Home > Malware > Getting rid of the Buma Stemra ransomware malware – Windows 7

Getting rid of the Buma Stemra ransomware malware – Windows 7

Word reached me that my approach to get rid of the Buma Stemra Ransomware malware did not work on Windows 7. I initially only tested the approach on Windows XP, but I now took the time to test it on Windows 7 as well. The video below will show that the approach worked fine on Windows 7 in my test environment. While the approach is mostly the same there are some small differences.

Note: The malware could not reach the webserver of the attackers, so the malware could not show the Buma Stemra screen.

  1. kees
    March 13th, 2012 at 13:19 | #1

    Hallo,

    Is het mogelijk dat deze stappen in tekst met plaatjes geplaatst kan worden aangezien ik niet het filmpje kan bekijken heb maar 1 pc thuis namelijk (zit nu op me werk).

    Bvd

    Groet

    Kees

  2. Thice
    March 13th, 2012 at 18:46 | #2

    @kees
    Did you check the instructions for Windows XP?
    http://www.thice.nl/getting-rid-of-the-buma-stemra-ransomware-malware/

    The instructions for Windows 7 are mostly the same. I do not have time at the moment to create a full Windows 7 write up.

  3. kees
    March 13th, 2012 at 21:55 | #3

    I think i have fixed it, was running win7 thought you needed other writing but like you said its mostly the same.. btw, if you have more accounts you need to use on both accounts the NoDesktop/DisableTaskMgr fix

  4. kees
    March 14th, 2012 at 09:24 | #4

    Hallo,

    Ik heb de ransomware eraf kunnen krijgen, hartelijk dank hiervoor :)

  5. Jeanne
    March 15th, 2012 at 10:41 | #5

    Are these steps also useful for Windows Vista?

  6. Thice
    March 15th, 2012 at 10:51 | #6

    @Jeanne
    I do expect so, please try all the steps from Windows XP here: http://www.thice.nl/getting-rid-of-the-buma-stemra-ransomware-malware/
    There might be some small changes. If you run into problems please let me know and I will test it on Vista as well.

  7. Jeanne
    March 15th, 2012 at 16:49 | #7

    @Thice
    I just wanted to try it and all of a sudden my anti-virus software started working on it! So I cannot tell you if this approach would work on Vista too… Anyway, thank you for the tutorial and your reply.

  8. tjerk
    March 25th, 2012 at 13:10 | #8

    ik heb het eerste gedeelte goed kunnen doen. alleen zit ik nu met het probleem dat ik niet in het register kan komen. hij geeft namelijk aan dat het geblokkeerd is door de systeembeheerder. ik heb al een aantal dingen geprobeerd maar het lukt me niet om erom heen te komen. heb jij hier nog tips voor?

  9. Thice
    March 25th, 2012 at 13:12 | #9

    @tjerk
    Please check and try the registry fix VBS file named here:
    http://www.thice.nl/getting-rid-of-the-buma-stemra-ransomware-malware/

  10. tjerk
    April 10th, 2012 at 10:36 | #10

    @Thice

    bedankt voor je link thijs.maar mijn laptop doet nog steeds niet helemaal goed als bepaalde menus op zoals die van de taskmanager dan zie ik helemaal geen tekst dan zie ik alleen maar de contouren van dat scherm en de contouren van de knoppen waar je op kan klikken. weet jij hoe ik dit kan oplossen?

  11. Ricky
    April 14th, 2012 at 03:37 | #11

    Hallo,

    Ik heb ook het probleem met dit virus, maar ik kom er niet uit. Bij de stap waar ik AppData in intoets en dan Roaming aanklik staat het bestand h6s5ruij653.exe er niet tussen. Waar kan ik deze vinden? kan iemand mij hiermee helpen

  12. Thice
    April 20th, 2012 at 14:50 | #12

    @Ricky
    Staat er toevallig een ander verdacht bestand? Het kan zijn dat het hier om een andere variatie van de malware gaat.

  13. Thice
    April 20th, 2012 at 15:01 | #13

    @tjerk
    Het beste is om de gehele PC opnieuw te installeren nadat je de data die je wilt bewaren elders hebt opgeslagen.

  14. rogoos
    May 30th, 2012 at 00:37 | #14

    Alternatief voor deze oplossing, waarschijnlijk een variant:

    C:\Users\Username\AppData\Local\Temp\

    AVG Rescue disk, naar deze folder. Alle bestanden weggooien…..

    Opnieuw booten, helaas nog geen shell … regedit

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell C:\windows\explorer.exe [ was : C:\Users\Username\AppData\Local\Temp\k8h0pp.exe ]

    Ook even zoeken naar AlternateShell en ook aanpassen…..

    Dit lost het ook op…..

  15. tim
    June 4th, 2012 at 14:45 | #15

    @Thice
    Ik heb hetzelfde probleem als Ricky. Het bestand staat er niet in, en ook geen ander verdacht bestand.

