prosím o kontrolu logu

[evap]

Hezký den.
Na adrese C:\WINDOWS\system32\auth.dll se nemohu zbavit viru Win32/BHO.AGZ (trojský kůň), který je zjevně navázaný na explorer.
Může mi prosím někdo poradit, čeho všeho se zbavit v logu z HijackThis. Možná, že je v něm i nějaká další "havěť".....
Moc díky za jakoukoliv radu.

Logfile of HijackThis v1.99.1
Scan saved at 7:11:59, on 11.1.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Zabezpečení počítače\Ad-aware2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\SYSTEM32\GEARSec.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\MagicTune Premium\MagicTuneEngine.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\VIDEO\LG DVD\PowerDVD\PDVDServ.exe
C:\Program Files\dvd43\dvd43_tray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Zabezpečení počítače\WinPatrol\winpatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Evca\Dokumenty\e-knížky\READER\readernotify.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MagicTune Premium\GammaTray.exe
C:\Program Files\ArcSoft\Media Card Companion\MCC Monitor.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\INSTALACE PROGRAMŮ\PC zabezpečení\HijackThis_1_99_1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.google.cz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer

= 172.16.1.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3074F4EB-62B8-430F-8B95-2C29C03A34E5} -

C:\WINDOWS\System32\xxyyw.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} -

C:\ZABEZP~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {ABB68206-5154-47D3-ABC5-611C1658ABA0} -

C:\WINDOWS\system32\rqrrrsq.dll
O2 - BHO: (no name) - {B00A8782-8404-432A-B071-C5A44DF83616} -

C:\WINDOWS\System32\auth.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] "C:\VIDEO\LG DVD\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [dvd43] C:\Program Files\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide

/waitservice
O4 - HKLM\..\Run: [WinPatrol] C:\Zabezpečení počítače\WinPatrol\winpatrol.exe
O4 - HKLM\..\RunServices: [CRC Value Verifier] crsss64.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mobipocket Reader Notifications] C:\Documents and

Settings\Evca\Dokumenty\e-knížky\READER\readernotify.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common

Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat

7.0\Reader\reader_sl.exe
O4 - Global Startup: GammaTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

Office\Office10\OSA.EXE
O4 - Global Startup: Monitor.lnk = C:\Program Files\ArcSoft\Media Card Companion\MCC

Monitor.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) -

http://downloadcenter.samsung.com/conte ... ite_EN.cab
O17 -

HKLM\System\CCS\Services\Tcpip\..\{484C621D-1819-406D-B363-CC8B2EC7C9C9}:

NameServer = 212.71.131.166,212.71.131.6
O20 - Winlogon Notify: rqrrrsq - C:\WINDOWS\SYSTEM32\rqrrrsq.dll
O20 - Winlogon Notify: winhgl32 - C:\WINDOWS\SYSTEM32\winhgl32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Zabezpečení

počítače\Ad-aware2007\aawservice.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32

Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32

Antivirus\ekrn.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program

Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Program Files\MagicTune

Premium\MagicTuneEngine.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\System32\nvsvc32.exe

[Reklama]

[PredyP]

Zkus na ty koně tohle ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

[Baron Prášil]

postupuj dle tohoto návodu
http://www.viry.cz/forum/viewtopic.php?t=16634/

[evap]

Tak "Dr.Web" skutečně pomohl - zmíněný problém je pryč.
Super. Moc díky za pomoc.

[PredyP]

Není zač. Mám od tud také mnoho pomoci. Je potřeba před každým skenem (ne vždy je nová verze) aktualizovat. Jde to tak že když spustíme Dr. okno na něm se oběví ještě jedno to uchopíme a dáme stranou a klepneme na aktulizace stáhneme tam kde ho máme. (bude se ptát jestli chceme přepsat dáme ANO)

[Baron Prášil]

bylo by to skvělí,kdyby byl dr.web univerzálním prostředkem na vundo nákazu.
ale pro jistotu pošli ještě log z hijackthis.použij aktuální verzi kterou stáhneš v návodu v mém podpisu.

