Infikace myfolder/revengeRAT. ztráta cesty k souborům.

[vencasco]

Přikládám scan z malwarebytes a FRST. Nic jsem nemazal.

[Rudy]

PC je po stránce malware čistý. Zkuste obnovu systému k datu, kdy korketně fungoval.

[vencasco]

To bylo první co jsem chtěl udělat, bohužel nevím proč, ale bod obnovy jsem tam neměl žádný možný. Nyní tam už je, ale ze včerejšího dne. Takže zkusím asi verzi dostat data na externí disk a poté naformátovat disky a data nahrát zpět. Když je již počítač čistý.

[Rudy]

OK. Také řešení.

[vencasco]

Tak navazuji a pokračuji bohužel. Doufal, jsem že již napíši jen poděkování a přihodím příspěvek na provoz, ale problém stále přetrvává. Na externí disk jsem přesunul celý pouze datový disk "D" poté ho v pc naformátoval. Restartoval a chybné hlášení s diskem "D" při zapnutí stále přetrvává. Zkusil jsem tedy abych se dostal na systémový disk do sektoru dat "E" přes Linux jak jsem psal. To bohužel neklaplo. Prostě ani přes něj mě to tam nepustí a naopak mi tam objevili pochybné soubory a aplikace. Protože na linuxu holt neběžel žádný antivirus. opět vše zasílám do přílohy včetně FRST logu. Jinak datový disk "E" jsem už radši úplně fyzicky vyndal z NT.

[Rudy]

OK. Dejte log ComboFix:

Stahnete a ulozte nejlepe na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

pote spustte aplikaci pod uctem s administratorskym opravnenim

hned po startu se zobrazi obrazovka s licencnimi podminkami, pokracujte kliknutim na tlacitko Ano.

v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se

jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine

aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: pokud pouzivate antispyware s rezidentnim stitem, prepnete jeho rezidentni stit do Install Mode,

pripadne jej po dobu skenu uplne deaktivujte, protoze dochazi pri skenu a vymazu pripadneho malware k

nezadoucim kolizim s rezidentem antispyware.

[vencasco]

Log z combofix + to co je nyní vidět na infikované části disku.

[Rudy]

Otevřte poznámkový blok a zkopírujte do něj:

KillAll::

File::
c:\windows\system32\acovcnt.exe

Reglock::
[HKEY_USERS\S-1-5-21-4147986389-2699613915-2088298157-1000\@*]r*]
[HKEY_USERS\S-1-5-21-4147986389-2699613915-2088298157-1000\@*żr*]
[HKEY_USERS\S-1-5-21-4147986389-2699613915-2088298157-1000\c:\users\Scorpion\AppData\Roaming\Spotify\Spotify.exe*ll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\PCW\Security]

ClearJavaCache::

Reboot::

Uložte na plochu jako CFScript.txt. Pak jej uchopte myší a přetáhněte nad ikonu ComboFix a pusťte. CF se spustí a vykoná příkazy ze skriptu.

[vencasco]

Provedl jsem. Zasílám opět log z CF. Jinak disk stále nedostupný a složky viru tam jsou stále.

[Rudy]

Bylo smazáno. Zkuste tu složku smazat ručně. Podle všeho vy už tam nemělo nic zásadního být.

[vencasco]

Nejdou odstranit. Jinak náhodou jsem narazil na jednom webu na toto:

Rozumíte nějak tomu?

Jen mám obavu aby to neodstranilo i nedostupné soubory a data, které na tom disku mám. Zálohoval jsem je před dlouhou dobou bohužel.

[Rudy]

Tak to bych měl obavu také. Co na to pustit USBFix: http://www.stahuj.centrum.cz/utility_a_ ... ve/usbfix/ ? Tan (pokud šmejda najde) odstraní ho. Jinak soubory zachová.

[vencasco]

Tak vskutku USBFix má zásluhu na tom, že se již po zapnutí neobjevuje hlášení chyb viz první strana. Jelikož dva šmejdy to našlo. Nic méně disk stále vykazuje, že soubory tam nejsou ač je skoro úplně plný a nelze se k nim dostat stále (viz příloha). Je nějaký osvědčený program, který se do disku dokáže dostat jinak než běžnou uživatelskou cestou? Jinak na disku zůstali prázdné složky, které z důvodu že nejsem Admin nejdou odstranit. Ale přitom bych administrátor měl normálně být.

[Rudy]

Tak to nevím. Snad nabootováním z nějakého live CD (UBCD: http://www.stahuj.centrum.cz/utility_a_ ... e-boot-cd/ , nebo HBCD http://www.hirensbootcd.org/), popř. něčím pro záchranu dat. Práva převzít nelze?

[altrok]

Hezky den,

omlouvam se za vstup - treba na neco jeste prijdeme Muzu poprosit jeste o aktualni logy FRST.txt a Addition.txt?