Kontrola logu - Virus v NB - via skype / FB
Napsal: 31 led 2013 18:06
Zdravím, nejsem příliš zkušenej - můžete mi poradit co dál se zavirovaným NB a USB flashkou ? je toho více:
A)
NB byl zavirovanej po rozkliknutí odkazu z chatu na skypu - po zpětném ověřování se potvrdilo, že uživatel skypu - přítel z mého adresáře mi nic neposílal a sám dostal vir od svých kontaktů z Facebooku, teda vše asi nejspíš proběhlo prostřednictvím nějakého malbota...? Skype jen napsal, že soubor v odkliknutém linku nejde otevřít a ohlásil to jako error... onedlouho již Microsoft Security Essentials ohlásil podezřelé soubory (Trojan, Worm). Nechal jsem je odstranit a pro jistotu udělal později i kompletní (úplný) scan v nouzovém režimu ještě přes aplikace, které mi poradil kamarát - dolu přikládám kopie logů z Malwarebytes a Combofix.
B)
Ve chvíli kdy se vir dostal do NB, měl jsem k němu připojenou USB Flashku, soubory na ní virus smazal/přepsal - zůstali jen prázdný "zástupci" - což jsem zjistil později, když jsem se pokoušel soubory obnovit pomocí Smart Flash Recovery - ve výsledku většinu souborů (Excel) nešlo obnovit, těch pár co obnovilo zase nešlo otevřít, kvůli přepsané příponě. Nechal jsem pak flashku zformátovat - je šance takhle virem napadené soubory ze zformátované flashky ješte obnovit ? Na scan flashky jsem použil USBfix, ale ještě před odstranením viru z NB, výsledku scanu jsem nerozuměl a nevím co s tím dále...
C)
Ve stejnou dobu bylo ješte k PC přes USB rozhraní připojeno:
- Tiskárna
- bezdrátová myš (připojeno non-stop)
- USB TV Tuner
Mohl jse vir zavrtat do všech těchto zařízení, tudíž je schopen se kdykoliv po opětovném připojení znovu dostat do NB? resp. jak se dají diagnostikovat ?
D) Po scanování napadené flashky (a zřejmě ještě v nevyčištěném NB) jsem použil USBfix "preventivně" i pro scan dalších dvou externích paměťových disků (bylo pravděpodobné, že ve chvíli infekce mohl být některej z nich taky připojenej k NB, a nikdo z rodiny si nevěděl vzpomenout) - výsledku jsem nerozuměl a nevím jestli nejsou taky napadené - jak postupovat pro diagnostiku ???
Děkuji předem za pomoc,
MALVAREBYTES LOG:
Malwarebytes Anti-Malware (Zkušební verze Malwarebytes Anti-Malware.) 1.70.0.1100
http://www.malwarebytes.org
Verze: v2013.01.29.06
Windows 7 Service Pack 1 x86 NTFS (Nouzový režim)
Internet Explorer 9.0.8112.16421
PTS :: PTS-PC [administrátor]
Ochrana: Zakázána
30.1.2013 15:13:57
MBAM-log-2013-01-30 (16-44-05).txt
Typ: Kompletní kontrola (C:\|D:\|)
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: P2P
Kontrolované objekty: 328741
Uplynulý čas: 46 minut, 38 sekund
Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené klíče v registru: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené soubory: 4
D:\Box\CorelDRAWGraphicsSuiteX5Installer_CZ\core_corel\CORE10k.EXE (Dont.Steal.Our.Software) -> Nebyla provedena žádná instrukce.
D:\Box\EzGenerator.v3.0.0.36.Incl.Keygen-HAZE\Keygen.exe (Malware.Packer.Gen) -> Nebyla provedena žádná instrukce.
D:\Box\SiSoftware.Sandra.Professional.Business.2009.5.15.96\Keygen CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Nebyla provedena žádná instrukce.
D:\Box\WinRAR\WinRAR 4.1.65.exe (Spyware.Agent) -> Nebyla provedena žádná instrukce.
