PDA

View Full Version : Something's happening in my pc...



DarkWingedOmen
2006-01-27, 06:42
Hello there!

I've got some problems with my computer these days, someday, i don't know how, my computer and my internet explorer started to act weird, the default pages of the IE changed and some annoying popups appeared, also sometimes a message box appear saying that i have spyware infections.

Please somebody, i need help with this, i suspect of some strange processes and i think i know how but i'm not sure, so i hope to get some help.

this is a recent hijack this log:

Logfile of HijackThis v1.99.1
Scan saved at 09:39:00 p.m., on 26/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\netow.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mdm.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\ntxk.exe
C:\Documents and Settings\Ponsho\Programas y utilidades\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\drvjr.dll/sp.html#87649%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\drvjr.dll/sp.html#87649%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\drvjr.dll/sp.html#87649%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\drvjr.dll/sp.html#87649%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\drvjr.dll/sp.html#87649%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\drvjr.dll/sp.html#87649%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\drvjr.dll/sp.html#87649%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {1A172F01-0A73-DF98-941A-353C29824D17} - C:\WINDOWS\system32\addho32.dll
O2 - BHO: Class - {25ADA2FE-929D-3669-BEDF-A52E5180403B} - C:\WINDOWS\atldy.dll (file missing)
O2 - BHO: Class - {2E3A6ECC-D013-D9AD-3770-9B9D3DD83954} - C:\WINDOWS\winmz.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [ysFV93ebf] C:\WINDOWS\qewkgdk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ntxk.exe] C:\WINDOWS\ntxk.exe
O4 - HKLM\..\Run: [40.tmp] C:\DOCUME~1\Ponsho\CONFIG~1\Temp\40.tmp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\4.bin\mwsoemon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: MyWebSearch Email Plugin.lnk.disabled
O4 - Global Startup: MyWebSearch Email Plugin.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZS
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: Flash Movie Extractor Scout LITE - {33F0BD1E-E555-4349-A065-2EA02142D6B0} - C:\Archivos de programa\Flash Movie Extractor Scout LITE\flashextract.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEA6771-A307-49C0-9DEC-532CFCC71DC5}: NameServer = 200.23.242.202 200.23.242.196
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

illukka
2006-01-28, 11:23
hi

welcome

post a new hijackthis log
the filenames of the nasty will change on reboot, so after posting the machine do not allow it to reboot
in fact it would be best to disconnect the machine if possible and use another machine to download the tools and read the forum

i will be notified on your reply and i will try to reply as soon as possible

DarkWingedOmen
2006-01-31, 03:15
Hi, thank you for answer to my pleas, i'll try to do as you say, i'ts gonna be hard because this machine is used a lot by me and my brothers, but i can try...

ok, this is a recent hijack this log:

Logfile of HijackThis v1.99.1
Scan saved at 06:06:00 p.m., on 30/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\netow.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\ntxk.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Documents and Settings\Ponsho\Programas y utilidades\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {1A172F01-0A73-DF98-941A-353C29824D17} - C:\WINDOWS\system32\addho32.dll
O2 - BHO: Class - {25ADA2FE-929D-3669-BEDF-A52E5180403B} - C:\WINDOWS\atldy.dll (file missing)
O2 - BHO: Class - {2E3A6ECC-D013-D9AD-3770-9B9D3DD83954} - C:\WINDOWS\winmz.dll
O2 - BHO: Class - {32D569A4-C81E-5AD0-D81A-CF8541A388F7} - C:\WINDOWS\javaqe.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Class - {6D4B0662-BA42-EF30-8889-5ADC341CBFBA} - C:\WINDOWS\system32\mfceo32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [ysFV93ebf] C:\WINDOWS\qewkgdk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ntxk.exe] C:\WINDOWS\ntxk.exe
O4 - HKLM\..\Run: [40.tmp] C:\DOCUME~1\Ponsho\CONFIG~1\Temp\40.tmp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\4.bin\mwsoemon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: MyWebSearch Email Plugin.lnk.disabled
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZS
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: Flash Movie Extractor Scout LITE - {33F0BD1E-E555-4349-A065-2EA02142D6B0} - C:\Archivos de programa\Flash Movie Extractor Scout LITE\flashextract.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEA6771-A307-49C0-9DEC-532CFCC71DC5}: NameServer = 200.23.242.202 200.23.242.196
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\netow.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

illukka
2006-01-31, 15:39
hi


I notice that you have Spybot's TeaTimer running. While this is normally a wonderful tool to protect against hijackers, it can also interfere with HijackThis fixes. So please disable TeaTimer by doing the following:Run Spybot-S&D
Go to the Mode menu, and make sure "Advanced Mode" is selected
On the left hand side, choose Tools -> Resident
Uncheck "Resident TeaTimer" and OK any prompts
You can reenable TeaTimer once your system is clean.

Please print out this post so that you have a hard copy of these instructions. You will need to keep Internet Explorer and Windows Explorer (including My Computer) closed throughout the entire process.

Please download Intermute's CWShredder from here:
http://cwshredder.net/bin/CWShredder.exe
Save it to the desktop but do NOT run it yet.

Then please download About:Buster from here:
http://www.malwarebytes.org/AboutBuster.zip
Unzip it to the desktop, run it, Check for Updates, and update the files, but do NOT run a scan yet.

Please download the trial version of Ewido Security Suite here:
http://www.ewido.net/en/download/
Install it, and update the definitions to the newest files. Do NOT run a scan yet.

Next, please reboot your computer in Safe Mode by doing the following:
1) Restart your computer
2) After hearing your computer beep once during startup, but before the Windows icon appears, press F8.
3) Instead of Windows loading as normal, a menu should appear
4) Select the first option, to run Windows in Safe Mode.

For additional help in booting into Safe Mode, see the following site:
http://www.pchell.com/support/safemode.shtml


Once in Safe Mode, please run CWShredder, and click Fix.

