"Microsoft" samtal som ledde till låst dator

Permalänk
Medlem

"Microsoft" samtal som ledde till låst dator

Fått in en kund idag som tyvärr gick på samtal-ifrån-microsoft-scammen.
Men dom verkar ha bytt taktik, för dom låste hennes dator och vill att hon ska betala, bla bla bla.
Men, dom var inte världens smartaste! Dom gav henne lösenordet! Så jag kommer in i maskinen, men mina försök hittills har inte lyckats få bort inloggningsrutan.

Jag har hittills gjort;

*Register-fix med CCleaner - Man börjar med det lättaste!
*Kört Malwarebytes och Spybot i felsäkert läge - Hittade inget, inte helt oförväntat
*Försökt göra en systemåterställning via windows repairdisk - Får endast krascher med felmeddelandet; "the instructions at referenced memory #### at ### could not be read", kör jag återställningen inne i windows blåskärmar jag
*Bootrec /fixmbr samt chkdsk ger inget intressant heller.

Mitt nästa steg är att köra en boot-cd med Kapersky-Rescue då jag sett det föreslagits på ett par ställen, men efter det har jag helt slut på ideér.
Ingen som har förslag?

Visa signatur

CPU: i5 4690K+H80i @4.2Ghz | GPU: EVGA 970 FTW | MB: MSI Z97-G43 | RAM: 8gb 1600Mhz Corsair | SSD/SSD:Samsung EVO 840 120Gb/Kingston SV300 120Gb | PSU: CM 650M | Chassie: Air 240 | Skärm: Fujitsu P23T-6 | T-bord: Corsair K70 RGB | Mus: Logitech G502 | Ljud: Z906/Qpad QH-90

Permalänk
Medlem

Jag har för mig att det finns en film när de scammern är ansluten mot en virtuel maskin, och då ändrade de i någon fil

kan vara denna fil:
http://www.youtube.com/watch?v=s7SJzEvdaM8

Visa signatur

_______________________________
<Sömn filantrop>

Permalänk
Medlem
Skrivet av athle86:

Jag har för mig att det finns en film när de scammern är ansluten mot en virtuel maskin, och då ändrade de i någon fil

kan vara denna fil:
http://www.youtube.com/watch?v=s7SJzEvdaM8

Hmm, jag uppskattar hjälpen, men förutom att det var lite för suddigt så är detta på en XP-maskin, medans mitt problem ligger på W7 =/

Visa signatur

CPU: i5 4690K+H80i @4.2Ghz | GPU: EVGA 970 FTW | MB: MSI Z97-G43 | RAM: 8gb 1600Mhz Corsair | SSD/SSD:Samsung EVO 840 120Gb/Kingston SV300 120Gb | PSU: CM 650M | Chassie: Air 240 | Skärm: Fujitsu P23T-6 | T-bord: Corsair K70 RGB | Mus: Logitech G502 | Ljud: Z906/Qpad QH-90

Permalänk
Medlem
Permalänk
Medlem

Precis denna, och jag har sett den. Lösningen är en systemåterställning - Viiiilket blåskärmar för min del :/
Kanske kan flytta disken och prova en återställning ifrån en annan maskin därimot...

Visa signatur

CPU: i5 4690K+H80i @4.2Ghz | GPU: EVGA 970 FTW | MB: MSI Z97-G43 | RAM: 8gb 1600Mhz Corsair | SSD/SSD:Samsung EVO 840 120Gb/Kingston SV300 120Gb | PSU: CM 650M | Chassie: Air 240 | Skärm: Fujitsu P23T-6 | T-bord: Corsair K70 RGB | Mus: Logitech G502 | Ljud: Z906/Qpad QH-90

Permalänk
Medlem

Har du prövat med systemåterställning i felsäkert läge?

Permalänk
Medlem
Skrivet av CeciliaB:

Har du prövat med systemåterställning i felsäkert läge?

Yes, både ifrån vanlig start, felsäker och med boot-cd

Visa signatur

CPU: i5 4690K+H80i @4.2Ghz | GPU: EVGA 970 FTW | MB: MSI Z97-G43 | RAM: 8gb 1600Mhz Corsair | SSD/SSD:Samsung EVO 840 120Gb/Kingston SV300 120Gb | PSU: CM 650M | Chassie: Air 240 | Skärm: Fujitsu P23T-6 | T-bord: Corsair K70 RGB | Mus: Logitech G502 | Ljud: Z906/Qpad QH-90

Permalänk
Medlem

Boota på en rescue-USB/CD (linux).
Backup till extern disk (om det inte redan finns backup).