(konec)
COMBOFIX LOG:
ComboFix 12-07-25.04 - PTS 30.01.2013 17:08:49.1.2 - x86
Microsoft Windows 7 Ultimate 6.1.7601.1.1250.420.1029.18.2047.1336 [GMT 1:00]
Spuštěný z: c:\users\PTS\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {B140BF4E-23BB-4198-90AB-A51A4C60A69C}
SP: Microsoft Security Essentials *Disabled/Updated* {0A215EAA-0581-4E16-AA1B-9E6837E7EC21}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Vytvořen nový Bod Obnovení
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Help.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Check other products\Magic Speed.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Check other products\Reach-a-Mail.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Check other products\Smart PC.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Smart Flash Recovery on the Web.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Smart Flash Recovery.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Uninstall Smart Flash Recovery.lnk
c:\users\PTS\46357865364647353
D:\install.exe
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-12-28 do 2013-01-30 )))))))))))))))))))))))))))))))
.
.
2013-01-30 16:36 . 2013-01-30 16:37 -------- d-----w- c:\users\PTS\AppData\Local\temp
2013-01-30 16:36 . 2013-01-30 16:36 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-01-30 13:11 . 2013-01-08 04:57 6991832 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{242DB989-0393-4583-A54E-8651B6C88256}\mpengine.dll
2013-01-29 19:45 . 2013-01-29 19:45 -------- d-----w- c:\users\PTS\AppData\Roaming\PandoraRecovery
2013-01-29 19:45 . 2013-01-29 19:45 -------- d-----w- c:\program files\AskBarDis
2013-01-29 19:45 . 2013-01-29 19:45 -------- d-----w- c:\program files\Pandora Recovery
2013-01-29 19:09 . 2013-01-29 19:09 -------- d-----w- c:\program files\Smart PC Solutions
2013-01-29 19:04 . 2013-01-29 20:40 -------- d-----w- c:\program files\Recuva
2013-01-29 16:23 . 2013-01-29 16:23 -------- d-----w- c:\users\PTS\AppData\Roaming\Malwarebytes
2013-01-29 16:23 . 2013-01-29 16:23 -------- d-----w- c:\programdata\Malwarebytes
2013-01-29 16:23 . 2013-01-29 16:23 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-01-29 16:23 . 2012-12-14 15:49 21104 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-01-29 16:21 . 2013-01-29 16:21 -------- d-----w- c:\users\PTS\AppData\Local\Programs
2013-01-29 16:10 . 2013-01-29 18:09 -------- d-----w- C:\UsbFix
2013-01-28 21:23 . 2013-01-08 04:57 6991832 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-01-26 23:03 . 2013-01-26 23:03 -------- d-----w- c:\program files\Common Files\Java
2013-01-26 23:01 . 2013-01-26 23:01 -------- d-----w- c:\program files\Java
2013-01-25 13:16 . 2013-01-25 13:16 -------- d-----w- c:\program files\Common Files\Skype
2013-01-09 22:22 . 2012-11-22 04:45 626688 ----a-w- c:\windows\system32\usp10.dll
2013-01-09 22:20 . 2012-12-07 10:46 45568 ----a-w- c:\windows\system32\oflc-nz.rs
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-16 14:13 . 2012-12-21 23:16 295424 ----a-w- c:\windows\system32\atmfd.dll
2012-12-16 14:13 . 2012-12-21 23:16 34304 ----a-w- c:\windows\system32\atmlib.dll
2012-11-28 18:50 . 2012-11-28 18:50 740840 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B2A101D3-5AAF-465B-80E2-AFCEC7012744}\gapaengine.dll
2012-11-14 02:09 . 2012-12-13 00:54 1800704 ----a-w- c:\windows\system32\jscript9.dll
2012-11-14 01:58 . 2012-12-13 00:54 1427968 ----a-w- c:\windows\system32\inetcpl.cpl
2012-11-14 01:57 . 2012-12-13 00:54 1129472 ----a-w- c:\windows\system32\wininet.dll
2012-11-14 01:49 . 2012-12-13 00:54 142848 ----a-w- c:\windows\system32\ieUnatt.exe
2012-11-14 01:48 . 2012-12-13 00:54 420864 ----a-w- c:\windows\system32\vbscript.dll
2012-11-14 01:44 . 2012-12-13 00:54 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2012-11-09 04:42 . 2012-12-12 14:14 2048 ----a-w- c:\windows\system32\tzres.dll
2012-11-02 05:11 . 2012-12-12 14:14 376832 ----a-w- c:\windows\system32\dpnet.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-10-15 11:59 333192 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-10-15 333192]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"TiVme Agent"="c:\program files\GIGABYTE\vivoTV\ScheduleAgent.exe" [2010-09-22 124928]
"ADFE2DF3ABBC60507A7017C680CCC47D728A348F._service_run"="c:\users\PTS\AppData\Local\Google\Chrome\Application\chrome.exe" [2013-01-18 1248208]
"Spotify Web Helper"="c:\users\PTS\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-12-02 1199576]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2013-01-08 18705664]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2011-03-13 815104]
"USBTurboSpeed"="c:\program files\USBTurboSpeed\USBTurboSpeed.exe" [2008-09-16 217088]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2008-05-07 591696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"Family Tree Builder Update"="c:\program files\MyHeritage\Bin\FTBCheckUpdates.exe" [2011-12-21 229376]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-09-12 947176]
.
