Forumet - Kidnappad dator

Kidnappad dator

1121 0 44
Ok, jag gick in på chatten och blev direkt bombarderad av systemmeddelanden om att allt möjligt var på väg att ändras, det började med någon tmp-fil (Tack windows för att du trakasserar mig med "vill du verkligen göra det här" varje gång jag startar ett spel/program som jag köpt genuin kopia av från betrodda utvecklare, men låter suspekta filer ta sig in och autostarta utan min vetskap), tog screenshot på det men den verkar inte ha sparats. Det bröt kopplingen till internet (för mig, inte systemet) och var väldigt angelägen om att försöka radera alla systemåterställningspunkter, lät det givetvis inte göra det.
Startade rougekiller som stängde av alla infekterade processer som startats (aktivitetshanteraren gick inte att öppna), drog ur ethernetkabeln och sökte igenom datorn, den hittade några suspekta registernycklar så raderade dem och gjorde sedan en systemåterställning, eftersom det verkade vara något som viruset inte ville att jag skulle kunna göra. När det slutförts och datorn startat om så autoöppnades något skitdokument som sade att alla mina filer var förstörda för att de var krypterade när jag återställde datorn, vilket givetvis är bullshit, jag använder även en annan krypteringsalgoritm än den som hävdas.


Det har även skapat kopior av dokumenten i en jävla massa mappar typ överallt i datorn, håller på att scanna med fräscht uppdaterade program nu osv. men hur kört tror ni att mitt system är? Kommer jag att behöva vidta större åtgärder (behöver investera i nya hårddiskar om jag skall flytta på mängder av arbete för att kunna installera om systemet osv.) eller räcker det med att rensa bort resterna av skräpet?

ah och ja, det kanske är en bra idé att vara aktsam med att använda tinychat ett tag då det var det enda jag gjorde med datorn förutom um när det hände.
Senast ändrad 7 Nov 2015, 10:21 av Exner
Vet inte vad, men öppna msconfig och stäng av allt under "Autostart" som du inte vet vad det är. Det verkar vara någonting mycket fult du fått in i datorn så jag vet egentligen vad du bör göra. Du verkar veta ganska mycket så jag antar att du gjort en hel del. Det går alltid att få bort det/återställa men det tar nog en hel del tid om den har lagt filer/dokument på många olika ställen? Är det bara textdokument eller vet du om det är någonting som kan trigga fortsatt skada?

Har du funnit huvudkällan?

Spana också in:


Xuzkie: Är det bara textdokument eller vet du om det är någonting som kan trigga fortsatt skada?
Text och html-dokument främst men i vissa mappar verkar den ha ändrat på existerande filer och det ligger en del nyskapade märkligare saker som jag inte vet vad det är

Xuzkie: Har du funnit huvudkällan?
Det var någon tmp-fil, men under dem minuter då jag startade program för att radera skiten så verkar den ha fyllt varenda jävla mapp i datorn med skräp

Xuzkie: Det måste vara en process öppen för att automatiskt starta och skapa filer och program? Stäng ner allt som verkar misstänksamt.
Det har du troligtvis försökt med men ändå :/
Tror inte det är något igång nu, det verkar ha hänt under de minuter som gick innan ajg fick död på processerna
Ajdå. Tur att du fick slut på processerna. Det blir nog knepigt om viktiga filer har ändrats eller korrupterats. Annars så blir det nog bara jobbigt att få bukt med dom. 
     Fula saker kanske gömmer sig. Du får undersöka om det är "värt" att fixa själv, eller, överhuvudtaget.
      Illa om det kommit ifrån Tinychat.

Xuzkie: Ajdå. Tur att du fick slut på processerna. Det blir nog knepigt om viktiga filer har ändrats eller korrupterats. Annars så blir det nog bara jobbigt att få bukt med dom.
Fula saker kanske gömmer sig. Du får undersöka om det är "värt" att fixa själv, eller, överhuvudtaget.
Lär bli en formatering när jag har möjlighet

Jungman:
Och om man vill vara riktigt jävla säker, räcker det med att skriva om master boot record eller krävs det något mer avancerat?
Du måste ta bort partitionen som bootkitet ligger på först. Annars hjälpet det inte med att skriva om mbr. Ladda ned GParted och boota till det. Ta bort den lilla dolda partitionen. Boota sedan till en Windows cd eller usb och välh felsök och välj sedan kommandotolken där du nu skriver om mbr. Då blir du troligtvis av med ett bootkit helt!

adaq:
Du måste ta bort partitionen som bootkitet ligger på först. Annars hjälpet det inte med att skriva om mbr. Ladda ned GParted och boota till det. Ta bort den lilla dolda partitionen. Boota sedan till en Windows cd eller usb och välh felsök och välj sedan kommandotolken där du nu skriver om mbr. Då blir du troligtvis av med ett bootkit helt!

Nu har vi dock inga bevis för att det faktiskt finns ett bootkit, hoppas det löser sig för TS.Ransomware borde det vara dödstraff på värsta formen av skadligkod.