Then please run About:Buster and click Start to begin the scan. If prompted to end the Explorer.exe process, click Yes. Your desktop may disappear --- this is normal. Allow the program to scan twice, and when complete click "Save Log". This will create a text file called "AB Logfile.txt" in the folder where About:Buster is saved. I will want to see this logfile later.

Then please run Ewido, and run a full scan. Save the log from the scan for me.


Run HijackThis!, press Do A System Scan Only, and put a check mark next to all these:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {1A172F01-0A73-DF98-941A-353C29824D17} - C:\WINDOWS\system32\addho32.dll
O2 - BHO: Class - {25ADA2FE-929D-3669-BEDF-A52E5180403B} - C:\WINDOWS\atldy.dll (file missing)
O2 - BHO: Class - {2E3A6ECC-D013-D9AD-3770-9B9D3DD83954} - C:\WINDOWS\winmz.dll
O2 - BHO: Class - {32D569A4-C81E-5AD0-D81A-CF8541A388F7} - C:\WINDOWS\javaqe.dll
O2 - BHO: Class - {6D4B0662-BA42-EF30-8889-5ADC341CBFBA} - C:\WINDOWS\system32\mfceo32.dll
O4 - HKLM\..\Run: [ysFV93ebf] C:\WINDOWS\qewkgdk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ntxk.exe] C:\WINDOWS\ntxk.exe
O4 - HKLM\..\Run: [40.tmp] C:\DOCUME~1\Ponsho\CONFIG~1\Temp\40.tmp.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Startup: MyWebSearch Email Plugin.lnk.disabled
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\netow.exe

Close all other windows and browsers, and press the Fix Checked button.

Close all open windows except for HijackThis and click Fix Checked.

Then please restart your computer in Normal Mode, and post a new HijackThis log, as well as the logs from AboutBuster and Ewido.

DarkWingedOmen
2006-02-02, 00:19
Hi!, thank you again for your help

I did everything you said and it worked! i noticed that some of the threats you said to fix were missing, the other programs solved those problems i guess, this is the list of the missing problems:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\yxdqd.dll/sp.html#87649%resultposition.net
O2 - BHO: Class - {1A172F01-0A73-DF98-941A-353C29824D17} - C:\WINDOWS\system32\addho32.dll
O2 - BHO: Class - {25ADA2FE-929D-3669-BEDF-A52E5180403B} - C:\WINDOWS\atldy.dll (file missing)
O2 - BHO: Class - {2E3A6ECC-D013-D9AD-3770-9B9D3DD83954} - C:\WINDOWS\winmz.dll
O2 - BHO: Class - {6D4B0662-BA42-EF30-8889-5ADC341CBFBA} - C:\WINDOWS\system32\mfceo32.dll
O4 - HKLM\..\Run: [ntxk.exe] C:\WINDOWS\ntxk.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\netow.exe

OK here are the logs:

Logfile of HijackThis v1.99.1
Scan saved at 02:58:33 p.m., on 01/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\mdm.exe
C:\ARCHIV~1\HP\DIGITA~1\PRODUC~1\bin\hprblog.exe
C:\Documents and Settings\Ponsho\Programas y utilidades\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\4.bin\mwsoemon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: Flash Movie Extractor Scout LITE - {33F0BD1E-E555-4349-A065-2EA02142D6B0} - C:\Archivos de programa\Flash Movie Extractor Scout LITE\flashextract.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

