.RIHTT Postad April 1, 2016 Dela Postad April 1, 2016 (redigerade) HejGivetvis har min bekantas dator strulat under min frånvaro. Jag misstänker det värsta. Användarens uppgift: Seghet, speciellt via webbläsare Chrome och dylika ärendenJag noterar idag & Igår:Frekventa meddelanden om Offline. Nätverk går ej diagnosticera eller åtgärda via Windows inbyggda.Jag loggar in på administratörkontot "lokalt" och utför diverse saker.Kör F-Secure scanner som ofta reagerar på samma gamla filer som den alltid hittat (ipscanner,och liknande program som ligger inuti arkiv på lagringspartition)Startar om.Aktiverar nätverkskortet "VPN av F secure" för all trafik. Internet fungerar bättre, dock vissa konstiga laddtider i Chrome mmUppdaterar definitionerna av Fsecure.Ny scanResultatlistan visar dock många fler poster än normalt som är sökvägar den inte kan öppna. /att filerna är krypterade.Så jag misstänker direkt det värsta, att det ligger crypto i datorn och låser filer med mera.Därför stängde jag av den.Den är också fysiskt tagen bortom nätverket såklart Jag vill således ha en rigorös åtgärdsplan nu.Förslag?1. Ska starta linux liveskiva och säkerhetskopiera saker från disken till extern lagring.2. Ska om möjligt göra offline analys/virussökningar3. Ta snapshot av systemet4. Hitta rotorsaken innan normal boot för att förhindra eventuella läckor,skador. Redigerad April 1, 2016 av .RIHTT Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Cecilia Postad April 1, 2016 Dela Postad April 1, 2016 (redigerade) Resultatlistan visar dock många fler poster än normalt som är sökvägar den inte kan öppna. /att filerna är krypterade. Nödvändigt att veta vad det är för filer och i vilka mappar de finns för att kunna uttala sig. Det kan vara filer som Windows har låst, en del antivirusprogram listar sådana. Vanliga "ransomware" krypterar filer utan att man märker något (filerna får då andra filändelser t ex .mp3) och när det är klart efter några timmar/dygn visas ett meddelande om hur man betalar för att få dekrypteringsnyckeln. Meddelandet finns normalt som t ex .txt och/eller .html i alla mappar där filer har krypterats. Du kan starta från en Linux-skiva och se om t ex bilder har fått andra filändelser och/eller det finns dessa meddelandefiler. Tillägg: Seghet i webbläsare beror ofta på olämpliga reklamtillägg och/eller -program, ändring av DNS-servrar etc. Redigerad April 1, 2016 av Cecilia Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
.RIHTT Postad April 1, 2016 Författare Dela Postad April 1, 2016 Nödvändigt att veta vad det är för filer och i vilka mappar de finns för att kunna uttala sig. Det kan vara filer som Windows har låst, en del antivirusprogram listar sådana. Vanliga "ransomware" krypterar filer utan att man märker något (filerna får då andra filändelser t ex .mp3) och när det är klart efter några timmar/dygn visas ett meddelande om hur man betalar för att få dekrypteringsnyckeln. Meddelandet finns normalt som t ex .txt och/eller .html i alla mappar där filer har krypterats. Du kan starta från en Linux-skiva och se om t ex bilder har fått andra filändelser och/eller det finns dessa meddelandefiler. Tillägg: Seghet i webbläsare beror ofta på olämpliga reklamtillägg och/eller -program, ändring av DNS-servrar etc. Hej. Precis, jag får väl antaligen sortera vanliga filtyper (bilder, docx, ) utifrån senast ändrade datum. Osäker dock på var %recentfiles% har för sökväg i windows filträdet såhär ur minnet... Tog tyvärr ingen printscreen eller bild, men det var ovanligt många ändå. Vanliga legitima exempel är om jag minns rätt: c:\systemswap c:\pagefile c:\rescue_partition Men det var ändå ovanligt många fler poster tycker jag som varken kunde läsas eller öppnas. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