c:\users\PTS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
Výřezy obrazovky a spuštění aplikace OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Remote Control.lnk - c:\program files\GIGABYTE\U7300 Utilities\CONRCtl.exe [2011-8-21 94208]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-12-18 14:28 38112 ----a-w- c:\program files\Adobe\Reader 10.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2010-03-06 02:44 500208 ------w- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager]
2010-02-22 03:57 406992 ----a-w- c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2011-03-01 13:28 119608 ----a-w- c:\program files\ICQ7.4\ICQ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
2010-02-19 12:37 517096 ----a-w- c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Google Update"="c:\users\PTS\AppData\Local\Google\Update\GoogleUpdate.exe" /c
"<NO NAME>"=
"StartCCC"=c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SMSERIAL"=c:\program files\Motorola\SMSERIAL\sm56hlpr.exe
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
.
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
R2 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Kontrola sítě Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [x]
R3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\Drivers\RTL2832UUSB.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [x]
R3 SynMini;USB2.0 1.3M Web Cam;c:\windows\system32\Drivers\SynMini.sys [x]
R3 SynScan;USB2.0 1.3M Web Cam Still Image;c:\windows\system32\Drivers\SynScan.sys [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 USBTurboSpeed;USBTurboSpeed;c:\windows\system32\drivers\USBTurboSpeed.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R3 WatAdminSvc;Služba Technologie aktivace Windows;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [x]
S2 NAUpdate;Nero Update;c:\program files\Nero\Update\NASvc.exe [x]
S2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\System32\StkCSrv.exe [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series – ovladač adaptéru pro 32bitový systém Windows Vista;c:\windows\system32\DRIVERS\netw5v32.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
S3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\Drivers\StkCMini.sys [x]
.
.
Obsah adresáře 'Naplánované úlohy'
.
2013-01-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3080560150-2302662959-3205990332-1000Core.job
- c:\users\PTS\AppData\Local\Google\Update\GoogleUpdate.exe [2011-03-13 17:19]
.
2013-01-30 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3080560150-2302662959-3205990332-1000UA.job
- c:\users\PTS\AppData\Local\Google\Update\GoogleUpdate.exe [2011-03-13 17:19]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://search.myheritage.com
uDefault_Search_URL = hxxp://www.google.com/ie
mStart Page = hxxp://search.myheritage.com
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Download Video on This Page - c:\program files\Tomato\YouTube Video Downloader\MDIEEx.dll/211
IE: Download Video This Links To - c:\program files\Tomato\YouTube Video Downloader\MDIEEx.dll/212
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Free YouTube Download - c:\users\PTS\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\users\PTS\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: {{11F19C45-9675-488A-A8E0-8E8234DC245D} - res://c:\program files\Tomato\YouTube Video Downloader\MDIEEx.dll/211
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files\ICQ7.4\ICQ.exe
TCP: DhcpNameServer = 192.168.0.1
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKCU-Run-AdobeBridge - (no file)
HKLM_ActiveSetup-ccc-core-static - msiexec
.
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Celkový čas: 2013-01-30 17:40:36
ComboFix-quarantined-files.txt 2013-01-30 16:40
.
Před spuštěním: Volných bajtů: 30 927 314 944
Po spuštění: Volných bajtů: 31 076 425 728
.
