Proszę o pomoc w odzyskaniu plików z pendriva, oraz sprwadzenie logów.
Po infekcji Eset przeniósł pliki do kwarantanny, wcześniej pokazywały się skróty. Przy skanowaniu pena widać jak przelatują nazwy plików, że zajęte jest miejsce na nim, chociaż plików nie widać, widoczne są tylko dwa foldery wgrane już po infekcji. Podłączany w tym czasie był też dysk zewnętrzny toshiba, pojawił się tam folder $Recycled ale został usunięty przez shift+del i nie było ukrycia plików pod skrótami jak w przypadku pendriva.
Został zrobiony skan OTL, po czym nie można było uruchomić przeglądarki. Dziś skan FRST. Bardzo proszę o pomoc i wytłumaczenie "łopatologicznie" co robić, ponieważ jestem totalnym laikiem.
(system Win Vista 32bit)
1.FRST
Dostępne tylko dla zarejestrowanych użytkowników
2.Addition
Dostępne tylko dla zarejestrowanych użytkowników
3.OTL
Dostępne tylko dla zarejestrowanych użytkowników
4.Extras
Dostępne tylko dla zarejestrowanych użytkowników
5.Eset pliki dziennika
Dostępne tylko dla zarejestrowanych użytkowników
trojan LNK Agent BM, prośba o odzyskanie plików z pendriva
-
- Posty: 5
- Rejestracja: 24 maja 2015, 17:11
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
trojan LNK Agent BM, prośba o odzyskanie plików z pendriva
1.
2. Wykonaj i wklej nowe logi z FRST.
- Ściągnij => Dostępne tylko dla zarejestrowanych użytkowników i go uruchom.
- Kliknij Accept
- Podłącz wszystkie pamięcie przenośne / pendrive / mp3 itp. wszystko to co posiadasz.
- Kliknij w opcje Clean w USBFix
- Kliknij OK
- Wyskoczy okienko - kliknij No
- Rozpocznie się skanowanie i czyszczenie
- Wyskoczy okienko, kliknij Ok
- Po skanowaniu wyskoczy trzecie okienko - klik na Nie i wyskoczy raport, daj mi go.
2. Wykonaj i wklej nowe logi z FRST.
-
- Posty: 5
- Rejestracja: 24 maja 2015, 17:11
trojan LNK Agent BM, prośba o odzyskanie plików z pendriva
Pliki na pendrivie są widoczne i dzialają:) Bardzo dziękuję za błyskawiczną pomoc!
log z USB fix
Dostępne tylko dla zarejestrowanych użytkowników
nowy log z FRST
Dostępne tylko dla zarejestrowanych użytkowników
log z USB fix
Dostępne tylko dla zarejestrowanych użytkowników
nowy log z FRST
Dostępne tylko dla zarejestrowanych użytkowników
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
trojan LNK Agent BM, prośba o odzyskanie plików z pendriva
1. Otwórz notatnik i wklej:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
2. Odinstaluj śmiecie: Ask Toolbar / WinRAR Packages / Google Toolbar for Internet Explorer
3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt
4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.
5. Wyczyść Firefox:
6. Uruchom narzędzie Microsoftu: Dostępne tylko dla zarejestrowanych użytkowników. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei wpisy adware Google Toolbar for Internet Explorer / Google Toolbar for Internet Explorer / Google Update Helper / Google Update Helper > Dalej. Narzędzie należy uruchomić CZTERY razy, gdyż nie umożliwia akcji hurtowej.
7. Wykonaj i wklej nowe logi z FRST. Nie zapomnij o zahaczykowaniu Addition.
Oceń jak sytuacja.
