prosím prověřit log

[polifka]

V pátek jsem měl vir Policie ČR,dnes při testu opět detekován Trojan,prosím o kontrolu děkuji !!!

ComboFix 13-04-12.02 - user 14.04.2013 20:14:56.3.2 - x86
Microsoft Windows 7 Professional 6.1.7601.1.1250.420.1029.18.2047.1159 [GMT 2:00]
Spuštěný z: c:\users\user\Desktop\ComboFix.exe
AV: ESET Smart Security 4.0 *Disabled/Updated* {CB0F8167-5331-BA19-698E-64816B6801A5}
FW: ESET personal firewall *Enabled* {F3340042-195E-BB41-42D1-CDB495BB46DE}
SP: ESET Smart Security 4.0 *Disabled/Updated* {706E6083-750B-B597-533E-5FF310EF4B18}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2013-03-14 do 2013-04-14 )))))))))))))))))))))))))))))))
.
.
2013-04-14 18:32 . 2013-04-14 18:32 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-04-14 17:51 . 2013-04-14 17:51 -------- d-----w- c:\users\UpdatusUser
2013-04-12 19:03 . 2013-04-12 19:04 -------- d-----w- c:\program files\trend micro
2013-04-12 19:03 . 2013-04-12 19:04 -------- d-----w- C:\rsit
2013-04-12 18:56 . 2013-03-01 03:09 2347008 ----a-w- c:\windows\system32\win32k.sys
2013-04-12 18:56 . 2013-01-24 04:47 196328 ----a-w- c:\windows\system32\drivers\fvevol.sys
2013-04-12 18:56 . 2013-03-19 05:04 3913560 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-04-12 18:56 . 2013-03-19 05:04 3968856 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-04-12 18:56 . 2013-03-19 04:48 38912 ----a-w- c:\windows\system32\csrsrv.dll
2013-04-12 18:56 . 2013-03-19 02:49 69632 ----a-w- c:\windows\system32\smss.exe
2013-04-12 18:53 . 2013-03-15 07:21 7108640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{FDC9B33B-9F5D-451F-A793-B5982C3A9A34}\mpengine.dll
2013-03-26 17:24 . 2013-02-12 03:32 15872 ----a-w- c:\windows\system32\drivers\usb8023.sys
2013-03-26 17:24 . 2013-02-12 03:32 15872 ----a-w- c:\windows\system32\drivers\usb8023x.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-11 23:10 . 2010-01-03 13:41 237088 ------w- c:\windows\system32\MpSigStub.exe
2013-03-01 19:14 . 2013-03-01 19:14 48648 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\Markup.dll
2013-03-01 19:14 . 2013-03-01 19:14 483952 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2013-02-19 19:32 . 2013-02-19 19:32 6162704 ----a-w- c:\windows\system32\nvopencl.dll
2013-02-19 19:32 . 2013-02-19 19:32 10919200 ----a-w- c:\windows\system32\drivers\nvlddmkm.sys
2013-02-19 19:32 . 2013-02-19 19:32 2446416 ----a-w- c:\windows\system32\nvapi.dll
2013-02-19 19:32 . 2013-02-19 19:32 17560352 ----a-w- c:\windows\system32\nvcompiler.dll
2013-02-19 19:32 . 2013-02-19 19:32 2577184 ----a-w- c:\windows\system32\nvcuvid.dll
2013-02-19 19:32 . 2013-02-19 19:32 1869088 ----a-w- c:\windows\system32\nvcuvenc.dll
2013-02-19 19:32 . 2013-02-19 19:32 15413704 ----a-w- c:\windows\system32\nvd3dum.dll
2013-02-19 19:32 . 2013-02-19 19:32 892704 ----a-w- c:\windows\system32\nvdispgenco32.dll
2013-02-19 19:32 . 2013-02-19 19:32 1010464 ----a-w- c:\windows\system32\nvdispco32.dll
2013-02-19 19:32 . 2013-02-19 19:32 7754560 ----a-w- c:\windows\system32\nvcuda.dll
2013-02-19 19:32 . 2013-02-19 19:32 19915552 ----a-w- c:\windows\system32\nvoglv32.dll
2013-02-12 04:48 . 2013-03-13 16:49 474112 ----a-w- c:\windows\apppatch\AcSpecfc.dll
2013-02-12 04:48 . 2013-03-13 16:49 2176512 ----a-w- c:\windows\apppatch\AcGenral.dll
2013-01-31 09:01 . 2010-07-09 14:37 2859296 ----a-w- c:\windows\system32\nvsvc.dll
2013-01-31 09:01 . 2010-07-09 14:37 3970848 ----a-w- c:\windows\system32\nvcpl.dll
2013-01-31 09:00 . 2010-07-09 14:37 634656 ----a-w- c:\windows\system32\nvvsvc.exe
2013-01-31 09:00 . 2010-07-09 14:37 108832 ----a-w- c:\windows\system32\nvmctray.dll
2013-01-31 09:00 . 2010-01-11 21:18 62752 ----a-w- c:\windows\system32\nvshext.dll
2013-01-31 09:00 . 2010-01-11 21:18 2557728 ----a-w- c:\windows\system32\nvsvcr.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\users\user\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\users\user\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\users\user\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-02-15 417792]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2010-01-04 202256]
"CTxfiHlp"="CTXFIHLP.EXE" [2009-06-03 25600]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-11-16 2054360]
"Gnetmous"="c:\program files\KYE\Genius Wireless Optical Mouse\gnetmous.exe" [2001-08-20 172032]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
"USBToolTip"="c:\progra~1\Pinnacle\SHARED~1\Programs\USBTip\USBTip.exe" [2007-02-20 199752]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"EMET Notifier"="c:\program files\EMET\EMET_notifier.exe" [2012-05-09 152152]
.
c:\users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\user\AppData\Roaming\Dropbox\bin\Dropbox.exe [2013-3-12 29106336]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv
.
R3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [x]
R3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.SYS [x]
R3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.SYS [x]
R3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.SYS [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Služba Technologie aktivace Windows;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [x]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [x]
S2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [x]
S2 epfwwfp;epfwwfp;c:\windows\system32\DRIVERS\epfwwfp.sys [x]
S3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\System32\drivers\CT20XUT.SYS [x]
S3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\System32\drivers\CTEXFIFX.SYS [x]
S3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\System32\drivers\CTHWIUT.SYS [x]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc Mcx2Svc SensrSvc
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
GPSvcGroup REG_MULTI_SZ GPSvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - LocalService
FontCache
.
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'Explorer.exe'(400)
c:\users\user\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
Celkový čas: 2013-04-14 20:34:01
ComboFix-quarantined-files.txt 2013-04-14 18:34
ComboFix2.txt 2013-04-12 20:46
ComboFix3.txt 2013-04-12 19:59
.
Před spuštěním: Volných bajtů: 85 578 616 832
Po spuštění: Volných bajtů: 85 307 817 984
.
- - End Of File - - 9E2BC83FE8D2420DF34E1DFFF9E5CD93