AboutBuster 6.0
Scan started on [01/02/2006] at [01:42:07 p.m.]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
Removed Stream! C:\WINDOWS\Abanicos.bmp:oqlowk
Removed Stream! C:\WINDOWS\KB887742.log:zgxjqu
Removed Stream! C:\WINDOWS\KB893086.log:kiacmp
Removed Stream! C:\WINDOWS\KB894391.log:djshhr
Removed Stream! C:\WINDOWS\KB896422.log:jmnhu
Removed Stream! C:\WINDOWS\KB896423.log:olqwr
Removed Stream! C:\WINDOWS\mdm.ini:rwtzhg
Removed Stream! C:\WINDOWS\msgsocm.log:bwmebi
Removed Stream! C:\WINDOWS\Plumas.bmp:zwqigp
Removed Stream! C:\WINDOWS\REGLOCS.OLD:pslvoa
Removed Stream! C:\WINDOWS\REGLOCS.OLD:rxiviz
Removed Stream! C:\WINDOWS\scmate.ini:iqjhrs
Removed Stream! C:\WINDOWS\Sti_Trace.log:wvjraw
Removed Stream! C:\WINDOWS\stub18.ini:pmavgm
Removed Stream! C:\WINDOWS\stub18.ini:zxfprt
Removed Stream! C:\WINDOWS\stub2.ini:qimfhu
Removed Stream! C:\WINDOWS\stub22.ini:jjwkbe
Removed Stream! C:\WINDOWS\stub25.ini:bkpydp
Removed Stream! C:\WINDOWS\stub28.ini:ukhdyr
Removed Stream! C:\WINDOWS\stub32.ini:nteyml
Removed Stream! C:\WINDOWS\stub36.ini:vleidw
Removed Stream! C:\WINDOWS\stub39.ini:oewnxy
Removed Stream! C:\WINDOWS\stub44.ini:lsxrjo
Removed Stream! C:\WINDOWS\stub45.ini:jqdodm
Removed Stream! C:\WINDOWS\stub50.ini:wtbkfb
Removed Stream! C:\WINDOWS\stub53.ini:outpzl
Removed Stream! C:\WINDOWS\stub7.ini:aoydoc
Removed Stream! C:\WINDOWS\stub72.ini:lpqije
Removed Stream! C:\WINDOWS\tabletoc.log:qmkcur
Removed Stream! C:\WINDOWS\Thumbs.db:encryptable
Removed Stream! C:\WINDOWS\updspapi.log:indhwu
Removed Stream! C:\WINDOWS\updspapi.log:lilrlz
Removed Stream! C:\WINDOWS\updspapi.log:rqlbcj
Removed Stream! C:\WINDOWS\Viento.bmp:bovvqe
Removed Stream! C:\WINDOWS\vminst.log:dbexfk
Removed Stream! C:\WINDOWS\wmprfESP.prx:odefvn
Removed Stream! C:\WINDOWS\wplog.txt:hexkxx
Removed Stream! C:\WINDOWS\_default.pif:cfvtue
Removed Stream! C:\WINDOWS\_default.pif:dzmyqo
Removed Stream! C:\WINDOWS\_default.pif:ehterr
Removed Stream! C:\WINDOWS\_default.pif:pawxne
Removed Stream! C:\WINDOWS\_default.pif:vpsjca
-------------------------------------------------------------
Removed File! : C:\WINDOWS\acboc.log
Removed File! : C:\WINDOWS\aczik.log
Removed File! : C:\WINDOWS\addti.exe
Removed File! : C:\WINDOWS\apijj32.exe
Removed File! : C:\WINDOWS\apiqa32.exe
Removed File! : C:\WINDOWS\crhb.exe
Removed File! : C:\WINDOWS\cruo32.exe
Removed File! : C:\WINDOWS\drvjr.dll
Removed File! : C:\WINDOWS\eiqpi.dat
Removed File! : C:\WINDOWS\iezs.exe
Removed File! : C:\WINDOWS\ipnm32.exe
Removed File! : C:\WINDOWS\isxig.txt
Removed File! : C:\WINDOWS\javaif.dll
Removed File! : C:\WINDOWS\javaqe.dll
Removed File! : C:\WINDOWS\jkhmv.dat
Removed File! : C:\WINDOWS\kfqxu.dll
Removed File! : C:\WINDOWS\kqxir.txt
Removed File! : C:\WINDOWS\lcipp.txt
Removed File! : C:\WINDOWS\livrk.dll
Removed File! : C:\WINDOWS\netow.exe
Removed File! : C:\WINDOWS\nteym.log
Removed File! : C:\WINDOWS\n_bcilxe.log
Removed File! : C:\WINDOWS\sdkdk32.exe
Removed File! : C:\WINDOWS\sdkts.exe
Removed File! : C:\WINDOWS\sysqm.exe
Removed File! : C:\WINDOWS\xidkl.dat
Removed File! : C:\WINDOWS\xrsiu.log
Removed File! : C:\WINDOWS\yepba.dat
Removed File! : C:\WINDOWS\yvbuf.dat
Removed File! : C:\WINDOWS\system32\addzk32.exe
Removed File! : C:\WINDOWS\system32\apinq.exe
Removed File! : C:\WINDOWS\system32\atlak.exe
Removed File! : C:\WINDOWS\system32\bajjd.dll
Removed File! : C:\WINDOWS\system32\csnec.dll
Removed File! : C:\WINDOWS\system32\d3gg32.exe
Removed File! : C:\WINDOWS\system32\d3sd32.exe
Removed File! : C:\WINDOWS\system32\ibpch.log
Removed File! : C:\WINDOWS\system32\iedt.exe
Removed File! : C:\WINDOWS\system32\ieey.exe
Removed File! : C:\WINDOWS\system32\iehj32.exe
Removed File! : C:\WINDOWS\system32\ienk.exe
Removed File! : C:\WINDOWS\system32\ipti32.exe
Removed File! : C:\WINDOWS\system32\javaie.exe
Removed File! : C:\WINDOWS\system32\llugn.txt
Removed File! : C:\WINDOWS\system32\miojn.log
Removed File! : C:\WINDOWS\system32\msjm.exe
Removed File! : C:\WINDOWS\system32\netsi.exe
Removed File! : C:\WINDOWS\system32\ntam32.exe
Removed File! : C:\WINDOWS\system32\ntwt.exe
Removed File! : C:\WINDOWS\system32\ovuwv.log
Removed File! : C:\WINDOWS\system32\qpytx.txt
Removed File! : C:\WINDOWS\system32\sdklw32.exe
Removed File! : C:\WINDOWS\system32\uzsnw.txt
Removed File! : C:\WINDOWS\system32\wgvvr.dat
Removed File! : C:\WINDOWS\system32\winmu32.exe
Removed File! : C:\WINDOWS\system32\winrp.exe
Removed File! : C:\WINDOWS\system32\wintn32.exe
Removed File! : C:\WINDOWS\system32\ytwbl.txt
Removed File! : C:\WINDOWS\system32\zrotz.dll
-------------------------------------------------------------
Removed Temp Files
Internet Explorer Settings Reset!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 01:50:38 p.m.


AboutBuster 6.0
Scan started on [01/02/2006] at [01:52:05 p.m.]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
No Ads Found!
-------------------------------------------------------------
No Files Found!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 01:54:12 p.m.


---------------------------------------------------------
ewido anti-malware - Report de exploración
---------------------------------------------------------

+ Creado en: 02:36:24 p.m., 01/02/2006
+ Report-Checksum: 18881707

+ Scan result:

HKLM\SOFTWARE\Classes\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Spyware.MyWebSearch : Limpio(means clean) con backup
HKLM\SOFTWARE\Classes\CLSID\{676575DD-4D46-911D-8037-9B10D6EE8BB5} -> Spyware.CoolWebSearch : Limpio con backup
HKU\S-1-5-21-1659004503-117609710-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{00A6FAF1-072E-44CF-8957-5838F569A31D} -> Spyware.MyWebSearch : Limpio con backup
HKU\S-1-5-21-1659004503-117609710-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Spyware.MyWebSearch : Limpio con backup
HKU\S-1-5-21-1659004503-117609710-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} -> Spyware.MyWebSearch : Limpio con backup
HKU\S-1-5-21-1659004503-117609710-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Spyware.MyWebSearch : Limpio con backup
C:\Archivos de programa\MSN Messenger\riched20.dll -> Spyware.MyWebSearch : Limpio con backup
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Messenger Plus! - Setup.exe/Sponsor.exe -> Downloader.Swizzor.bt : Limpio con backup
C:\Documents and Settings\Ponsho\Programas y utilidades\backups\backup-20060116-102328-955.dll -> Downloader.Agent.bc : Limpio con backup
C:\Documents and Settings\Ponsho\Programas y utilidades\SmileyCentralSetup2.0.4.2.exe -> Spyware.MyWebSearch : Limpio con backup
C:\WINDOWS\system32\f3PSSavr.scr -> Spyware.MyWebSearch : Limpio con backup


