Infikace myfolder/revengeRAT. ztráta cesty k souborům.

[vencasco]

I vám hezký den,

trochu jsem se nyní odmlčel pro vytíženost práce. Nic méně jiná práce mi stojí kvůli tomu, že se právě nemohu dostat do těch složek na disku. Už začínám kontaktovat přímo lidi v mém okolí co se v tom vyznají, jestli bych jím NT odnesl a zkusili by s tím něco udělat. Jelikož počítač je stále zanesený pravděpodobně. Včera jsem do jiného NT dal SD kartu z fotoaparátu, kterou jsem vyndal z nakaženého NT když jsem zjistil, že s NT není něco v pořádku, a včera když jsem dal tu SD kartu s fotografiemi do jiného NT tak jsem zjistil, že je zavirované uplně stejným způsobem jako počítat, o kterém je tohle celé vlákno. Ten jiný nezavirovaný počítač mě hned hlásil, že na té SD kartě je vir. Potřebná data se mi podařilo dostat z karty snad bez viru poté kartu naformátoval a počítač celou noc nechal kontrolovat. Ráno jsem zjistil, že tam nějaký trojan byl takže jsem ho nechal odebrat a snad druhý NT bude v pořádku. Nic méně ten, který stále řešíme, tak jsem ho dnes procházel přes microsoft security essentials a našel mi na "E" sekci disku jeden trojan a na "C" mi našel dva trojany (viz příloha) Pak jsem procházel různě koumal a zjistil, že stále to je celé divné. Například že v "programData" má být složka "RevengeRAT", ale když "programData" otevřu, tak nic také tam není (viz příloha)... nebo když jsem celkově v PC hledal mou složku s názvem SIV tak mi to našlo nějaké soubory typu "soubor VIR" a navíc se tam z ničeho nic udělal nový zastupce mé složky "SIV" dle datumu dnes který tam v době kdy jsem tam dnes koukal prvně nebyl apod... viz přílohy. Logy pošlu dalším příspěvkem v příloze

[altrok]

Krasny vecer,


kdyz mas snahu tomu vsemu porozumet, vysvetlim ti udalosti, o kterych mluvis (zadne podrobne technicke detaily... je to primarne pro tvoje pochopeni).

viry1.jpg - naming convention neboli zpusob pojmenovani se napric ruznymi bezpecnostnimi produkty znacne lisi, proto mi tohle neco rekne malokdy. Abych byl moudrejsi, potreboval bych rozkliknout "Zobrazit podrobnosti" a pro me je velice dulezite umisteni souboru + jeho nazev.

viry2.jpg - slozku RevengeRAT v ProgramData nevidis, protoze ma nastavene atributy system (S) a hidden (H). Atribut D = directory = slozka.

2018-01-14 22:38 - 2018-01-16 01:56 - 000000000 __SHD C:\ProgramData\RevengeRAT

abys tedy slozku v seznamu videl, muzes udelat nasledujici (nedoporucuju) - Win+R -> "control folders" -> Zobrazeni -> zrusit fajfku (checkbox) u "Skryt chranene soubory operacniho systemu" a vybrat option button "Zobrazovat skryte soubory a slozky". Pokud si je zobrazis, nic dalsiho s nima ted nedelej. Prvne se pokusim ti smazat toho cerva az dodas slibovane logy.

viry3.jpg - nemam laicke vysvetleni - jedna se o cinnost cerva, ktery se ti snazi rict, zes o soubory na externim mediu prisel.

viry4.jpg - jses v karantene ComboFixu a kazdy antimalwarovy nastroj souborum meni (pridava) priponu, aby nebylo mozne soubor spustit dvojklikem/execute. Bezne se setkavam s vice druhy pripon napr. malware.exe.xBAD, malware.exe_, apod.

viry5.jpg - tohle je cinnost malwaru - stejne jako u viry3.jpg


Az dodas logy, treba na neco prijdeme.

[vencasco]

Děkuji za lajcké vysvětlení. Jinak ty podrobnosti jsme rozkliknuté měl v obou případech, ale bohužel jsem udělal screen jen toho jednoho a ještě bez detailu. Když nedoporučuješ, tak to radši dělat nebudu, nerad bych o to přišel. Posílám slíbené logy. Děkuji za věnovaný čas!