- - End Of File - - CAD5316F79A55F204862E501891B6288
A)
NB byl zavirovanej po rozkliknutí odkazu z chatu na skypu - po zpětném ověřování se potvrdilo, že uživatel skypu - přítel z mého adresáře mi nic neposílal a sám dostal vir od svých kontaktů z Facebooku, teda vše asi nejspíš proběhlo prostřednictvím nějakého malbota...? Skype jen napsal, že soubor v odkliknutém linku nejde otevřít a ohlásil to jako error... onedlouho již Microsoft Security Essentials ohlásil podezřelé soubory (Trojan, Worm). Nechal jsem je odstranit a pro jistotu udělal později i kompletní (úplný) scan v nouzovém režimu ještě přes aplikace, které mi poradil kamarát - dolu přikládám kopie logů z Malwarebytes a Combofix.
B)
Ve chvíli kdy se vir dostal do NB, měl jsem k němu připojenou USB Flashku, soubory na ní virus smazal/přepsal - zůstali jen prázdný "zástupci" - což jsem zjistil později, když jsem se pokoušel soubory obnovit pomocí Smart Flash Recovery - ve výsledku většinu souborů (Excel) nešlo obnovit, těch pár co obnovilo zase nešlo otevřít, kvůli přepsané příponě. Nechal jsem pak flashku zformátovat - je šance takhle virem napadené soubory ze zformátované flashky ješte obnovit ? Na scan flashky jsem použil USBfix, ale ještě před odstranením viru z NB, výsledku scanu jsem nerozuměl a nevím co s tím dále...
C)
Ve stejnou dobu bylo ješte k PC přes USB rozhraní připojeno:
- Tiskárna
- bezdrátová myš (připojeno non-stop)
- USB TV Tuner
Mohl jse vir zavrtat do všech těchto zařízení, tudíž je schopen se kdykoliv po opětovném připojení znovu dostat do NB? resp. jak se dají diagnostikovat ?
D) Po scanování napadené flashky (a zřejmě ještě v nevyčištěném NB) jsem použil USBfix "preventivně" i pro scan dalších dvou externích paměťových disků (bylo pravděpodobné, že ve chvíli infekce mohl být některej z nich taky připojenej k NB, a nikdo z rodiny si nevěděl vzpomenout) - výsledku jsem nerozuměl a nevím jestli nejsou taky napadené - jak postupovat pro diagnostiku ???
Děkuji předem za pomoc,
MALVAREBYTES LOG:
Malwarebytes Anti-Malware (Zkušební verze Malwarebytes Anti-Malware.) 1.70.0.1100
http://www.malwarebytes.org
Verze: v2013.01.29.06
Windows 7 Service Pack 1 x86 NTFS (Nouzový režim)
Internet Explorer 9.0.8112.16421
PTS :: PTS-PC [administrátor]
Ochrana: Zakázána
30.1.2013 15:13:57
MBAM-log-2013-01-30 (16-44-05).txt
Typ: Kompletní kontrola (C:\|D:\|)
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: P2P
Kontrolované objekty: 328741
Uplynulý čas: 46 minut, 38 sekund
Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené klíče v registru: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené soubory: 4
D:\Box\CorelDRAWGraphicsSuiteX5Installer_CZ\core_corel\CORE10k.EXE (Dont.Steal.Our.Software) -> Nebyla provedena žádná instrukce.
D:\Box\EzGenerator.v3.0.0.36.Incl.Keygen-HAZE\Keygen.exe (Malware.Packer.Gen) -> Nebyla provedena žádná instrukce.
D:\Box\SiSoftware.Sandra.Professional.Business.2009.5.15.96\Keygen CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Nebyla provedena žádná instrukce.
D:\Box\WinRAR\WinRAR 4.1.65.exe (Spyware.Agent) -> Nebyla provedena žádná instrukce.