::End Report

illukka
2006-02-02, 07:41
hi

well done there :)

now lets do an online virus scan:
Please do an online scan with Kaspersky WebScanner (http://www.kaspersky.com/virusscanner)

Click on Kaspersky Online Scanner

You will be promted to install an ActiveX component from Kaspersky, Click Yes.
The program will launch and then begin downloading the latest definition files:
Once the files have been downloaded click on NEXT

Now click on Scan Settings
In the scan settings make that the following are selected:
Scan using the following Anti-Virus database:
Extended (if available otherwise Standard)

Scan Options:
Scan Archives
Scan Mail Bases

Click OK
Now under select a target to scan:Select My Computer

The program will start and scan your system.
The scan will take a while so be patient and let it run.
Once the scan is complete it will display if your system has been infected.
Now click on the Save as Text button:
Save the file to your desktop.
Copy and paste that information in your next post.


also post a final hijackthis log

tashi
2006-02-05, 21:24
Still with us DarkWingedOmen? Can you post the final log please. :)

DarkWingedOmen
2006-02-07, 06:15
Hi! sorry about the delay, it's my computer, the scan i mean it sometimes got stuck in some files (files that i had to omit in order to make the scan).

I had some troubles with some spyware or something installed in my pc lately, so my pc got slow and difficult to access to the internet explorer.

ok lets see the logs:

Logfile of HijackThis v1.99.1
Scan saved at 09:03:52 p.m., on 06/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Ponsho\Programas y utilidades\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=explorer.exe "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1A172F01-0A73-DF98-941A-353C29824D17} - (no file)
O2 - BHO: (no name) - {25ADA2FE-929D-3669-BEDF-A52E5180403B} - (no file)
O2 - BHO: (no name) - {2E3A6ECC-D013-D9AD-3770-9B9D3DD83954} - (no file)
O2 - BHO: (no name) - {32D569A4-C81E-5AD0-D81A-CF8541A388F7} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {6D4B0662-BA42-EF30-8889-5ADC341CBFBA} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\4.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: Flash Movie Extractor Scout LITE - {33F0BD1E-E555-4349-A065-2EA02142D6B0} - C:\Archivos de programa\Flash Movie Extractor Scout LITE\flashextract.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEA6771-A307-49C0-9DEC-532CFCC71DC5}: NameServer = 200.23.242.202 200.23.242.196
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\system32\dcom_13.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

