smitfraud-c fix (vyřešeno)

[fredik]

Stáhni si SUPERAntiSpyware
Nainstaluj a spusť ho a klikni na tlačítko Check for Updates...
Po provedení Update klikni na tlačítko: Scan your computer
Zvol možnost: Perform Complete Scan a klikni na tlačítko Další >

Proběhne kontrola, po skončení vypíše vše co našel.
Ujisti se že všechny položko jsou zaškrtnuty a pak zvol tlačítko Další
Pak klikni na tlačítko Finish a měl by ses dostat na úvodní obrazovku.
Tam klikni na tlačítko: Preferences... a tam zvol záložku Statistics/Logs
Tam klikni na log s dnešním datem který tam bude a dej tlačítko: View Log...
Otevře se ti Okno s logem tak jeho obsah sem zkopíruj.

Pak to zkus projet Spybotem, už by to mělo být v pořádku.

Ještě otestuj tento soubor na VirusTotall
C:\WINDOWS\system32\exvrcftw.dll
měl by taky patřit k Conhook-u a dej sem výsledek + log z přejmenovaného HJT.

[Reklama]

[weem]

tak tady to všechno je:


virustotal report:

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.01.2007 no virus found
AntiVir 7.4.0.29 06.01.2007 TR/Vundo.Gen
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 06.01.2007 no virus found
AVG 7.5.0.467 06.01.2007 no virus found
BitDefender 7.2 06.02.2007 no virus found
CAT-QuickHeal 9.00 06.02.2007 no virus found
ClamAV devel-20070416 06.02.2007 Trojan.Packed-7
DrWeb 4.33 06.02.2007 Trojan.Virtumod
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3684 06.02.2007 no virus found
Ewido 4.0 06.02.2007 no virus found
FileAdvisor 1 06.02.2007 no virus found
Fortinet 2.85.0.0 06.02.2007 suspicious
F-Prot 4.3.2.48 06.01.2007 no virus found
F-Secure 6.70.13030.0 06.02.2007 no virus found
Ikarus T3.1.1.8 06.02.2007 no virus found
Kaspersky 4.0.2.24 06.02.2007 no virus found
McAfee 5044 06.01.2007 no virus found
Microsoft 1.2503 06.02.2007 no virus found
NOD32v2 2305 06.01.2007 no virus found
Norman 5.80.02 06.01.2007 Vundo.gen25
Panda 9.0.0.4 06.02.2007 no virus found
Prevx1 V2 06.02.2007 no virus found
Sophos 4.18.0 06.01.2007 Virtumundo
Sunbelt 2.2.907.0 05.30.2007 VIPRE.Suspicious
Symantec 10 06.02.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 06.02.2007 no virus found
VirusBuster 4.3.23:9 06.02.2007 Adware.Vundo.Gen!Pac.14
Webwasher-Gateway 6.0.1 06.02.2007 Trojan.Vundo.Gen


tady je hjk log:

Logfile of HijackThis v1.99.1
Scan saved at 21:26:17, on 2.6.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\Install\Privacy Eraser Pro\PrivacyEraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
E:\Install\QIP\Osa9.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\totalcmd\TOTALCMD.EXE
C:\Program Files\test.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.centrum.cz/?&Theme=dark_vader
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/?&Theme=dark_vader
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Install\Icq 5.1\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {BEDF30ED-41B2-4CDC-875A-ED063C81AF7B} - C:\WINDOWS\system32\ddcbccb.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Install\Icq 5.1\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Genuine] rundll32.exe "C:\WINDOWS\system32\exvrcftw.dll",realset
O4 - HKCU\..\Run: [Privacy Eraser Pro] E:\Install\Privacy Eraser Pro\PrivacyEraser.exe /Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LaunchList] E:\Install\Pinnacle\LaunchList2.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: MS Office Plugin.lnk = QIP\Osa9.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Install\Icq 5.1\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Webshots Photo Search - res://C:\Program Files\Webshots\WSToolbar4IE.dll/MENUSEARCH.HTM
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Install\Icq 5.1\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Install\Icq 5.1\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\Skype4COM.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrzf32 - winrzf32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Unknown owner - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NBService - Nero AG - E:\Install\Nero 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



SUPERAntiSpyware log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 06/02/2007 at 09:11 PM

Application Version : 3.8.1002

Core Rules Database Version : 3248
Trace Rules Database Version: 1259

Scan type : Complete Scan
Total Scan Time : 00:49:29

Memory items scanned : 387
Memory threats detected : 1
Registry items scanned : 7232
Registry threats detected : 16
File items scanned : 59340
File threats detected : 33

Trojan.Mezzia/Resident
C:\WINDOWS\SYSTEM32\WINRZF32.DLL
C:\WINDOWS\SYSTEM32\WINRZF32.DLL