Format C:

Permalänk
Medlem
Skrivet av LeafBox:

Precis denna, och jag har sett den. Lösningen är en systemåterställning - Viiiilket blåskärmar för min del :/
Kanske kan flytta disken och prova en återställning ifrån en annan maskin därimot...

Om det nu finns filer som ska sparas så kan du ju koppla disken till en annan dator som en extern
hdd och bara göra backup om man nu vill spara något. Sedan formatera disken och göra en ren installation av Windows

Permalänk
Medlem
Skrivet av Agile:

Format C:

Skrivet av Friterad:

Om det nu finns filer som ska sparas så kan du ju koppla disken till en annan dator som en extern
hdd och bara göra backup om man nu vill spara något. Sedan formatera disken och göra en ren installation av Windows

Jao, självklart. Men dom var väldigt angelägna om att göra allt för att fixa det först.

Visa signatur

CPU: i5 4690K+H80i @4.2Ghz | GPU: EVGA 970 FTW | MB: MSI Z97-G43 | RAM: 8gb 1600Mhz Corsair | SSD/SSD:Samsung EVO 840 120Gb/Kingston SV300 120Gb | PSU: CM 650M | Chassie: Air 240 | Skärm: Fujitsu P23T-6 | T-bord: Corsair K70 RGB | Mus: Logitech G502 | Ljud: Z906/Qpad QH-90

Permalänk
Medlem
Skrivet av LeafBox:

Precis denna, och jag har sett den. Lösningen är en systemåterställning - Viiiilket blåskärmar för min del :/
Kanske kan flytta disken och prova en återställning ifrån en annan maskin därimot...

Detta kommer inte att fungera eftersom en annan maskin innehåller andra drivrutiner osv. Prova med en trial på hitman pro

Permalänk
Medlem

Här är en lista över program jag kör för att få bort diverse malware & skit, kanske inte direkt relaterat men kan vara bra att veta om.

AdwCleaner
HitmanPro
JRT (Junkware Removal Tool)
MGtools
RogueKiller
TDSSKiller

http://forums.majorgeeks.com/showthread.php?t=35407

Där har ni en in-depth guide på att få väck det mesta. För tillfället så kämpar jag med en redirect (Ultrafiles) som ingen av de nämnda removal-verktygen biter på inklusive kasperskys live-cd. Om ni har några tips så mottar jag dessa med glädje.

Visa signatur

You have earned my respect and my friendship.

Permalänk
Medlem

Då kanske det är bäst att kolla vad som händer i datorn vid uppstart utan att Windows är igång.

Ladda ner Farbar Recovery Scan Tool (FRST) och spara på ett USB-minne.
För 64-bitars Windows: http://download.bleepingcomputer.com/farbar/FRST64.exe
För 32-bitars Windows: http://download.bleepingcomputer.com/farbar/FRST.exe
Helst på en annan dator är den infekterade.

Sedan ska du starta om datorn och utan att starta hela Windows få igång en Kommandotolk. Det finns två alternativ att göra detta. Vilket du ska använda beror på om du har en installationsskiva för Windows 7 resp. Vista.

Alternativ 1 utan Windows-skiva

När datorn startar börjar du trycka på F8-tangenten upprepade gånger till sidan "Avancerade startalternativ" visas med en meny.
I menyn använder du piltangenterna för att välja "Reparera datorn".

Alternativ 2 med Windows-skiva

Stoppa i installationsskivan.
Starta datorn.
När det kommer upp en fråga om du vill starta datorn från installationsskivan så tryck på någon tangent.
Om frågan inte kommer upp utan datorn startas från hårddisken som vanligt, behöver du ändra en BIOS-inställning för att starta från skivan.
När menyn på installationsskivan kommer upp klicka på "Reparera datorn".

För båda alternativen
Välj rätt tangentbord och klicka på "Nästa".
Välj vilket operativsystem du vill reparera. Om där finns flera så ska du välja det som är det infekterade Windows. Klicka på "Nästa".
Välj ditt användarkonto och klicka på "Nästa".
Nu visas menyn "Alternativ för systemåterställning".
Den börjar med "Startreparation" och avslutas med "Kommandotolk".

Välj "Kommandotolk".
Skriv in:
notepad
Tryck på Enter-tangenten.

Programmet Anteckningar startas.
Välj: Arkiv - Öppna
Välj: Dator
Leta upp ditt USB-minne och skriv upp vilken enhetsbokstav det har, t ex g:.
Stäng Anteckningar.