[evap]

Tak zde je ještě pro kontrolu log z aktuální verze HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:19:50, on 12.1.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Zabezpečení počítače\Ad-aware2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\SYSTEM32\GEARSec.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\MagicTune Premium\MagicTuneEngine.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\VIDEO\LG DVD\PowerDVD\PDVDServ.exe
C:\Program Files\dvd43\dvd43_tray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Zabezpečení počítače\WinPatrol\winpatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MagicTune Premium\GammaTray.exe
C:\Program Files\ArcSoft\Media Card Companion\MCC Monitor.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\INSTALACE PROGRAMŮ\PC zabezpečení\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.1.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ZABEZP~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] "C:\VIDEO\LG DVD\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [dvd43] C:\Program Files\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [WinPatrol] C:\Zabezpečení počítače\WinPatrol\winpatrol.exe
O4 - HKLM\..\RunServices: [CRC Value Verifier] crsss64.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GammaTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor.lnk = C:\Program Files\ArcSoft\Media Card Companion\MCC Monitor.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/conte ... ite_EN.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{484C621D-1819-406D-B363-CC8B2EC7C9C9}: NameServer = 212.71.131.166,212.71.131.6
O20 - Winlogon Notify: winhgl32 - C:\WINDOWS\SYSTEM32\winhgl32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Zabezpečení počítače\Ad-aware2007\aawservice.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Program Files\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 6475 bytes

[fredik]

Krapet se do toho Baronovi nabourám ...

Stáhni si SDFix
- Spusť ho a rozbalí se ti na disk kde je nainstalovaný Windows (typicky to je C:\SDfix)
- Pak restartuj PC do nouzového režimu (zvol možnost: Stav nouze, ne Stav nouze s práci v síti)
- Otevři adresář kde je vybalený SDFix a spusť soubor RunThis.bat tím spustíš program.
* Pak stiskni klávesu Y a pak Enter pro zahájení čistícího procesu.
* Pro dokončení kontroly budeš vyzván ke stisknoutí libovolné klávesy a počítač se restartuje.
* Při nabíhání operačního systému se program spustí znovu a dokončí čistící proces. Až se objeví Finish, budeš muset po vyzvání stisknout libovolnou klávesu, tim se ukončí program a zobrazí se ti ikony na ploše
- Když se skončí načítání ikon na ploše, otevře se ti na obrazovce log z SDFix a zároveň ho uloží do adresáře kde je rozbalený SDFix jako soubor Report.txt
Pak sem zkopíruj jeho obsah.

Stáhni si ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem klávesy 1
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

//jako by si mi to vzal s úst
//Baron Prášil

[evap]

tak to mám tu - logy z SDFix a ComboFix:

SDFix: Version 1.126

Run by Evca on so 12.01.2008 at 22:18

Microsoft Windows XP [Verze 5.1.2600]

Running From: C:\INSTAL~1\PCZABE~1\SDFix\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\LSDELE~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\LSDELE~2.EXE - Deleted
C:\WINDOWS\SYSTEM32\LSDELE~3.EXE - Deleted
C:\WINDOWS\SYSTEM32\LSDELE~4.EXE - Deleted
C:\WINDOWS\SYSTEM32\WINHGL32.DLL - Deleted
C:\WINDOWS\Temp\winF.tmp.exe - Deleted
C:\WINDOWS\Temp\winF.tmp.exe - Deleted
C:\WINDOWS\Downloaded Program Files\*_*_*NetInstaller.exe - Deleted
C:\WINDOWS\regedit.com - Deleted
C:\WINDOWS\system\win.ini - Deleted
C:\WINDOWS\system32\o - Deleted




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-12 22:23:57
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

