View Full Version : Y computer is sending spam emails
I have tried everything!!! AVG antivirus, Norton antivirus, spybot, noadware... and I keep getting popups that an email that I'm sending it's beeing analized... Can someone help me please!!!
I ran HJT and this is the report:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 08:07:27 p.m., on 28/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\DOCUME~1\user\CONFIG~1\Temp\winlogon.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
E:\downloads\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {070252CE-3AD4-42D3-9DFC-132052F2AB9d} - C:\WINDOWS\system32\dfhglaot.dll
O2 - BHO: (no name) - {4F8B099D-C9E6-4227-8E6A-4DE8336DB956} - C:\WINDOWS\system32\mlljh.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Lch - {5A3700EE-5330-4DE3-A9B6-D9B56E9791F6} - C:\WINDOWS\system32\lch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymProbe.exe -r "C:\Archivos de programa\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\tusqnm.dll",realset
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\user\CONFIG~1\Temp\winlogon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: mlljh - C:\WINDOWS\system32\mlljh.dll (file missing)
O20 - Winlogon Notify: winrzf32 - C:\WINDOWS\SYSTEM32\winrzf32.dll
O20 - Winlogon Notify: wudb - C:\WINDOWS\system32\wudb.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Administración de IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Protocolo simple de transferencia de correo (SMTP) (SMTPSVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Archivos de programa\Archivos comunes\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publicación en World Wide Web (W3SVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Hi mportal
If both AVG and Norton are up-to-date, you should uninstall AVG. Only one antivirus active/computer
Please download VundoFix.exe (http://www.atribune.org/ccount/click.php?id=4) to your desktop.
Double-click VundoFix.exe to run it.
Click the Scan for Vundo button.
Once it's done scanning, click the Remove Vundo button.
You will receive a prompt asking if you want to remove the files, click YES
Once you click yes, your desktop will go blank as it starts removing Vundo.
When completed, it will prompt that it will reboot your computer, click OK.
Please post the contents of C:\vundofix.txt and a new HiJackThis log.
Note: It is possible that VundoFix encountered a file it could not remove.
In this case, VundoFix will run on reboot, simply follow the above instructions starting from "Click the Scan for Vundo button." when VundoFix appears at reboot.
Download SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) and save it to your Desktop.
Double click SDFix.exe and it will extract the files to %systemdrive%
(Drive that contains the Windows Directory, typically C:\SDFix)
Please then reboot your computer in Safe Mode by doing the following :
Restart your computer
After hearing your computer beep once during startup, but before the Windows icon appears, tap the F8 key continually;
Instead of Windows loading as normal, the Advanced Options Menu should appear;
Select the first option, to run Windows in Safe Mode, then press Enter.
Choose your usual account.
Open the extracted SDFix folder and double click RunThis.bat to start the script.
Type Y to begin the cleanup process.
It will remove any Trojan Services and Registry Entries that it finds then prompt you to press any key to Reboot.
Press any Key and it will restart the PC.
When the PC restarts the Fixtool will run again and complete the removal process then display Finished, press any key to end the script and load your desktop icons.
Once the desktop icons load the SDFix report will open on screen and also save into the SDFix folder as Report.txt
(Report.txt will also be copied to Clipboard ready for posting back on the forum).
Finally paste the contents of the Report.txt back on the forum with a new HijackThis log
Post:
- a fresh HijackThis log
- vundofix report
- sdfix report
TonyKlein
2007-05-29, 21:05
Also, and my apologies for gatecrashing this thread, there's a file we'd like to have a closer look at:
C:\WINDOWS\system32\lch.dll
It looks to be a new parasite, so we'd like to receive a sample for analysis!
Could I ask you to please go to this forum (http://www.thespykiller.co.uk/index.php?board=1.0)
There's no need to register. Just start a new topic, titled "File for TonyKlein".
In the topic, simply refer to this forum thread, and use the Attachment box to upload the file.
In fact there's not even a need to actually browse to the file: just copy the full path to the file, in this case:
C:\WINDOWS\system32\lch.dll
... and paste it in in the attachment box, then press the 'Post' button. The file will be found and uploaded.
NOTE: You will not see the files that have been uploaded (including the ones you upload yourself) as they only show to the authorized users who can download them
After that I'll be happy to leave you in Shaba's most capable hands! :)
Thanks! :)
first off all... thanks for the reply...
I gues the vundufix worked...
I restarted my computer in safe mode to dun SDFix but it didn't finish... it was running for an hour and said something about unable to open a file.... winlogon.exe...
the report is this one:
SDFix: Version 1.85
Run by Administrador - 29/05/2007 - 15:42:03,92
Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Killing PID 220 'smss.exe'
then hundreds of this one:
Killing PID 296 'winlogon.exe'
then hundreds of this one:
Killing PID 292 'winlogon.exe'
then:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service
thats it... before the errors it said that it was on 25% and it stay there...
here is another log from HJT:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 04:33:09 p.m., on 29/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\DOCUME~1\user\CONFIG~1\Temp\winlogon.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\dumprep.exe
C:\WINDOWS\system32\dumprep.exe
C:\WINDOWS\system32\dumprep.exe
C:\WINDOWS\system32\dumprep.exe
E:\Mauricio\programas\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {070252CE-3AD4-42D3-9DFC-132052F2AB9d} - C:\WINDOWS\system32\dfhglaot.dll
O2 - BHO: (no name) - {4F8B099D-C9E6-4227-8E6A-4DE8336DB956} - C:\WINDOWS\system32\mlljh.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Lch - {5A3700EE-5330-4DE3-A9B6-D9B56E9791F6} - C:\WINDOWS\system32\lch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymProbe.exe -r "C:\Archivos de programa\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\user\CONFIG~1\Temp\winlogon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: mlljh - C:\WINDOWS\system32\mlljh.dll (file missing)
O20 - Winlogon Notify: wudb - C:\WINDOWS\system32\wudb.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Administración de IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Protocolo simple de transferencia de correo (SMTP) (SMTPSVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Archivos de programa\Archivos comunes\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publicación en World Wide Web (W3SVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
SDFix finished after 4 hours and this is the report...
Removing Temp Files...
ADS Check:
Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.
Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.
Final Check:
Remaining Services:
------------------
Rootkit xpdt Found, Use a Rootkit scanner !
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\DAP\\DAP.exe"="C:\\Archivos de programa\\DAP\\DAP.exe:*:Enabled:Download Accelerator Plus (DAP)"
"C:\\Archivos de programa\\Ares\\Ares.exe"="C:\\Archivos de programa\\Ares\\Ares.exe:*:Enabled:Ares"
"C:\\Archivos de programa\\eMule\\emule.exe"="C:\\Archivos de programa\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Archivos de programa\\Azureus\\Azureus.exe"="C:\\Archivos de programa\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"E:\\downloads\\utorrent.exe"="E:\\downloads\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Archivos de programa\\uTorrent\\utorrent.exe"="C:\\Archivos de programa\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Archivos de programa\\Java\\jdk1.5.0_06\\jre\\bin\\java.exe"="C:\\Archivos de programa\\Java\\jdk1.5.0_06\\jre\\bin\\java.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"C:\\phpdev\\mysql\\bin\\mysqld-nt.exe"="C:\\phpdev\\mysql\\bin\\mysqld-nt.exe:*:Enabled:mysqld-nt"
"C:\\phpdev\\Apache\\Apache.exe"="C:\\phpdev\\Apache\\Apache.exe:*:Enabled:Apache"
"C:\\Archivos de programa\\MySQL\\MySQL Server 4.1\\bin\\mysql.exe"="C:\\Archivos de programa\\MySQL\\MySQL Server 4.1\\bin\\mysql.exe:*:Enabled:mysql"
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"="C:\\Archivos de programa\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\WINDOWS\\TEMP\\win12.tmp.exe"="C:\\WINDOWS\\TEMP\\win12.tmp.exe:*:Enabled:win12.tmp"
"C:\\WINDOWS\\TEMP\\win2BE3.tmp.exe"="C:\\WINDOWS\\TEMP\\win2BE3.tmp.exe:*:Enabled:win2BE3.tmp"
"C:\\WINDOWS\\TEMP\\winA520.tmp.exe"="C:\\WINDOWS\\TEMP\\winA520.tmp.exe:*:Enabled:winA520.tmp"
"C:\\WINDOWS\\TEMP\\winDCAD.tmp.exe"="C:\\WINDOWS\\TEMP\\winDCAD.tmp.exe:*:Enabled:winDCAD.tmp"
"C:\\Archivos de programa\\iTunes\\iTunes.exe"="C:\\Archivos de programa\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Archivos de programa\\Grisoft\\AVG7\\avginet.exe"="C:\\Archivos de programa\\Grisoft\\AVG7\\avginet.exe:*:Enabled:avginet.exe"
"C:\\Archivos de programa\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Archivos de programa\\Grisoft\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\\Archivos de programa\\Grisoft\\AVG7\\avgcc.exe"="C:\\Archivos de programa\\Grisoft\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"="C:\\Archivos de programa\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
Remaining Files:
---------------
Backups Folder: - C:\SDFix\backups\backups.zip
Checking For Files with Hidden Attributes:
C:\Documents and Settings\user\Configuraci¢n local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\Sharing Folders\juan_andresp@hotmail.com\Thumbs.db
C:\Documents and Settings\user\Configuraci¢n local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\Sharing Folders\mfer_antillon@hotmail.com\Thumbs.db
C:\Documents and Settings\user\Entorno de red\ftp.humusocuilli.com\Desktop.ini
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Documents and Settings\user\Datos de programa\Roxio\Dragon\3.x\DiscInfoCache\LITE-ON_DVDRW_SHW-160P6S_PS09_000_DICV018_DRGV9000007.TMP
Finished
and this is the HJT report:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:05:22 p.m., on 29/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Messenger\msmsgs.exe
E:\Mauricio\programas\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {070252CE-3AD4-42D3-9DFC-132052F2AB9d} - C:\WINDOWS\system32\dfhglaot.dll
O2 - BHO: (no name) - {4F8B099D-C9E6-4227-8E6A-4DE8336DB956} - C:\WINDOWS\system32\mlljh.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Lch - {5A3700EE-5330-4DE3-A9B6-D9B56E9791F6} - C:\WINDOWS\system32\lch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymProbe.exe -r "C:\Archivos de programa\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: mlljh - C:\WINDOWS\system32\mlljh.dll (file missing)
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Administración de IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Protocolo simple de transferencia de correo (SMTP) (SMTPSVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Archivos de programa\Archivos comunes\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publicación en World Wide Web (W3SVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
thanks!!!
