Permalänk
Medlem

Ransomware?

Hej!

Satt och lirade lite casino, använder senaste Edge v80.
Använder även bitdefender, som helst plötsligt varnar så här:

Ransomware Remediation

The process C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.651_none_5f2896f458eff373\TiWorker.exe manifests ransomware behavior and was blocked. Several files were encrypted but we successfully restored all of them. You can find the restored files list below

Vad fan? TiWorker.exe ?
Får panik, vad göra omedelbart?

edit: Tre filer är "restored"
C: Programdata > Microsoft > Windows > WER > Temp ...
Känns märkligt att det skulle vara nå ransom där? False-positivte av Bitdefender?

Permalänk
Medlem

@Falcon: Vad var det för filer den krypterade? Är det rimligt att något program du använder skulle vilja kryptera dessa? T.ex. om filerna är relaterade till casino-applikationen du använder.

Permalänk
Medlem
Skrivet av Kamouflage:

@Falcon: Vad var det för filer den krypterade? Är det rimligt att något program du använder skulle vilja kryptera dessa? T.ex. om filerna är relaterade till casino-applikationen du använder.

Filerna som ligger i TEMP borde vara ointressanta?
Bör inte ha med kasinot att göra. Körs direkt i Edge utan tillägg.

Dock hittade jag nu efter en sökning detta;
C:\Windows\debug\woawrdisyTyuvcYcnfqnityj.dat

Trojan.Zmutzy.Pante

Moved to Quarantine

Vad är det?

Permalänk
Medlem

Mycket möjligt att applikationen uppvisade beteende vid filoperationer som kunde ses som ransomware liknande beteende, med det sagt inte helt säkert att det är false positive men samtidigt med den information som finns tillgänglig hittills låter det mer troligt att det är false positive än ransomware men såklart svårt att veta.

Edit: Såg inte föregående inlägg fören nu. Med den informationen så vet jag inte. Svårt att veta säkert med den begränsade informationen.

Permalänk
Medlem

Med tanke på den där trojan-filen skulle jag föreslå att du gör en fullständig genomsökning av din dator. Kanske även med något annat antivirus.

Verkar dock inte vara första gången Bitdefender klagar på TiWorker.exe:

https://answers.microsoft.com/en-us/windows/forum/all/ransomw...

Permalänk
Medlem

TiWorker: Trusted Installer Worker, en Windows-kompoment (alternativt Malware som maskerar sig som denna) som används av Windows Update
WER: Windows Error Reporting

Hypotes: En Windows-uppdatering har misslyckats och försöker skicka en rapport om detta via WER till Microsoft - rapporten läggs i klartext i Temp-mappen där den ktypteras inför sändningen. Windows Defender buggar och tror att Windows-uppdateringen/felrapporten är ransomware.

Kolla om du har några indikationer i Windows Update eller event log (loggboken på svenska) ifall du har någon information om misslyckade uppdateringar vid den tidpunkten.