Gå till innehåll

Win 8.1 Möjlig virus/ransomware?


Recommended Posts

Postad (redigerade)

Hej

Givetvis har min bekantas dator strulat under min frånvaro. 
Jag misstänker det värsta.  



Användarens uppgift:  

 

Seghet, speciellt via webbläsare Chrome och dylika ärenden


Jag noterar idag & Igår:
Frekventa meddelanden om Offline. Nätverk går ej diagnosticera eller åtgärda via Windows inbyggda.
Jag loggar in på administratörkontot "lokalt" och utför diverse saker.
Kör F-Secure scanner som ofta reagerar på samma gamla filer som den alltid hittat  
(ipscanner,och liknande program som ligger inuti arkiv på lagringspartition)

Startar om.
Aktiverar nätverkskortet  "VPN av F secure" för all trafik. 
Internet fungerar bättre, dock vissa konstiga laddtider i Chrome mm

Uppdaterar definitionerna av Fsecure.
Ny scan

Resultatlistan visar dock många fler poster än normalt som är 
sökvägar den inte kan öppna. /att filerna är krypterade.


Så jag misstänker direkt det värsta, att det ligger crypto i datorn och låser filer med mera.
Därför stängde jag av den.
Den är också fysiskt tagen bortom nätverket såklart

 


Jag vill således ha en rigorös åtgärdsplan nu.

Förslag?

1. Ska starta linux liveskiva och säkerhetskopiera saker från disken till extern lagring.
2. Ska om möjligt göra offline analys/virussökningar
3. Ta snapshot av systemet
4. Hitta rotorsaken innan normal boot för att förhindra eventuella läckor,skador.


 

Redigerad av .RIHTT
Länk till kommentar
Dela på andra webbplatser

Postad (redigerade)

 

Resultatlistan visar dock många fler poster än normalt som är 

sökvägar den inte kan öppna. /att filerna är krypterade.

Nödvändigt att veta vad det är för filer och i vilka mappar de finns för att kunna uttala sig. Det kan vara filer som Windows har låst, en del antivirusprogram listar sådana.

 

Vanliga "ransomware" krypterar filer utan att man märker något (filerna får då andra filändelser t ex .mp3) och när det är klart efter några timmar/dygn visas ett meddelande om hur man betalar för att få dekrypteringsnyckeln. Meddelandet finns normalt som t ex .txt och/eller .html i alla mappar där filer har krypterats. Du kan starta från en Linux-skiva och se om t ex bilder har fått andra filändelser och/eller det finns dessa meddelandefiler.

 

 

Tillägg:

Seghet i webbläsare beror ofta på olämpliga reklamtillägg och/eller -program, ändring av DNS-servrar etc.

Redigerad av Cecilia
Länk till kommentar
Dela på andra webbplatser

Nödvändigt att veta vad det är för filer och i vilka mappar de finns för att kunna uttala sig. Det kan vara filer som Windows har låst, en del antivirusprogram listar sådana.

 

Vanliga "ransomware" krypterar filer utan att man märker något (filerna får då andra filändelser t ex .mp3) och när det är klart efter några timmar/dygn visas ett meddelande om hur man betalar för att få dekrypteringsnyckeln. Meddelandet finns normalt som t ex .txt och/eller .html i alla mappar där filer har krypterats. Du kan starta från en Linux-skiva och se om t ex bilder har fått andra filändelser och/eller det finns dessa meddelandefiler.

 

 

Tillägg:

Seghet i webbläsare beror ofta på olämpliga reklamtillägg och/eller -program, ändring av DNS-servrar etc.

 

Hej.

Precis, jag får väl antaligen sortera vanliga filtyper (bilder, docx, )  utifrån senast ändrade datum. 

Osäker dock på var  %recentfiles% har för sökväg i windows filträdet såhär ur minnet...

Tog tyvärr ingen printscreen eller bild, men det var ovanligt många ändå. 

Vanliga legitima exempel är om jag minns rätt:

c:\systemswap 

c:\pagefile

c:\rescue_partition

Men det var ändå ovanligt många fler poster tycker jag som varken kunde läsas eller öppnas. 

 

Länk till kommentar
Dela på andra webbplatser

Jag är inte nöjd med hur Windows 8.1 beter sig vid boot.  Måste man krångla upp systemet först, och flagga för alternativ boot efter omstart? 