TonyKlein
2007-05-30, 07:59
Thank you very much for uploading the lch.dll file; I'm not at my home computer right now, but I'll have a look at it later today, and will let you know.
Hi
Sorry, I have missed this one :(
First we'll need to backup registry:
Start -> Run -> regedit -> ok. Then File -> Export. Give it a name and press Save.
Save text below as fix.reg on Notepad (save it as all files (*.*)) on Desktop
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\TEMP\\win12.tmp.exe"=-
"C:\\WINDOWS\\TEMP\\win2BE3.tmp.exe"=-
"C:\\WINDOWS\\TEMP\\winA520.tmp.exe"=-
"C:\\WINDOWS\\TEMP\\winDCAD.tmp.exe"=-
It should look like this -> http://users.telenet.be/bluepatchy/miekiemoes/images/reg.gif
Doubleclick fix.reg, press Yes and ok.
(In case you are unsure how to create a reg file, take a look here (http://www.nellie2.co.uk/file.htm#How_to_Make_a_.Reg_File_) with screenshots.)
Download
http://www.uploads.ejvindh.net/rustbfix.exe
...and save it to your desktop.
Double click on rustbfix.exe to run the tool. If a Rustock.b-infection is found, you will shortly hereafter be asked to reboot the computer. The reboot will probably take quite a while, and perhaps 2 reboots will be needed. But this will happen automatically. After the reboot 2 logfiles will open (%root%\avenger.txt & %root%\rustbfix\pelog.txt). Post the content of these logfiles along with a new HijackThis log.
here are the files you told me...
pelog:
Rustock.b-ADS attached to the System32-folder:
Attempting to remove ADS...
Looking for Rustock.b-files in the System32-folder:
ECHO est desactivado.
******************* Post-run Status of system *******************
Rustock.b-driver on the system:
YOU NEED TO CONSULT MORE ADVANCED TOOLS!!
The Gmer-rootkitscanner may be a good place to start.
Gmer rootkit-scanner may be found here: http://www.gmer.net
Rustock.b-ADS attached to the System32-folder:
ECHO est desactivado.
You should either run the tool again or consult more advanced tools
The Gmer-rootkitscanner may be a good place to start.
Gmer rootkit-scanner may be found here: http://www.gmer.net
Looking for Rustock.b-files in the System32-folder:
ECHO est desactivado.
You should either run the tool again or consult more advanced tools
Swandog46's Avenger or Gmer's-rootkitscanner may be a good place to start.
Swandog46's Avenger may be found here: http://swandog46.geekstogo.com/avengernotes.htm
Gmer rootkit-scanner may be found here: http://www.gmer.net
******************************* End of Logfile ********************************
avenger:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xwecihcq
*******************
Script file located at: \??\C:\Documents and Settings\wjnybtfq.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Driver xpdt unloaded successfully.
Program E:\Rustbfix\2run.bat successfully set up to run once on reboot.
Completed script processing.
*******************
Finished! Terminate.
HJT:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 03:37:04 p.m., on 31/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\wscntfy.exe
E:\Mauricio\programas\HiJackThis_v2.exe
C:\Archivos de programa\Messenger\msmsgs.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {070252CE-3AD4-42D3-9DFC-132052F2AB9d} - C:\WINDOWS\system32\dfhglaot.dll
O2 - BHO: (no name) - {4F8B099D-C9E6-4227-8E6A-4DE8336DB956} - C:\WINDOWS\system32\mlljh.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Lch - {5A3700EE-5330-4DE3-A9B6-D9B56E9791F6} - C:\WINDOWS\system32\lch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymProbe.exe -r "C:\Archivos de programa\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: mlljh - C:\WINDOWS\system32\mlljh.dll (file missing)
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Administración de IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Protocolo simple de transferencia de correo (SMTP) (SMTPSVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Archivos de programa\Archivos comunes\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publicación en World Wide Web (W3SVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Do you see any more problems?
before I did this I had a problem with service.exe but it looks like that is gone...
thanks 4 ur time...
Hi
Yes I do because rustock.b removal failed.
* Download GMER from
here (http://www.gmer.net/gmer.zip):
Unzip it and start GMER.exe
Click the rootkit-tab and click scan.
Once done, click the Copy button.
This will copy the results to clipboard.
Paste the results in your next reply.
GMER 1.0.12.12244 - http://www.gmer.net
Rootkit scan 2007-06-01 02:26:54
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.12 ----
SSDT 85425A80 ZwAlertResumeThread
SSDT 84FE2980 ZwAlertThread
SSDT 85475490 ZwAllocateVirtualMemory
SSDT 853F36B8 ZwConnectPort
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwCreateKey
SSDT 8541C728 ZwCreateMutant
SSDT 854FFE88 ZwCreateThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteKey
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey
SSDT sptd.sys ZwEnumerateValueKey
SSDT 854110C8 ZwFreeVirtualMemory
SSDT 8541C800 ZwImpersonateAnonymousToken
SSDT 85420758 ZwImpersonateThread
SSDT 854FBA60 ZwMapViewOfSection
SSDT 8541BA48 ZwOpenEvent
SSDT sptd.sys ZwOpenKey
SSDT 85411100 ZwOpenProcessToken
SSDT 85410840 ZwOpenThreadToken
SSDT sptd.sys ZwQueryKey
SSDT 8543E600 ZwQueryValueKey
SSDT 85419760 ZwResumeThread
SSDT 854106F0 ZwSetContextThread
SSDT 85410AD0 ZwSetInformationProcess
SSDT 85410308 ZwSetInformationThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwSetValueKey
SSDT 856B0E30 ZwSuspendProcess
SSDT 8540FFD0 ZwSuspendThread
SSDT 854111D8 ZwTerminateProcess
SSDT 85410170 ZwTerminateThread
SSDT 85410C50 ZwUnmapViewOfSection
SSDT 85441938 ZwWriteVirtualMemory
---- Kernel code sections - GMER 1.0.12 ----
? C:\WINDOWS\system32\drivers\sptd.sys El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.
? C:\WINDOWS\System32\Drivers\SPTD6637.SYS El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.
? C:\WINDOWS\System32\Drivers\dtscsi.sys El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.