(konec)
COMBOFIX LOG:
ComboFix 12-07-25.04 - PTS 30.01.2013 17:08:49.1.2 - x86
Microsoft Windows 7 Ultimate 6.1.7601.1.1250.420.1029.18.2047.1336 [GMT 1:00]
Spuštěný z: c:\users\PTS\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {B140BF4E-23BB-4198-90AB-A51A4C60A69C}
SP: Microsoft Security Essentials *Disabled/Updated* {0A215EAA-0581-4E16-AA1B-9E6837E7EC21}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Vytvořen nový Bod Obnovení
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Help.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Check other products\Magic Speed.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Check other products\Reach-a-Mail.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Check other products\Smart PC.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Smart Flash Recovery on the Web.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Smart Flash Recovery.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Smart Flash Recovery\Uninstall Smart Flash Recovery.lnk
c:\users\PTS\46357865364647353
D:\install.exe
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-12-28 do 2013-01-30 )))))))))))))))))))))))))))))))
.
.
2013-01-30 16:36 . 2013-01-30 16:37 -------- d-----w- c:\users\PTS\AppData\Local\temp
2013-01-30 16:36 . 2013-01-30 16:36 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-01-30 13:11 . 2013-01-08 04:57 6991832 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{242DB989-0393-4583-A54E-8651B6C88256}\mpengine.dll
2013-01-29 19:45 . 2013-01-29 19:45 -------- d-----w- c:\users\PTS\AppData\Roaming\PandoraRecovery
2013-01-29 19:45 . 2013-01-29 19:45 -------- d-----w- c:\program files\AskBarDis
2013-01-29 19:45 . 2013-01-29 19:45 -------- d-----w- c:\program files\Pandora Recovery
2013-01-29 19:09 . 2013-01-29 19:09 -------- d-----w- c:\program files\Smart PC Solutions
2013-01-29 19:04 . 2013-01-29 20:40 -------- d-----w- c:\program files\Recuva
2013-01-29 16:23 . 2013-01-29 16:23 -------- d-----w- c:\users\PTS\AppData\Roaming\Malwarebytes
2013-01-29 16:23 . 2013-01-29 16:23 -------- d-----w- c:\programdata\Malwarebytes
2013-01-29 16:23 . 2013-01-29 16:23 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-01-29 16:23 . 2012-12-14 15:49 21104 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-01-29 16:21 . 2013-01-29 16:21 -------- d-----w- c:\users\PTS\AppData\Local\Programs
2013-01-29 16:10 . 2013-01-29 18:09 -------- d-----w- C:\UsbFix
2013-01-28 21:23 . 2013-01-08 04:57 6991832 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-01-26 23:03 . 2013-01-26 23:03 -------- d-----w- c:\program files\Common Files\Java
2013-01-26 23:01 . 2013-01-26 23:01 -------- d-----w- c:\program files\Java
2013-01-25 13:16 . 2013-01-25 13:16 -------- d-----w- c:\program files\Common Files\Skype
2013-01-09 22:22 . 2012-11-22 04:45 626688 ----a-w- c:\windows\system32\usp10.dll
2013-01-09 22:20 . 2012-12-07 10:46 45568 ----a-w- c:\windows\system32\oflc-nz.rs
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-16 14:13 . 2012-12-21 23:16 295424 ----a-w- c:\windows\system32\atmfd.dll
2012-12-16 14:13 . 2012-12-21 23:16 34304 ----a-w- c:\windows\system32\atmlib.dll
2012-11-28 18:50 . 2012-11-28 18:50 740840 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B2A101D3-5AAF-465B-80E2-AFCEC7012744}\gapaengine.dll
2012-11-14 02:09 . 2012-12-13 00:54 1800704 ----a-w- c:\windows\system32\jscript9.dll
2012-11-14 01:58 . 2012-12-13 00:54 1427968 ----a-w- c:\windows\system32\inetcpl.cpl
2012-11-14 01:57 . 2012-12-13 00:54 1129472 ----a-w- c:\windows\system32\wininet.dll
2012-11-14 01:49 . 2012-12-13 00:54 142848 ----a-w- c:\windows\system32\ieUnatt.exe
2012-11-14 01:48 . 2012-12-13 00:54 420864 ----a-w- c:\windows\system32\vbscript.dll
2012-11-14 01:44 . 2012-12-13 00:54 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2012-11-09 04:42 . 2012-12-12 14:14 2048 ----a-w- c:\windows\system32\tzres.dll
2012-11-02 05:11 . 2012-12-12 14:14 376832 ----a-w- c:\windows\system32\dpnet.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-10-15 11:59 333192 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-10-15 333192]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"TiVme Agent"="c:\program files\GIGABYTE\vivoTV\ScheduleAgent.exe" [2010-09-22 124928]
"ADFE2DF3ABBC60507A7017C680CCC47D728A348F._service_run"="c:\users\PTS\AppData\Local\Google\Chrome\Application\chrome.exe" [2013-01-18 1248208]
"Spotify Web Helper"="c:\users\PTS\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-12-02 1199576]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2013-01-08 18705664]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2011-03-13 815104]
"USBTurboSpeed"="c:\program files\USBTurboSpeed\USBTurboSpeed.exe" [2008-09-16 217088]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2008-05-07 591696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"Family Tree Builder Update"="c:\program files\MyHeritage\Bin\FTBCheckUpdates.exe" [2011-12-21 229376]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-09-12 947176]
.
