Trojan-Ransom.Win32.Foreign a zjištění způsobené škody

[Franta Ferda]

Zdravím, měl jsem v počítači tento virus - https://www.virustotal.com/cs/file/5c51 ... 396212003/
Bohužel jsem zjistil že ho tam mám až po několika hodinách když se počítač začal běžet na 100% CPU, nějaká utilita od Microsoftu. Podle stránky na webu "Ransom. Disables the compromised computer or restricts access to certain data so that the victim can no longer use it. The victim is expected to send payment to the hijacker to restore access to the blocked data or re-enable the system."
Nejsem z toho moc chytrej ale nějak to prý znepřístupňuje data na disku. Virus jsem snad po několika restartech definitivně odstranil ale rád bych zjistil jestli provedl v PC nějaký škody. Dá se to nějak?

[Rudy]

Zdravím!
Můžeme se podívat, zda v PC něco nezbylo: http://forum.viry.cz/viewtopic.php?f=13&t=133100 . Co se týká dat na disku, znepřístupnění provádí jen některé varianty viru a to tak dokonale, že jejich obnovní je prakticky nemožné. Jediná obrana je mít dokumenty zálohované. Zašifruje pouze dokumenty, fotky a videa.

[Franta Ferda]

Díky za info. Nechal jsem to projet pomocí Adwcleaneru a Malwarebyes a tím FRSTem, Logy z FRSTu posílám, Adwcleaner nenašel nic, MWB našlo soubor C:\Users\Franta\AppData\Roaming\msconfig.ini, je v něm plno nějakých šifrovacích dat. Asi si to dělalo přípravu na zašifrování souborů.
Zálohu systémáku naštěstí mám, tak jsem mezitím porovnal ty hlavní adresáře a v programových souborech to smazalo truecrypt.exe, jusched.exe a v registru všechno v HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run takže mě spousta programů po spuštění nenabíhala a nepřipojily se disky z truecryptu. Dokumenty a uživatelský data naštěstí vypadají že jsou nedotčeny. Jestli to něco dalšího mazalo v registrech asi nezjistím ale docela by mě to zajímalo. Snad to bude ok. Jestli je potřeba opravit nebo prověřit něco dalšího tak mi to sem ještě napište.

[Rudy]

Je tam pár zbytečností, které můžeme vyčistit. Otevřte poznámkový blok a zkopírujte do něj:

Start
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2373812635-3734851000-2061639972-1001\...\Policies\Explorer: []
HKU\S-1-5-21-2373812635-3734851000-2061639972-1001\...\MountPoints2: {2f2d68b5-560a-11e3-8255-54bef771218b} - "J:\SISetup.exe"
C:\WINDOWS\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat
C:\Users\Franta\AppData\Local\Temp
End

Uložte do c:\Program files (x86) jako fixlist.txt. Pak znovu spusťte FRST a klikněte na >Fix<. Zkopírujte sem pak log, který se na závěr vytvoří.

[Franta Ferda]

Text jsem uložil, FRST jsem spustil, PC se restartovalo ale způsobilo to nějaký problémy, Skype hlásí že se nelze přihlásit z důvodu chyby čtení z disku, a taky něco z Microsoft Office hlásí že je poškozená cache, oprava se nedařila

[Rudy]

Vše bylo smazáno a nemazali jsme nic, co by mohlo něco poškodit, pouze zbytečnosti a prázdné klíče. Po ransomware ani památky. Pokud nastal nějaký problém s Office, přeinstalujte je.

[Franta Ferda]

Tak po dalším restartu už bez chybových hlášek Asi to chtělo ukládat do Temp když se předtím smáznul.
Doufám že už na nic dalšího nenarazím, takže díky za rady.

[Rudy]

Tempy se běžně mažou, protože zabírají místo na disku a soubory tam se nevyužívají - jsou dočasné. Nemáte zač!