we kunnen weer overal bij, maar we zijn nog niet klaar, tijd om het virus echt te gaan verwijderen.
Wat we moeten doen is de schijf zien te vinden waar Windows op is geïnstalleerd, op 9 van de 10 computers is dit de C: schijf.
Op deze schijf gaan we opzoek naar de map Programdata, ben je niet bekend met het zoeken naar bepaalde mappen, geen nood want via Start en vervolgens zoeken, kunnen we het commando %ProgramData% typen, we komen dan direct uit in de juiste map.

In deze map gaan we opzoek naar uitvoerbare bestanden, deze zijn te herkennen aan bestanden die achter de punt “.exe” hebben staan.
Gezien het feit er in deze map NOOIT .exe bestanden mogen staan, dus ook niet in de submappen, kunnen we deze dus verwijderen.
We kunnen dus in deze map het volgende aantreffen.

c:\ProgramData\csrss.exe
c:\ProgramData\[random.exe] (random betekent dat het op elk systeem anders is)

Nu we dit hebben gedaan, moeten ook nog de .exe bestanden uit de profielmappen verwijderd worden. Zoek de volgende:

C:\Gebruikers\{UW gebruikersnaam}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe
C:\Gebruikers\{UW gebruikersnaam}\AppData\Local\Microsoft\Windows\[Random]\ [Random.exe]

Het Virus is verwijderd, wat nu?

Zo, we hebben ons zelf ontdaan van een virus, en hebben hiermee geld bespaard, toch zijn we nog niet helemaal klaar, want we willen natuurlijk niet dat we nog eens worden getroffen door dit virus.
Laten we de computer nog eens nakijken door MalwareBytes en voor de zekerheid ook nog door Hitman Pro, beide programma’s zijn gratis te gebruiken, al is het tijdelijk, maar zekere voor het onzekere.
Met deze extra check kunnen we de mogelijk laatste resten van het virus verwijderen, en desnoods voorkomen.
Natuurlijk is het raadzaam om altijd een virusscanner op de computer te hebben staan die up to date is.

Tot slot.

We hebben de computer ruim een maand terug gezet, dat betekend dat we nu best wel een aantal programma’s zullen missen, deze zullen we opnieuw moeten installeren.
Ook de laatste Windows updates zullen we weer moeten downloaden en installeren, kortom echt achterover leunen kunnen we nog niet, maar het grote gevaar is wel geweken.
Veel succes, en natuurlijk wel uitkijken wat u doet op het internet.

One Response to Het politievirus

  1. Pingback: Wat is malware? – W.A. van der Steen