.RIHTT Postad April 1, 2016 Författare Dela Postad April 1, 2016 Jag är inte nöjd med hur Windows 8.1 beter sig vid boot. Måste man krångla upp systemet först, och flagga för alternativ boot efter omstart? F12, etc ger inga boot-alternativ.BIOS har följande prio:1Windows UEFI2usb3 Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
gsb Postad April 1, 2016 Dela Postad April 1, 2016 Hej Givetvis har min bekantas dator strulat under min frånvaro. Jag misstänker det värsta. Användarens uppgift: Seghet, speciellt via webbläsare Chrome och dylika ärenden Jag noterar idag & Igår: Frekventa meddelanden om Offline. Nätverk går ej diagnosticera eller åtgärda via Windows inbyggda. Jag loggar in på administratörkontot "lokalt" och utför diverse saker. Kör F-Secure scanner som ofta reagerar på samma gamla filer som den alltid hittat (ipscanner,och liknande program som ligger inuti arkiv på lagringspartition) Startar om. Aktiverar nätverkskortet "VPN av F secure" för all trafik. Internet fungerar bättre, dock vissa konstiga laddtider i Chrome mm Uppdaterar definitionerna av Fsecure. Ny scan Resultatlistan visar dock många fler poster än normalt som är sökvägar den inte kan öppna. /att filerna är krypterade. Så jag misstänker direkt det värsta, att det ligger crypto i datorn och låser filer med mera. Därför stängde jag av den. Den är också fysiskt tagen bortom nätverket såklart Jag vill således ha en rigorös åtgärdsplan nu. Förslag? 1. Ska starta linux liveskiva och säkerhetskopiera saker från disken till extern lagring. 2. Ska om möjligt göra offline analys/virussökningar 3. Ta snapshot av systemet 4. Hitta rotorsaken innan normal boot för att förhindra eventuella läckor,skador. Efter steg 1: OMINSTALLERA datorn. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Cecilia Postad April 1, 2016 Dela Postad April 1, 2016 Hej. Precis, jag får väl antaligen sortera vanliga filtyper (bilder, docx, ) utifrån senast ändrade datum. Osäker dock på var %recentfiles% har för sökväg i windows filträdet såhär ur minnet... Tog tyvärr ingen printscreen eller bild, men det var ovanligt många ändå. Vanliga legitima exempel är om jag minns rätt: c:\systemswap c:\pagefile c:\rescue_partition Men det var ändå ovanligt många fler poster tycker jag som varken kunde läsas eller öppnas. Hej! Som sagt filtypen ändras vid krypteringen så den är efteråt inte längre .jpg, .docx osv. Jag kommer inte till någon mapp om jag skriver in %recentfiles% i Utforskaren i min dator och det finns inte heller någon sådan miljövariabel. c:\systemswap och c:\rescue_partition känner jag inte igen men c:\pagefile ska vare sig du eller ett antivirusprogram komma åt. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
.RIHTT Postad April 1, 2016 Författare Dela Postad April 1, 2016 (redigerade) Efter steg 1: OMINSTALLERA datorn. Alternativt ja. Jag är ännu i analysfasen (som man sa under ubåtsjakten med barsk ton ) Ska man anamma ditt spår, kan man väl lika gärna överväga att köra low-level format på disken. Eller köpa ny. Virus "kan" ju infektera MBR, även factory_image mfl. Hej! Som sagt filtypen ändras vid krypteringen så den är efteråt inte längre .jpg, .docx osv. Jag kommer inte till någon mapp om jag skriver in %recentfiles% i Utforskaren i min dator och det finns inte heller någon sådan miljövariabel. c:\systemswap och c:\rescue_partition känner jag inte igen men c:\pagefile ska vare sig du eller ett antivirusprogram komma åt. Hej. Givetvis. Jag menade, och hoppas ni förstod mitt resonemang på följande punkter. -Att lista med > dir antalet vanliga filtyper man har, skulle detta antal ändras har man ju en indicie. -Jag menar nyligen ändrade filer, vad den korrekta miljövariabeln är shell:recent -sökvägen bör då vara %userprofile%\AppData\Roaming\Microsoft\Windows\Recent\ -Om vi kan exkludera det självklara, systemfiler och sådant som varken jag eller AV ska komma åt vill jag ändå poängtera att jag uppfattade att antalet "låsta objekt" var ovanligt