CloseProcesses:
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
U4 WMCoreService; No ImagePath
S3 GoogleDesktopManager-092308-165331; C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [30192 2009-08-19] (Google)
CHR HKLM\...\Chrome\Extension: [aaaaojmikegpiepcfdkkjaplodkpfmlo] - C:\Users\Tomek\AppData\Local\APN\GoogleCRXs\apnorjtoolbar.crx [Not Found]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2013-04-26]
FF Extension: Ask Toolbar - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rkapossw.default\Extensions\toolbar@ask.com [2013-04-26]
FF Extension: Ask Toolbar - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rkapossw.default\Extensions\toolbar@ask.com [2013-04-26]
FF SearchPlugin: C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rkapossw.default\searchplugins\askcom.xml [2013-04-26]
FF SearchPlugin: C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rkapossw.default\searchplugins\askcom.xml [2013-04-26]
FF user.js: detected! => C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rkapossw.default\user.js [2013-02-02]
FF user.js: detected! => C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rkapossw.default\user.js [2013-02-02]
FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation)
FF SearchEngineOrder.1: Ask.com
FF Homepage: Dostępne tylko dla zarejestrowanych użytkowników
Toolbar: HKU\S-1-5-21-3121237661-2652031346-383586147-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
Toolbar: HKLM - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll No File
BHO: Ask Toolbar -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> C:\Program Files\Ask.com\GenericAskToolbar.dll No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3121237661-2652031346-383586147-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3121237661-2652031346-383586147-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3121237661-2652031346-383586147-1000\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3121237661-2652031346-383586147-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3121237661-2652031346-383586147-1000\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
URLSearchHook: HKU\S-1-5-21-3121237661-2652031346-383586147-1000 - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll No File
SearchScopes: HKLM -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
SearchScopes: HKLM -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
SearchScopes: HKU\S-1-5-21-3121237661-2652031346-383586147-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
BootExecute: autocheck autochk /p \??\E:autocheck autochk *
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKLM\...\RunOnce: [] => [X]
HKLM\...\Run: [] => [X]
2013-06-20 21:23 - 2014-06-06 11:35 - 0003738 _____ () C:\Program Files\Mozilla Firefoxsafeguard-secure-search.xml
2011-11-01 00:26 - 2011-11-01 00:26 - 0000000 _____ () C:\Users\Tomek\AppData\Roaming\wklnhst.dat
C:\Windows\Tasks\*.job
C:\ProgramData\Avg_Update_1214tb
Task: C:\Windows\Tasks\0814tbUpdateInfo.job => C:\ProgramData\Avg_Update_0814tb\0814tb_{902BB2BE-7FA6-4225-B2AF-94CF5DEB5A87}.exe
Task: C:\Windows\Tasks\1114tbUpdateInfo.job => C:\ProgramData\Avg_Update_1114tb\1114tb_{981FB08C-4A1D-4359-88F8-BC8C5B1FE80B}.exe
Task: C:\Windows\Tasks\1214tbUpdateInfo.job => C:\ProgramData\Avg_Update_1214tb\1214tb_{2B597957-A592-4BC8-BA8D-B89C7D9AAD41}.exe
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\avast! Emergency Update.job => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1cf8c26adeb7950.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1cff16fb2f08220.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1cffeae317ef450.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1d04246c8ad9f30.job => C:\Program Files\Google\Update\GoogleUpdate.exe
AlternateDataStreams: C:\ProgramData\Temp:131C0EE9
AlternateDataStreams: C:\ProgramData\Temp:35759C73
AlternateDataStreams: C:\ProgramData\Temp:41099CE9
AlternateDataStreams: C:\ProgramData\Temp:4F636E25
AlternateDataStreams: C:\ProgramData\Temp:798A3728
AlternateDataStreams: C:\ProgramData\Temp:814B9485
AlternateDataStreams: C:\ProgramData\Temp:8750DCE4
AlternateDataStreams: C:\ProgramData\Temp:9E22BBE8
AlternateDataStreams: C:\ProgramData\Temp:ABE89FFE
AlternateDataStreams: C:\ProgramData\Temp:ADE16379
AlternateDataStreams: C:\ProgramData\Temp:B203B914
AlternateDataStreams: C:\ProgramData\Temp:B623B5B8
AlternateDataStreams: C:\ProgramData\Temp:BB24555F
AlternateDataStreams: C:\ProgramData\Temp:CDFF58FE
AlternateDataStreams: C:\ProgramData\Temp:CE0A077E
AlternateDataStreams: C:\ProgramData\Temp:DCAF903C
AlternateDataStreams: C:\ProgramData\Temp:F7862839
AlternateDataStreams: C:\Users\Tomek\Downloads\wiadomosc(1).eml:OECustomProperty
AlternateDataStreams: C:\Users\Tomek\Downloads\wiadomosc.eml:OECustomProperty
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
2. Odinstaluj śmiecie: Ask Toolbar / WinRAR Packages / Google Toolbar for Internet Explorer
3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt
4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.
