Gehackt? Muis bewoog uit zichzelf.

Dat ziet er zeker uit alsof er iets mis is. Virussen kunnen met gemak door de scans heenkomen, dus vaak vind je met nieuw versleutelde virussen niks.

Goed dat je de pc hebt uitgeschakeld en je netwerk kabel hebt ontkoppeld. Wat je eventueel kan proberen is om je persoonlijke documenten te backuppen op een andere pc. Dit kan je doen door de harde schijf te ontkoppelen en aan een schone pc aan te sluiten (sata -> usb of sata/nvme m.2 naar usb afhankelijk van je schijf). Daarna je ''geinfecteerde'' schijf formateren en terugstoppen om Windows opnieuw te installeren.

Vergeet niet om wachtwoorden e.d. op een schone pc opnieuw in te stellen, virussen kunnen ook (als ze toch op je pc zitten) kijken wat voor wachtwoorden waren opgeslagen.

Mocht het zo zijn dat een account/bankrekening oid gecompromitteerd was, formateer je oude schijf dan niet en doe aangifte bij de politie. Zij kunnen vaak het virus vinden en deze met wat forensisch onderzoek herleiden naar een eventuele bron. Mocht deze bron zich in NL bevinden, dan heb je een kans dat ze er iets tegen doen.

Kort stappenplan dus:
1. Regel een schone pc/laptop en evt apparatuur om je schijf uit te lezen (bevriende IT'er oid vragen is zeker een optie!)
2. Haal belangrijke documenten eraf.
3. Houd de oude schijf voor evt. aangifte mocht er iets naars gebeuren.
4. Installeer andere antivirus software, Windows Defender is meest gebruikt en dus ook een focus voor virusmakers om die zeker te omzeilen (AVG of Avast zijn goede gratis alternatieven).
5. Ga verder op de schone pc/laptop of doe een andere lege schijf in de pc en installeer daar opnieuw Windows op.

----
Zoals anderen hieronder hebben aangegeven kan TeamViewer of een andere remote desktop software ook de boosdoener zijn, maar dan moet je even graven in je geheugen of je ooit iemand daartoe toegang hebt verleend. Als dit gewoon echt plots gebeurd zonder herinnerbare aanleiding, dan is een rigoureuze aanpak het beste (better be safe than sorry)

[ Voor 60% gewijzigd door Jaïr.exe op 09-04-2022 14:31 ]

Goed dat je actie hebt ondernomen. Je achtergrond zwart laat bij mij de alarmbellen rinkelen. Want dat is vaak software om je pc op afstand te besturen. Heb je teamviewer, vnc of iets dergelijks op je pc staan?

Een muis kan weleens uit zichzelf bewegen, maar in combinatie met Firefox starten en achtergrond zwart is dat zeker een goede reden om de alarmbellen te laten rinkelen.

Check eens of Teamviewer of UltraVNC of Anydesk soortgelijken staan geinstalleerd? Dat zijn namelijk legitieme remote access tools, geen enkele scanner zal zijn beklag daarover doen.
In principe is een uninstall voldoende, maar helemaal vertrouwen zou ik ook niet meteen doen. Dat ding is er namelijk ook op een manier op gekomen.

/volgende keer sneller tikken.

[ Voor 3% gewijzigd door remco_k op 09-04-2022 14:29 ]

GrowMyHair schreef op zaterdag 9 april 2022 @ 14:17:
-Clean install van windows, met een format van de c schijf. Data schijf ook formateren?

-Nieuwe HD kopen en de huidige weggooien?

Nieuwe HD kopen is niet nodig maar je OS schijf formatteren en een nieuwe Windows install doen wel.
Je bent dan natuurlijk wel alles kwijt dus maak eerst een backup.

Ik denk aan:
- Naast Defender zijn er meer (oa Kaspersky) om een OFF-line mee uit te voeren.
- Ben je zelf een "programmeer-hobbyist" met allerlei scripts/exe's?
- Een "grapje" van een huisgenoot?
- Een draadloze muis waar een huisgenoot op eenzelfde frequentie zit?
- Een (virus-)programma in de achtergrond hoeft geen muisbeweging te doen om een programma te starten.
- Dat je wel een muisbeweging waarnam doet remote-control vermoeden.