Trojan.WinFixer
HKLM\Software\Classes\CLSID\{08DF8C96-E62F-4CF2-AB9F-DDB18056E618}
HKCR\CLSID\{08DF8C96-E62F-4CF2-AB9F-DDB18056E618}
HKCR\CLSID\{08DF8C96-E62F-4CF2-AB9F-DDB18056E618}\InprocServer32
HKCR\CLSID\{08DF8C96-E62F-4CF2-AB9F-DDB18056E618}\InprocServer32#ThreadingModel
C:\WINDOWS\SYSTEM32\MLLJG.DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08DF8C96-E62F-4CF2-AB9F-DDB18056E618}

Adware.Vundo Variant
HKLM\Software\Classes\CLSID\{CD3447D4-CA39-4377-8084-30E86331D74C}
HKCR\CLSID\{CD3447D4-CA39-4377-8084-30E86331D74C}
HKCR\CLSID\{CD3447D4-CA39-4377-8084-30E86331D74C}\InprocServer32
HKCR\CLSID\{CD3447D4-CA39-4377-8084-30E86331D74C}\InprocServer32#ThreadingModel
C:\WINDOWS\SYSTEM32\TYNVTEWE.DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CD3447D4-CA39-4377-8084-30E86331D74C}
HKCR\CLSID\{CD3447D4-CA39-4377-8084-30E86331D74C}

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd
HKLM\SOFTWARE\Microsoft\MSSMGR#PSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#SSTV

Trojan.Media-Codec
HKU\S-1-5-21-1960408961-261903793-725345543-1003\Software\Internet Security

Adware.Tracking Cookie
C:\Documents and Settings\host\Cookies\host@ad.zanox[1].txt
C:\Documents and Settings\host\Cookies\host@ad2.bbmedia[1].txt
C:\Documents and Settings\host\Cookies\host@ad2.bbmedia[2].txt
C:\Documents and Settings\host\Cookies\host@ad2.billboard[1].txt
C:\Documents and Settings\host\Cookies\host@atwola[1].txt
C:\Documents and Settings\host\Cookies\host@casaclick[1].txt
C:\Documents and Settings\host\Cookies\host@counter.cnw[2].txt
C:\Documents and Settings\host\Cookies\host@toplist[2].txt
C:\Documents and Settings\Lukino\Cookies\lukino@3d-sexgames[1].txt
C:\Documents and Settings\Lukino\Cookies\lukino@ad1.clickhype[1].txt
C:\Documents and Settings\Lukino\Cookies\lukino@ad2.bbmedia[1].txt
C:\Documents and Settings\Lukino\Cookies\lukino@ad2.bbmedia[2].txt
C:\Documents and Settings\Lukino\Cookies\lukino@ad2.bbmedia[3].txt
C:\Documents and Settings\Lukino\Cookies\lukino@ad2.bbmedia[4].txt
C:\Documents and Settings\Lukino\Cookies\lukino@adarbo2.bbmedia[1].txt
C:\Documents and Settings\Lukino\Cookies\lukino@adarbo2.bbmedia[2].txt
C:\Documents and Settings\Lukino\Cookies\lukino@adarbo2.bbmedia[3].txt
C:\Documents and Settings\Lukino\Cookies\lukino@adarbo2.bbmedia[4].txt
C:\Documents and Settings\Lukino\Cookies\lukino@toplist[10].txt
C:\Documents and Settings\Lukino\Cookies\lukino@toplist[1].txt
C:\Documents and Settings\Lukino\Cookies\lukino@toplist[2].txt
C:\Documents and Settings\Lukino\Cookies\lukino@toplist[3].txt
C:\Documents and Settings\Lukino\Cookies\lukino@toplist[4].txt
C:\Documents and Settings\Lukino\Cookies\lukino@toplist[5].txt
C:\Documents and Settings\Lukino\Cookies\lukino@toplist[6].txt
C:\Documents and Settings\Lukino\Cookies\lukino@toplist[7].txt
C:\Documents and Settings\Lukino\Cookies\lukino@toplist[8].txt
C:\Documents and Settings\Lukino\Cookies\lukino@toplist[9].txt

Trojan.Downloader-Gen/SwampDonk
C:\SYSTEM VOLUME INFORMATION\_RESTORE{3903CB82-938A-42FB-9C9F-F726E9827E91}\RP429\A0058243.DLL
C:\VUNDOFIX BACKUPS\DDCBCCB.DLL.BAD


spybot test NEGATIVNÍ! fakt moc díky! škody že nějak nemůžu pomoct já...
p.s.: můžeš mi zkontrolovat ten log jestli tam neni ještě nějaká maličkost? thx

[fredik]

V HJT fixni jeste toto:
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {BEDF30ED-41B2-4CDC-875A-ED063C81AF7B} - C:\WINDOWS\system32\ddcbccb.dll (file missing)
O4 - HKLM\..\Run: [Genuine] rundll32.exe "C:\WINDOWS\system32\exvrcftw.dll",realset
O20 - Winlogon Notify: winrzf32 - winrzf32.dll (file missing)

V HJT ještě můžeš taky fixnout tuto položku:
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
pokud si ta necháš SuperAntiSpyware tak není potřeba aby se ti spouštěl automaticky při startu systému, stačí když si ho občas na případnou kontrolu spustíš ručně.