5. Wyczyść Firefox:
- menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
- menu Historia > Wyczyść historię przeglądania
6. Uruchom narzędzie Microsoftu: Dostępne tylko dla zarejestrowanych użytkowników. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei wpisy adware Google Toolbar for Internet Explorer / Google Toolbar for Internet Explorer / Google Update Helper / Google Update Helper > Dalej. Narzędzie należy uruchomić CZTERY razy, gdyż nie umożliwia akcji hurtowej.
7. Wykonaj i wklej nowe logi z FRST. Nie zapomnij o zahaczykowaniu Addition.
Oceń jak sytuacja.
-
- Posty: 5
- Rejestracja: 24 maja 2015, 17:11
trojan LNK Agent BM, prośba o odzyskanie plików z pendriva
Addition
Dostępne tylko dla zarejestrowanych użytkowników
FRST
Dostępne tylko dla zarejestrowanych użytkowników
JRT
Dostępne tylko dla zarejestrowanych użytkowników
adwCleaner
Dostępne tylko dla zarejestrowanych użytkowników
Przy odinstalowywaniu Ask Toolbar był problem wyskakiwał :Error 2738.Coud not access VBScript run time for custom action
Potem przy narzędziu Microsoftu nie było w zestawie AskTool'a ale było coś podobnego ale nie było ruszane VBScript(2738.1) wydaje się że adwCleaner sam go usunął wcześniej.
Nie wiem co z WinRarem bo nie znajduję WinRar Packeges tylko Win Rar (Zip)?
Przeglądarka po Frstfix sama się "odnowiła" i dosyć długo komp się uruchamiał, ale po kolejnym restarcie ładnie chodzi.
Mam pytanie, ponieważ w kompie są tylko dwa gniazda usb, jednocześnie można było przeskanować tylko dwa najczęściej używane urządzenia, ale czy można sprawdzić inne pendrivy bez ryzyka infekcji komputera? Bardzo dziękuję za pomoc:)
Dostępne tylko dla zarejestrowanych użytkowników
FRST
Dostępne tylko dla zarejestrowanych użytkowników
JRT
Dostępne tylko dla zarejestrowanych użytkowników
adwCleaner
Dostępne tylko dla zarejestrowanych użytkowników
Przy odinstalowywaniu Ask Toolbar był problem wyskakiwał :Error 2738.Coud not access VBScript run time for custom action
Potem przy narzędziu Microsoftu nie było w zestawie AskTool'a ale było coś podobnego ale nie było ruszane VBScript(2738.1) wydaje się że adwCleaner sam go usunął wcześniej.
Nie wiem co z WinRarem bo nie znajduję WinRar Packeges tylko Win Rar (Zip)?
Przeglądarka po Frstfix sama się "odnowiła" i dosyć długo komp się uruchamiał, ale po kolejnym restarcie ładnie chodzi.
Mam pytanie, ponieważ w kompie są tylko dwa gniazda usb, jednocześnie można było przeskanować tylko dwa najczęściej używane urządzenia, ale czy można sprawdzić inne pendrivy bez ryzyka infekcji komputera? Bardzo dziękuję za pomoc:)
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
trojan LNK Agent BM, prośba o odzyskanie plików z pendriva
Przy odinstalowywaniu Ask Toolbar był problem wyskakiwał :Error 2738.Coud not access VBScript run time for custom action
Potem przy narzędziu Microsoftu nie było w zestawie AskTool'a ale było coś podobnego ale nie było ruszane VBScript(2738.1) wydaje się że adwCleaner sam go usunął wcześniej.
Tak, AdwCleaner go usunął i nie ma już śladu po Ask Toolbar. Google Helpery pomyślnie skasowane, w logach ich już nie widać.