IPC error: 2 Systém nemůže nalézt uvedený soubor.
scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"\f\1e?r?n?\xe9? ?u?k?a?z?a?t?e?l?e? ?"="C:\WINDOWS\cursors\arrow_r.cur,C:\WINDOWS\cursors\help_r.cur,C:\WINDOWS\cursors\wait_r.cur,C:\WINDOWS\cursors\busy_r.cur,C:\WINDOWS\cursors\cross_r.cur,C:\WINDOWS\cursors\beam_r.cur,C:\WINDOWS\cursors\pen_r.cur,C:\WINDOWS\cursors\no_r.cur,C:\WINDOWS\cursors\size4_r.cur,C:\WINDOWS\cursors\size3_r.cur,C:\WINDOWS\cursors\size2_r.cur,C:\WINDOWS\cursors\size1_r.cur,C:\WINDOWS\cursors\move_r.cur,C:\WINDOWS\cursors\up_r.cur"
"\f\1e?r?n?\xe9? ?u?k?a?z?a?t?e?l?e? ?(?v?e?l?k?\xe9?)?"="C:\WINDOWS\cursors\arrow_rm.cur,C:\WINDOWS\cursors\help_rm.cur,C:\WINDOWS\cursors\wait_rm.cur,C:\WINDOWS\cursors\busy_rm.cur,C:\WINDOWS\cursors\cross_rm.cur,C:\WINDOWS\cursors\beam_rm.cur,C:\WINDOWS\cursors\pen_rm.cur,C:\WINDOWS\cursors\no_rm.cur,C:\WINDOWS\cursors\size4_rm.cur,C:\WINDOWS\cursors\size3_rm.cur,C:\WINDOWS\cursors\size2_rm.cur,C:\WINDOWS\cursors\size1_rm.cur,C:\WINDOWS\cursors\move_rm.cur,C:\WINDOWS\cursors\up_rm.cur"
"\f\1e?r?n?\xe9? ?u?k?a?z?a?t?e?l?e? ?(?n?e?j?v?\e\1t?a\1\xed?)?"="C:\WINDOWS\cursors\arrow_rl.cur,C:\WINDOWS\cursors\help_rl.cur,C:\WINDOWS\cursors\wait_rl.cur,C:\WINDOWS\cursors\busy_rl.cur,C:\WINDOWS\cursors\cross_rl.cur,C:\WINDOWS\cursors\beam_rl.cur,C:\WINDOWS\cursors\pen_rl.cur,C:\WINDOWS\cursors\no_rl.cur,C:\WINDOWS\cursors\size4_rl.cur,C:\WINDOWS\cursors\size3_rl.cur,C:\WINDOWS\cursors\size2_rl.cur,C:\WINDOWS\cursors\size1_rl.cur,C:\WINDOWS\cursors\move_rl.cur,C:\WINDOWS\cursors\up_rl.cur"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\\r\1a]
"Order"=hex:08,00,00,00,02,00,00,00,56,02,00,00,01,00,00,00,05,00,00,00,60,..
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\\f\1e]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\\f\1l]
"Order"=hex:08,00,00,00,02,00,00,00,5e,01,00,00,01,00,00,00,02,00,00,00,a0,..
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\`\1a]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\`\1e]

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\INSTAL~1\PCZABE~1\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes:

Mon 7 Jan 2008 145,920 ..SHR --- "C:\Zabezpeźenˇ poźˇtaźe\WinPatrol\Setup.exe"
Tue 4 Nov 2003 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 4 Nov 2003 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv11.bak"
Fri 30 Jan 2004 19,968 A..H. --- "C:\Documents and Settings\Evca\Data aplikacˇ\Microsoft\Word\~WRL0004.tmp"
Tue 3 Oct 2006 59,904 ...H. --- "C:\Documents and Settings\Evca\Data aplikacˇ\Microsoft\Word\~WRL1333.tmp"
Fri 11 Feb 2005 38,912 ...H. --- "C:\Documents and Settings\Evca\Dokumenty\vělety\vělety2005\~WRL4033.tmp"
Wed 31 Jan 2007 1,441,792 A..H. --- "C:\Documents and Settings\Guest\Local Settings\Temp\{31571D81-A87F-4a8e-8AE6-591DA5DBB6FC}\tem83.tmp"
Wed 31 Jan 2007 1,441,792 A..H. --- "C:\Documents and Settings\Guest\Local Settings\Temp\{31571D81-A87F-4a8e-8AE6-591DA5DBB6FC}\tem84.tmp"
Wed 31 Jan 2007 1,441,792 A..H. --- "C:\Documents and Settings\Guest\Local Settings\Temp\{31571D81-A87F-4a8e-8AE6-591DA5DBB6FC}\tem85.tmp"

Finished!
*******************

ComboFix 08-01-13.1 - Evca 2008-01-12 22:30:31.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.1.1029.18.251 [GMT 1:00]
Running from: C:\INSTALACE PROGRAMŮ\PC zabezpečení\ComboFix\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\auto.exe
C:\WINDOWS\system32\npglarhl.dll
C:\WINDOWS\system32\obvqyynw.dll
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((( Files Created from 2007-12-13 to 2008-01-13 )))))))))))))))))))))))))))))))
.

