Getting rid of the Buma Stemra ransomware malware – Windows 7

Categories Malware

Word reached me that my approach to get rid of the Buma Stemra Ransomware malware did not work on Windows 7. I initially only tested the approach on Windows XP, but I now took the time to test it on Windows 7 as well. The video below will show that the approach worked fine on Windows 7 in my test environment. While the approach is mostly the same there are some small differences.

Note: The malware could not reach the webserver of the attackers, so the malware could not show the Buma Stemra screen.

31 Comments

  • kees
    13/03/2012

    Hallo,

    Is het mogelijk dat deze stappen in tekst met plaatjes geplaatst kan worden aangezien ik niet het filmpje kan bekijken heb maar 1 pc thuis namelijk (zit nu op me werk).

    Bvd

    Groet

    Kees

  • Thice
    13/03/2012

    @kees
    Did you check the instructions for Windows XP?
    http://www.thice.nl/getting-rid-of-the-buma-stemra-ransomware-malware/

    The instructions for Windows 7 are mostly the same. I do not have time at the moment to create a full Windows 7 write up.

  • kees
    13/03/2012

    I think i have fixed it, was running win7 thought you needed other writing but like you said its mostly the same.. btw, if you have more accounts you need to use on both accounts the NoDesktop/DisableTaskMgr fix

  • kees
    14/03/2012

    Hallo,

    Ik heb de ransomware eraf kunnen krijgen, hartelijk dank hiervoor 🙂

  • Jeanne
    15/03/2012

    Are these steps also useful for Windows Vista?

  • Thice
    15/03/2012

    @Jeanne
    I do expect so, please try all the steps from Windows XP here: http://www.thice.nl/getting-rid-of-the-buma-stemra-ransomware-malware/
    There might be some small changes. If you run into problems please let me know and I will test it on Vista as well.

  • Jeanne
    15/03/2012

    @Thice
    I just wanted to try it and all of a sudden my anti-virus software started working on it! So I cannot tell you if this approach would work on Vista too… Anyway, thank you for the tutorial and your reply.

  • tjerk
    25/03/2012

    ik heb het eerste gedeelte goed kunnen doen. alleen zit ik nu met het probleem dat ik niet in het register kan komen. hij geeft namelijk aan dat het geblokkeerd is door de systeembeheerder. ik heb al een aantal dingen geprobeerd maar het lukt me niet om erom heen te komen. heb jij hier nog tips voor?

  • Thice
    25/03/2012

    @tjerk
    Please check and try the registry fix VBS file named here:
    http://www.thice.nl/getting-rid-of-the-buma-stemra-ransomware-malware/

  • tjerk
    10/04/2012

    @Thice

    bedankt voor je link thijs.maar mijn laptop doet nog steeds niet helemaal goed als bepaalde menus op zoals die van de taskmanager dan zie ik helemaal geen tekst dan zie ik alleen maar de contouren van dat scherm en de contouren van de knoppen waar je op kan klikken. weet jij hoe ik dit kan oplossen?

  • Ricky
    14/04/2012

    Hallo,

    Ik heb ook het probleem met dit virus, maar ik kom er niet uit. Bij de stap waar ik AppData in intoets en dan Roaming aanklik staat het bestand h6s5ruij653.exe er niet tussen. Waar kan ik deze vinden? kan iemand mij hiermee helpen

  • Thice
    20/04/2012

    @Ricky
    Staat er toevallig een ander verdacht bestand? Het kan zijn dat het hier om een andere variatie van de malware gaat.

  • Thice
    20/04/2012

    @tjerk
    Het beste is om de gehele PC opnieuw te installeren nadat je de data die je wilt bewaren elders hebt opgeslagen.

  • Thice.nl » Getting rid of the Buma Stemra ransomware malware
    09/05/2012

    […] a boot CD. This approach has been tested on Windows XP, the approach for Windows 7 can be found here. At the end of this page there is a video showing all the […]

  • rogoos
    30/05/2012

    Alternatief voor deze oplossing, waarschijnlijk een variant:

    C:\Users\Username\AppData\Local\Temp\

    AVG Rescue disk, naar deze folder. Alle bestanden weggooien…..

    Opnieuw booten, helaas nog geen shell … regedit

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell C:\windows\explorer.exe [ was : C:\Users\Username\AppData\Local\Temp\k8h0pp.exe ]

    Ook even zoeken naar AlternateShell en ook aanpassen…..

    Dit lost het ook op…..

  • tim
    04/06/2012

    @Thice
    Ik heb hetzelfde probleem als Ricky. Het bestand staat er niet in, en ook geen ander verdacht bestand.

  • Thice
    04/06/2012

    @tim
    As long as no one sends me the new malware I can not investigate the differences I am afraid.