---------------------------------------------------------------------------------------------------------
Nie wiem co z WinRarem bo nie znajduję WinRar Packeges tylko Win Rar (Zip)?
Chodzi mi o to:
WinRAR Packages (HKU\S-1-5-21-3121237661-2652031346-383586147-1000\...\WinRAR Packages) (Version: - ) <==== ATTENTION
---------------------------------------------------------------------------------------------------------
Przeglądarka po Frstfix sama się "odnowiła" i dosyć długo komp się uruchamiał, ale po kolejnym restarcie ładnie chodzi.
Skrypt podczas ładowania systemu usuwa jeszcze pewne komponenty dlatego rozruch zawsze trwa trochę dłużej - normalne.
-------------------------------------------------------------------------------------------------------
Mam pytanie, ponieważ w kompie są tylko dwa gniazda usb, jednocześnie można było przeskanować tylko dwa najczęściej używane urządzenia, ale czy można sprawdzić inne pendrivy bez ryzyka infekcji komputera? Bardzo dziękuję za pomoc:)
System masz już zabezpieczony przed infekcjami z pendriva więc śmiało możesz podłączać inne urządzenia i użyć USBFixa
================================================
Kończymy.
1. Otwórz notatnik i wklej:
Toolbar: HKU\S-1-5-21-3121237661-2652031346-383586147-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
BHO: No Name -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> No File
AlternateDataStreams: C:\Users\Tomek\Downloads\wiadomosc(1).eml:OECustomProperty
AlternateDataStreams: C:\Users\Tomek\Downloads\wiadomosc.eml:OECustomProperty
C:\Users\Tomek\AppData\Local\Temp\Quarantine.exe
C:\Users\Tomek\AppData\Local\Temp\RtkBtMnt.exe
C:\Users\Tomek\AppData\Local\Temp\sqlite3.dll
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
2. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes
-
- Posty: 5
- Rejestracja: 24 maja 2015, 17:11
trojan LNK Agent BM, prośba o odzyskanie plików z pendriva
Malwarebytes log ze skanowania
Dostępne tylko dla zarejestrowanych użytkowników
malware raport
Dostępne tylko dla zarejestrowanych użytkowników
DelFix raport
Dostępne tylko dla zarejestrowanych użytkowników
Przy skanie Malware wykryty został trojan w folderze z plikami doc i ppt, na razie jest w kwarantannie, zastanawiam się czy jest możliwość obejścia usunięcia plików, tak żeby z nich korzystać, inne potencjalne zagrożenia to programy z których korzystam więc nic zignorowano. Bardzo dziękuję!
Dostępne tylko dla zarejestrowanych użytkowników
malware raport
Dostępne tylko dla zarejestrowanych użytkowników
DelFix raport
Dostępne tylko dla zarejestrowanych użytkowników
Przy skanie Malware wykryty został trojan w folderze z plikami doc i ppt, na razie jest w kwarantannie, zastanawiam się czy jest możliwość obejścia usunięcia plików, tak żeby z nich korzystać, inne potencjalne zagrożenia to programy z których korzystam więc nic zignorowano. Bardzo dziękuję!
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
trojan LNK Agent BM, prośba o odzyskanie plików z pendriva
Jeżeli te pliki są w porządku to możesz je przywrócić z kwarantanny i normalnie z nich korzstać.
-
- Posty: 5
- Rejestracja: 24 maja 2015, 17:11
trojan LNK Agent BM, prośba o odzyskanie plików z pendriva
djarta pisze:Jeżeli te pliki są w porządku to możesz je przywrócić z kwarantanny i normalnie z nich korzystać.
Otwierają się normalnie, nie widzę nic podejrzanego, mam nadzieję że są ok.
Jeszcze raz dziękuję za poświęcony czas i nieocenioną pomoc.
Ostatnio zmieniony 25 maja 2015, 22:03 przez djarta, łącznie zmieniany 1 raz.
Powód: Temat wyczerpany = zamykam.
Powód: Temat wyczerpany = zamykam.
-
- Reklama
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 9 gości