Spusť znovu Vundofix a klikni na tlačítko Scan for Vundo po té co proběhne sken tak klikni do bílého okna uprostřed pravým tlačítkem myši a zvol Add more files?. Objeví se ti okénko se třemi řádky tak do prvního vlož tento tučně označený text: C:\WINDOWS\system32\exvrcftw.dll
pak klikni na Add File(s) a dej tlačítko Close Window a okno se ti zavře
pak klikni na Remove Vundo
Začne odstraňování, pak se ti asi restartuje Pc

Po restartu sem zkopíruj log Vundofix.

Ještě máš tam krapet starší verzi Javy tak bych ti doporučil provést její Update (u 1.5 verze už je 1.5.12):
- Stáhni si poslení verzi Java Runtime Environment (JRE) 6u1
- Posuň se dolů kde je napsáno Java Runtime Environment (JRE) 6u1 a klikni na tlačítko Download
- Zatrhni možnost kde je napsáno: Accept License Agreement
- Stránka se ti znovu načte.
- Klikni na odkaz pro stažení: Windows Offline Installation, Multi-language a ulož si ho na disk
- Ukonči běžící programy které máš spuštěné, hlavě webový prohlížeč
- Jdi přes Start -> Ovládací panely -> Přidat nebo odebrat programy a odinstaluj všechny staré verze Javy
- Podívej se po položkách s názvem Java Runtime Environment (JRE or J2SE)
* příklady starých verzí v Přidat nebo odebrat programy:

J2SE Runtime Environment 5.0
J2SE Runtime Environment 5.0 Update 10
Java 2 Runtime Environment, SE v1.4.2

- Odinstaluj je přes tlačítko Změnit nebo odebrat nebo Odebrat
- Odinstaluj postupně po sobě případné všechny staré verze Javy
- Po skončení odinstalovaní restartuj Pc.
- Pak už jen spusť instalaci poslední verze ze souboru jre-6u1-windows-i586-p.exe, který sis stáhl na začátku.

[weem]

tady je log:
VundoFix V6.4.1

Checking Java version...

Java version is 1.5.0.10

Scan started at 18:30:34 2.6.2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.4.1

Checking Java version...

Java version is 1.5.0.10

Scan started at 22:49:19 2.6.2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

Attempting to delete C:\WINDOWS\system32\exvrcftw.dll
C:\WINDOWS\system32\exvrcftw.dll Has been deleted!

Performing Repairs to the registry.
Done!


ps.: ty věci co mám (avast!4 home, Kerio personal firewall, Ad-Aware, Spybot S&D, SUPERAntiSpyware) stačí, "nepopere" se to mezi sebou? a je ještě něco co bych měl nějak upravit/vylepšit? dík moc.

[weem]

řekl bych že je to vyřešeno, takže jestli to můžeš označit (já to neumim ) jako vyřešené, ještě jednou ti fakt děkuju. Mimochodem je to poprvé co se mi podařilo odstranit virus.

[fredik]

Pokud máš Ad-aware SE tak ten neobsahuje rezidentní ochranu, stejně tak jako SuperAntiSpyware ve free verzi ji nemá. Jediný který ji má je Spybot (TeaTimer) můžeš si ji zapnout přes Režim -> Pro pokročilé tam zvolíš Nástroje -> Rezidentní a tam zatrhneš volbu Rezidentní program "TeaTimer" (....) Ke konfliktu by nemělo dojít.

Když používáš IE tak ještě pro jeho lepší bezpečnost můžeš použít tento program: SpywareBlaster

* SpywareBlaster je program poskytovaný zdarma (pro osobní a výukové účely) bránící spyware uvedenému v seznamu jeho instalaci, nebo spuštění pokud je již uhnízděn v systému.
* SpywareBlaster zabraňuje instalaci šmejdů založených na technologii ActiveX
* SpywareBlaster blokuje špionážní cookies uvedené v seznamu v prohlížečích MSIE a Mozilla/Firefox
* SpywareBlaster omezuje aktivity potenciálně nebezpečných stránek uvedených v seznamu v MSIE
* SpywareBlaster nezůstává běžící na pozadí systému

Pokud nemáš žádné další problémy tak by to bylo vše.

PS: kdyby jsi někdy v budoucnu chtěl označit svůj příspěvek jako vyřešený tak tady na to je návod: Jak označit problém za vyřešený

Nemáš za co