lång på denna dator. Att mängdvis av mappar,arkiv nu plötsligt inte går att nå ringer varningsklockor samt att F-secure rapporten faktiskt skrev att "sökvägen är krypterat" vilket jag aldrig minns har sett förut på denna dator. Detta är ytterligare en "indicie" i min värld. Men jag har förhoppningsvis fel? Status /tidsordning Jag övergav faktiskt idéen med alternativ bootmetod då det är alldeles för omständigt. Hårdvaruspecifikt för Dell , UEFI boot metod , Secure Boot och enrolled keys som jag inte vågar mixtra med. Skulle inte förvåna mig om datorn inte ens går starta sedan eftersom allting är så hårdkodat med trusted modules o skit. Säkerhetskopierat de aktuella data jag anser kan behövas utifall att till extern disk (ja den disken är dedikerad och sprids inte runt, enkelriktat flöde och den låses in i kassaskåp) F-Secure med nya definitioner kör just nu heuristisk-fullständig +rootkit scan på datorn som är tagen offline. Den jobbar långsamt på zip-arkiv just nu. Ska jag publicera scan-resultatet här sedan? Redigerad April 1, 2016 av .RIHTT Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Cecilia Postad April 1, 2016 Dela Postad April 1, 2016 Hej! Det är väl enklare att titta i mappar som "Mina dokument", "Mina bilder" och liknande för att se om det är oväntade filändelser där och/eller filerna inte går att öppna. Visst kan du publicera vad F-secure hittar. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
.RIHTT Postad April 6, 2016 Författare Dela Postad April 6, 2016 Hej.Förhoppningsvis var det inte just "Ransomware" Det kan dock vara detDatorn fick stå offline i helgen men kunde inte notera någon aktivitet. Däremot togs den i bruk nu igen för sedvanligt användande:lokal mailklientsurfning i en mycket restriktiv firefox mijlö (adblocker + RequestPolicy CSRF)bankärenden i separat chrome webbläsarehantering och bearbetning av pdf:er och dokumentÄndå flaggar F-Secure för virus som tas bort frekvent:multiplahttps://www.f-secure.com/v-descs/trojan_js_agent.shtmldussintals varje dag ex\appdata\local\temp\filnamn.tmp Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Cecilia Postad April 6, 2016 Dela Postad April 6, 2016 Det låter inte heller som ransomware. Ligger alla JS/Agent i just den temp-mappen du skrev ut? Dyker de upp just vid surfning eller även när ingen webbläsare är igång? Har du prövat med kompletterande program och tjänster, t ex MBAM och online-skanningar? Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
.RIHTT Postad April 6, 2016 Författare Dela Postad April 6, 2016 Det är >50 st man måste klicka på "expandera" för att se sökvägen.Alla jag hittills kollat på är i \temp mappen som beskrivit. Egna filer dock skapade samma sekund ( .tmp )Svar Nej på andra frågor Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Cecilia Postad April 6, 2016 Dela Postad April 6, 2016 Då föreslår jag att du kör MBAM (Malwarebytes Anti-Malware) och Esets online-skanner. Den senare behöver konfigureras för bästa detektering. http://www.eset.com/onlinescan/och använd helst Internet Explorer till det För att inte skannern ska ta för lång tid på sig stäng av antivirusprogrammet under tiden.Välj alternativet Enable detection of potentially unwanted applications.Klicka på Advanced Settings.Ta bort bocken framför Remove found threats eftersom falsklarm förekommer vid denna noggranna skanning.Bocka för:Scan ArchivesScan for potentially unsafe applicationsEnable Anti-Stealth TechnologyKlicka på StartNär skanningen är klar klicka på List of found threats, följt av Export to a text file. Spara till en fil på skrivbordet och gå igenom den själv eller klistra in (bifoga) den här så kan jag titta på den om du vill. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Recommended Posts
Delta i dialogen
Du kan skriva svaret nu och registrera dig senare, Om du har ett konto, logga in nu för att svara på inlägget.