DarkWingedOmen
2006-02-07, 06:24
Woops!!too many characters!
Here's the kaspersky log:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, February 06, 2006 20:57:50
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 7/02/2006
Kaspersky Anti-Virus database records: 175316
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\Archivos de programa\Adobe\Acrobat 6.0\
C:\Archivos de programa\Archivos comunes\
C:\Archivos de programa\ComPlus Applications\
C:\Archivos de programa\DivXCodec\
C:\Archivos de programa\eclipse\
C:\Archivos de programa\ewido anti-malware\
C:\Archivos de programa\ffdshow\
C:\Archivos de programa\Flash Movie Extractor Scout LITE\
C:\Archivos de programa\Gateway\
C:\Archivos de programa\GetRight\
C:\Archivos de programa\Google\
C:\Archivos de programa\Hewlett-Packard\
C:\Archivos de programa\HP\
C:\Archivos de programa\InstallShield Installation Information\
C:\Archivos de programa\Internet Explorer\
C:\Archivos de programa\Java\
C:\Archivos de programa\JavaSoft\
C:\Archivos de programa\K-Lite Codec Pack\
C:\Archivos de programa\LimeWire\
C:\Archivos de programa\LimeWirepro\
C:\Archivos de programa\Macromedia\
C:\Archivos de programa\Messenger\
C:\Archivos de programa\Microsoft Encarta\
C:\Archivos de programa\microsoft frontpage\
C:\Archivos de programa\Microsoft Office\
C:\Archivos de programa\Microsoft Visual Studio\
C:\Archivos de programa\Movie Maker\
C:\Archivos de programa\Mpeg Decoder\
C:\Archivos de programa\MSN\
C:\Archivos de programa\MSN Gaming Zone\
C:\Archivos de programa\MSN Messenger\
C:\Archivos de programa\NetMeeting\
C:\Archivos de programa\Norton AntiVirus\
C:\Archivos de programa\Online Services\
C:\Archivos de programa\Outlook Express\
C:\Archivos de programa\Pegasys Inc\
C:\Archivos de programa\Prodigy\
C:\Archivos de programa\Publicación en Web\
C:\Archivos de programa\QuickTime Alternative\
C:\Archivos de programa\Roxio\
C:\Archivos de programa\RSP Media OCX 1.5.0\
C:\Archivos de programa\Servicios en línea\
C:\Archivos de programa\SolidDocuments\
C:\Archivos de programa\Spybot - Search & Destroy\
C:\Archivos de programa\Symantec\
C:\Archivos de programa\TI Education\
C:\Archivos de programa\Uninstall Information\
C:\Archivos de programa\Winamp\
C:\Archivos de programa\Windows Media Player\
C:\Archivos de programa\Windows NT\
C:\Archivos de programa\WindowsUpdate\
C:\Archivos de programa\WinRAR\
C:\Archivos de programa\WinZip\
C:\Archivos de programa\xerox\
C:\Archivos de programa\Yahoo!\
C:\bc31\
C:\CABS\
C:\Documents and Settings\All Users\
C:\Documents and Settings\Default User\
C:\Documents and Settings\LocalService\
C:\Documents and Settings\NetworkService\
C:\Documents and Settings\Ponsho\.eclipse\
C:\Documents and Settings\Ponsho\.java\
C:\Documents and Settings\Ponsho\.limewire\
C:\Documents and Settings\Ponsho\Application Data\
C:\Documents and Settings\Ponsho\Configuración local\
C:\Documents and Settings\Ponsho\Cookies\
C:\Documents and Settings\Ponsho\Datos de programa\
C:\Documents and Settings\Ponsho\Documentos recientes\
C:\Documents and Settings\Ponsho\Entorno de red\
C:\Documents and Settings\Ponsho\Escritorio\
C:\Documents and Settings\Ponsho\Favoritos\
C:\Documents and Settings\Ponsho\fut\
C:\Documents and Settings\Ponsho\Impresoras\
C:\Documents and Settings\Ponsho\Incomplete\
C:\Documents and Settings\Ponsho\Memorea\
C:\Documents and Settings\Ponsho\Menú Inicio\
C:\Documents and Settings\Ponsho\Mis documentos\Al's docs\bruja\
C:\Documents and Settings\Ponsho\Mis documentos\Al's docs\guia\
C:\Documents and Settings\Ponsho\Mis documentos\Al's docs\Homemade Programs\
C:\Documents and Settings\Ponsho\Mis documentos\Al's docs\Nueva carpeta\
C:\Documents and Settings\Ponsho\Mis documentos\Al's docs\pagina web\
C:\Documents and Settings\Ponsho\Mis documentos\Al's docs\secuencial\
C:\Documents and Settings\Ponsho\Mis documentos\Al's docs\Songs\
C:\Documents and Settings\Ponsho\Mis documentos\Al's docs\Visual\
C:\Documents and Settings\Ponsho\Mis documentos\CloneCDImages\
C:\Documents and Settings\Ponsho\Mis documentos\emoticons\
C:\Documents and Settings\Ponsho\Mis documentos\imagenes ma\
C:\Documents and Settings\Ponsho\Mis documentos\Mi música\
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\
C:\Documents and Settings\Ponsho\Mis documentos\Mis eBooks\
C:\Documents and Settings\Ponsho\Mis documentos\Mis imágenes\
C:\Documents and Settings\Ponsho\Mis documentos\Mis vídeos\
C:\Documents and Settings\Ponsho\Mis documentos\MPG program\
C:\Documents and Settings\Ponsho\Mis documentos\MY FLASH MOVIE\
C:\Documents and Settings\Ponsho\Mis documentos\PIMPROYECT\
C:\Documents and Settings\Ponsho\Mis documentos\Roxio\
C:\Documents and Settings\Ponsho\Mis documentos\SISTEMA\
C:\Documents and Settings\Ponsho\Mis documentos\Tabs\
C:\Documents and Settings\Ponsho\Mis documentos\win zip\
C:\Documents and Settings\Ponsho\movies\
C:\Documents and Settings\Ponsho\My Downloads\
C:\Documents and Settings\Ponsho\Plantillas\
C:\Documents and Settings\Ponsho\Programas y utilidades\
C:\Documents and Settings\Ponsho\SendTo\
C:\Documents and Settings\Ponsho\UserData\
C:\Documents and Settings\Ponsho\WINDOWS\
C:\Documents and Settings\Propietario\
C:\Eclipse\
C:\jdk1.4\
C:\MSOCache\
C:\Program Files\
C:\RECYCLER\
C:\System Volume Information\
C:\Temp\
C:\WINDOWS\$hf_mig$\
C:\WINDOWS\$MSI31Uninstall_KB893803v2$\
C:\WINDOWS\$NtUninstallKB873333$\
C:\WINDOWS\$NtUninstallKB873339$\
C:\WINDOWS\$NtUninstallKB885250$\
C:\WINDOWS\$NtUninstallKB885836$\
C:\WINDOWS\$NtUninstallKB887472$\
C:\WINDOWS\$NtUninstallKB887742$\
C:\WINDOWS\$NtUninstallKB888113$\
C:\WINDOWS\$NtUninstallKB888302$\
C:\WINDOWS\$NtUninstallKB890046$\
C:\WINDOWS\$NtUninstallKB891781$\
C:\WINDOWS\$NtUninstallKB893756$\
C:\WINDOWS\$NtUninstallKB896358$\
C:\WINDOWS\$NtUninstallKB896422$\
C:\WINDOWS\$NtUninstallKB896423$\
C:\WINDOWS\$NtUninstallKB896428$\
C:\WINDOWS\$NtUninstallKB896688$\
C:\WINDOWS\$NtUninstallKB896727$\
C:\WINDOWS\$NtUninstallKB898461$\
C:\WINDOWS\$NtUninstallKB899587$\
C:\WINDOWS\$NtUninstallKB899588$\
C:\WINDOWS\$NtUninstallKB899589$\
C:\WINDOWS\$NtUninstallKB899591$\
C:\WINDOWS\$NtUninstallKB900725$\
C:\WINDOWS\$NtUninstallKB901017$\
C:\WINDOWS\$NtUninstallKB902400$\
C:\WINDOWS\$NtUninstallKB904706$\
C:\WINDOWS\$NtUninstallKB905414$\
C:\WINDOWS\$NtUninstallKB905749$\
C:\WINDOWS\addins\
C:\WINDOWS\AppPatch\
C:\WINDOWS\Cache\
C:\WINDOWS\Config\
C:\WINDOWS\Connection Wizard\
C:\WINDOWS\Cursores\
C:\WINDOWS\Cursors\
C:\WINDOWS\Debug\
C:\WINDOWS\Downloaded Installations\
C:\WINDOWS\Downloaded Program Files\
C:\WINDOWS\Driver Cache\
C:\WINDOWS\ehome\
C:\WINDOWS\Fonts\
C:\WINDOWS\Help\
C:\WINDOWS\ime\
C:\WINDOWS\inf\
C:\WINDOWS\Installer\
C:\WINDOWS\java\
C:\WINDOWS\Media\
C:\WINDOWS\Minidump\
C:\WINDOWS\msagent\
C:\WINDOWS\msapps\
C:\WINDOWS\mui\
C:\WINDOWS\Offline Web Pages\
C:\WINDOWS\pchealth\
C:\WINDOWS\PeerNet\
C:\WINDOWS\PIF\
C:\WINDOWS\Prefetch\
C:\WINDOWS\Provisioning\
C:\WINDOWS\Registration\
C:\WINDOWS\repair\
C:\WINDOWS\Resources\
C:\WINDOWS\security\
C:\WINDOWS\SHELLNEW\
C:\WINDOWS\SoftwareDistribution\
C:\WINDOWS\srchasst\
C:\WINDOWS\Sun\
C:\WINDOWS\system\
C:\WINDOWS\system32\1025\
C:\WINDOWS\system32\1028\
C:\WINDOWS\system32\1031\
C:\WINDOWS\system32\1033\
C:\WINDOWS\system32\1037\
C:\WINDOWS\system32\1041\
C:\WINDOWS\system32\1042\
C:\WINDOWS\system32\1054\
C:\WINDOWS\system32\2052\
C:\WINDOWS\system32\3076\
C:\WINDOWS\system32\3082\
C:\WINDOWS\system32\3com_dmi\
C:\WINDOWS\system32\appmgmt\
C:\WINDOWS\system32\CatRoot\
C:\WINDOWS\system32\CatRoot2\
C:\WINDOWS\system32\Com\
C:\WINDOWS\system32\config\
C:\WINDOWS\system32\dhcp\
C:\WINDOWS\system32\DirectX\
C:\WINDOWS\system32\dllcache\
C:\WINDOWS\system32\drivers\
C:\WINDOWS\system32\export\
C:\WINDOWS\system32\ias\
C:\WINDOWS\system32\icsxml\
C:\WINDOWS\system32\IME\
C:\WINDOWS\system32\inetsrv\
C:\WINDOWS\system32\Kaspersky Lab\
C:\WINDOWS\system32\Macromed\
C:\WINDOWS\system32\Microsoft\
C:\WINDOWS\system32\MsDtc\
C:\WINDOWS\system32\mui\
C:\WINDOWS\system32\npp\
C:\WINDOWS\system32\PreInstall\
C:\WINDOWS\system32\ras\
C:\WINDOWS\system32\ReinstallBackups\
C:\WINDOWS\system32\Restore\
C:\WINDOWS\system32\Setup\
C:\WINDOWS\system32\ShellExt\
C:\WINDOWS\system32\SoftwareDistribution\
C:\WINDOWS\system32\spool\
C:\WINDOWS\system32\usmt\
C:\WINDOWS\system32\wbem\
C:\WINDOWS\system32\wins\
C:\WINDOWS\system32\xircom\
C:\WINDOWS\Tasks\
C:\WINDOWS\Temp\
C:\WINDOWS\twain_32\
C:\WINDOWS\Vbox\
C:\WINDOWS\Web\
C:\WINDOWS\WinSxS\