? C:\WINDOWS\system32\DRIVERS\update.sys
---- User code sections - GMER 1.0.12 ----
.text C:\Archivos de programa\MSN Messenger\msnmsgr.exe[1556] kernel32.dll!SetUnhandledExceptionFilter 7C84479D 5 Bytes JMP 004DE392 C:\Archivos de programa\MSN Messenger\msnmsgr.exe
---- Devices - GMER 1.0.12 ----
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 8579FEB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 8579FEB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLOSE 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_READ 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_WRITE 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_INFORMATION 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_INFORMATION 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_EA 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_EA 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FLUSH_BUFFERS 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_VOLUME_INFORMATION 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_VOLUME_INFORMATION 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DIRECTORY_CONTROL 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FILE_SYSTEM_CONTROL 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DEVICE_CONTROL 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SHUTDOWN 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_LOCK_CONTROL 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLEANUP 85641BB0
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_PNP 85641BB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_CREATE 857A0788
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_CLOSE 857A0788
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_READ 857A0788
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_WRITE 857A0788
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_FLUSH_BUFFERS 857A0788
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_DEVICE_CONTROL 857A0788
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_INTERNAL_DEVICE_CONTROL 857A0788
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_SHUTDOWN 857A0788
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_POWER 857A0788
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_SYSTEM_CONTROL 857A0788
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_PNP 857A0788
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_CREATE 857A0788
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_CLOSE 857A0788
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_READ 857A0788
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_WRITE 857A0788
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_FLUSH_BUFFERS 857A0788
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_DEVICE_CONTROL 857A0788
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_INTERNAL_DEVICE_CONTROL 857A0788
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_SHUTDOWN 857A0788
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_POWER 857A0788
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_SYSTEM_CONTROL 857A0788
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_PNP 857A0788
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_CREATE 857A0788
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_CLOSE 857A0788
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_READ 857A0788
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_WRITE 857A0788
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_FLUSH_BUFFERS 857A0788
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_DEVICE_CONTROL 857A0788
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_INTERNAL_DEVICE_CONTROL 857A0788
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_SHUTDOWN 857A0788
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_POWER 857A0788
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_SYSTEM_CONTROL 857A0788
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_PNP 857A0788
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_CREATE 857A0788
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_CLOSE 857A0788
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_READ 857A0788
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_WRITE 857A0788
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_FLUSH_BUFFERS 857A0788
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_DEVICE_CONTROL 857A0788
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_INTERNAL_DEVICE_CONTROL 857A0788
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_SHUTDOWN 857A0788
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_POWER 857A0788
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_SYSTEM_CONTROL 857A0788
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_PNP 857A0788
Device \Driver\00000075 \Device\00000053 IRP_MJ_POWER [F74B4EA8] sptd.sys
Device \Driver\00000075 \Device\00000053 IRP_MJ_SYSTEM_CONTROL [F74C8A70] sptd.sys
Device \Driver\00000075 \Device\00000053 IRP_MJ_PNP [F74C1728] sptd.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CREATE 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_READ 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_WRITE 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_FLUSH_BUFFERS 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_DEVICE_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_INTERNAL_DEVICE_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_SHUTDOWN 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CLEANUP 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_POWER 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_SYSTEM_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_PNP 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_CREATE 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_READ 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_WRITE 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_FLUSH_BUFFERS 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_DEVICE_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_INTERNAL_DEVICE_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_SHUTDOWN 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_CLEANUP 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_POWER 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_SYSTEM_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_PNP 857A09C0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE 8561E498
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLOSE 8561E498
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_READ 8561E498
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_WRITE 8561E498
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FLUSH_BUFFERS 8561E498
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CONTROL 8561E498
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_INTERNAL_DEVICE_CONTROL 8561E498
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SHUTDOWN 8561E498
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_POWER 8561E498
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SYSTEM_CONTROL 8561E498
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP 8561E498
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_NAMED_PIPE 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLOSE 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_READ 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_WRITE 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_INFORMATION 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_INFORMATION 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_EA 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_EA 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FLUSH_BUFFERS 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_VOLUME_INFORMATION 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_VOLUME_INFORMATION 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DIRECTORY_CONTROL 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FILE_SYSTEM_CONTROL 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CONTROL 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_INTERNAL_DEVICE_CONTROL 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SHUTDOWN 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_LOCK_CONTROL 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLEANUP 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_MAILSLOT 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_SECURITY 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_SECURITY 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_POWER 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SYSTEM_CONTROL 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CHANGE 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_QUOTA 852CA0E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_QUOTA 852CA0E8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE 8561E498
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLOSE 8561E498
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_READ 8561E498
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_WRITE 8561E498
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FLUSH_BUFFERS 8561E498
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CONTROL 8561E498
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_INTERNAL_DEVICE_CONTROL 8561E498
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SHUTDOWN 8561E498
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_POWER 8561E498
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SYSTEM_CONTROL 8561E498
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_PNP 8561E498
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_CREATE 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_READ 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_WRITE 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_FLUSH_BUFFERS 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_DEVICE_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_INTERNAL_DEVICE_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_SHUTDOWN 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_CLEANUP 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_POWER 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_SYSTEM_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_PNP 857A09C0
Device \Driver\NetBT \Device\NetBT_Tcpip_{E7B7544F-488D-4528-A667-6018CBF10312} IRP_MJ_CREATE 8542F0E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{E7B7544F-488D-4528-A667-6018CBF10312} IRP_MJ_CLOSE 8542F0E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{E7B7544F-488D-4528-A667-6018CBF10312} IRP_MJ_DEVICE_CONTROL 8542F0E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{E7B7544F-488D-4528-A667-6018CBF10312} IRP_MJ_INTERNAL_DEVICE_CONTROL 8542F0E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{E7B7544F-488D-4528-A667-6018CBF10312} IRP_MJ_CLEANUP 8542F0E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{E7B7544F-488D-4528-A667-6018CBF10312} IRP_MJ_PNP 8542F0E8
Device \Driver\Ftdisk \Device\HarddiskVolume4 IRP_MJ_CREATE 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume4 IRP_MJ_READ 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume4 IRP_MJ_WRITE 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume4 IRP_MJ_FLUSH_BUFFERS 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume4 IRP_MJ_DEVICE_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume4 IRP_MJ_INTERNAL_DEVICE_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume4 IRP_MJ_SHUTDOWN 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume4 IRP_MJ_CLEANUP 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume4 IRP_MJ_POWER 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume4 IRP_MJ_SYSTEM_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\HarddiskVolume4 IRP_MJ_PNP 857A09C0
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CREATE 8542F0E8
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CLOSE 8542F0E8
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_DEVICE_CONTROL 8542F0E8
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_INTERNAL_DEVICE_CONTROL 8542F0E8
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CLEANUP 8542F0E8
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_PNP 8542F0E8
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CREATE 8542F0E8
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CLOSE 8542F0E8
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_DEVICE_CONTROL 8542F0E8
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_INTERNAL_DEVICE_CONTROL 8542F0E8
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CLEANUP 8542F0E8
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_PNP 8542F0E8
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_CREATE 8579F0E8
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_CLOSE 8579F0E8
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_READ 8579F0E8
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_WRITE 8579F0E8
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_FLUSH_BUFFERS 8579F0E8
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_DEVICE_CONTROL 8579F0E8
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_INTERNAL_DEVICE_CONTROL 8579F0E8
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_SHUTDOWN 8579F0E8
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_POWER 8579F0E8
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_SYSTEM_CONTROL 8579F0E8
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_PNP 8579F0E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_NAMED_PIPE 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLOSE 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_READ 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_WRITE 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_INFORMATION 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_INFORMATION 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_EA 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_EA 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FLUSH_BUFFERS 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_VOLUME_INFORMATION 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_VOLUME_INFORMATION 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DIRECTORY_CONTROL 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FILE_SYSTEM_CONTROL 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CONTROL 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_INTERNAL_DEVICE_CONTROL 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SHUTDOWN 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_LOCK_CONTROL 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLEANUP 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_MAILSLOT 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_SECURITY 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_SECURITY 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_POWER 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SYSTEM_CONTROL 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CHANGE 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_QUOTA 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_QUOTA 853BE590
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_PNP 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_NAMED_PIPE 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLOSE 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_READ 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_WRITE 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_INFORMATION 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_INFORMATION 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_EA 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_EA 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FLUSH_BUFFERS 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_VOLUME_INFORMATION 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_VOLUME_INFORMATION 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DIRECTORY_CONTROL 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FILE_SYSTEM_CONTROL 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CONTROL 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_INTERNAL_DEVICE_CONTROL 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SHUTDOWN 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_LOCK_CONTROL 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLEANUP 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_MAILSLOT 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_SECURITY 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_SECURITY 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_POWER 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SYSTEM_CONTROL 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CHANGE 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_QUOTA 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_QUOTA 853BE590
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_PNP 853BE590
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CREATE 851A72C8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CREATE_NAMED_PIPE 851A72C8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CLOSE 851A72C8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_READ 851A72C8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_WRITE 851A72C8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_INFORMATION 851A72C8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_SET_INFORMATION 851A72C8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_FLUSH_BUFFERS 851A72C8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_VOLUME_INFORMATION 851A72C8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_DIRECTORY_CONTROL 851A72C8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_FILE_SYSTEM_CONTROL 851A72C8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CLEANUP 851A72C8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_SECURITY 851A72C8
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_SET_SECURITY 851A72C8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_CREATE 857A09C0
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_READ 857A09C0
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_WRITE 857A09C0
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_FLUSH_BUFFERS 857A09C0
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_DEVICE_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_INTERNAL_DEVICE_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_SHUTDOWN 857A09C0
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_CLEANUP 857A09C0
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_POWER 857A09C0
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_SYSTEM_CONTROL 857A09C0
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_PNP 857A09C0
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CREATE 85403B40
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CLOSE 85403B40
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_READ 85403B40
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_WRITE 85403B40
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_QUERY_INFORMATION 85403B40
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_SET_INFORMATION 85403B40
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_QUERY_VOLUME_INFORMATION 85403B40
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_DIRECTORY_CONTROL 85403B40
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_FILE_SYSTEM_CONTROL 85403B40
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CLEANUP 85403B40
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CREATE_MAILSLOT 85403B40
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_QUERY_SECURITY 85403B40
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_SET_SECURITY 85403B40
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0 IRP_MJ_CREATE 854FB508
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0 IRP_MJ_CLOSE 854FB508
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0 IRP_MJ_DEVICE_CONTROL 854FB508
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL 854FB508
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0 IRP_MJ_POWER 854FB508
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0 IRP_MJ_SYSTEM_CONTROL 854FB508
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0 IRP_MJ_PNP 854FB508
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_CREATE 854FB508
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_CLOSE 854FB508
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_DEVICE_CONTROL 854FB508
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_INTERNAL_DEVICE_CONTROL 854FB508
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_POWER 854FB508
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_SYSTEM_CONTROL 854FB508
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_PNP 854FB508
Device \FileSystem\Fastfat \Fat IRP_MJ_CREATE 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_CLOSE 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_READ 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_WRITE 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_SET_EA 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP 85641BB0
Device \FileSystem\Fastfat \Fat IRP_MJ_PNP 85641BB0
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CREATE 85286318
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLOSE 85286318
Device \FileSystem\Cdfs \Cdfs IRP_MJ_READ 85286318
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_INFORMATION 85286318
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SET_INFORMATION 85286318
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_VOLUME_INFORMATION 85286318
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DIRECTORY_CONTROL 85286318
Device \FileSystem\Cdfs \Cdfs IRP_MJ_FILE_SYSTEM_CONTROL [F3B10756] DLAIFS_M.SYS
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DEVICE_CONTROL 85286318
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SHUTDOWN 85286318
Device \FileSystem\Cdfs \Cdfs IRP_MJ_LOCK_CONTROL 85286318
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLEANUP 85286318
Device \FileSystem\Cdfs \Cdfs IRP_MJ_PNP 85286318
Hi
Strange, that gmer log looks ok.