[altrok]

V pocitaci mas milion antiviru. Doporucuje se mit prave jeden, takze si nejakej vyber a zbytek odinstaluj pomoci oficialnich odinstalatoru https://support.eset.com/kb146/

• Znovu spust FRST.exe/FRST64.exe
• stiskni Ctrl + y (obe klavesy zaroven)
• otevre se fixlist.txt, do nejz vloz obsah bileho pole nize
• stiskni Ctrl + s (ulozis zmeny), pote fixlist zavri
• klikni na tlacitko Fix
• po restartu bude vedle FRST vytvoren fixlog, jehoz obsah vloz do pristi odpovedi

  Kód: Vybrat vše

  Start
  CreateRestorePoint:
  CloseProcesses:
  S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
  S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X]
  C:\Program Files\Enigma Software Group
  C:\Windows\system32\DRIVERS\EsgScanner.sys
  CMD: dir C:\myfolder
  2018-01-14 22:38 - 2018-01-16 01:56 - 000000000 __SHD C:\ProgramData\RevengeRAT
  File: C:\Windows\System32\CbFsMntNtf3.dll
  Task: {002C1025-DB8F-46DC-9876-F31EBEB83C81} - System32\Tasks\{FAD4463A-DB6E-4833-9A8D-D1AFA6F69C3A} => C:\Windows\system32\pcalua.exe -a C:\Users\Scorpion\Desktop\plesk-installer.exe -d C:\Users\Scorpion\Desktop
  Task: {3EBC8A82-951A-44CB-AD2B-0B7469BCBE68} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION
  Task: {5A104451-480F-4099-9761-3FBB565A6A8B} - System32\Tasks\{AEE03E61-D515-45A3-9299-A3B2E418886C} => C:\Windows\system32\pcalua.exe -a C:\Users\Scorpion\Desktop\FS2004_cestina_full\ATC_cz.exe -d C:\Users\Scorpion\Desktop\FS2004_cestina_full
  Task: {5D98875C-6F70-4B4E-A8EA-FCA6A63C4D83} - \GoogleUpdateTaskMachineCore1d0e7ec9bdd7d39 -> No File <==== ATTENTION
  Task: {5DFC2750-6D31-46FC-BC42-E1251950EC13} - \GoogleUpdateTaskMachineUA1d12ccb2f179f70 -> No File <==== ATTENTION
  Task: {778E1751-B0E6-45FC-A571-AC1FC5FEC28F} - \GoogleUpdateTaskMachineUA1d090046e178291 -> No File <==== ATTENTION
  Task: {A9442941-78F2-4AED-BEBF-7A84832D9014} - \GoogleUpdateTaskMachineCore1d12ccb2ee0dfca -> No File <==== ATTENTION
  Task: {C27ABF5B-D6C0-416E-8E3E-FFC5BD515624} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION
  Task: {EF437E5C-3EA0-41F4-A4CB-EF63B1B195B8} - \GoogleUpdateTaskMachineUA1cfff555ca2dfbd -> No File <==== ATTENTION
  File: C:\users\scorpion\appdata\roaming\wuala\wuala.exe
  CMD: dir "C:\Windows\Inf" /AD
  CMD: dir "C:\PROGRA~1"
  CMD: dir "C:\PROGRA~2"
  CMD: dir "C:\PROGRA~3"
  CMD: dir "%localappdata%"
  CMD: dir "%appdata%"
  Hosts:
  EmptyTemp:
  End

[vencasco]

Pravda! Ale většinu jsem nainstaloval až po tom zanesení, při zoufalé snaze to čistit. Nyní jsem tedy už vymazal, microsoft security essentials, avast a Trend Micro Titanium. Nyní jsem tam aktualizoval ESET, který hned zahájil diagnostiku po restartu. Posílám screen aktuálního dění. Hned jak to dokončí, ta udělám, co je mi zde zadáno s tím fixlist.

[vencasco]

Zasílám slíbený fixlog.

[altrok]

• Znovu spustte FRST.exe/FRST64.exe
• stisknete Ctrl + y (obe klavesy zaroven)
• otevre se fixlist.txt, do nejz vlozte obsah bileho pole nize
• stisknete Ctrl + s (ulozite zmeny), pote fixlist zavrete
• kliknete na tlacitko Fix
• po restartu bude vedle FRST vytvoren fixlog, jehoz obsah vlozte do pristi odpovedi

  Kód: Vybrat vše

  Start
  CreateRestorePoint:
  CloseProcesses:
  C:\myfolder
  End

Po restartu dejte nove logy FRST.txt a Addition.txt. Dale dejte vedet, zda problem pretrvava.

