PC-HELP.CZ

dobrý den, potýkám se s poněkud bizarním problémem. ze složky dokumenty mi zmizely všechny soubory, které nebyly ve složkách. opravdu jsem si dost jistý, že jsem nic nemazal. v koši nejsou. použil jsem utilitu RecoverMyFiles, se kterou jsem už kdysi úspěšně obnovil zformátovaný HDD. ten soubory taky nenašel. nevím jestli to může být tím, že soubory které nejvíc postrádám mají koncovku docx a nikoli jen doc. lze nějak vypsat seznam toho co kdo kdy dělal se soubory na počítači? lze jednoduše vymazat soubory, aby nebyly k nalezení? notebook byl zapnutý bez dozoru v hotelu, ale pochybuju, že by uklízečka byla nudící se hacker. jaký recovery software byste doporučili. díky za rady.

Zkus Restoration ↓

Použil jsi poslední dobou bod obnovy systému?

Diky za Restoration. Bohužel soubory nenalezeny. Word si pamatuje, že jsem je otvíral.

Bod obnovy jsem nepoužil.

Je to záhada...

Čte soubory s příponou docx instalovaný Word? Nejsou uvedené soubory pro Tebe skryté?
Vidí je např. Total commander, pokud máš nastaveno zobrazovat skryté a systémové soubory?

Díky za rady. Omlouvám se za nejasné vyjádření. Zmizely soubory s různými příponami. Zbyl tam jeden pdf. Zobrazení skrytých složek mám zapnuto. Soubory docx byly vytvořeny ve stávajícím Wordu. Nejde vyjet nějaký log file co se kdy dělo na počítači. Možná jsem náměsíčný a sám jsem je smazal. OK. Ale jak to jde bez nějakých utilit takhle zakrýt? Uměl by to vir? Ale že tam zbyl ten jeden soubor a hromada složek s nedotknutým obsahem...

Podívej se na disk z nějakého LiveCd Linuxu.

Filesystém je FAT32 nebo NTFS? Byl požadován sken disku pro možnou chybu konzistence disku? Kdo všechno má přístup na uvedené PC? Je PC zavirován (nech si tu udělat kontrolu)?

Takže: LiveCD jsem použil - obsah se nezměnil. Teda pokud jsem správně pochopil, že mám vlézt do té složky odkud se to ztratilo.

File systém je NTFS. V den ztráty by počítač bez dozoru zapnutý v hotelu. V zamčeném pokoji. Přístupové heslo nevedu. Nechal jsem si tu udělat kontrolu logu HJ a MbAm. Obojí OK.

Tento topic: viewtopic.php?f=70&t=40925 označ tedy jako vyřešený.

Vypni rezidentní štít antiviru.
Stáhni si ComboFix (by sUBs)
nebo ComboFix (subs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

Díky moc za kontrolu.

ComboFix 09-05-28.07 - Vlad 30.05.2009 0:12.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.2046.1218 [GMT 2:00]
Spuštěný z: c:\documents and settings\Vlad\Plocha\ComboFix.exe
AV: Eset NOD32 Antivirus 2.70 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-04-28 do 2009-05-29 )))))))))))))))))))))))))))))))
.

2009-05-28 21:36 . 2009-05-26 11:20 40160 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-28 21:36 . 2009-05-26 11:19 19096 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-28 21:36 . 2009-05-28 21:36 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-05-27 17:39 . 2009-05-27 18:01 -------- d-----w c:\program files\TowerGaming
2009-05-27 16:24 . 2009-05-28 11:31 -------- d-----w c:\program files\PartyGaming
2009-05-26 06:28 . 2009-05-27 19:04 -------- d-----w c:\program files\PKR
2009-05-25 20:24 . 2009-05-25 20:24 -------- d-----w c:\program files\WM Converter
2009-05-23 17:46 . 2009-05-25 17:50 -------- d-----w c:\program files\Replay Video Capture
2009-05-22 19:59 . 2009-05-25 17:50 -------- d-----w c:\program files\FreeUndelete(2)
2009-05-12 13:38 . 2009-05-12 13:40 215 ----a-w c:\windows\e-on Render Cow.reg
2009-05-12 13:31 . 2009-05-18 22:30 639 ----a-w c:\windows\Vue 7 xStream.reg
2009-05-11 13:53 . 2009-05-12 13:39 -------- d-----w c:\program files\e-on software
2009-05-11 13:51 . 2009-05-12 12:34 325 ----a-w c:\windows\Vue 7 xStream PLE.reg
2009-05-11 13:51 . 2009-05-11 13:51 21 ----a-w c:\windows\Vue 7 $$PLE$$ PLE.reg