Please re-run rustockbfix and post corresponding logs here.
hi
prelog:
************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
01/06/2007 16:12:09.92
No Rustock.b-rootkits found
******************************* End of Logfile ********************************
HJT
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 04:13:56 p.m., on 01/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
E:\Mauricio\programas\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {070252CE-3AD4-42D3-9DFC-132052F2AB9d} - C:\WINDOWS\system32\dfhglaot.dll
O2 - BHO: (no name) - {4F8B099D-C9E6-4227-8E6A-4DE8336DB956} - C:\WINDOWS\system32\mlljh.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Lch - {5A3700EE-5330-4DE3-A9B6-D9B56E9791F6} - C:\WINDOWS\system32\lch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymProbe.exe -r "C:\Archivos de programa\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: mlljh - C:\WINDOWS\system32\mlljh.dll (file missing)
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Administración de IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Protocolo simple de transferencia de correo (SMTP) (SMTPSVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Archivos de programa\Archivos comunes\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publicación en World Wide Web (W3SVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Hi
Looks like it's gone, great :)
Open HijackThis, click do a system scan only and checkmark these:
O2 - BHO: (no name) - {070252CE-3AD4-42D3-9DFC-132052F2AB9d} - C:\WINDOWS\system32\dfhglaot.dll
O2 - BHO: (no name) - {4F8B099D-C9E6-4227-8E6A-4DE8336DB956} - C:\WINDOWS\system32\mlljh.dll (file missing)
O2 - BHO: Lch - {5A3700EE-5330-4DE3-A9B6-D9B56E9791F6} - C:\WINDOWS\system32\lch.dll
O4 - HKLM\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKCU\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O20 - Winlogon Notify: mlljh - C:\WINDOWS\system32\mlljh.dll (file missing)
Close all windows including browser and press fix checked.
Reboot.
Delete if present:
C:\WINDOWS\system32\lch.dll
C:\WINDOWS\system32\dfhglaot.dll
C:\WINDOWS\system32\svrhost.exe
Empty Recycle Bin.
Post a fresh HijackThis log.
here it is!!
thanks
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 04:01:17 a.m., on 02/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
E:\Mauricio\programas\HiJackThis_v2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymProbe.exe -r "C:\Archivos de programa\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Administración de IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Protocolo simple de transferencia de correo (SMTP) (SMTPSVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Archivos de programa\Archivos comunes\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publicación en World Wide Web (W3SVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Hi
Please do an online scan with Kaspersky Online Scanner (http://www.kaspersky.com/downloads/kws/kavwebscan.html). You will be prompted to install an ActiveX component from Kaspersky, Click Yes.
The program will launch and then start to download the latest definition files.
Once the scanner is installed and the definitions downloaded, click Next.
Now click on Scan Settings
In the scan settings make sure that the following are selected:
o Scan using the following Anti-Virus database:
+ Extended (If available otherwise Standard)
o Scan Options:
+ Scan Archives
+ Scan Mail Bases
Click OK
Now under select a target to scan select My Computer
The scan will take a while so be patient and let it run. Once the scan is complete it will display if your system has been infected.
Now click on the Save as Text button
Save the file to your desktop.
Copy and paste that information in your next post.
Post:
- a fresh HijackThis log
- kaspersky report
Kaspersky:
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcrst.dll Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EPERSIST.DAT Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDALRT.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDCON.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDDBG.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDFW.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDIDS.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSYS.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBConfig.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBDebug.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBDetect.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBNotify.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBRefr.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetCfg.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetCfg2.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetDev.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetLoc.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetUsr.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSMNot.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSMReg.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSMRSt.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBStHash.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBStMSI.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBValid.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\SPPolicy.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\SPStart.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\SPStop.log Object is locked skipped
C:\Archivos de programa\DAP\History\Invitado\_lasthist.dat Object is locked skipped
C:\Archivos de programa\DAP\Temp\SRC201.tmp.dap Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\ibdata1 Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\ib_logfile0 Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\ib_logfile1 Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\MAURICIO.err Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\mysql\columns_priv.MYD Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\mysql\columns_priv.MYI Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\mysql\db.MYD Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\mysql\db.MYI Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\mysql\host.MYD Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\mysql\host.MYI Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\mysql\tables_priv.MYD Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\mysql\tables_priv.MYI Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\mysql\user.MYD Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\mysql\user.MYI Object is locked skipped
C:\Archivos de programa\Norton AntiVirus\AVApp.log Object is locked skipped
C:\Archivos de programa\Norton AntiVirus\AVError.log Object is locked skipped
C:\Archivos de programa\Norton AntiVirus\AVVirus.log Object is locked skipped
C:\Archivos de programa\Norton AntiVirus\Savrt\0102NAV~.TMP Object is locked skipped
C:\Archivos de programa\Norton AntiVirus\Savrt\0284NAV~.TMP Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\settings.dat Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\HPPAppActivity.log Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\HPPHomePageActivity.log Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\LiveUpdate\2007-06-03_Log.ALUSchedulerSvc.LiveUpdate Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\004C0496.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.kb skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\06AD0592.tmp Infected: Trojan.Win32.Dialer.qn skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\0E8A4659.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\4A184FAC.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.kb skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\7BC726B7.dll Infected: Trojan-Spy.Win32.VBStat.h skipped
C:\Documents and Settings\Invitado\Configuración local\Temp\tmpE452.tmp.dll Infected: Trojan.Win32.BHO.g skipped
C:\Documents and Settings\Invitado\Configuración local\Temp\tmpE61A.tmp.exe Infected: Trojan.Win32.Agent.agv skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\user\Configuración local\Archivos temporales de Internet\Content.IE5\8H6ZCP6R\bind[1].htm Object is locked skipped
C:\Documents and Settings\user\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\SharingMetadata\pending.dat Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\SharingMetadata\Working\database_3CA0_95C4_A095_84D4\dfsr.db Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\SharingMetadata\Working\database_3CA0_95C4_A095_84D4\fsr.log Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\SharingMetadata\Working\database_3CA0_95C4_A095_84D4\fsrtmp.log Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\SharingMetadata\Working\database_3CA0_95C4_A095_84D4\tmp.edb Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\mauricio_portill@hotmail.com\real\members.stg Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\mauricio_portill@hotmail.com\shadow\members.stg Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Windows Media\10.0\WMSDKNSD.XML Object is locked skipped
C:\Documents and Settings\user\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\user\Configuración local\Historial\History.IE5\MSHist012007060320070604\index.dat Object is locked skipped
C:\Documents and Settings\user\Configuración local\Temp\~DF11D.tmp Object is locked skipped
C:\Documents and Settings\user\Configuración local\Temp\~DF70.tmp Object is locked skipped
C:\Documents and Settings\user\Configuración local\Temp\~DFD0BB.tmp Object is locked skipped
C:\Documents and Settings\user\Configuración local\Temp\~DFE842.tmp Object is locked skipped
C:\Documents and Settings\user\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\user\Datos de programa\Symantec\PendingAlertsQueue.log Object is locked skipped
C:\Documents and Settings\user\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\user\ntuser.dat.LOG Object is locked skipped
continue kaspersky:
C:\SDFix\backups\backups.zip/backups/tmpE.tmp.exe Infected: Trojan.Win32.Agent.agv skipped
C:\SDFix\backups\backups.zip/backups/wudb.dll Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\SDFix\backups\backups.zip ZIP: infected - 2 skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050296.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050297.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050298.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050299.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050300.DLL Infected: Trojan.Win32.BHO.g skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050301.exe Infected: Trojan-Downloader.Win32.Agent.bgn skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050302.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050303.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050304.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050305.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050306.exe Infected: Trojan-Downloader.Win32.Small.dod skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050307.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050308.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050309.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050310.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050311.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050312.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050313.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050314.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050315.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050316.exe Infected: Trojan-Downloader.Win32.LoadAdv.gen skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050317.exe Infected: Trojan-Downloader.Win32.Tiny.eu skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050318.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050319.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050320.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050321.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050322.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050323.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050459.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050489.rbf Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051446.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.ar skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051583.dll Infected: Trojan-Downloader.Win32.ConHook.bf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051585.dll Infected: Trojan.Win32.BHO.g skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051604.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051605.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051606.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051607.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051609.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051641.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051642.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051651.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051652.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051653.exe Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051691.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051692.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051701.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051702.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051708.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051709.exe Infected: Trojan.Win32.Obfuscated.en skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051710.exe Infected: Trojan.Win32.Dialer.qn skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051727.exe Infected: Trojan.Win32.Agent.agv skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051728.exe Infected: Trojan.Win32.BHO.g skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051729.exe Infected: Trojan.Win32.BHO.g skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051730.