trojan LNK Agent BM, prośba o odzyskanie plików z pendriva

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
alenk

Użytkownik
Posty: 5
Rejestracja: 24 maja 2015, 17:11

trojan LNK Agent BM, prośba o odzyskanie plików z pendriva

Post24 maja 2015, 18:27

Proszę o pomoc w odzyskaniu plików z pendriva, oraz sprwadzenie logów.
Po infekcji Eset przeniósł pliki do kwarantanny, wcześniej pokazywały się skróty. Przy skanowaniu pena widać jak przelatują nazwy plików, że zajęte jest miejsce na nim, chociaż plików nie widać, widoczne są tylko dwa foldery wgrane już po infekcji. Podłączany w tym czasie był też dysk zewnętrzny toshiba, pojawił się tam folder $Recycled ale został usunięty przez shift+del i nie było ukrycia plików pod skrótami jak w przypadku pendriva.
Został zrobiony skan OTL, po czym nie można było uruchomić przeglądarki. Dziś skan FRST. Bardzo proszę o pomoc i wytłumaczenie "łopatologicznie" co robić, ponieważ jestem totalnym laikiem.
(system Win Vista 32bit)

1.FRST
Dostępne tylko dla zarejestrowanych użytkowników
2.Addition
Dostępne tylko dla zarejestrowanych użytkowników
3.OTL
Dostępne tylko dla zarejestrowanych użytkowników
4.Extras
Dostępne tylko dla zarejestrowanych użytkowników

5.Eset pliki dziennika
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

trojan LNK Agent BM, prośba o odzyskanie plików z pendriva

Post24 maja 2015, 18:29

1.
  • Ściągnij => Dostępne tylko dla zarejestrowanych użytkowników i go uruchom.
  • Kliknij Accept
  • Podłącz wszystkie pamięcie przenośne / pendrive / mp3 itp. wszystko to co posiadasz.
  • Kliknij w opcje Clean w USBFix
  • Kliknij OK
  • Wyskoczy okienko - kliknij No
  • Rozpocznie się skanowanie i czyszczenie
  • Wyskoczy okienko, kliknij Ok
  • Po skanowaniu wyskoczy trzecie okienko - klik na Nie i wyskoczy raport, daj mi go.

2. Wykonaj i wklej nowe logi z FRST.

alenk

Użytkownik
Posty: 5
Rejestracja: 24 maja 2015, 17:11

trojan LNK Agent BM, prośba o odzyskanie plików z pendriva

Post24 maja 2015, 18:55

Pliki na pendrivie są widoczne i dzialają:) Bardzo dziękuję za błyskawiczną pomoc!
log z USB fix
Dostępne tylko dla zarejestrowanych użytkowników