F12, etc ger inga boot-alternativ.


BIOS har följande prio:

1Windows UEFI
2usb
3

Länk till kommentar
Dela på andra webbplatser

Hej

Givetvis har min bekantas dator strulat under min frånvaro. 

Jag misstänker det värsta.  

Användarens uppgift:  

 

Seghet, speciellt via webbläsare Chrome och dylika ärenden

Jag noterar idag & Igår:

Frekventa meddelanden om Offline. Nätverk går ej diagnosticera eller åtgärda via Windows inbyggda.

Jag loggar in på administratörkontot "lokalt" och utför diverse saker.

Kör F-Secure scanner som ofta reagerar på samma gamla filer som den alltid hittat  

(ipscanner,och liknande program som ligger inuti arkiv på lagringspartition)

Startar om.

Aktiverar nätverkskortet  "VPN av F secure" för all trafik. 

Internet fungerar bättre, dock vissa konstiga laddtider i Chrome mm

Uppdaterar definitionerna av Fsecure.

Ny scan

Resultatlistan visar dock många fler poster än normalt som är 

sökvägar den inte kan öppna. /att filerna är krypterade.

Så jag misstänker direkt det värsta, att det ligger crypto i datorn och låser filer med mera.

Därför stängde jag av den.

Den är också fysiskt tagen bortom nätverket såklart

 

Jag vill således ha en rigorös åtgärdsplan nu.

Förslag?

1. Ska starta linux liveskiva och säkerhetskopiera saker från disken till extern lagring.

2. Ska om möjligt göra offline analys/virussökningar

3. Ta snapshot av systemet

4. Hitta rotorsaken innan normal boot för att förhindra eventuella läckor,skador.

 

 

Efter steg 1:

OMINSTALLERA datorn.

Länk till kommentar
Dela på andra webbplatser

Hej.

Precis, jag får väl antaligen sortera vanliga filtyper (bilder, docx, )  utifrån senast ändrade datum. 

Osäker dock på var  %recentfiles% har för sökväg i windows filträdet såhär ur minnet...

Tog tyvärr ingen printscreen eller bild, men det var ovanligt många ändå. 

Vanliga legitima exempel är om jag minns rätt:

c:\systemswap 

c:\pagefile

c:\rescue_partition

Men det var ändå ovanligt många fler poster tycker jag som varken kunde läsas eller öppnas. 

 

 

Hej!

 

Som sagt filtypen ändras vid krypteringen så den är efteråt inte längre .jpg, .docx osv.

 

Jag kommer inte till någon mapp om jag skriver in %recentfiles% i Utforskaren i min dator och det finns inte heller någon sådan miljövariabel.

 

c:\systemswap och c:\rescue_partition känner jag inte igen men c:\pagefile ska vare sig du eller ett antivirusprogram komma åt.

Länk till kommentar
Dela på andra webbplatser

Postad (redigerade)

Efter steg 1:

OMINSTALLERA datorn.

Alternativt ja.

Jag är ännu i analysfasen  (som man sa under ubåtsjakten  :lol: med barsk ton  )

Ska man anamma ditt spår, kan man väl lika gärna överväga att köra low-level format på disken.

Eller köpa ny.  Virus "kan" ju infektera MBR, även factory_image  mfl.

 

 

Hej!

 

Som sagt filtypen ändras vid krypteringen så den är efteråt inte längre .jpg, .docx osv.

 

Jag kommer inte till någon mapp om jag skriver in %recentfiles% i Utforskaren i min dator och det finns inte heller någon sådan miljövariabel.

 

c:\systemswap och c:\rescue_partition känner jag inte igen men c:\pagefile ska vare sig du eller ett antivirusprogram komma åt.

Hej.

Givetvis.

Jag menade, och hoppas ni förstod mitt resonemang på följande punkter.

-Att lista med > dir  antalet vanliga filtyper man har, skulle detta antal ändras har man ju en indicie.