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051731.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051732.dll Infected: Trojan-Downloader.Win32.ConHook.bf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0051756.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0051757.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0051787.exe Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0051796.exe Infected: SpamTool.Win32.Delf.n skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0052756.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0052757.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0052883.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0052884.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0053791.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0053792.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP182\A0053817.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP182\A0053818.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP182\A0053821.dll Infected: Trojan-Spy.Win32.VBStat.h skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053844.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.kb skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053853.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053854.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053879.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053885.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053886.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053923.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053924.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053940.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053945.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053946.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053958.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0053986.exe Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054027.exe Infected: Backdoor.Win32.Small.na skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054028.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054029.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054030.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.fp skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054031.dll Infected: Trojan.Win32.BHO.g skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054032.exe Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054040.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054058.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054077.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0054101.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0054102.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0054111.dll Infected: Trojan.Win32.Agent.qt skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0056132.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0056133.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0056149.dll Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0056156.exe Infected: Trojan.Win32.Agent.agv skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0056160.dll Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP189\A0062184.dll Infected: not-a-virus:AdWare.Win32.BHO.v skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP189\change.log Object is locked skipped
C:\VundoFix Backups\winrzf32.dll.bad Infected: Trojan.Win32.Agent.qt skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
Continue Kaspersky:
C:\WINDOWS\g10751703.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g119495093.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g11952453.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g13267578.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g13273140.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g14469312.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g14474390.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g15671062.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g15676796.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g1632640.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g16876031.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g16991796.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g16996984.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g181843.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g18197234.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g18198812.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g18315718.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g184140.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g1863484.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g186515.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g190625.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g19518343.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g19520859.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g19528062.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g20722718.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g20841390.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g21926093.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g21939156.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g22162593.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g23142828.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g23366375.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g24465921.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g24687656.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g25788468.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g26008718.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g26997328.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g27331656.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g27688515.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g28195937.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g2836906.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g28652906.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g28888984.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g29521156.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g29975875.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g30090640.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g30839921.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g31178375.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g31411062.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g3185531.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g32161562.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g32501484.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g32611750.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g33482343.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g33824125.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g33932437.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g34683421.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g35253125.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g36004125.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g36455421.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g37325859.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g38646562.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g39967250.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g41168250.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g42488953.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g429859.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g43809640.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g4508843.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g45130359.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g46451031.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g47771718.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g48972750.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g50293437.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g51614109.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g52934812.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g54255515.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g55576656.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g56897328.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g5708734.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g58218031.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g5959000.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g6909828.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g8110343.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g84419000.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\g9431031.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\d4xofa.dll Object is locked skipped
C:\WINDOWS\system32\drivers\dtscsi.sys Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\drivers\sptd6637.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\oprgaiqw.dll Infected: not-a-virus:AdWare.Win32.BHO.v skipped
C:\WINDOWS\system32\uqxffvkd.dll Infected: not-a-virus:AdWare.Win32.BHO.v skipped
C:\WINDOWS\system32\vkaseitc.dll Infected: not-a-virus:AdWare.Win32.BHO.v skipped
C:\WINDOWS\system32\vunseicm.dll Infected: not-a-virus:AdWare.Win32.BHO.v skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\xpdt.sys Infected: Trojan-Clicker.Win32.Costrat.au skipped
C:\WINDOWS\Temp\ib22 Object is locked skipped
C:\WINDOWS\Temp\ib23 Object is locked skipped
C:\WINDOWS\Temp\ib24 Object is locked skipped
C:\WINDOWS\Temp\ib25 Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
E:\Mauricio\programas\Ace Password Sniffer v1.1 Incl Crack.rar/ApsSetup.exe/APSV1.EXE Infected: not-a-virus:PSWTool.Win32.APS.11 skipped
E:\Mauricio\programas\Ace Password Sniffer v1.1 Incl Crack.rar/ApsSetup.exe Infected: not-a-virus:PSWTool.Win32.APS.11 skipped
E:\Mauricio\programas\Ace Password Sniffer v1.1 Incl Crack.rar RAR: infected - 2 skipped
E:\Mauricio\programas\backups\backup-20070602-035436-704.dll Infected: not-a-virus:AdWare.Win32.BHO.v skipped
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
E:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP178\A0050745.exe Infected: Trojan-Dropper.Win32.Agent.azk skipped
E:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP178\A0050746.exe Infected: Trojan-Downloader.Win32.Small.edb skipped
E:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP189\change.log Object is locked skipped
F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
F:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP189\change.log Object is locked skipped
HJT:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 02:35:15 p.m., on 03/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
E:\Mauricio\programas\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymProbe.exe -r "C:\Archivos de programa\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Administración de IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Protocolo simple de transferencia de correo (SMTP) (SMTPSVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Archivos de programa\Archivos comunes\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publicación en World Wide Web (W3SVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Hi
Empty these folders:
C:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine
C:\Documents and Settings\Invitado\Configuración local\Temp\
C:\VundoFix Backups
C:\SDFix\backups\
Delete these:
E:\Mauricio\programas\Ace Password Sniffer v1.1 Incl Crack.rar
C:\WINDOWS\system32\oprgaiqw.dll
C:\WINDOWS\system32\uqxffvkd.dll
C:\WINDOWS\system32\vkaseitc.dll
C:\WINDOWS\system32\vunseicm.dll
C:\WINDOWS\g10751703.exe
C:\WINDOWS\g119495093.exe
C:\WINDOWS\g11952453.exe
C:\WINDOWS\g13267578.exe
C:\WINDOWS\g13273140.exe
C:\WINDOWS\g14469312.exe
C:\WINDOWS\g14474390.exe
C:\WINDOWS\g15671062.exe
C:\WINDOWS\g15676796.exe
C:\WINDOWS\g1632640.exe
C:\WINDOWS\g16876031.exe
C:\WINDOWS\g16991796.exe
C:\WINDOWS\g16996984.exe
C:\WINDOWS\g181843.exe
C:\WINDOWS\g18197234.exe
C:\WINDOWS\g18198812.exe
C:\WINDOWS\g18315718.exe
C:\WINDOWS\g184140.exe
C:\WINDOWS\g1863484.exe
C:\WINDOWS\g186515.exe
C:\WINDOWS\g190625.exe
C:\WINDOWS\g19518343.exe
C:\WINDOWS\g19520859.exe
C:\WINDOWS\g19528062.exe
C:\WINDOWS\g20722718.exe
C:\WINDOWS\g20841390.exe
C:\WINDOWS\g21926093.exe
C:\WINDOWS\g21939156.exe
C:\WINDOWS\g22162593.exe
C:\WINDOWS\g23142828.exe
C:\WINDOWS\g23366375.exe
C:\WINDOWS\g24465921.exe
C:\WINDOWS\g24687656.exe
C:\WINDOWS\g25788468.exe
C:\WINDOWS\g26008718.exe
C:\WINDOWS\g26997328.exe
C:\WINDOWS\g27331656.exe
C:\WINDOWS\g27688515.exe
C:\WINDOWS\g28195937.exe
C:\WINDOWS\g2836906.exe
C:\WINDOWS\g28652906.exe
C:\WINDOWS\g28888984.exe
C:\WINDOWS\g29521156.exe
C:\WINDOWS\g29975875.exe
C:\WINDOWS\g30090640.exe
C:\WINDOWS\g30839921.exe
C:\WINDOWS\g31178375.exe
C:\WINDOWS\g31411062.exe
C:\WINDOWS\g3185531.exe
C:\WINDOWS\g32161562.exe
C:\WINDOWS\g32501484.exe
C:\WINDOWS\g32611750.exe
C:\WINDOWS\g33482343.exe
C:\WINDOWS\g33824125.exe
C:\WINDOWS\g33932437.exe
C:\WINDOWS\g34683421.exe
C:\WINDOWS\g35253125.exe
C:\WINDOWS\g36004125.exe
C:\WINDOWS\g36455421.exe
C:\WINDOWS\g37325859.exe
C:\WINDOWS\g38646562.exe
C:\WINDOWS\g39967250.exe
C:\WINDOWS\g41168250.exe
C:\WINDOWS\g42488953.exe
C:\WINDOWS\g429859.exe
C:\WINDOWS\g43809640.exe
C:\WINDOWS\g4508843.exe
C:\WINDOWS\g45130359.exe
C:\WINDOWS\g46451031.exe
C:\WINDOWS\g47771718.exe
C:\WINDOWS\g48972750.exe
C:\WINDOWS\g50293437.exe
C:\WINDOWS\g51614109.exe
C:\WINDOWS\g52934812.exe
C:\WINDOWS\g54255515.exe
C:\WINDOWS\g55576656.exe
C:\WINDOWS\g56897328.exe
C:\WINDOWS\g5708734.exe
C:\WINDOWS\g58218031.exe
C:\WINDOWS\g5959000.exe
C:\WINDOWS\g6909828.exe
C:\WINDOWS\g8110343.exe
C:\WINDOWS\g84419000.exe
C:\WINDOWS\g9431031.exe
Empty Recycle Bin
Please download the following program and save it to your desktop:
http://noahdfear.geekstogo.com/FindAWF.exe
Once downloaded, double-click on the file to run it. When it is done there will be a file called awf.txt on your desktop. Please post the contents of that file as a reply to this topic.