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-25 19:50 . 2009-03-21 22:22 -------- d-----w c:\program files\bwin
2009-05-12 20:22 . 2009-03-31 19:52 -------- d-----w c:\program files\Neuratron PhotoScore Ultimate Demo
2009-05-11 12:27 . 2009-03-16 19:05 -------- d-----w c:\program files\ParadisePoker
2009-05-01 09:02 . 2008-03-18 15:58 -------- d-----w c:\program files\Common Files\Lenovo
2009-05-01 09:02 . 2008-03-18 15:48 -------- d-----w c:\program files\Lenovo
2009-04-23 18:44 . 2008-03-18 15:44 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-22 23:29 . 2009-04-21 14:02 -------- d-----w c:\program files\Shake-v2.51.1116
2009-04-20 19:36 . 2009-04-20 19:35 -------- d-----w c:\program files\LightWave [8]
2009-04-20 19:27 . 2009-04-20 19:27 -------- d-----w c:\program files\Rainbow Technologies
2009-04-19 18:47 . 2009-04-19 18:46 -------- d-----w c:\program files\Mv2Player
2009-04-18 12:18 . 2009-04-18 12:18 -------- d-----w c:\program files\DAZ
2009-04-14 07:56 . 2009-04-14 07:56 -------- d-----w c:\program files\Nero new
2009-04-14 07:32 . 2009-04-14 07:32 -------- d-----w c:\program files\Ahead
2009-04-12 08:25 . 2008-03-18 23:14 92326 ----a-w c:\windows\system32\perfc005.dat
2009-04-12 08:25 . 2008-03-18 23:14 448946 ----a-w c:\windows\system32\perfh005.dat
2009-04-08 06:26 . 2009-04-08 06:26 -------- d-----w c:\program files\Common Files\Adobe AIR
2009-04-08 06:22 . 2008-03-18 16:03 -------- d-----w c:\program files\Common Files\Adobe
2009-04-07 08:34 . 2009-03-15 21:29 4684 ----a-w c:\windows\system32\drivers\fwdrv.err
2009-04-03 19:09 . 2009-04-03 19:09 -------- d-----w c:\program files\Games
2009-04-02 12:47 . 2009-04-02 12:09 -------- d-----w c:\program files\TrackMania United
2009-04-02 12:32 . 2009-04-02 12:32 -------- d-----w c:\program files\Black Isle
2009-04-02 12:27 . 2009-04-02 12:25 -------- d-----w c:\program files\Game_Maker7
2009-04-02 12:17 . 2009-04-02 12:15 -------- d-----w c:\program files\TmNationsForever
2009-04-02 11:54 . 2009-04-02 11:20 -------- d-----w c:\program files\Thief - Deadly Shadows
2009-03-31 22:32 . 2008-03-18 23:16 11973 ----a-w c:\windows\system32\drivers\secdrv.sys
2009-03-16 11:01 . 2009-03-16 11:01 604 ---h--w c:\program files\STLL Notifier
2009-03-16 07:31 . 2009-03-16 07:32 737280 ------w c:\windows\iun6002.exe
2009-03-15 21:25 . 2009-03-15 21:25 512096 ------w c:\windows\system32\drivers\amon.sys
2009-03-15 21:25 . 2009-03-15 21:25 298104 ------w c:\windows\system32\imon.dll
2009-03-15 21:25 . 2009-03-15 21:25 15424 ------w c:\windows\system32\drivers\nod32drv.sys
2009-03-15 16:45 . 2009-03-15 16:45 685816 ------w c:\windows\system32\drivers\sptd.sys
2009-03-15 16:03 . 2009-03-15 16:03 0 ------w c:\windows\nsreg.dat
2009-03-06 14:01 . 2008-03-18 23:15 284160 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:14 . 2008-03-18 23:15 826368 ----a-w c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-18 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2007-12-06 200704]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2007-12-06 208896]
"TPFNF7"="c:\program files\Lenovo\NPDIRECT\TPFNF7SP.exe" [2007-11-29 59168]
"TPHOTKEY"="c:\program files\Lenovo\HOTKEY\TPOSDSVC.exe" [2007-03-09 66176]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-03-05 172032]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2007-03-28 243248]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-04-09 1015808]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-10 8495104]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-10 81920]
"TVT Scheduler Proxy"="c:\program files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-02-02 122940]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"AwaySch"="c:\program files\Lenovo\AwayTask\AwaySch.EXE" [2006-11-07 91688]
"LPManager"="c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe" [2007-04-26 120368]
"AMSG"="c:\program files\ThinkVantage\AMSG\Amsg.exe" [2007-02-01 419376]
"DiskeeperSystray"="c:\program files\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-05-18 196696]
"ACTray"="c:\program files\ThinkPad\ConnectUtilities\ACTray.exe" [2007-07-05 413696]
"ACWLIcon"="c:\program files\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2007-07-05 126976]
"cssauth"="c:\program files\Lenovo\Client Security Solution\cssauth.exe" [2007-08-03 2630968]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-03-15 949376]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"KONICA MINOLTA PagePro 1350WStatusDisplay"="c:\windows\system32\MSTMON_Q.EXE" [2004-11-26 167936]
"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"TpShocks"="TpShocks.exe" - c:\windows\system32\TpShocks.exe [2007-11-22 181536]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-10 1626112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-18 15360]