Scan Statistics:
Total number of scanned objects: 73048
Number of viruses found: 28
Number of infected objects: 231
Number of suspicious objects: 0
Duration of the scan process: 7066 sec

Infected Object Name - Virus Name
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.dll Infected: Trojan-Spy.Win32.Small.eu
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe Infected: Trojan.Win32.Small.hf
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00002.dll Infected: Trojan-Spy.Win32.Small.eu
C:\Archivos de programa\Norton AntiVirus\Quarantine\609870CB Infected: Trojan.Win32.StartPage.adi
C:\Documents and Settings\Ponsho\Configuración local\Temp\eznbhxyr.exe Infected: Trojan-Dropper.Win32.Small.ale
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip/Madmsn4_full(www.PortalMes.com).exe/ascii.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip/Madmsn4_full(www.PortalMes.com).exe/avatar.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip/Madmsn4_full(www.PortalMes.com).exe/checker.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip/Madmsn4_full(www.PortalMes.com).exe/lagger.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip/Madmsn4_full(www.PortalMes.com).exe/madmsn.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip/Madmsn4_full(www.PortalMes.com).exe/mailer.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip/Madmsn4_full(www.PortalMes.com).exe/msn_dump.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip/Madmsn4_full(www.PortalMes.com).exe/popup.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip/Madmsn4_full(www.PortalMes.com).exe/stateflood.exe Infected: Flooder.Win32.MadMessenger.a
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip/Madmsn4_full(www.PortalMes.com).exe/updown.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip/Madmsn4_full(www.PortalMes.com).exe/winflood.exe Infected: Flooder.Win32.MadMessenger.b
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip/Madmsn4_full(www.PortalMes.com).exe Infected: Flooder.Win32.MadMessenger.b
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip Infected: Flooder.Win32.MadMessenger.b
C:\Documents and Settings\Ponsho\Programas y utilidades\TMPGEnc 2[1].521.58.169 Plus.zip/crack.exe Infected: Trojan-Downloader.Win32.Small.bws
C:\Documents and Settings\Ponsho\Programas y utilidades\TMPGEnc 2[1].521.58.169 Plus.zip Infected: Trojan-Downloader.Win32.Small.bws
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP100\A0018557.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP100\A0018562.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP100\A0018566.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP100\A0018567.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP100\A0018578.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP100\A0018587.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP100\A0018592.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP100\A0018593.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP101\A0019544.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP102\A0019548.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP102\A0019550.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP102\A0019553.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP102\A0019555.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP102\A0019576.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP102\A0019578.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP102\A0019581.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP103\A0019601.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP103\A0019604.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP103\A0019608.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP103\A0019609.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP103\A0019645.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP103\A0019650.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP103\A0019654.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP103\A0019655.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP104\A0019662.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP104\A0019668.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP104\A0019672.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP104\A0019673.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP104\A0019705.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP104\A0019706.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP104\A0019710.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP104\A0019711.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP105\A0019863.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP105\A0019914.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP105\A0019916.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP105\A0019919.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP105\A0019920.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP106\A0019948.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP106\A0019949.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP106\A0019953.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP106\A0019954.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP106\A0019969.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP106\A0019973.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi

