computer besmet met Windows Power Expansion! Verwijderen?

[Rikkie]

De pc van een kennis is besmet met Windows Power Expansion!
Hij kan niet meer op het internet, niet meer in de taakmanager en een verwijdertool die ik afhaalde start niet op (ook niet als admin) wegens geen rechten om deze te runnen.
Systeemherstel is ook uitgeschakeld.
In veilige modus start Windows Power Expansion ook mee op...
MBAM vind niets (maar deze kan niet updaten, 93 dagen oud, afgehaald op de site van MBAM zelf).
Weet er iemand een tooltje of de juiste werkwijze om deze pc terug aan de praat te krijgen?
Er zijn handleidingen die voorstellen volgende mappen te verwijderen "% AppData% Microsoft [random].exe ", deze mappen zijn niet te lokaliseren (kan veel zijn...).
Wie weet raad?

 

[Dinux]

Ik ben altijd van het handmatig oplossen van de problemen ipv een tootje. Je moet inderdaad in de safe mode zijn. De onderdelen die uitgeschakeld zijn zitten in het register. Kan je nog wel het register in?

 

[Rikkie]

Het is een Vista besturingssysteem, ik ben XP gewend.
Ik weet niet of ik in het register kan.
THX voor de snelle reactie!

 

[Quit]

Ik had hiervoor een poosje terug een handige oplossing gevonden.
Lees alles eens goed door en volg de stappen Windows Power Expansion – valse anti-spyware programma. Hoe zich te ontdoen van Windows Power Uitbreiding scam

 

[Rikkie]

Hoi Pluis,
Deze had ik ook reeds gevonden, toch bedankt!
Helaas kom ik vast te zitten bij het zoeken van de juiste locatie: "% AppData% Microsoft [random].exe " en het afgehaalde tooltje opent niet! Wordt geblokkerd.
Ik heb zojuist gelezen dat deze maleware recent zou zijn bijgewerkt...

 

[Quit]

Staat er bij:

[edit]Belangrijke! Afhankelijk van het besturingssysteem van uw computer, %UserProfile% staat voor C:\Documents and Settings [Huidige gebruiker] voor Windows XP en C:\Gebruikers [Huidige gebruiker] voor Windows Vista / 7.[/edit]

 

[Rikkie]

Inderdaad, maar %UserProfile% staat voor de account waar je in zit en C:\Gebruikers [Huidige gebruiker] vind ik ook.
Maar dan...
"In deze map is er de belangrijkste uitvoerbare bestand van Windows Power Expansion worden (met het pictogram van * avi-bestand), met enige willekeurige naam.", deze is niet te vinden.
Willekeurig kan veel zijn en geen .avi te vinden! (misschien niet goed genoeg gezocht met de zoekfunctie).

[EDIT]Let even op je letter grootte, die mag gewoon op 2 blijven staan, Dinux[/EDIT]

 

[Quit]

Ik heb zelf gelukkig deze besmetting niet, dus ik kan niet mee helpen zoeken, maar kijk toch deze map eens goed na.

Bekijk ook de video eens goed op de site. Hier wordt een bestand met een bepaald pictogram hernoemd.

 

[Rikkie]

Ik ben nu terug thuis.
Ik zal morgen de kennissen op de hoogte stellen!
Ik heb wel gezien dat het filmpje een andere (waarschijnlijk oudere) versie was van wat er ginder op de pc stond.
Wie niet waagt blijft ... zonder!
THX Pluis

 

[Kerb]

Gisteren toevallig bij familie ook even op bezoek geweest om dit beestje te verwijderen. Ik heb me maar snel even aangemeld hier zodat jullie ook verder kunnen

Die map is niet zo moeilijk te vinden. Inderdaad de "Gebruikers" map had je al gevonden, dan zie je daar ook de huidige gebruiker (je naam of "Eigenaar" of iets dergelijks), daarin ga je een mapje "AppData" vinden, daarin 3 mapjes (Local/LocalNow/Roaming) waarvan ik niet meer weet welke het was, ik denk Local. Daarin zit een mapje "Microsoft". In die laatste map staat een bestandje met een vreemde naam (een paar letters) en eventueel een icoontje van een filmpje (maar dat hoeft niet).

Als je de map "AppData" niet kan zien, kan dat zijn omdat je verborgen bestanden niet kan zien. Hiervoor moet je klikken op "Organiseren" -> "Map en zoekopties", dan het tabje "Weergave" en dan het vinkje uitzetten bij "Beveiligde systeembestanden niet weergeven" en het bolletje zetten bij "Verborgen bestanden weergeven". (Naamgeving kan iets anders zijn, ik ben een Engelse versie gewoon en verzin het hier ter plaatse zonder dat ik kan checken )

Als je die dingen hebt aangezet, zou je de "AppData" map wel moeten kunnen zien en dus ook de mappen daar onder.

Best is om dit bestandje even te hernoemen en dan de pc opnieuw op te starten. Mocht het zijn dat die malware nog altijd opstart, heb je iets verkeerd hernoemd Als je het juiste hernoemd hebt, zal de malware niet meer opstarten en kan je de pc gewoon terug gebruiken.

Je zou wel nog even moeten opruimen: het hernoemde bestand mag je verwijderen, eventueel nog de registry-key verwijderen.

HKCU\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell "% AppData% Microsoft [random].exe "

Veel succes!

 

[Rikkie]

THX Kerb, ik ga dat vanavond eens proberen!

 

[Kerb]

THX Kerb, ik ga dat vanavond eens proberen!

En? Succes?

 

[Rikkie]

Zij kunnen terug op het het internet en de pc werkt terug naar behoren.
Er is bij het opstarten nog wel een foutmelding, maar deze kan gewoon weggeklikt worden...
Ik heb voorgesteld om de pc grondig op te kuisen, maar dat is blijkbaar niet nodig...:vraagteken:
Zo ik heb mijn best gedaan, ik kan de mensen niet dwingen hun pc op te kuisen...
ik wacht nog even af en dan sluit ik de zaak af.

Iedereen bedankt voor de hulp!

 

[swake]

Er is bij het opstarten nog wel een foutmelding, maar deze kan gewoon weggeklikt worden...

Dus nog sporen van de scamware. Best eens een HJT logje plaatsen ter controle.

 

[Rikkie]

Dus nog sporen van de scamware. Best eens een HJT logje plaatsen ter controle.

Heb ik ook gezegd, maar geen reactie meer gekregen...
Dus hier mag een slotje op!

Iedereen bedankt!