2008-01-12 22:29 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-12 21:56 . 2008-01-12 21:56 <DIR> d-------- C:\WINDOWS\ERUNT
2008-01-11 21:54 . 2008-01-11 21:54 <DIR> d-------- C:\Documents and Settings\Evca\DoctorWeb
2008-01-11 15:09 . 2008-01-11 15:28 <DIR> d-------- C:\VundoFix Backups
2008-01-11 06:48 . 2008-01-11 06:48 14,554 --a------ C:\WINDOWS\BM37876cd7.xml
2008-01-11 06:48 . 2008-01-11 06:48 22 --a------ C:\WINDOWS\pskt.ini
2008-01-10 07:38 . 2008-01-10 07:42 3,092 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-10 07:00 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-10 07:00 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-10 07:00 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-10 07:00 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-10 07:00 . 2007-09-28 14:26 25,088 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-09 18:04 . 2008-01-09 18:04 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-09 18:04 . 2008-01-09 18:04 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-09 18:04 . 2008-01-09 18:04 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-09 18:04 . 2008-01-09 18:04 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-09 18:04 . 2008-01-09 18:04 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-09 18:04 . 2008-01-09 18:04 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-09 18:02 . 2008-01-09 18:02 26 --a------ C:\WINDOWS\Lic.xxx
2008-01-09 18:01 . 2002-12-05 13:00 135,680 --a------ C:\WINDOWS\R.COM
2008-01-09 18:01 . 2002-12-05 13:00 130,048 --a------ C:\WINDOWS\system32\T.COM
2008-01-06 21:16 . 2008-01-06 21:16 <DIR> d-------- C:\karant‚na
2008-01-06 19:22 . 2008-01-06 19:22 75,840 --a------ C:\WINDOWS\system32\alkaudgn.dll
2008-01-05 16:17 . 2008-01-05 16:17 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2007-12-21 08:21 . 2007-12-21 08:21 33,800 --a------ C:\WINDOWS\system32\drivers\epfwtdir.sys
2007-12-21 08:20 . 2007-12-21 08:20 30,216 --a------ C:\WINDOWS\system32\drivers\easdrv.sys
2007-12-21 08:19 . 2007-12-21 08:19 39,944 --a------ C:\WINDOWS\system32\drivers\eamon.sys
2007-12-19 07:29 . 2007-12-19 07:29 <DIR> d-------- C:\Program Files\MagicTune Premium
2007-12-19 07:28 . 2007-12-19 07:28 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2007-12-19 07:28 . 2008-01-10 07:01 <DIR> d-------- C:\WINDOWS\LastGood

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-12 21:15 62,580,334 -c--a-w C:\WINDOWS\system32\drivers\fwdrv.err
2008-01-08 17:48 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-05 11:07 --------- d-----w C:\Program Files\PASSPORT Electronic Dictionary
2007-12-27 09:57 --------- d-----w C:\Program Files\Spyware Terminator
2007-12-08 21:10 --------- d-----w C:\Program Files\SEC
2007-12-08 20:56 --------- d-----w C:\Program Files\LizardTech
2007-11-19 22:39 315,392 ----a-w C:\WINDOWS\HideWin.exe
2007-11-19 22:39 --------- d-----w C:\Program Files\Realtek
2006-01-15 20:32 9,728 --sha-w C:\Program Files\Common Files\Thumbs.db
2005-12-13 10:49 9,728 --sha-w C:\Program Files\Thumbs.db
2004-10-01 13:00 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-12-05 13:00 13312]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2003-04-14 19:30 1491216]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 17:25 1961984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 16:14 86016 C:\WINDOWS\SoundMan.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-06-01 16:22 7618560]
"nwiz"="nwiz.exe" [2006-06-01 17:22 1519616 C:\WINDOWS\system32\nwiz.exe]
"RemoteControl"="C:\VIDEO\LG DVD\PowerDVD\PDVDServ.exe" [2004-11-02 19:24 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"dvd43"="C:\Program Files\dvd43\dvd43_tray.exe" [2006-05-22 12:26 694272]
"PinnacleDriverCheck"="C:\WINDOWS\System32\\PSDrvCheck.exe" [2004-03-10 23:26 406016]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-05-11 12:58 282624]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-06-01 15:51 257088]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-06-01 17:22 86016]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 08:21 1443072]
"WinPatrol"="C:\Zabezpečení počítače\WinPatrol\winpatrol.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Realplayer One"="realplay.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-12-05 13:00 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhgl32]
winhgl32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ :\WINDOW