nowy log z FRST
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

trojan LNK Agent BM, prośba o odzyskanie plików z pendriva

Post24 maja 2015, 20:08

1. Otwórz notatnik i wklej:
CloseProcesses:
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
U4 WMCoreService; No ImagePath
S3 GoogleDesktopManager-092308-165331; C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [30192 2009-08-19] (Google)
CHR HKLM\...\Chrome\Extension: [aaaaojmikegpiepcfdkkjaplodkpfmlo] - C:\Users\Tomek\AppData\Local\APN\GoogleCRXs\apnorjtoolbar.crx [Not Found]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2013-04-26]
FF Extension: Ask Toolbar - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rkapossw.default\Extensions\toolbar@ask.com [2013-04-26]
FF Extension: Ask Toolbar - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rkapossw.default\Extensions\toolbar@ask.com [2013-04-26]
FF SearchPlugin: C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rkapossw.default\searchplugins\askcom.xml [2013-04-26]
FF SearchPlugin: C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rkapossw.default\searchplugins\askcom.xml [2013-04-26]
FF user.js: detected! => C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rkapossw.default\user.js [2013-02-02]
FF user.js: detected! => C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rkapossw.default\user.js [2013-02-02]
FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation)
FF SearchEngineOrder.1: Ask.com
FF Homepage: Dostępne tylko dla zarejestrowanych użytkowników
Toolbar: HKU\S-1-5-21-3121237661-2652031346-383586147-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
Toolbar: HKLM - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll No File
BHO: Ask Toolbar -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> C:\Program Files\Ask.com\GenericAskToolbar.dll No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3121237661-2652031346-383586147-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3121237661-2652031346-383586147-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3121237661-2652031346-383586147-1000\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3121237661-2652031346-383586147-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3121237661-2652031346-383586147-1000\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
URLSearchHook: HKU\S-1-5-21-3121237661-2652031346-383586147-1000 - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll No File
SearchScopes: HKLM -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
SearchScopes: HKLM -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
SearchScopes: HKU\S-1-5-21-3121237661-2652031346-383586147-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
BootExecute: autocheck autochk /p \??\E:autocheck autochk *
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKLM\...\RunOnce: [] => [X]
HKLM\...\Run: [] => [X]
2013-06-20 21:23 - 2014-06-06 11:35 - 0003738 _____ () C:\Program Files\Mozilla Firefoxsafeguard-secure-search.xml
2011-11-01 00:26 - 2011-11-01 00:26 - 0000000 _____ () C:\Users\Tomek\AppData\Roaming\wklnhst.dat
C:\Windows\Tasks\*.job
C:\ProgramData\Avg_Update_1214tb
Task: C:\Windows\Tasks\0814tbUpdateInfo.job => C:\ProgramData\Avg_Update_0814tb\0814tb_{902BB2BE-7FA6-4225-B2AF-94CF5DEB5A87}.exe
Task: C:\Windows\Tasks\1114tbUpdateInfo.job => C:\ProgramData\Avg_Update_1114tb\1114tb_{981FB08C-4A1D-4359-88F8-BC8C5B1FE80B}.exe
Task: C:\Windows\Tasks\1214tbUpdateInfo.job => C:\ProgramData\Avg_Update_1214tb\1214tb_{2B597957-A592-4BC8-BA8D-B89C7D9AAD41}.exe
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\avast! Emergency Update.job => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1cf8c26adeb7950.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1cff16fb2f08220.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1cffeae317ef450.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1d04246c8ad9f30.job => C:\Program Files\Google\Update\GoogleUpdate.exe
AlternateDataStreams: C:\ProgramData\Temp:131C0EE9
AlternateDataStreams: C:\ProgramData\Temp:35759C73
AlternateDataStreams: C:\ProgramData\Temp:41099CE9
AlternateDataStreams: C:\ProgramData\Temp:4F636E25
AlternateDataStreams: C:\ProgramData\Temp:798A3728
AlternateDataStreams: C:\ProgramData\Temp:814B9485
AlternateDataStreams: C:\ProgramData\Temp:8750DCE4
AlternateDataStreams: C:\ProgramData\Temp:9E22BBE8
AlternateDataStreams: C:\ProgramData\Temp:ABE89FFE
AlternateDataStreams: C:\ProgramData\Temp:ADE16379
AlternateDataStreams: C:\ProgramData\Temp:B203B914
AlternateDataStreams: C:\ProgramData\Temp:B623B5B8
AlternateDataStreams: C:\ProgramData\Temp:BB24555F
AlternateDataStreams: C:\ProgramData\Temp:CDFF58FE
AlternateDataStreams: C:\ProgramData\Temp:CE0A077E
AlternateDataStreams: C:\ProgramData\Temp:DCAF903C
AlternateDataStreams: C:\ProgramData\Temp:F7862839
AlternateDataStreams: C:\Users\Tomek\Downloads\wiadomosc(1).eml:OECustomProperty
AlternateDataStreams: C:\Users\Tomek\Downloads\wiadomosc.eml:OECustomProperty
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Odinstaluj śmiecie: Ask Toolbar / WinRAR Packages / Google Toolbar for Internet Explorer

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

5. Wyczyść Firefox:
  • menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • menu Historia > Wyczyść historię przeglądania

6. Uruchom narzędzie Microsoftu: Dostępne tylko dla zarejestrowanych użytkowników. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei wpisy adware Google Toolbar for Internet Explorer / Google Toolbar for Internet Explorer / Google Update Helper / Google Update Helper > Dalej. Narzędzie należy uruchomić CZTERY razy, gdyż nie umożliwia akcji hurtowej.

7. Wykonaj i wklej nowe logi z FRST. Nie zapomnij o zahaczykowaniu Addition.

Oceń jak sytuacja.

alenk

Użytkownik
Posty: 5
Rejestracja: 24 maja 2015, 17:11

trojan LNK Agent BM, prośba o odzyskanie plików z pendriva

Post25 maja 2015, 00:15

Addition
Dostępne tylko dla zarejestrowanych użytkowników
FRST
Dostępne tylko dla zarejestrowanych użytkowników
JRT
Dostępne tylko dla zarejestrowanych użytkowników
adwCleaner
Dostępne tylko dla zarejestrowanych użytkowników

Przy odinstalowywaniu Ask Toolbar był problem wyskakiwał :Error 2738.Coud not access VBScript run time for custom action
Potem przy narzędziu Microsoftu nie było w zestawie AskTool'a ale było coś podobnego ale nie było ruszane VBScript(2738.1) wydaje się że adwCleaner sam go usunął wcześniej.
Nie wiem co z WinRarem bo nie znajduję WinRar Packeges tylko Win Rar (Zip)?
Przeglądarka po Frstfix sama się "odnowiła" i dosyć długo komp się uruchamiał, ale po kolejnym restarcie ładnie chodzi.