I Kommandotolken skriver du in:
32-bitars Windows: g:\frst.exe
64-bitars Windows: g:\frst64.exe
men ersätt g med enhetsbokstaven USB-minnet har.

Programmet FRST börjar köra.
Läs villkoren för programmet.
Klicka på "Yes" för att acceptera.
Klicka på "Scan"-knappen.
När det är klart kommer det att ha skapats en log FRST.txt på USB-minnet.
Kopiera innehållet i loggen och klistra in i ditt svar.

Eller för den delen gå igenom den själv och se vad som händer i datorn.

Permalänk
Medlem

Jag har gått hem för dagen nu, men Hitman hittade inget, och jag startade Kapersky så att den är klar tills imorrn.
Jag ska kolla med FRST imorrn enbart för att du spenderade så mycket tid på att skriva ut allt, men efter det får dom bita i det sura äpplet och formatera.

Visa signatur

CPU: i5 4690K+H80i @4.2Ghz | GPU: EVGA 970 FTW | MB: MSI Z97-G43 | RAM: 8gb 1600Mhz Corsair | SSD/SSD:Samsung EVO 840 120Gb/Kingston SV300 120Gb | PSU: CM 650M | Chassie: Air 240 | Skärm: Fujitsu P23T-6 | T-bord: Corsair K70 RGB | Mus: Logitech G502 | Ljud: Z906/Qpad QH-90

Permalänk
Medlem
Skrivet av LeafBox:

Jag har gått hem för dagen nu, men Hitman hittade inget, och jag startade Kapersky så att den är klar tills imorrn.
Jag ska kolla med FRST imorrn enbart för att du spenderade så mycket tid på att skriva ut allt, men efter det får dom bita i det sura äpplet och formatera.

Då får jag göra dig besviken
Det var bara att klippa och klistra från andra trådar där jag hjälpt folk med polistrojanen (Ukash) och "låst" dator pga den.

Permalänk
Medlem

För dom intresserade tänkte jag posta det intressanta ur FRST-loggen.

Här kan man klart och tydligt se att dom använde teamviewer för att ta sej in
-SKAPADE FILER-

2014-02-14 09:29 - 2014-02-14 09:30 - 00000000 ____D () C:\FRST
2014-02-13 07:47 - 2014-02-13 07:51 - 00000000 ____D () C:\ProgramData\HitmanPro
2014-02-13 06:41 - 2014-02-13 06:42 - 00270672 _____ () C:\Windows\Minidump\021314-23415-01.dmp
2014-02-13 06:41 - 2014-02-13 06:41 - 383590734 _____ () C:\Windows\MEMORY.DMP
2014-02-13 06:40 - 2014-02-13 06:40 - 00000826 _____ () C:\Users\Public\Desktop\CCleaner.lnk
2014-02-13 06:40 - 2014-02-13 06:40 - 00000000 ____D () C:\Program Files\CCleaner
2014-02-13 05:17 - 2014-02-13 05:19 - 00000000 ____D () C:\ProgramData\Spybot - Search & Destroy
2014-02-13 05:14 - 2014-02-13 05:19 - 00000085 _____ () C:\Windows\wininit.ini
2014-02-13 04:23 - 2014-02-13 04:23 - 00001113 _____ () C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2014-02-13 04:23 - 2014-02-13 04:23 - 00000000 ____D () C:\Users\Anette\AppData\Roaming\Malwarebytes
2014-02-13 04:23 - 2014-02-13 04:23 - 00000000 ____D () C:\ProgramData\Malwarebytes
2014-02-13 04:23 - 2014-02-13 04:23 - 00000000 ____D () C:\Program Files (x86)\Malwarebytes' Anti-Malware
2014-02-13 04:23 - 2013-04-04 05:50 - 00025928 _____ (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys
2014-02-13 00:51 - 2014-02-13 00:51 - 00000000 ____D () C:\Users\Anette\AppData\Roaming\TeamViewer

Dold text

Här kan man även se att efter att hon installerade teamviewer så kopplade dom upp sej och verkar ha modifierat Flash
-ÄNDRADE FILER-