Re-scan with kaspersky
Post:
- a fresh HijackThis log
- kaspersky report
- findawf report
Kaspersky:
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcrst.dll Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EPERSIST.DAT Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDALRT.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDCON.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDDBG.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDFW.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDIDS.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSYS.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBConfig.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBDebug.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBDetect.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBNotify.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBRefr.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetCfg.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetCfg2.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetDev.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetLoc.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetUsr.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSMNot.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSMReg.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSMRSt.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBStHash.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBStMSI.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBValid.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\SPPolicy.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\SPStart.log Object is locked skipped
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\SPStop.log Object is locked skipped
C:\Archivos de programa\DAP\History\Invitado\_lasthist.dat Object is locked skipped
C:\Archivos de programa\DAP\History\user\_lasthist.dat Object is locked skipped
C:\Archivos de programa\DAP\Log\DAP_REPORT.LOG Object is locked skipped
C:\Archivos de programa\DAP\Temp\SRC201.tmp.dap Object is locked skipped
C:\Archivos de programa\eMule\Temp\002.part Object is locked skipped
C:\Archivos de programa\eMule\Temp\003.part Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\ibdata1 Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\ib_logfile0 Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\ib_logfile1 Object is locked skipped
C:\Archivos de programa\MySQL\MySQL Server 4.1\data\MAURICIO.err Object is locked skipped
C:\Archivos de programa\Norton AntiVirus\AVApp.log Object is locked skipped
C:\Archivos de programa\Norton AntiVirus\AVError.log Object is locked skipped
C:\Archivos de programa\Norton AntiVirus\AVVirus.log Object is locked skipped
C:\Archivos de programa\Norton AntiVirus\Savrt\0371NAV~.TMP Object is locked skipped
C:\Archivos de programa\Norton AntiVirus\Savrt\0606NAV~.TMP Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\settings.dat Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\HPPAppActivity.log Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\HPPHomePageActivity.log Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Symantec\LiveUpdate\2007-06-04_Log.ALUSchedulerSvc.LiveUpdate Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\user\Configuración local\Archivos temporales de Internet\Content.IE5\8H6ZCP6R\luckyyou300x250[1].swf Object is locked skipped
C:\Documents and Settings\user\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\user\Configuración local\Archivos temporales de Internet\Content.IE5\SPI3G5UN\NextGen.468[1].swf Object is locked skipped
C:\Documents and Settings\user\Configuración local\Archivos temporales de Internet\Content.IE5\SPI3G5UN\NextGen.468[2].swf Object is locked skipped
C:\Documents and Settings\user\Configuración local\Archivos temporales de Internet\Content.IE5\X84ZL1GD\Horoscope_300_flip[1].swf Object is locked skipped
C:\Documents and Settings\user\Configuración local\Archivos temporales de Internet\Content.IE5\X84ZL1GD\Horoscope_300_flip[2].swf Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Media Player\CurrentDatabase_59R.wmdb Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\SharingMetadata\pending.dat Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\SharingMetadata\Working\database_3CA0_95C4_A095_84D4\dfsr.db Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\SharingMetadata\Working\database_3CA0_95C4_A095_84D4\fsr.log Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\SharingMetadata\Working\database_3CA0_95C4_A095_84D4\fsrtmp.log Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Messenger\mauricio_portill@hotmail.com\SharingMetadata\Working\database_3CA0_95C4_A095_84D4\tmp.edb Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\mauricio_portill@hotmail.com\real\members.stg Object is locked skipped
C:\Documents and Settings\user\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\mauricio_portill@hotmail.com\shadow\members.stg Object is locked skipped
C:\Documents and Settings\user\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\user\Configuración local\Historial\History.IE5\MSHist012007060420070605\index.dat Object is locked skipped
C:\Documents and Settings\user\Configuración local\Temp\~DF1CBC.tmp Object is locked skipped
C:\Documents and Settings\user\Configuración local\Temp\~DF1CD2.tmp Object is locked skipped
C:\Documents and Settings\user\Configuración local\Temp\~DF334C.tmp Object is locked skipped
C:\Documents and Settings\user\Configuración local\Temp\~DF335D.tmp Object is locked skipped
C:\Documents and Settings\user\Configuración local\Temp\~ROMFN_00000418 Object is locked skipped
C:\Documents and Settings\user\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\user\Datos de programa\Symantec\PendingAlertsQueue.log Object is locked skipped
C:\Documents and Settings\user\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\user\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
continue kasperskyy:
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050296.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050297.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050298.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050299.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050300.DLL Infected: Trojan.Win32.BHO.g skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050301.exe Infected: Trojan-Downloader.Win32.Agent.bgn skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050302.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050303.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050304.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050305.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050306.exe Infected: Trojan-Downloader.Win32.Small.dod skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050307.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050308.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050309.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050310.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050311.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050312.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050313.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050314.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050315.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050316.exe Infected: Trojan-Downloader.Win32.LoadAdv.gen skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050317.exe Infected: Trojan-Downloader.Win32.Tiny.eu skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050318.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050319.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050320.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050321.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050322.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050323.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050459.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP176\A0050489.rbf Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051446.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.ar skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051583.dll Infected: Trojan-Downloader.Win32.ConHook.bf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051585.dll Infected: Trojan.Win32.BHO.g skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051604.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051605.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051606.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051607.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051609.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051641.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP179\A0051642.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051651.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051652.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051653.exe Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051691.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051692.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051701.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051702.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051708.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051709.exe Infected: Trojan.Win32.Obfuscated.en skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051710.exe Infected: Trojan.Win32.Dialer.qn skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051727.exe Infected: Trojan.Win32.Agent.agv skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051728.exe Infected: Trojan.Win32.BHO.g skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051729.exe Infected: Trojan.Win32.BHO.g skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051730.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051731.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.jp skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP180\A0051732.dll Infected: Trojan-Downloader.Win32.ConHook.bf skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0051756.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0051757.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0051787.exe Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0051796.exe Infected: SpamTool.Win32.Delf.n skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0052756.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0052757.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0052883.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0052884.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0053791.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP181\A0053792.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP182\A0053817.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP182\A0053818.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP182\A0053821.dll Infected: Trojan-Spy.Win32.VBStat.h skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053844.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.kb skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053853.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053854.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053879.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053885.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053886.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053923.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053924.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053940.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053945.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053946.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP183\A0053958.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0053986.exe Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054027.exe Infected: Backdoor.Win32.Small.na skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054028.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054029.dll Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054030.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.fp skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054031.dll Infected: Trojan.Win32.BHO.g skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054032.exe Infected: Backdoor.Win32.Sivuxa.a skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054040.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054058.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP184\A0054077.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0054101.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0054102.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0054111.dll Infected: Trojan.Win32.Agent.qt skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0056132.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0056133.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0056149.dll Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0056156.exe Infected: Trojan.Win32.Agent.agv skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP185\A0056160.dll Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP189\A0062184.dll Infected: not-a-virus:AdWare.Win32.BHO.v skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP189\A0062204.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP189\A0062205.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062245.dll Infected: not-a-virus:AdWare.Win32.BHO.v skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062246.dll Infected: not-a-virus:AdWare.Win32.BHO.v skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062247.dll Infected: not-a-virus:AdWare.Win32.BHO.v skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062248.dll Infected: not-a-virus:AdWare.Win32.BHO.v skipped
