Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 20 led 2018 21:28
Přikládám scan z malwarebytes a FRST. Nic jsem nemazal.
VIRY.CZ
Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/
Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Stránka 2 z 4
Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 20 led 2018 22:12
PC je po stránce malware čistý. Zkuste obnovu systému k datu, kdy korketně fungoval.
Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 20 led 2018 22:22
To bylo první co jsem chtěl udělat, bohužel nevím proč, ale bod obnovy jsem tam neměl žádný možný. Nyní tam už je, ale ze včerejšího dne. 
Takže zkusím asi verzi dostat data na externí disk a poté naformátovat disky a data nahrát zpět. Když je již počítač čistý.
Takže zkusím asi verzi dostat data na externí disk a poté naformátovat disky a data nahrát zpět. Když je již počítač čistý.Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 21 led 2018 11:38
OK. Také řešení. 
Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 21 led 2018 19:42
Tak navazuji a pokračuji bohužel. Doufal, jsem že již napíši jen poděkování a přihodím příspěvek na provoz, ale problém stále přetrvává. Na externí disk jsem přesunul celý pouze datový disk "D" poté ho v pc naformátoval. Restartoval a chybné hlášení s diskem "D" při zapnutí stále přetrvává. Zkusil jsem tedy abych se dostal na systémový disk do sektoru dat "E" přes Linux jak jsem psal. To bohužel neklaplo. Prostě ani přes něj mě to tam nepustí a naopak mi tam objevili pochybné soubory a aplikace. Protože na linuxu holt neběžel žádný antivirus. opět vše zasílám do přílohy včetně FRST logu. Jinak datový disk "E" jsem už radši úplně fyzicky vyndal z NT.
Na externí disk jsem přesunul celý pouze datový disk "D" poté ho v pc naformátoval. Restartoval a chybné hlášení s diskem "D" při zapnutí stále přetrvává. Zkusil jsem tedy abych se dostal na systémový disk do sektoru dat "E" přes Linux jak jsem psal. To bohužel neklaplo. Prostě ani přes něj mě to tam nepustí a naopak mi tam objevili pochybné soubory a aplikace. Protože na linuxu holt neběžel žádný antivirus. opět vše zasílám do přílohy včetně FRST logu. Jinak datový disk "E" jsem už radši úplně fyzicky vyndal z NT.Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 21 led 2018 19:58
OK. Dejte log ComboFix:
Stahnete a ulozte nejlepe na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
pote spustte aplikaci pod uctem s administratorskym opravnenim
hned po startu se zobrazi obrazovka s licencnimi podminkami, pokracujte kliknutim na tlacitko Ano.
v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se
jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine
aplikace ani nic jineho
behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)
upozorneni: pokud pouzivate antispyware s rezidentnim stitem, prepnete jeho rezidentni stit do Install Mode,
pripadne jej po dobu skenu uplne deaktivujte, protoze dochazi pri skenu a vymazu pripadneho malware k
nezadoucim kolizim s rezidentem antispyware.
Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 22 led 2018 02:27
Log z combofix + to co je nyní vidět na infikované části disku.
Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 22 led 2018 12:10
Otevřte poznámkový blok a zkopírujte do něj:
Uložte na plochu jako CFScript.txt. Pak jej uchopte myší a přetáhněte nad ikonu ComboFix a pusťte. CF se spustí a vykoná příkazy ze skriptu.KillAll::
File::
c:\windows\system32\acovcnt.exe
Reglock::
[HKEY_USERS\S-1-5-21-4147986389-2699613915-2088298157-1000\@*]r*]
[HKEY_USERS\S-1-5-21-4147986389-2699613915-2088298157-1000\@*żr*]
[HKEY_USERS\S-1-5-21-4147986389-2699613915-2088298157-1000\c:\users\Scorpion\AppData\Roaming\Spotify\Spotify.exe*ll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\PCW\Security]
ClearJavaCache::
Reboot::
Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 22 led 2018 15:44
Provedl jsem. Zasílám opět log z CF. Jinak disk stále nedostupný a složky viru tam jsou stále.
Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 22 led 2018 16:09
Bylo smazáno. Zkuste tu složku smazat ručně. Podle všeho vy už tam nemělo nic zásadního být.
Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 22 led 2018 16:26
Nejdou odstranit. Jinak náhodou jsem narazil na jednom webu na toto:
Rozumíte nějak tomu?
Jen mám obavu aby to neodstranilo i nedostupné soubory a data, které na tom disku mám. Zálohoval jsem je před dlouhou dobou bohužel.
Jinak náhodou jsem narazil na jednom webu na toto: Rozumíte nějak tomu?
Jen mám obavu aby to neodstranilo i nedostupné soubory a data, které na tom disku mám. Zálohoval jsem je před dlouhou dobou bohužel.
Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 22 led 2018 16:54
Tak to bych měl obavu také. Co na to pustit USBFix: http://www.stahuj.centrum.cz/utility_a_ ... ve/usbfix/ ? Tan (pokud šmejda najde) odstraní ho. Jinak soubory zachová.
Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 22 led 2018 18:05
Tak vskutku USBFix má zásluhu na tom, že se již po zapnutí neobjevuje hlášení chyb viz první strana. Jelikož dva šmejdy to našlo. Nic méně disk stále vykazuje, že soubory tam nejsou ač je skoro úplně plný a nelze se k nim dostat stále (viz příloha). Je nějaký osvědčený program, který se do disku dokáže dostat jinak než běžnou uživatelskou cestou? Jinak na disku zůstali prázdné složky, které z důvodu že nejsem Admin nejdou odstranit. Ale přitom bych administrátor měl normálně být.
Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 22 led 2018 19:04
Tak to nevím. Snad nabootováním z nějakého live CD (UBCD: http://www.stahuj.centrum.cz/utility_a_ ... e-boot-cd/ , nebo HBCD http://www.hirensbootcd.org/), popř. něčím pro záchranu dat. Práva převzít nelze?
Re: Infikace myfolder/revengeRAT. ztráta cesty k souborům.
Napsal: 23 led 2018 21:42
Hezky den,
omlouvam se za vstup - treba na neco jeste prijdeme Muzu poprosit jeste o aktualni logy FRST.txt a Addition.txt?
omlouvam se za vstup - treba na neco jeste prijdeme
Muzu poprosit jeste o aktualni logy FRST.txt a Addition.txt?