2014-02-14 09:30 - 2014-02-14 09:29 - 00000000 ____D () C:\FRST
2014-02-13 14:01 - 2012-10-18 00:33 - 00000000 __SHD () C:\Recovery
2014-02-13 07:51 - 2014-02-13 07:47 - 00000000 ____D () C:\ProgramData\HitmanPro
2014-02-13 07:51 - 2012-05-25 11:24 - 00628576 _____ () C:\Windows\System32\perfh01D.dat
2014-02-13 07:51 - 2012-05-25 11:24 - 00125030 _____ () C:\Windows\System32\perfc01D.dat
2014-02-13 07:51 - 2009-07-13 21:13 - 01474694 _____ () C:\Windows\System32\PerfStringBackup.INI
2014-02-13 07:47 - 2014-01-24 10:07 - 00001748 _____ () C:\Windows\setupact.log
2014-02-13 07:31 - 2012-06-04 20:55 - 01411383 _____ () C:\Windows\WindowsUpdate.log
2014-02-13 07:25 - 2009-07-13 20:45 - 00016976 ____H () C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-02-13 07:25 - 2009-07-13 20:45 - 00016976 ____H () C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-02-13 07:20 - 2013-10-21 21:09 - 00000000 ____D () C:\ProgramData\boost_interprocess
2014-02-13 07:17 - 2012-06-04 21:27 - 00000828 _____ () C:\Windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job
2014-02-13 07:17 - 2009-07-13 21:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2014-02-13 06:42 - 2014-02-13 06:41 - 00270672 _____ () C:\Windows\Minidump\021314-23415-01.dmp
2014-02-13 06:41 - 2014-02-13 06:41 - 383590734 _____ () C:\Windows\MEMORY.DMP
2014-02-13 06:41 - 2012-10-27 10:39 - 00000000 ____D () C:\Windows\Minidump
2014-02-13 06:40 - 2014-02-13 06:40 - 00000826 _____ () C:\Users\Public\Desktop\CCleaner.lnk
2014-02-13 06:40 - 2014-02-13 06:40 - 00000000 ____D () C:\Program Files\CCleaner
2014-02-13 06:38 - 2010-11-20 19:47 - 00113022 _____ () C:\Windows\PFRO.log
2014-02-13 05:19 - 2014-02-13 05:17 - 00000000 ____D () C:\ProgramData\Spybot - Search & Destroy
]2014-02-13 05:19 - 2014-02-13 05:14 - 00000085 _____ () C:\Windows\wininit.ini
2014-02-13 04:23 - 2014-02-13 04:23 - 00001113 _____ () C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2014-02-13 04:23 - 2014-02-13 04:23 - 00000000 ____D () C:\Users\Anette\AppData\Roaming\Malwarebytes
2014-02-13 04:23 - 2014-02-13 04:23 - 00000000 ____D () C:\ProgramData\Malwarebytes
2014-02-13 04:23 - 2014-02-13 04:23 - 00000000 ____D () C:\Program Files (x86)\Malwarebytes' Anti-Malware
2014-02-13 02:17 - 2012-03-06 22:59 - 00000830 _____ () C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-02-13 01:36 - 2013-11-09 09:22 - 00003948 _____ () C:\Windows\System32\Tasks\User_Feed_Synchronization-{420E3703-0AE6-439F-9849-12C99BE34944}
2014-02-13 00:51 - 2014-02-13 00:51 - 00000000 ____D () C:\Users\Anette\AppData\Roaming\TeamViewer

Dold text

Jag provade ta bort flash, ingen framgång.
Det har vart en kul utmaning, men för kundens bästa är det nog dags att formatera vare sej hon vill eller inte

Visa signatur

CPU: i5 4690K+H80i @4.2Ghz | GPU: EVGA 970 FTW | MB: MSI Z97-G43 | RAM: 8gb 1600Mhz Corsair | SSD/SSD:Samsung EVO 840 120Gb/Kingston SV300 120Gb | PSU: CM 650M | Chassie: Air 240 | Skärm: Fujitsu P23T-6 | T-bord: Corsair K70 RGB | Mus: Logitech G502 | Ljud: Z906/Qpad QH-90

Permalänk
Medlem

Så de har gått från LogMeIn till Teamviewer. Kan man se om Teamviewer startas automatiskt?

Prövat med en systemåterställning till den 12:e eller tidigare?

Permalänk
Medlem
Skrivet av CeciliaB:

Så de har gått från LogMeIn till Teamviewer. Kan man se om Teamviewer startas automatiskt?

Prövat med en systemåterställning till den 12:e eller tidigare?

LogMeIn blir ju betaltjänst framöver så de behöver väl ett gratis verktyg med framtidsutsikter antar jag.

Permalänk
Medlem
Citat:

In some cases (you did not pay or called them names), scammers will seek revenge on your machine. Here are some things they might try and what to do to recover from them:

Master password lock out

There are various ‘hacks’ to reset that password. One method is to use a Linux boot CD to mount Windows and then use the chntpw utilty. It is described here.

http://blog.malwarebytes.org/tech-support-scams/

Permalänk
Medlem

Bitdefender har hjälpt mig förr när annat gått bet.
http://download.bitdefender.com/rescue_cd/

Permalänk
Medlem

Den där rutan fick jag bort men jag har glömt bort exakt vart man tar bort den? Vad står det som titel i rutan?