continue Kaspersky:
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062249.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062250.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062251.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062252.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062253.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062254.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062255.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062256.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062257.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062258.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062259.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062260.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062261.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062262.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062263.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062264.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062265.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062266.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062267.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062268.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062269.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062270.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062271.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062272.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062273.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062274.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062275.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062276.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062277.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062278.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062279.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062280.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062281.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062282.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062283.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062284.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062285.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062286.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062287.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062288.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062289.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062290.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062291.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062292.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062293.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062294.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062295.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062296.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062297.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062298.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062299.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062300.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062301.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062302.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062303.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062304.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062305.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062306.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062307.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062308.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062309.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062310.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062311.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062312.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062313.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062314.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062315.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062316.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062317.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062318.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062319.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062320.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062321.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062322.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062323.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062324.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062325.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062326.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062327.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062328.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062329.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062330.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062331.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062332.exe Infected: Trojan-Downloader.Win32.Agent.bqw skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062372.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.kb skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062373.dll Infected: Trojan-Downloader.Win32.Delf.aeo skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062374.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.kb skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\A0062375.dll Infected: Trojan-Spy.Win32.VBStat.h skipped
C:\System Volume Information\_restore{95B4616F-B1BF-4731-943F-84ECA49BAE8E}\RP190\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\dtscsi.sys Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\drivers\sptd6637.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\xpdt.sys Infected: Trojan-Clicker.Win32.Costrat.au skipped
C:\WINDOWS\Temp\ib22 Object is locked skipped
C:\WINDOWS\Temp\ib23 Object is locked skipped
C:\WINDOWS\Temp\ib24 Object is locked skipped
C:\WINDOWS\Temp\ib25 Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
E:\Mauricio\programas\backups\backup-20070602-035436-704.dll Infected: not-a-virus:AdWare.Win32.BHO.v skipped
HJT:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 03:38:00 p.m., on 04/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Messenger\msmsgs.exe
E:\Mauricio\programas\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymProbe.exe -r "C:\Archivos de programa\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Administración de IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Protocolo simple de transferencia de correo (SMTP) (SMTPSVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Archivos de programa\Archivos comunes\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publicación en World Wide Web (W3SVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
AWF:
Find AWF report by noahdfear ©2006
bak folders found
~~~~~~~~~~~
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\DAEMON~1\BAK
10/12/2005 09:57 a.m. 133,016 daemon.exe
1 archivos 133,016 bytes
2 dirs 38,598,565,888 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\ITUNES\BAK
30/10/2006 10:36 a.m. 256,576 iTunesHelper.exe
1 archivos 256,576 bytes
2 dirs 38,598,565,888 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\MESSEN~2\BAK
06/01/2007 03:41 p.m. 190,024 MsgPlus.exe
1 archivos 190,024 bytes
2 dirs 38,598,565,888 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\MSNMES~1\BAK
0 archivos 0 bytes
2 dirs 38,598,565,888 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\QUICKT~1\BAK
25/10/2006 07:58 p.m. 282,624 qttask.exe
1 archivos 282,624 bytes
2 dirs 38,598,565,888 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\SYMNET~1\BAK
06/01/2007 01:37 p.m. 100,056 SNDMon.exe
1 archivos 100,056 bytes
2 dirs 38,598,565,888 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\WINDOWS\SYSTEM32\BAK
19/08/2004 08:42 a.m. 15,360 ctfmon.exe
09/07/2001 12:50 p.m. 155,648 NeroCheck.exe
2 archivos 171,008 bytes
2 dirs 38,598,565,888 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\ARCHIV~1\SYMANT~1\BAK
04/08/2005 10:43 a.m. 58,992 ccApp.exe
1 archivos 58,992 bytes
2 dirs 38,598,565,888 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\CYBERL~1\POWERDVD\BAK
08/12/2003 06:35 p.m. 32,768 PDVDServ.exe
1 archivos 32,768 bytes
2 dirs 38,598,565,888 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\ROXIO\DRAG-T~1\BAK
31/07/2006 10:00 a.m. 1,116,920 DrgToDsc.exe
1 archivos 1,116,920 bytes
2 dirs 38,598,565,888 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\ROXIO\MEDIAE~1\BAK
14/08/2006 02:07 a.m. 102,400 DMXLauncher.exe
1 archivos 102,400 bytes
2 dirs 38,598,565,888 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\JAVA\JRE15~1.0_1\BIN\BAK
15/12/2006 04:23 a.m. 75,520 jusched.exe
1 archivos 75,520 bytes
2 dirs 38,598,565,888 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\DOCUME~1\USER\DATOSD~1\INTERN~1\BAK
0 archivos 0 bytes
2 dirs 38,598,565,888 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\ARCHIV~1\ROXIOS~1\9.0\SHARED~1\BAK
10/08/2006 01:10 p.m. 221,184 RoxWatchTray9.exe
1 archivos 221,184 bytes
2 dirs 38,598,565,888 bytes libres
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
133016 10 Dec 2005 "C:\Archivos de programa\DAEMON Tools\bak\daemon.exe"
256576 30 Oct 2006 "C:\Archivos de programa\iTunes\iTunesHelper.exe1173333960"
256576 30 Oct 2006 "C:\Archivos de programa\iTunes\bak\iTunesHelper.exe"
102400 25 Jun 2007 "C:\WINDOWS\Installer\{446DBFFA-4088-48E3-8932-74316BA4CAE4}\iTunesIco.exe"
108096 30 Oct 2006 "C:\Documents and Settings\All Users\Datos de programa\Apple Computer\Installer Cache\iTunes 7.0.2.16\iTunesSetupAdmin.exe"
36808256 6 Jan 2007 "E:\Mauricio\programas\iTunesSetup7.0.2.exe"
190024 6 Jan 2007 "C:\Archivos de programa\MessengerPlus! 3\bak\MsgPlus.exe"
282624 25 Oct 2006 "C:\Archivos de programa\QuickTime\bak\qttask.exe"
100056 6 Jan 2007 "C:\Archivos de programa\SymNetDrv\bak\SNDMon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
52840 22 Jan 2007 "C:\Archivos de programa\Archivos comunes\Symantec Shared\CCAPP.EXE"
58992 4 Aug 2005 "C:\Archivos de programa\Archivos comunes\Symantec Shared\bak\ccApp.exe"
32768 8 Dec 2003 "C:\Archivos de programa\CyberLink\PowerDVD\bak\PDVDServ.exe"
1116920 31 Jul 2006 "C:\Archivos de programa\Roxio\Drag-to-Disc\bak\DrgToDsc.exe"
102400 14 Aug 2006 "C:\Archivos de programa\Roxio\Media Experience\bak\DMXLauncher.exe"
36975 10 Nov 2005 "C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe"
36975 10 Nov 2005 "C:\Archivos de programa\Java\jdk1.5.0_06\jre\bin\jusched.exe"
75520 15 Dec 2006 "C:\Archivos de programa\Java\jre1.5.0_11\bin\bak\jusched.exe"
159744 10 Aug 2006 "C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe"
221184 10 Aug 2006 "C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\bak\RoxWatchTray9.exe"
end of report
Hi
Copy text below to Notepad and save it as delawf.bat (save it as all files, *.*)
@ECHO OFF
move /Y "C:\Archivos de programa\DAEMON Tools\bak\daemon.exe" "C:\Archivos de programa\DAEMON Tools"
move /Y "C:\Archivos de programa\iTunes\bak\iTunesHelper.exe" "C:\Archivos de programa\iTunes"
move /Y "C:\Archivos de programa\MessengerPlus! 3\bak\MsgPlus.exe" "C:\Archivos de programa\MessengerPlus! 3"
move /Y "C:\Archivos de programa\QuickTime\bak\qttask.exe" "C:\Archivos de programa\QuickTime"
move /Y "C:\Archivos de programa\SymNetDrv\bak\SNDMon.exe" "C:\Archivos de programa\SymNetDrv"
move /Y "C:\WINDOWS\system32\bak\ctfmon.exe" "C:\WINDOWS\system32"
move /Y "C:\WINDOWS\system32\bak\NeroCheck.exe" "C:\WINDOWS\system32"
move /Y "C:\Archivos de programa\Archivos comunes\Symantec Shared\bak\ccApp.exe" "C:\Archivos de programa\Archivos comunes\Symantec Shared"
move /Y "C:\Archivos de programa\CyberLink\PowerDVD\bak\PDVDServ.exe" "C:\Archivos de programa\CyberLink\PowerDVD"
move /Y "C:\Archivos de programa\Roxio\Drag-to-Disc\bak\DrgToDsc.exe" "C:\Archivos de programa\Roxio\Drag-to-Disc"
move /Y "C:\Archivos de programa\Roxio\Media Experience\bak\DMXLauncher.exe" "C:\Archivos de programa\Roxio\Media Experience"
move /Y "C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\bak\RoxWatchTray9.exe" "C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM"
move /Y "C:\Archivos de programa\Java\jre1.5.0_11\bin\bak\jusched.exe"
"C:\Archivos de programa\Java\jre1.5.0_11\bin"
It should look like this -> http://users.telenet.be/bluepatchy/miekiemoes/images/bat.JPG
(In case you are unsure how to create a bat file, take a look here (http://www.nellie2.co.uk/file.htm#How_to_Make_a_.Bat_File) with screenshots.)