[ Voor 55% gewijzigd door G.Shumway op 09-04-2022 17:16 ]

Prank van vrienden?

Verdwijnend bureaublad is hint naar iets met remote desktop tools.

Ben je toevallig de afgelopen tijd gebeld door:

Microsoft
Google
Irs
Fbi
Nhs
Nederlandse politie

En heb je tijdens die mogelijke gesprekken iets op de pc moeten doen?

Een C2 server zal niet zomaar een zwart scherm maken of Firefox open maar goed het kan dat er een RAT (Remote Access Trojans) tool is geinstalleert.

Ga eerst even na voor uw zelf onlangs nog wat gekregen, gedownload enz.

Vermoed dat er een auto update is geweest van windows 10 ?
Dan de combi met firefox en zwartscherm
Zou kijken of er log files te vinden zijn bv in het besturing systeem of network.
(Zeek, RITA Zijn based intrusion detection die gratis zij en draaien op bv een PI)


Toegang tot de log files kan eenvoudig door te booten met een USB/Cd met een Linux besturingssysteem van uw keuze. Daar heeft geen schroevendraaier aan te pas te komen.
Kan zijn dat voor het booten een toets combinatie of bios toegang nodig is.

[ Voor 13% gewijzigd door onno oliver op 09-04-2022 17:32 ]

Ik wil aansluiten bij het idee van een offline scan. Hang de harde schijf in een andere pc en scan deze met Hitman Pro en Emsisoft Emergency Kit. Of je boot naar Windows Safe Mode en scan met deze scanners; in safe mode wordt malware niet opgestart dus dat kun je veilig doen.

Als je de harde schijf in een andere pc hangt bekijk dan of je data nog intact is. Er is geen enkele reden om je data schijf of partitie te formatteren. Dat is paniekvoetbal. In het slechtste geval zou de data gelockt zijn. In dat geval moet je hopen dat er in de toekomst een keer decryptie mogelijkheid verschijnt.

Ik verplaats je vraag even, WOS —> P&B

Probeer een andere PC/laptop te regelen of leen deze van een bekende. Als je via deze site: https://www.hirensbootcd.org/download/ de iso download en met Rufus: https://rufus.ie/nl/ de iso op een USB zet, kun je teamviewer of andere verdachte apps verwijderen als je opstart via die USB. Doe een virusscan en probeer onlangs geinstalleerde/gebruikte programma's te verwijderen door naar de Verkenner te gaan en dan naar Schijf C en dan program files. Het mapje met bijv. de naam teamviewer zou ik verwijderen. Mocht je computer opgestart zijn en je wordt niet meer getrold met je muis, download dan het programma Malware Effects Remediation Tools via https://github.com/orange...-Effects-Remediation-Tool .Open dit programma en klik op Auto Repair om bijvoorbeeld CMD en Regedit weer in te schakelen. LET OP: Sta GEEN programma's toe, behalve het zojuist genoemde programma. Dit om payloads te voorkomen. In dit filmpje wordt het programma ook gebruikt: YouTube: Malware Effects Remediation Tool - Demo, vs NoEscape.exe . Na deze stappen ook even kijken bij Taakbeheer voor verdachte taken. Bekijk het taaknummer (in het filmpje 5200, maar bij jou misschien anders) en onthoud deze. Ga vervolgens weer naar het programma en voer deze code in bij disable task.

Maar had je remote access tools geinstalleerd staan? We zijn namelijk ook benieuwd wat het zou kunnen zijn.

Goed dat je de netwerkkabel er uit gehaald hebt.

Echter let op met uitschakelen van een systeem, sommige malware wordt namelijk actief bij het opstarten van het systeem. Hierdoor kan malware maanden op je pc actief zijn zonder dat je het weet, maar pas bij herstarten actief worden.

En check ook even voor keylogger, sommige werken remote met wifi/sim op basis van een usb dongel met het formaat can een muis dongel.