  16. Thice
    June 4th, 2012 at 17:37 | #16

    @tim
    As long as no one sends me the new malware I can not investigate the differences I am afraid.

  17. dominique
    June 6th, 2012 at 11:51 | #17

    Hallo,

    Ook ik ben getroffen door dit virus. Moet zeggen dat ik na een paar uur met de handen in mijn haar te hebben gezeten, besloten heb hier een vraag te stellen. Ik hoop dat jullie mij verder kunnen helpen. Ik wil er op dezelfde manier als het filmpje vanaf komen, maar ik krijg geen pop-up venster. Heb al veel manieren geprobeerd maar het lukt niet. Ik maak normaal aan het einde van elke maand een backup, maar net nu natuurlijk niet :s. Mijn bestanden MOETEN bewaard blijven voor mijn werk.

    Als iemand mij kan helpen zou ik dit erg waarderen.

    Groet,
    Dominique

  18. Thice
    June 6th, 2012 at 18:59 | #18

    @dominique
    Did you try to follow the steps as described here?
    http://www.thice.nl/getting-rid-of-the-buma-stemra-ransomware-malware/

    Which Windows version are you using?

  19. Inge
    June 6th, 2012 at 20:23 | #19

    Ook ik kan geen verdacht bestand vinden onder Roaming. Sowieso geen bestanden die afgelopen maand nog gewijzigd zijn.
    Onder Local staat wel iets met de datum en tijd van wanneer mn laptop crashte eerder deze avond, maar dat heeft de naam ‘tempfiles’. Die moet ik zeker niet hebben?

  20. Thice
    June 7th, 2012 at 20:37 | #20

    When the instructions on this site don’t work for you check the excellent alternative instructions on the following website:
    http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=5927

    If possible please send the malware file to me if you can. Also, please send the malware location so other people can find the malware on their systems.

  21. Muriel
    June 8th, 2012 at 15:21 | #21

    Verdacht bestand heette bij mij Warcraft en stond onder Roaming (Windows Vista). Toen ik hem probeerde te renamen, schoot de virusscanner in actie. Probleem lijkt daarmee opgelost. Bedankt voor de hulp!

  22. Remco
    June 20th, 2012 at 17:26 | #22

    @Thice
    I got a problem to with the virus problem is I can’t get to that menu to copy or print or any thing. The virus is a bit modified I think. I’m also not sure if I found the correct exe but there was one that was created the day I got the virus. But I wanted to be sure so I gone to roaming but there was no exe file but also some of the same time and date as whene I got this virus. Thought maybe that will help a bit don’t know how I can send it to you. But maybe if you can say how I will send some of the files I found. Maybe than you could help me.

  23. Thice
    June 21st, 2012 at 10:34 | #23

    @Remco
    Hi Remco, can you put the files in an encrypted RAR file (with hide file information on) by any chance? If so you can email them to mod at thice . nl.

  24. Aldert
    June 24th, 2012 at 19:55 | #24

    Ook ik ben al uren op zoek naar dat h6s5… bestandje vanuit karspersky; onvindbaar. En ook bij mij werkt popup window vanuit die BUMA STEMRA melding niet. Daarmee helpen de filmpjes van thice en pcwebplus me dus niet op weg. Iemand enig idee?

  25. June 25th, 2012 at 23:39 | #25

    hallo,

    Perfecte oplossing !
    Dit virus gebruikt diverse namen.
    In mijn laatste geval: flgshl.dll in de roaming folder.
    Door de diverse register sleutels te doorlopen en die te verwijderen was het euvel snel verholpen.

    Gr, Evert.

  26. Remco
    July 1st, 2012 at 11:48 | #26

    Can I do that with winrar, sorry i’m quite a computer noob. btw if your dutch could you anser in dutch that’s bit more easy to understand also :P sorry for the late reaction. Thought I would get an e-mail if there would be a reaction but not. and if it can with winrar how do I do that?@Thice

  27. mattis
    July 9th, 2012 at 14:45 | #27

    Unfortunately I have the same problem: not able to print anything from the screen (though I am able to get into my C drive as long as all internet connections are disabled); and not able to find or identify the virus file… I am quite willing to help by sending files through mail, but as mentioned, since my laptop jams because of the virus as soon as I connect to the internet, and I cannot identify the correct file, I am afraid this won’t work… Windows XP btw, but the method described on the othrr page does work for me either .. hints/tips/tricks anyone?

  28. Thice
    September 11th, 2012 at 20:42 | #28

    When the instructions on this site don’t work for you check the excellent alternative instructions on the following website:
    http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=5927
    If possible please send the malware file to me if you can. Also, please send the malware location so other people can find the malware on their systems.

  1. May 9th, 2012 at 10:53 | #1
  2. October 9th, 2013 at 12:17 | #2