Boot in safe mode.
Doubleclick delawf.bat; black dos windows will flash, that's normal.
Reboot.
Re-run findawf.
Post:
- a fresh HijackThis log
- findawf report
AWF:
Find AWF report by noahdfear ©2006
bak folders found
~~~~~~~~~~~
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\DAEMON~1\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\ITUNES\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\MESSEN~2\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\MSNMES~1\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\QUICKT~1\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\SYMNET~1\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\WINDOWS\SYSTEM32\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\ARCHIV~1\SYMANT~1\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\CYBERL~1\POWERDVD\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\ROXIO\DRAG-T~1\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\ROXIO\MEDIAE~1\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\JAVA\JRE15~1.0_1\BIN\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\DOCUME~1\USER\DATOSD~1\INTERN~1\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: A095-84D4
Directorio de C:\ARCHIV~1\ARCHIV~1\ROXIOS~1\9.0\SHARED~1\BAK
0 archivos 0 bytes
2 dirs 38,589,788,160 bytes libres
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
end of report
HJT:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:23:22 p.m., on 05/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
E:\Mauricio\programas\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\SymProbe.exe -r "C:\Archivos de programa\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Administración de IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Protocolo simple de transferencia de correo (SMTP) (SMTPSVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Archivos de programa\Archivos comunes\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publicación en World Wide Web (W3SVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Hi
That looks good.
All viruses are on system restore and inactive at the moment. I give you later instructions how to empty it,.
Any problems left?
nop I don't think I have any more problems... thanks a lot!!! if u tell me how to empty the viruses that will be all...
thanks again...:bigthumb:
Hi
Then you're clean!
Now that you are clean, please follow these simple steps in order to keep your computer clean and secure:
Your Java is out of date. Older versions have vulnerabilities that malware can use to infect your system. A malicious site could render Java content under older, vulnerable versions of Sun's software if the user has not removed them. Please follow these steps to remove older version Java components and update: Download the latest version of Java Runtime Environment (JRE) 6 Update 1 (http://java.sun.com/javase/downloads/index.jsp) and save it to your desktop.
Scroll down to where it says "Java Runtime Environment (JRE) 6u1...allows end-users to run Java applications".
Click the "Download" button to the right.
Read the License Agreement and then check the box that says: "Accept License Agreement".
The page will refresh.
Click on the link to download Windows Offline Installation and save the file to your desktop.
Close any programs you may have running - especially your web browser.
Go to Start > Settings > Control Panel, double-click on Add/Remove Programs and remove all older versions of Java.
Check (highlight) any item with Java Runtime Environment (JRE or J2SE) in the name.
Click the Remove or Change/Remove button.
Repeat as many times as necessary to remove each Java versions.
Reboot your computer once all Java components are removed.
Then from your desktop double-click on jre-6u1-windows-i586-p.exe to install the newest version.
Disable and Enable System Restore. - If you are using Windows XP then you should disable and re-enable system restore to make sure there are no infected files found in a restore point.
You can find instructions on how to enable and reenable system restore here:
Windows XP System Restore Guide (http://www.bleepingcomputer.com/forums/tutorial56.html)
Reenable system restore with instructions from tutorial above
Make your Internet Explorer more secure - This can be done by following these simple instructions:
From within Internet Explorer click on the Tools menu and then click on Options.
Click once on the Security tab
Click once on the Internet icon so it becomes highlighted.
Click once on the Custom Level button.
Change the Download signed ActiveX controls to Prompt
Change the Download unsigned ActiveX controls to Disable
Change the Initialize and script ActiveX controls not marked as safe to Disable
Change the Installation of desktop items to Prompt
Change the Launching programs and files in an IFRAME to Prompt
Change the Navigate sub-frames across different domains to Prompt
When all these settings have been made, click on the OK button.
If it prompts you as to whether or not you want to save the settings, press the Yes button.
Next press the Apply button and then the OK to exit the Internet Properties page.
Use an AntiVirus Software - It is very important that your computer has an anti-virus software running on your machine. This alone can save you a lot of trouble with malware in the future.
See this link for a listing of some online & their stand-alone antivirus programs:
Virus, Spyware, and Malware Protection and Removal Resources (http://www.bleepingcomputer.com/forums/topic405.html)
Update your AntiVirus Software - It is imperitive that you update your Antivirus software at least once a week (Even more if you wish). If you do not update your antivirus software then it will not be able to catch any of the new variants that may come out.
Use a Firewall - I can not stress how important it is that you use a Firewall on your computer. Without a firewall your computer is succeptible to being hacked and taken over. I am very serious about this and see it happen almost every day with my clients. Simply using a Firewall in its default configuration can lower your risk greatly.
For a tutorial on Firewalls and a listing of some available ones see the link below:
Understanding and Using Firewalls (http://www.bleepingcomputer.com/tutorials/tutorial60.html)
Visit Microsoft's Windows Update Site Frequently - It is important that you visit http://www.windowsupdate.com (http://www.windowsupdate.com) regularly. This will ensure your computer has always the latest security updates available installed on your computer. If there are new updates to install, install them immediately, reboot your computer, and revisit the site until there are no more critical updates.
Install Ad-Aware - Install and download Ad-Aware. ou should also scan your computer with program on a regular basis just as you would an antivirus software in conjunction with Spybot.
A tutorial on installing & using this product can be found here:
Using Ad-aware to remove Spyware, Malware, & Hijackers from Your Computer (http://www.bleepingcomputer.com/forums/?showtutorial=48)
Install SpywareBlaster - SpywareBlaster will added a large list of programs and sites into your Internet Explorer settings that will protect you from running and downloading known malicious programs.
A tutorial on installing & using this product can be found here:
Using SpywareBlaster to protect your computer from Spyware and Malware (http://www.bleepingcomputer.com/tutorials/tutorial49.html)
Update all these programs regularly - Make sure you update all the programs I have listed regularly. Without regular updates you WILL NOT be protected when new malicious programs are released.
Follow this list and your potential for being infected again will reduce dramatically.
Here are some additional utilities that will enhance your safety
IE/Spyad (http://www.spywarewarrior.com/uiuc/resource.htm) <= IE/Spyad places over 4000 websites and domains in the IE Restricted list which will severely impair attempts to infect your system. It basically prevents any downloads (Cookies etc) from the sites listed, although you will still be able to connect to the sites.
MVPS Hosts file (http://mvps.org/winhelp2002/hosts.htm) <= The MVPS Hosts file replaces your current HOSTS file with one containing well know ad sites etc. Basically, this prevents your coputer from connecting to those sites by redirecting them to 127.0.0.1 which is your local computer
Google Toolbar (http://toolbar.google.com/) <= Get the free google toolbar to help stop pop up windows.
Winpatrol (http://www.winpatrol.com/) <= Download and install the free version of Winpatrol. a tutorial for this product is located here:
Using Winpatrol to protect your computer from malicious software (http://www.winpatrol.com/features.html)
Stand Up and Be Counted ---> Malware Complaints (http://www.malwarecomplaints.info/index.php) <--- where you can make difference!
The site offers people who have been (or are) victims of malware the opportunity to document their story and, in that way, launch a complaint against the malware and the makers of the malware.
Also, please read this great article by Tony Klein So How Did I Get Infected In First Place (http://castlecops.com/postlite7736-.html)
Happy surfing and stay clean!
Since this issue appears resolved ... this Topic is closed.
If you need this topic reopened, please request this by sending the moderating team
a PM with the address of the thread. This applies only to the original topic starter.
Everyone else please begin a New Topic.