second part in another reply

DarkWingedOmen
2006-02-07, 06:31
[/CENTER][/CENTER]**2nd part**


C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP106\A0019978.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP107\A0020018.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP107\A0020025.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP107\A0020034.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP107\A0020046.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP108\A0020054.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP108\A0020056.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP108\A0020059.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP108\A0020060.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP108\A0020084.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP108\A0020113.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP109\A0020137.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP109\A0020144.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP109\A0020148.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP109\A0020149.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP109\A0020154.ini:zxfprt:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP109\A0020159.ini:iqjhrs:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP109\A0020292.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP109\A0020293.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP109\A0020297.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP109\A0020298.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP109\A0020303.ini:zxfprt:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP109\A0020308.ini:iqjhrs:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020328.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020331.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020333.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020334.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020339.ini:zxfprt:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020345.ini:iqjhrs:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020355.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020392.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020396.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020397.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020402.ini:zxfprt:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020407.ini:iqjhrs:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020424.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020425.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020426.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020427.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020431.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020432.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020433.ini:iqjhrs:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020434.ini:zxfprt:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020440.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020441.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020448.prx:odefvn:$DATA Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020449.pif:ehterr:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020449.pif:pawxne:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020450.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020451.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020452.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020453.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020454.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020456.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020457.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020458.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020459.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020462.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020463.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020464.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020465.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020466.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020467.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020468.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020471.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020472.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020473.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020474.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020475.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020476.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020477.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020478.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020479.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020480.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020481.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020482.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020483.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020484.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020485.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020486.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020488.dll Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020489.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020490.exe Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP110\A0020491.scr Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP113\A0020688.exe Infected: Trojan.Win32.Small.ev
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP88\A0015805.exe Infected: Trojan-Downloader.Win32.Small.bws
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP88\A0015806.exe Infected: Trojan-Downloader.Win32.Small.bws
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP88\A0015807.exe Infected: Trojan-Downloader.Win32.Small.bws
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP88\A0015808.exe Infected: Backdoor.Win32.Robobot.ay
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP89\A0015859.exe Infected: not-virus:Hoax.Win32.Renos.al
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP89\A0015868.prx:odefvn:$DATA Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP89\A0015877.prx:odefvn:$DATA Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP89\A0015887.prx:odefvn:$DATA Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP89\A0015894.EXE Infected: not-a-virus:Porn-Dialer.Win32.Agent.a
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP89\A0015895.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP89\A0015896.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP89\A0015897.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP89\A0015898.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP89\A0015899.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP89\A0015900.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP90\A0015908.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP90\A0015942.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP90\A0015954.pif:ehterr:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP90\A0015954.pif:pawxne:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP91\A0015967.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP91\A0015975.pif:ehterr:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP91\A0015975.pif:pawxne:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP91\A0015994.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP92\A0016033.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP92\A0016071.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP93\A0016072.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP93\A0016098.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP93\A0016121.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP94\A0017158.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP94\A0017203.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP95\A0017208.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP95\A0018203.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP95\A0018227.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi

third part in another reply

DarkWingedOmen
2006-02-07, 06:34
** 3rd part**

C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP96\A0018235.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP96\A0018237.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP96\A0018238.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP96\A0018262.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP96\A0018266.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP96\A0018267.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018315.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018316.DLL Infected: not-a-virus:AdWare.Win32.FunWeb.d
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018317.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch.z
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018318.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018319.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018320.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch.af
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018321.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch.af
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018322.SCR Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018323.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch.v
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018324.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018325.EXE Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018326.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch.l
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018327.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018329.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch.f
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018330.DLL Infected: not-a-virus:AdWare.Win32.IWon.a
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018331.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018332.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch.t
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018333.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch.ad
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018335.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch.p
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018336.EXE Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018337.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018338.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018339.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch.i
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018341.DLL Infected: not-a-virus:AdWare.Win32.MyWebSearch.ai
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018374.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018375.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018376.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018383.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP97\A0018411.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP98\A0018427.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP98\A0018428.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP98\A0018429.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP98\A0018435.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP98\A0018449.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP98\A0018470.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP98\A0018486.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP98\A0018490.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP98\A0018491.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP99\A0018517.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP99\A0018540.ini:rwtzhg:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP99\A0018542.OLD:rxiviz:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP99\A0018545.ini:vleidw:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{6617C8F0-61B0-4EE8-A072-EB11D8D2B1BF}\RP99\A0018546.ini:oewnxy:$DATA Infected: Trojan-Downloader.Win32.Agent.td

Scan process completed.