Mam pytanie, ponieważ w kompie są tylko dwa gniazda usb, jednocześnie można było przeskanować tylko dwa najczęściej używane urządzenia, ale czy można sprawdzić inne pendrivy bez ryzyka infekcji komputera? Bardzo dziękuję za pomoc:)

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

trojan LNK Agent BM, prośba o odzyskanie plików z pendriva

Post25 maja 2015, 00:51

Przy odinstalowywaniu Ask Toolbar był problem wyskakiwał :Error 2738.Coud not access VBScript run time for custom action
Potem przy narzędziu Microsoftu nie było w zestawie AskTool'a ale było coś podobnego ale nie było ruszane VBScript(2738.1) wydaje się że adwCleaner sam go usunął wcześniej.

Tak, AdwCleaner go usunął i nie ma już śladu po Ask Toolbar. Google Helpery pomyślnie skasowane, w logach ich już nie widać.

---------------------------------------------------------------------------------------------------------

Nie wiem co z WinRarem bo nie znajduję WinRar Packeges tylko Win Rar (Zip)?

Chodzi mi o to:
WinRAR Packages (HKU\S-1-5-21-3121237661-2652031346-383586147-1000\...\WinRAR Packages) (Version: - ) <==== ATTENTION

---------------------------------------------------------------------------------------------------------

Przeglądarka po Frstfix sama się "odnowiła" i dosyć długo komp się uruchamiał, ale po kolejnym restarcie ładnie chodzi.

Skrypt podczas ładowania systemu usuwa jeszcze pewne komponenty dlatego rozruch zawsze trwa trochę dłużej - normalne.

-------------------------------------------------------------------------------------------------------

Mam pytanie, ponieważ w kompie są tylko dwa gniazda usb, jednocześnie można było przeskanować tylko dwa najczęściej używane urządzenia, ale czy można sprawdzić inne pendrivy bez ryzyka infekcji komputera? Bardzo dziękuję za pomoc:)

System masz już zabezpieczony przed infekcjami z pendriva więc śmiało możesz podłączać inne urządzenia i użyć USBFixa

================================================

Kończymy.

1. Otwórz notatnik i wklej:
Toolbar: HKU\S-1-5-21-3121237661-2652031346-383586147-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
BHO: No Name -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> No File
AlternateDataStreams: C:\Users\Tomek\Downloads\wiadomosc(1).eml:OECustomProperty
AlternateDataStreams: C:\Users\Tomek\Downloads\wiadomosc.eml:OECustomProperty
C:\Users\Tomek\AppData\Local\Temp\Quarantine.exe
C:\Users\Tomek\AppData\Local\Temp\RtkBtMnt.exe
C:\Users\Tomek\AppData\Local\Temp\sqlite3.dll
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes

alenk

Użytkownik
Posty: 5
Rejestracja: 24 maja 2015, 17:11

trojan LNK Agent BM, prośba o odzyskanie plików z pendriva

Post25 maja 2015, 21:16

Malwarebytes log ze skanowania
Dostępne tylko dla zarejestrowanych użytkowników
malware raport
Dostępne tylko dla zarejestrowanych użytkowników
DelFix raport
Dostępne tylko dla zarejestrowanych użytkowników

Przy skanie Malware wykryty został trojan w folderze z plikami doc i ppt, na razie jest w kwarantannie, zastanawiam się czy jest możliwość obejścia usunięcia plików, tak żeby z nich korzystać, inne potencjalne zagrożenia to programy z których korzystam więc nic zignorowano. Bardzo dziękuję!

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

trojan LNK Agent BM, prośba o odzyskanie plików z pendriva

Post25 maja 2015, 21:23

Jeżeli te pliki są w porządku to możesz je przywrócić z kwarantanny i normalnie z nich korzstać.

alenk

Użytkownik
Posty: 5
Rejestracja: 24 maja 2015, 17:11

trojan LNK Agent BM, prośba o odzyskanie plików z pendriva

Post25 maja 2015, 22:03

djarta pisze:Jeżeli te pliki są w porządku to możesz je przywrócić z kwarantanny i normalnie z nich korzystać.

Otwierają się normalnie, nie widzę nic podejrzanego, mam nadzieję że są ok.
Jeszcze raz dziękuję za poświęcony czas i nieocenioną pomoc.
Ostatnio zmieniony 25 maja 2015, 22:03 przez djarta, łącznie zmieniany 1 raz.
Powód: Temat wyczerpany = zamykam.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 9 gości