VIRY.CZ

V pátek jsem měl vir Policie ČR,dnes při testu opět detekován Trojan,prosím o kontrolu děkuji !!!

ComboFix 13-04-12.02 - user 14.04.2013 20:14:56.3.2 - x86
Microsoft Windows 7 Professional 6.1.7601.1.1250.420.1029.18.2047.1159 [GMT 2:00]
Spuštěný z: c:\users\user\Desktop\ComboFix.exe
AV: ESET Smart Security 4.0 *Disabled/Updated* {CB0F8167-5331-BA19-698E-64816B6801A5}
FW: ESET personal firewall *Enabled* {F3340042-195E-BB41-42D1-CDB495BB46DE}
SP: ESET Smart Security 4.0 *Disabled/Updated* {706E6083-750B-B597-533E-5FF310EF4B18}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2013-03-14 do 2013-04-14 )))))))))))))))))))))))))))))))
.
.
2013-04-14 18:32 . 2013-04-14 18:32 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-04-14 17:51 . 2013-04-14 17:51 -------- d-----w- c:\users\UpdatusUser
2013-04-12 19:03 . 2013-04-12 19:04 -------- d-----w- c:\program files\trend micro
2013-04-12 19:03 . 2013-04-12 19:04 -------- d-----w- C:\rsit
2013-04-12 18:56 . 2013-03-01 03:09 2347008 ----a-w- c:\windows\system32\win32k.sys
2013-04-12 18:56 . 2013-01-24 04:47 196328 ----a-w- c:\windows\system32\drivers\fvevol.sys
2013-04-12 18:56 . 2013-03-19 05:04 3913560 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-04-12 18:56 . 2013-03-19 05:04 3968856 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-04-12 18:56 . 2013-03-19 04:48 38912 ----a-w- c:\windows\system32\csrsrv.dll
2013-04-12 18:56 . 2013-03-19 02:49 69632 ----a-w- c:\windows\system32\smss.exe
2013-04-12 18:53 . 2013-03-15 07:21 7108640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{FDC9B33B-9F5D-451F-A793-B5982C3A9A34}\mpengine.dll
2013-03-26 17:24 . 2013-02-12 03:32 15872 ----a-w- c:\windows\system32\drivers\usb8023.sys
2013-03-26 17:24 . 2013-02-12 03:32 15872 ----a-w- c:\windows\system32\drivers\usb8023x.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-11 23:10 . 2010-01-03 13:41 237088 ------w- c:\windows\system32\MpSigStub.exe
2013-03-01 19:14 . 2013-03-01 19:14 48648 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\Markup.dll
2013-03-01 19:14 . 2013-03-01 19:14 483952 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2013-02-19 19:32 . 2013-02-19 19:32 6162704 ----a-w- c:\windows\system32\nvopencl.dll
2013-02-19 19:32 . 2013-02-19 19:32 10919200 ----a-w- c:\windows\system32\drivers\nvlddmkm.sys
2013-02-19 19:32 . 2013-02-19 19:32 2446416 ----a-w- c:\windows\system32\nvapi.dll
2013-02-19 19:32 . 2013-02-19 19:32 17560352 ----a-w- c:\windows\system32\nvcompiler.dll
2013-02-19 19:32 . 2013-02-19 19:32 2577184 ----a-w- c:\windows\system32\nvcuvid.dll
2013-02-19 19:32 . 2013-02-19 19:32 1869088 ----a-w- c:\windows\system32\nvcuvenc.dll
2013-02-19 19:32 . 2013-02-19 19:32 15413704 ----a-w- c:\windows\system32\nvd3dum.dll
2013-02-19 19:32 . 2013-02-19 19:32 892704 ----a-w- c:\windows\system32\nvdispgenco32.dll
2013-02-19 19:32 . 2013-02-19 19:32 1010464 ----a-w- c:\windows\system32\nvdispco32.dll
2013-02-19 19:32 . 2013-02-19 19:32 7754560 ----a-w- c:\windows\system32\nvcuda.dll
2013-02-19 19:32 . 2013-02-19 19:32 19915552 ----a-w- c:\windows\system32\nvoglv32.dll
2013-02-12 04:48 . 2013-03-13 16:49 474112 ----a-w- c:\windows\apppatch\AcSpecfc.dll
2013-02-12 04:48 . 2013-03-13 16:49 2176512 ----a-w- c:\windows\apppatch\AcGenral.dll
2013-01-31 09:01 . 2010-07-09 14:37 2859296 ----a-w- c:\windows\system32\nvsvc.dll
2013-01-31 09:01 . 2010-07-09 14:37 3970848 ----a-w- c:\windows\system32\nvcpl.dll
2013-01-31 09:00 . 2010-07-09 14:37 634656 ----a-w- c:\windows\system32\nvvsvc.exe
2013-01-31 09:00 . 2010-07-09 14:37 108832 ----a-w- c:\windows\system32\nvmctray.dll
2013-01-31 09:00 . 2010-01-11 21:18 62752 ----a-w- c:\windows\system32\nvshext.dll
2013-01-31 09:00 . 2010-01-11 21:18 2557728 ----a-w- c:\windows\system32\nvsvcr.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\users\user\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\users\user\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32 129272 ----a-w- c:\users\user\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-02-15 417792]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2010-01-04 202256]
"CTxfiHlp"="CTXFIHLP.EXE" [2009-06-03 25600]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-11-16 2054360]
"Gnetmous"="c:\program files\KYE\Genius Wireless Optical Mouse\gnetmous.exe" [2001-08-20 172032]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
"USBToolTip"="c:\progra~1\Pinnacle\SHARED~1\Programs\USBTip\USBTip.exe" [2007-02-20 199752]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"EMET Notifier"="c:\program files\EMET\EMET_notifier.exe" [2012-05-09 152152]
.
c:\users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\user\AppData\Roaming\Dropbox\bin\Dropbox.exe [2013-3-12 29106336]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv
.
R3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [x]
R3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.SYS [x]
R3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.SYS [x]
R3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.SYS [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Služba Technologie aktivace Windows;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [x]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [x]
S2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [x]
S2 epfwwfp;epfwwfp;c:\windows\system32\DRIVERS\epfwwfp.sys [x]
S3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\System32\drivers\CT20XUT.SYS [x]
S3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\System32\drivers\CTEXFIFX.SYS [x]
S3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\System32\drivers\CTHWIUT.SYS [x]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc Mcx2Svc SensrSvc
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
GPSvcGroup REG_MULTI_SZ GPSvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - LocalService
FontCache
.
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'Explorer.exe'(400)
c:\users\user\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
Celkový čas: 2013-04-14 20:34:01
ComboFix-quarantined-files.txt 2013-04-14 18:34
ComboFix2.txt 2013-04-12 20:46
ComboFix3.txt 2013-04-12 19:59
.
Před spuštěním: Volných bajtů: 85 578 616 832
Po spuštění: Volných bajtů: 85 307 817 984
.
- - End Of File - - 9E2BC83FE8D2420DF34E1DFFF9E5CD93