-Jag menar nyligen ändrade filer, vad den korrekta miljövariabeln är   shell:recent   

-sökvägen bör då vara %userprofile%\AppData\Roaming\Microsoft\Windows\Recent\

-Om vi kan exkludera det självklara, systemfiler och sådant som varken jag eller AV ska komma åt vill jag ändå poängtera att

jag uppfattade att antalet  "låsta objekt"  var ovanligt lång på denna dator. Att mängdvis av mappar,arkiv nu plötsligt inte går att nå ringer varningsklockor samt att

F-secure rapporten faktiskt skrev att "sökvägen är krypterat" vilket jag aldrig minns har sett förut på denna dator. 

Detta är ytterligare en "indicie" i min värld. Men jag har förhoppningsvis fel? 

 

Status /tidsordning

Jag övergav faktiskt idéen med alternativ bootmetod då det är alldeles för omständigt.

Hårdvaruspecifikt för Dell ,  UEFI  boot metod  , Secure Boot och enrolled  keys som jag inte vågar mixtra med. Skulle inte förvåna mig om datorn inte ens går starta sedan

eftersom allting är så hårdkodat med trusted modules o skit.   

Säkerhetskopierat de aktuella data jag anser kan behövas utifall att till extern disk

(ja den disken är dedikerad och sprids inte runt, enkelriktat flöde och den låses in i kassaskåp)

F-Secure med nya definitioner kör just nu heuristisk-fullständig  +rootkit scan på datorn som är tagen offline. 

Den jobbar långsamt på zip-arkiv just nu. 

Ska jag publicera scan-resultatet här sedan? 

Redigerad av .RIHTT
Länk till kommentar
Dela på andra webbplatser

Hej!

 

Det är väl enklare att titta i mappar som "Mina dokument", "Mina bilder" och liknande för att se om det är oväntade filändelser där och/eller filerna inte går att öppna.

 

Visst kan du publicera vad F-secure hittar.

Länk till kommentar
Dela på andra webbplatser

Hej.

Förhoppningsvis var det inte just "Ransomware"  

Det kan dock vara det
Datorn fick stå offline i helgen men kunde inte notera någon aktivitet. 



Däremot togs den i bruk nu igen för sedvanligt användande:

lokal mailklient
surfning i en mycket restriktiv firefox mijlö  (adblocker + RequestPolicy  CSRF)
bankärenden i separat chrome webbläsare
hantering och bearbetning av pdf:er och dokument


Ändå flaggar F-Secure för virus som tas bort frekvent:


multipla
https://www.f-secure.com/v-descs/trojan_js_agent.shtml

dussintals varje dag ex

\appdata\local\temp\filnamn.tmp

 

Länk till kommentar
Dela på andra webbplatser

Det låter inte heller som ransomware.

 

Ligger alla JS/Agent i just den temp-mappen du skrev ut?

Dyker de upp just vid surfning eller även när ingen webbläsare är igång?

 

Har du prövat med kompletterande program och tjänster, t ex MBAM och online-skanningar?

Länk till kommentar
Dela på andra webbplatser

Det är >50 st   man måste klicka på  "expandera"  för att se sökvägen.

Alla jag hittills kollat på är i  \temp mappen som beskrivit.  Egna filer dock skapade samma sekund  ( .tmp )



Svar Nej på andra frågor

Länk till kommentar
Dela på andra webbplatser

Då föreslår jag att du kör MBAM (Malwarebytes Anti-Malware) och Esets online-skanner.

 

Den senare behöver konfigureras för bästa detektering.

http://www.eset.com/onlinescan/och använd helst Internet Explorer till det
För att inte skannern ska ta för lång tid på sig stäng av antivirusprogrammet under tiden.

Välj alternativet Enable detection of potentially unwanted applications.

Klicka på Advanced Settings.
Ta bort bocken framför Remove found threats eftersom falsklarm förekommer vid denna noggranna skanning.
Bocka för:
Scan Archives
Scan for potentially unsafe applications
Enable Anti-Stealth Technology

Klicka på Start

När skanningen är klar klicka på List of found threats, följt av Export to a text file. Spara till en fil på skrivbordet och gå igenom den själv eller klistra in (bifoga) den här så kan jag titta på den om du vill.

Länk till kommentar
Dela på andra webbplatser

Delta i dialogen

Du kan skriva svaret nu och registrera dig senare, Om du har ett konto, logga in nu för att svara på inlägget.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Only 75 emoji are allowed.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Skapa nytt...