  • dominique
    06/06/2012

    Hallo,

    Ook ik ben getroffen door dit virus. Moet zeggen dat ik na een paar uur met de handen in mijn haar te hebben gezeten, besloten heb hier een vraag te stellen. Ik hoop dat jullie mij verder kunnen helpen. Ik wil er op dezelfde manier als het filmpje vanaf komen, maar ik krijg geen pop-up venster. Heb al veel manieren geprobeerd maar het lukt niet. Ik maak normaal aan het einde van elke maand een backup, maar net nu natuurlijk niet :s. Mijn bestanden MOETEN bewaard blijven voor mijn werk.

    Als iemand mij kan helpen zou ik dit erg waarderen.

    Groet,
    Dominique

  • Thice
    06/06/2012

    @dominique
    Did you try to follow the steps as described here?
    http://www.thice.nl/getting-rid-of-the-buma-stemra-ransomware-malware/

    Which Windows version are you using?

  • Inge
    06/06/2012

    Ook ik kan geen verdacht bestand vinden onder Roaming. Sowieso geen bestanden die afgelopen maand nog gewijzigd zijn.
    Onder Local staat wel iets met de datum en tijd van wanneer mn laptop crashte eerder deze avond, maar dat heeft de naam ‘tempfiles’. Die moet ik zeker niet hebben?

  • Thice
    07/06/2012

    When the instructions on this site don’t work for you check the excellent alternative instructions on the following website:
    http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=5927

    If possible please send the malware file to me if you can. Also, please send the malware location so other people can find the malware on their systems.

  • Muriel
    08/06/2012

    Verdacht bestand heette bij mij Warcraft en stond onder Roaming (Windows Vista). Toen ik hem probeerde te renamen, schoot de virusscanner in actie. Probleem lijkt daarmee opgelost. Bedankt voor de hulp!

  • Remco
    20/06/2012

    @Thice
    I got a problem to with the virus problem is I can’t get to that menu to copy or print or any thing. The virus is a bit modified I think. I’m also not sure if I found the correct exe but there was one that was created the day I got the virus. But I wanted to be sure so I gone to roaming but there was no exe file but also some of the same time and date as whene I got this virus. Thought maybe that will help a bit don’t know how I can send it to you. But maybe if you can say how I will send some of the files I found. Maybe than you could help me.

  • Thice
    21/06/2012

    @Remco
    Hi Remco, can you put the files in an encrypted RAR file (with hide file information on) by any chance? If so you can email them to mod at thice . nl.

  • Aldert
    24/06/2012

    Ook ik ben al uren op zoek naar dat h6s5… bestandje vanuit karspersky; onvindbaar. En ook bij mij werkt popup window vanuit die BUMA STEMRA melding niet. Daarmee helpen de filmpjes van thice en pcwebplus me dus niet op weg. Iemand enig idee?

  • Evert Hoogers
    25/06/2012

    hallo,

    Perfecte oplossing !
    Dit virus gebruikt diverse namen.
    In mijn laatste geval: flgshl.dll in de roaming folder.
    Door de diverse register sleutels te doorlopen en die te verwijderen was het euvel snel verholpen.

    Gr, Evert.

  • Remco
    01/07/2012

    Can I do that with winrar, sorry i’m quite a computer noob. btw if your dutch could you anser in dutch that’s bit more easy to understand also 😛 sorry for the late reaction. Thought I would get an e-mail if there would be a reaction but not. and if it can with winrar how do I do that?@Thice

  • mattis
    09/07/2012

    Unfortunately I have the same problem: not able to print anything from the screen (though I am able to get into my C drive as long as all internet connections are disabled); and not able to find or identify the virus file… I am quite willing to help by sending files through mail, but as mentioned, since my laptop jams because of the virus as soon as I connect to the internet, and I cannot identify the correct file, I am afraid this won’t work… Windows XP btw, but the method described on the othrr page does work for me either .. hints/tips/tricks anyone?

  • Thice
    11/09/2012

    When the instructions on this site don’t work for you check the excellent alternative instructions on the following website:
    http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=5927
    If possible please send the malware file to me if you can. Also, please send the malware location so other people can find the malware on their systems.

  • Getting rid of the Buma Stemra ransomware malware (virus) – Sysadmins of the North
    09/10/2013

    […] Getting rid of the Buma Stemra ransomware malware – Windows 7 […]

  • Thice.nl » Post overview
    29/08/2014

    […] Getting rid of the Buma Stemra ransomware malware Getting rid of the Buma Stemra ransomware malware – Windows 7 Reverse Engineering Perl2Exe back to Perl Perl2Exe back to Perl – 2014 Soon: Perl2Exe back to […]

Leave a Reply

Your email address will not be published. Required fields are marked *