[vencasco]

Zdravím, provedl jsem to co jste napsal a soubory stále nejsou vyhledatelné. Na disku "E" stále dvě složky nejspíš prázdné, ale nelze je odstranit (viz příloha).

[vencasco]

Tak se mi dnes po zapnutí druhého NT, než který tu nyní řešíme již objevila stejná hláška revengeRAT. Takže bohužel z té paměťové karty u které jsem nevěděl, že je též infikovaná, tak se mi tam ten červ dostal a už tam dělá neplechy. Ještě než budu jakkoliv pokračovat, doporučili by jste ho vrátit v čase? Odstraní se tím ten červ? nebo rovnou udělat log z frst a dat ho sem? Nebo rovnou odnést někomu, kdo tomu rozumí a zabývá se tím? Mám tam Win.8 .

[altrok]

Zkus na tu SD kartu na pocitaci se sedmickami pouzit USBFix - funkci Vaccinate. Log sem.

Na sedmickach klikni na start, napis "možnosti indexování" a enter -> dole vyber Upresnit -> Znovu sestavit. Indexovani nejakej cas vezme (obvykle zhruba 15 minut) a zda je hotovo se dozvis nahore v okne - nahore jsou Indexovane polozky a pod nimi - indexovani bylo dokonceno.

Jak presne se problem i po indexaci na sedmickach projevuje?

[vencasco]

Takhle mě se podařilo přes vyhledávání na té kartě objevit ty složky z fotáku které jsem potřeboval a ty jsem přenesl do NT. Obě označil a nechal projít zda v nich není vir. Poté jsem infikovanou SD kartu naformátoval. To vše ve Win. 8. Nic méně zkusím udělat co píšeš s tou kartou. Ale hlavně se mi jedná, jak nyní ten červ odstranit z těch Win. 8, než z toho zase nějakými programy začnu odstraňovat toho červa. Ač se to asi moc nepodaří, když vidím, že ani z toho NT, který tu nyní řešíme, tak přes snahy je stále ten červ o nějaké kroky napřed.

[altrok]

Ja mam jiny nazor. Podle logu je tento pocitac zbaven cerva, ale aktivnim prenasecem je SD karta, kterou bych rad odviroval pomoci USBFixu. Pak muzeme odvirovat i Windows 8.

Proto se ptam, jak jsou na tom sedmicky, zda se cerv stale nejak projevuje (na PC se sedmickama).

[vencasco]

Aha, omlouvám se, špatně jsem vás pochopil.

Win. 7 (počítač o kterém je celé vlákno) : Počítač se chová bych řekl normálně jen prostě se nelze dostat k těm souborům v sektoru disku "E" Stále tam jsou dvě složky vytvořené virem a nelze je odstranit (viz příloha). a nadále se nelze dostat běžným způsobem a ani přes "prohledávat disk E" k složkám které tam mám.

Nyní tedy dám SD kartu do PC s Win. 7 a nechám zkotrolovat USBFuxem.

[vencasco]

SD karta je pry čistá dle USBfix. Což mi potvrdil i eset.

[altrok]

Je pekny, ze tvrdi, ze je cista, ale jde mi o funkci Vaccinate, ktera prepise a "naockuje" kartu/flashku i pocitac natvrdo vepsanym autorun.inf, jehoz prostrednictvim se dle meho tento cerv siri.


Zkusme jeste mrknout na disk E:

• Znovu spustte FRST.exe/FRST64.exe
• stisknete Ctrl + y (obe klavesy zaroven)
• otevre se fixlist.txt, do nejz vlozte obsah bileho pole nize
• stisknete Ctrl + s (ulozite zmeny), pote fixlist zavrete
• kliknete na tlacitko Fix
• po restartu bude vedle FRST vytvoren fixlog, jehoz obsah vlozte do pristi odpovedi

  Kód: Vybrat vše

  Start
  CloseProcesses:
  E:\myfolder
  cmd: dir e:\.Trash-999
  End