Permalänk
Medlem
Skrivet av CeciliaB:

Så de har gått från LogMeIn till Teamviewer. Kan man se om Teamviewer startas automatiskt?

Prövat med en systemåterställning till den 12:e eller tidigare?

Provade alla tillgänglig, den äldsta var ifrån 1st Jan

Skrivet av pellegj:

Bitdefender har hjälpt mig förr när annat gått bet.
http://download.bitdefender.com/rescue_cd/

Skrivet av Wip3:

Den där rutan fick jag bort men jag har glömt bort exakt vart man tar bort den? Vad står det som titel i rutan?

A little too late. Det kommer en gräns då kundens plånbok kommer först.
Det var helt enkelt dags att "cut your losses" och formatera, datorn är redan tillbaka hos sina ägare.

MEN, fortsätt gärna diskutera, eftersom tråden blivigt uppmärksammad på FB och i den klistrade tråden om detta ämne så kan det hjälpa andra!

Visa signatur

CPU: i5 4690K+H80i @4.2Ghz | GPU: EVGA 970 FTW | MB: MSI Z97-G43 | RAM: 8gb 1600Mhz Corsair | SSD/SSD:Samsung EVO 840 120Gb/Kingston SV300 120Gb | PSU: CM 650M | Chassie: Air 240 | Skärm: Fujitsu P23T-6 | T-bord: Corsair K70 RGB | Mus: Logitech G502 | Ljud: Z906/Qpad QH-90

Permalänk
Skrivet av CeciliaB:

Så de har gått från LogMeIn till Teamviewer. Kan man se om Teamviewer startas automatiskt?

Prövat med en systemåterställning till den 12:e eller tidigare?

Hos mig använde de faktiskt Temaviewer och Ammyy, samtidigt... Och vägrade sedan erkänna att han hade tryckt på en knapp själv med det ena programmet innan jag hade gett honom det andra

Kom själv så långt att jag fick ett Google docs-formulär där de ville ha kontonummer och kontaktuppgifter. Skrev in lite roliga grejer där, och då blev de arga och började slänga filer från systemmappar som C:/windows32 och Program files. När han var klar så låste han datorn med en inloggningsruta som kommer upp direkt när man startar. Verkar vara samma som OP pratar om. Fick dock inget lösenord, utan kallades bara diverse otrevliga ord och fick hot om att bli uppringd varje dag för all framtid. Har bara hänt två gånger sen dess.

Eftersom det bara var WinXP i Virtualbox, som laddades ner och installerades snabbt medans de (fick prata med minst tre olika) pratade skit, så brydde jag mig aldrig om att försöka få bort den, utan tog bara bort sytemet.

Permalänk
Medlem
Skrivet av pellegj:

Bitdefender har hjälpt mig förr när annat gått bet.
http://download.bitdefender.com/rescue_cd/

Bitdefender är asbra, gick att aktivera en "safe mode" innan man börja leka med dom och bit defender spelade in allt dom gjorde så att det bara var att återställa. Har tyvärr ingen film på det.

Visa signatur

Server: Fractal design Define 7 XL | AMD Ryzen 7 5800X 8/16 | ASUS ROG CROSSHAIR VIII DARK HERO | 64GB Corsair @ 3000MHz | ASUS Radeon RX 460 2GB | Samsung 960 PRO 512 GB M.2 | 2x 2TB Samsung 850 PRO SSD | 6x Seagate Ironwolf Pro 10TB
WS: Phantex Entoo Elite | AMD Ryzen Threadripper 1950X 16/32 | ASUS Zenith extreme | 128GB G.Skill @ 2400MHz | ASUS Radeon HD7970 | 3x 2TB Samsung 960PRO M.2 | 6x Seagate Ironwolf Pro 10 TB
NEC PA301W 30" @ 2560x1600 | Linux Mint 21.3 Cinnamon

Permalänk
Medlem

Om ett intrång skett i en maskin ska det för mig krävas rejält mycket för att jag ska försöka rensa den istället för att blåsa den. Är det en klientmaskin så är det inget snack om saken, går aldrig motivera tiden man lägger ner på att vara 100% säker på att man fått väck all skit mot att bara blåsa den.

Visa signatur

Fd. "Redbull" här på forumet.