c:\users\PTS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
Výřezy obrazovky a spuštění aplikace OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Remote Control.lnk - c:\program files\GIGABYTE\U7300 Utilities\CONRCtl.exe [2011-8-21 94208]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-12-18 14:28 38112 ----a-w- c:\program files\Adobe\Reader 10.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2010-03-06 02:44 500208 ------w- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager]
2010-02-22 03:57 406992 ----a-w- c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2011-03-01 13:28 119608 ----a-w- c:\program files\ICQ7.4\ICQ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
2010-02-19 12:37 517096 ----a-w- c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Google Update"="c:\users\PTS\AppData\Local\Google\Update\GoogleUpdate.exe" /c
"<NO NAME>"=
"StartCCC"=c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SMSERIAL"=c:\program files\Motorola\SMSERIAL\sm56hlpr.exe
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
.
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
R2 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Kontrola sítě Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [x]
R3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\Drivers\RTL2832UUSB.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [x]
R3 SynMini;USB2.0 1.3M Web Cam;c:\windows\system32\Drivers\SynMini.sys [x]
R3 SynScan;USB2.0 1.3M Web Cam Still Image;c:\windows\system32\Drivers\SynScan.sys [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 USBTurboSpeed;USBTurboSpeed;c:\windows\system32\drivers\USBTurboSpeed.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R3 WatAdminSvc;Služba Technologie aktivace Windows;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [x]
S2 NAUpdate;Nero Update;c:\program files\Nero\Update\NASvc.exe [x]
S2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\System32\StkCSrv.exe [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series – ovladač adaptéru pro 32bitový systém Windows Vista;c:\windows\system32\DRIVERS\netw5v32.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
S3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\Drivers\StkCMini.sys [x]
.
.
Obsah adresáře 'Naplánované úlohy'
.
2013-01-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3080560150-2302662959-3205990332-1000Core.job
- c:\users\PTS\AppData\Local\Google\Update\GoogleUpdate.exe [2011-03-13 17:19]
.
2013-01-30 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3080560150-2302662959-3205990332-1000UA.job
- c:\users\PTS\AppData\Local\Google\Update\GoogleUpdate.exe [2011-03-13 17:19]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://search.myheritage.com
uDefault_Search_URL = hxxp://www.google.com/ie
mStart Page = hxxp://search.myheritage.com
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Download Video on This Page - c:\program files\Tomato\YouTube Video Downloader\MDIEEx.dll/211
IE: Download Video This Links To - c:\program files\Tomato\YouTube Video Downloader\MDIEEx.dll/212
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Free YouTube Download - c:\users\PTS\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\users\PTS\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: {{11F19C45-9675-488A-A8E0-8E8234DC245D} - res://c:\program files\Tomato\YouTube Video Downloader\MDIEEx.dll/211
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files\ICQ7.4\ICQ.exe
TCP: DhcpNameServer = 192.168.0.1
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKCU-Run-AdobeBridge - (no file)
HKLM_ActiveSetup-ccc-core-static - msiexec
.
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Celkový čas: 2013-01-30 17:40:36
ComboFix-quarantined-files.txt 2013-01-30 16:40
.
Před spuštěním: Volných bajtů: 30 927 314 944
Po spuštění: Volných bajtů: 31 076 425 728
.
- - End Of File - - CAD5316F79A55F204862E501891B6288