R0 viasraid;viasraid;C:\WINDOWS\System32\DRIVERS\viasraid.sys [2003-06-12 11:31]
R1 epfwtdir;epfwtdir;C:\WINDOWS\System32\DRIVERS\epfwtdir.sys [2007-12-21 08:21]
R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys [2007-02-20 12:34]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys [2007-02-20 12:34]
R1 prodrv04;Star Force copy protection driver v4;C:\WINDOWS\System32\drivers\prodrv04.sys [2005-01-16 10:43]
R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\Documents and Settings\All Users\Data aplikací\Spyware Terminator\sp_rsdrv2.sys []
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\System32\DRIVERS\psched.sys [2002-12-05 13:00]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-13 22:38:03
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-13 22:40:47 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-13 21:40:40

[fredik]

Otestuj tento soubor na VirusTotall a dej sem výsledek, pak to dokončíme.
C:\WINDOWS\system32\alkaudgn.dll

[evap]

Soubor alkaudgn.dll přijatý 2008.01.13 13:00:10 (CET)
Výsledek: 13/32 (40.63%)

Antivirus Verze Poslední aktualizace Výsledek
AhnLab-V3 2008.1.12.10 2008.01.11 -
AntiVir 7.6.0.46 2008.01.11 TR/Vundo.Gen
Authentium 4.93.8 2008.01.12 -
Avast 4.7.1098.0 2008.01.12 -
AVG 7.5.0.516 2008.01.12 Lop
BitDefender 7.2 2008.01.13 Trojan.Vundo.DVC
CAT-QuickHeal 9.00 2008.01.12 -
ClamAV 0.91.2 2008.01.13 -
DrWeb 4.44.0.09170 2008.01.13 -
eSafe 7.0.15.0 2008.01.10 -
eTrust-Vet 31.3.5451 2008.01.11 Win32/Darksma.HM
Ewido 4.0 2008.01.13 -
FileAdvisor 1 2008.01.13 -
Fortinet 3.14.0.0 2008.01.13 -
F-Prot 4.4.2.54 2008.01.13 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13030.0 2008.01.12 Vundo.gen51
Ikarus T3.1.1.20 2008.01.13 -
Kaspersky 7.0.0.125 2008.01.13 -
McAfee 5205 2008.01.11 -
Microsoft 1.3109 2008.01.13 -
NOD32v2 2787 2008.01.13 -
Norman 5.80.02 2008.01.11 W32/Virtumonde.JOL
Panda 9.0.0.4 2008.01.12 Suspicious file
Prevx1 V2 2008.01.13 Trojan.Vundo
Rising 20.26.62.00 2008.01.13 -
Sophos 4.24.0 2008.01.13 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2008.01.12 -
Symantec 10 2008.01.13 Trojan.Vundo
TheHacker 6.2.9.186 2008.01.11 -
VBA32 3.12.2.5 2008.01.13 -
VirusBuster 4.3.26:9 2008.01.12 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2008.01.13 Trojan.Vundo.Gen

Rozšiřující informace
File size: 75840 bytes
MD5: b393bf38601e85dd1d47efc7df29eed9
SHA1: 1fabc56ac0343db12f9f5d89437c1b73a5cd0377
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext. ... 0058D1DBAC

[fredik]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující text označený zeleně:

Kód: Vybrat vše

File::
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\alkaudgn.dll

Folder::
C:\VundoFix Backups

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Realplayer One"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhgl32]

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť

- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující text označený zeleně:

Kód: Vybrat vše

If not exist Files MkDir Files

regedit /a /e files\2.txt HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Copy files\*.txt = lsa.txt
rmdir /s /q files
Start Notepad lsa.txt

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: vypreg.bat
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na do kořene systémového disku C (C:\vypreg.bat)
Spusť ho. Po chvíli hledání se zobrazí nové okno s výsledky, zkopíruj sem prosím celý jeho obsah