c:\documents and settings\Vlad\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-3-18 50688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 07:37 34344 ------w c:\program files\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2006-12-14 02:06 28672 ------w c:\program files\Lenovo\HOTKEY\tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli ACGina

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Autodesk\\3ds Max 9\\3dsmax.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\manager.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\server.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\Common Files\\Nero\\Nero Web\\SetupX.exe"=
"c:\\Documents and Settings\\Vlad\\Dokumenty\\wincmd\\WINCMD32.EXE"=
"c:\\Program Files\\e-on software\\Vue 7 xStream\\Application\\Vue 7 xStream.eon"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 Shockprf;Shockprf;c:\windows\system32\drivers\ApsX86.sys [16.10.2007 19:33 103472]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [16.10.2007 19:32 19504]
R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [15.3.2009 23:25 15424]
R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\TPPWRIF.SYS [18.3.2008 17:44 4442]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\program files\Lenovo\Rescue and Recovery\rrpservice.exe [8.2.2007 14:11 569344]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [22.5.2007 16:59 30336]
S2 MLPTDR_Q;MLPTDR_Q;c:\windows\system32\MLPTDR_Q.SYS [22.7.2003 9:44 18848]
S2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [14.4.2006 11:07 28933976]
.
Obsah adresáře 'Naplánované úlohy'

2009-05-29 c:\windows\Tasks\Check Updates for Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 13:54]

2009-05-28 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2008-03-18 16:22]

2008-04-05 c:\windows\Tasks\Připomenutí registrace 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-03-18 12:00]

2008-04-05 c:\windows\Tasks\Připomenutí registrace 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-03-18 12:00]

2008-04-05 c:\windows\Tasks\Připomenutí registrace 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-03-18 12:00]
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKCU-Run-DAEMON Tools Pro Agent - c:\program files\DAEMON Tools Pro\DTProAgent.exe
SafeBoot-procexp90.Sys


.
------- Doplňkový sken -------
.
uStart Page = hxxp://lenovo.live.com
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Send to &Bluetooth Device... - c:\program files\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\windows\system32\imon.dll
FF - ProfilePath - c:\documents and settings\Vlad\Data aplikací\Mozilla\Firefox\Profiles\dnny3qxp.default\
FF - prefs.js: browser.startup.homepage - hxxp://web.volny.cz/
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-30 00:14
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

? [56124]
? [55868]
? [55716]
? [36688]
? [36884]
? [37544]
? [36120]

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(1456)
c:\program files\ThinkPad\ConnectUtilities\ACNotify.dll
c:\program files\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\program files\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\program files\ThinkPad\ConnectUtilities\ACHelper.dll
c:\program files\Lenovo\HOTKEY\tphklock.dll

- - - - - - - > 'lsass.exe'(1512)
c:\program files\ThinkPad\ConnectUtilities\ACGina.dll
c:\program files\ThinkPad\ConnectUtilities\ACHelper.dll
c:\program files\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\program files\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\program files\ThinkPad\ConnectUtilities\ACON.dll
c:\program files\ThinkPad\ConnectUtilities\AcPrfMgr.dll
c:\program files\ThinkPad\ConnectUtilities\AcCryptHlpr.dll
c:\program files\ThinkPad\ConnectUtilities\ACTurinSupport.dll
c:\program files\ThinkPad\ConnectUtilities\AcSmBiosHelper.dll
c:\program files\ThinkPad\ConnectUtilities\AcAdaptersInfo.dll
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll

- - - - - - - > 'explorer.exe'(233492)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSCS.DLL
c:\program files\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\msi.dll
c:\windows\system32\nvwddi.dll
.
Celkový čas: 2009-05-29 0:15
ComboFix-quarantined-files.txt 2009-05-29 22:15

Před spuštěním: Volných bajtů: 64 623 681 536
Po spuštění: Volných bajtů: 66 382 671 872

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

229 --- E O F --- 2009-04-16 09:41

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:

File::
c:\windows\iun6002.exe

DirLook::
c:\program files\vlad\Dokumenty


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.


Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe
a když se oba soubory překryjí, skript upusť.


- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT


e-on software a Vue 7 xStream je co?