Zdravím!
Vy jste s někým konzultoval nové použití ComboFixu? Tato utilita je určena opdborníkům a nedoporučuje se laikům ji požívat bez doporučení rádce. V rukou laika dokáže poškodit systém.
Log vypadá OK. V kterém souboru byl trojan nalezen?

Dobrý večer,ano s Vámi
Nepodělal jsem snad nic?

Dle karantény ESET byl zde
C:/Quoobox/Quarantine/C/ProgramData/dm8Do.dat.vir
adres nejde zkopírovat tak snad jsem to správně opsal....

Ano, tam určitě byl, protože to je karanténa ComobFixu, kam ukládá vše, co smazal. Celý adresář smažte a CF odinstalujte T-Cleanerem: http://vyosek.ic.cz/pro_usery/T-Cleaner.exe.

ten adresář nejde smazat....ani když se přihlásím jako Admin. Co s tím?

Máte CF odinstaovaný? Zkuste smazat alespoň soubory v adresáři. Nesou nebezpečné, jsou přejmenované.

CV jsem odinstaloval ale složka Qoobox a v něm adresář BackEnv stále je......

.....chápu správně že je to neškodný a může to tak zůstat nebo ne?
Děkuju za zprávu

....a po restartu mi desítky minut běží ESET Kontrola souborů spouštěných při startu+celková antivirová kontrola se vždycky někde zasekne a nedoběhne do konce......

Ano, soubory v Quoobox jsou opravdu neškodné, protože jsou přejmenované. Problém kontroly souborů se dá nastavit v antiviru ESET.

Myslím si,že něco tam špatně je.....např.na staženou poštu mu ESET píše pod mail toto.... ale nevím zda je to ještě na toto forum

Tuto zpravu proveril ESET Smart Security.

part000.txt - dekomprese neprobehla, overte, zda je dostatek pameti a volneho mista na disku
part001.htm - dekomprese neprobehla, overte, zda je dostatek pameti a volneho mista na disku

http://www.eset.cz

Podívejte se, zda opravdu máte dost volného místa na disku. Co je to za soubory?

mám,82GB volných z 232GB .....

Co te je za soubory? Zkuste antivir přeinstalovat.

Žádné konkrétní soubory mi to nepíše. Reinstall Antiviru mě už taky napadl....zkusím to. Díky