[Rudy]

Zdravím!
Vy jste s někým konzultoval nové použití ComboFixu? Tato utilita je určena opdborníkům a nedoporučuje se laikům ji požívat bez doporučení rádce. V rukou laika dokáže poškodit systém.
Log vypadá OK. V kterém souboru byl trojan nalezen?

[polifka]

Dobrý večer,ano s Vámi
Nepodělal jsem snad nic?

Dle karantény ESET byl zde
C:/Quoobox/Quarantine/C/ProgramData/dm8Do.dat.vir
adres nejde zkopírovat tak snad jsem to správně opsal....

[Rudy]

Ano, tam určitě byl, protože to je karanténa ComobFixu, kam ukládá vše, co smazal. Celý adresář smažte a CF odinstalujte T-Cleanerem: http://vyosek.ic.cz/pro_usery/T-Cleaner.exe.

[polifka]

ten adresář nejde smazat....ani když se přihlásím jako Admin. Co s tím?

[Rudy]

Máte CF odinstaovaný? Zkuste smazat alespoň soubory v adresáři. Nesou nebezpečné, jsou přejmenované.

[polifka]

CV jsem odinstaloval ale složka Qoobox a v něm adresář BackEnv stále je......

[polifka]

.....chápu správně že je to neškodný a může to tak zůstat nebo ne?
Děkuju za zprávu

[polifka]

....a po restartu mi desítky minut běží ESET Kontrola souborů spouštěných při startu+celková antivirová kontrola se vždycky někde zasekne a nedoběhne do konce......

[Rudy]

Ano, soubory v Quoobox jsou opravdu neškodné, protože jsou přejmenované. Problém kontroly souborů se dá nastavit v antiviru ESET.

[polifka]

Myslím si,že něco tam špatně je.....např.na staženou poštu mu ESET píše pod mail toto.... ale nevím zda je to ještě na toto forum

Tuto zpravu proveril ESET Smart Security.

part000.txt - dekomprese neprobehla, overte, zda je dostatek pameti a volneho mista na disku
part001.htm - dekomprese neprobehla, overte, zda je dostatek pameti a volneho mista na disku

http://www.eset.cz

[Rudy]

Podívejte se, zda opravdu máte dost volného místa na disku. Co je to za soubory?

[polifka]

mám,82GB volných z 232GB .....

[Rudy]

Co te je za soubory? Zkuste antivir přeinstalovat.

[polifka]

Žádné konkrétní soubory mi to nepíše. Reinstall Antiviru mě už taky napadl....zkusím to. Díky