illukka
2006-02-10, 01:39
these files must be deleted


C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.dll Infected: Trojan-Spy.Win32.Small.eu
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe Infected: Trojan.Win32.Small.hf
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00002.dll Infected: Trojan-Spy.Win32.Small.eu
C:\Archivos de programa\Norton AntiVirus\Quarantine\609870CB Infected: Trojan.Win32.StartPage.adi
C:\Documents and Settings\Ponsho\Configuración local\Temp\eznbhxyr.exe Infected: Trojan-Dropper.Win32.Small.ale
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(http://www.PortalMes.com).zip/Madmsn....exe/ascii.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(http://www.PortalMes.com).zip/Madmsn...exe/avatar.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(http://www.PortalMes.com).zip/Madmsn...xe/checker.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(http://www.PortalMes.com).zip/Madmsn...exe/lagger.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(http://www.PortalMes.com).zip/Madmsn...exe/madmsn.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(http://www.PortalMes.com).zip/Madmsn...exe/mailer.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(http://www.PortalMes.com).zip/Madmsn...e/msn_dump.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(http://www.PortalMes.com).zip/Madmsn....exe/popup.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(http://www.PortalMes.com).zip/Madmsn...stateflood.exe Infected: Flooder.Win32.MadMessenger.a
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(http://www.PortalMes.com).zip/Madmsn...exe/updown.exe Infected: HackTool.Win32.MadMSN.40
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(http://www.PortalMes.com).zip/Madmsn...e/winflood.exe Infected: Flooder.Win32.MadMessenger.b
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(http://www.PortalMes.com).zip/Madmsn...alMes.com).exe Infected: Flooder.Win32.MadMessenger.b
C:\Documents and Settings\Ponsho\Mis documentos\Mis archivos recibidos\Madmsn4_full(www.PortalMes.com).zip Infected: Flooder.Win32.MadMessenger.b
C:\Documents and Settings\Ponsho\Programas y utilidades\TMPGEnc 2[1].521.58.169 Plus.zip/crack.exe Infected: Trojan-Downloader.Win32.Small.bws

i suggest updating ewido, then doing a full scan with it in safe mode
remove its findings

reboot

then rescan with hijackthis and post the fresh log here

DarkWingedOmen
2006-02-11, 06:14
What's up! i'm here again, All the viruses and stuff were deleted, but what about the others? should i get rid of them or what, i did the scan with ewido and some of the viruses were erased with it, everything seems to be normal again...
here's a new hijack this log:

Logfile of HijackThis v1.99.1
Scan saved at 07:31:06 p.m., on 10/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mdm.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Ponsho\Programas y utilidades\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=explorer.exe "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1A172F01-0A73-DF98-941A-353C29824D17} - (no file)
O2 - BHO: (no name) - {25ADA2FE-929D-3669-BEDF-A52E5180403B} - (no file)
O2 - BHO: (no name) - {2E3A6ECC-D013-D9AD-3770-9B9D3DD83954} - (no file)
O2 - BHO: (no name) - {32D569A4-C81E-5AD0-D81A-CF8541A388F7} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {6D4B0662-BA42-EF30-8889-5ADC341CBFBA} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [40.tmp] C:\DOCUME~1\Ponsho\CONFIG~1\Temp\40.tmp.exe
O4 - HKLM\..\Run: [ntxk.exe] C:\WINDOWS\ntxk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\4.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: Flash Movie Extractor Scout LITE - {33F0BD1E-E555-4349-A065-2EA02142D6B0} - C:\Archivos de programa\Flash Movie Extractor Scout LITE\flashextract.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\system32\dcom_13.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

illukka
2006-02-12, 22:18
hi

I notice that you have Spybot's TeaTimer running. While this is normally a wonderful tool to protect against hijackers, it can also interfere with HijackThis fixes. So please disable TeaTimer by doing the following:
Run Spybot-S&D
Go to the Mode menu, and make sure "Advanced Mode" is selected
On the left hand side, choose Tools -> Resident
Uncheck "Resident TeaTimer" and OK any prompts
You can reenable TeaTimer once your system is clean.

once tea timer is disabled:

open hiajckthis, click do a system scan only
checkmark the following:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
F2 - REG:system.ini: Shell=explorer.exe "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: (no name) - {1A172F01-0A73-DF98-941A-353C29824D17} - (no file)
O2 - BHO: (no name) - {25ADA2FE-929D-3669-BEDF-A52E5180403B} - (no file)
O2 - BHO: (no name) - {2E3A6ECC-D013-D9AD-3770-9B9D3DD83954} - (no file)
O2 - BHO: (no name) - {32D569A4-C81E-5AD0-D81A-CF8541A388F7} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {6D4B0662-BA42-EF30-8889-5ADC341CBFBA} - (no file)
O4 - HKLM\..\Run: [40.tmp] C:\DOCUME~1\Ponsho\CONFIG~1\Temp\40.tmp.exe
O4 - HKLM\..\Run: [ntxk.exe] C:\WINDOWS\ntxk.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\4.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - Global Startup: MyWebSearch Email Plugin.lnk.disabled

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\system32\dcom_13.dll (file missing)

then close all browser and expolorer windows, leaving only hiajckthis running
and click fix checked



if you,or some other user did not set this value ( using spybot for example)

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present fix that line too


reboot

post a fresh hijackthis log

DarkWingedOmen
2006-02-13, 05:33
Hi, this is the new log, fixed, but when i intall again the tea timer the "40.tmp" and the "ntxk.exe" reapear, how can i fix this?
Thank you again for your time...

Logfile of HijackThis v1.99.1
Scan saved at 08:20:13 p.m., on 12/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Ponsho\Programas y utilidades\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AutoProtect] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: Flash Movie Extractor Scout LITE - {33F0BD1E-E555-4349-A065-2EA02142D6B0} - C:\Archivos de programa\Flash Movie Extractor Scout LITE\flashextract.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEA6771-A307-49C0-9DEC-532CFCC71DC5}: NameServer = 200.23.242.202 200.23.242.196
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

illukka
2006-02-13, 07:34
hi

try reinstalling spybot s&d
if it helps

those are not present in this log, however

If you have not already installed Ad-Aware SE 1.06, follow these download and setup instructions, otherwise, check for updates:
Ad-Aware SE Setup (http://rstones12.geekstogo.com/adawareSE_setup.htm)
Don't run it yet!

Next, please reboot your computer in SafeMode by doing the following:
Restart your computer
After hearing your computer beep once during startup, but before the Windows icon appears, press F8.
Instead of Windows loading as normal, a menu should appear
Select the first option, to run Windows in Safe Mode.



Open Ad-aware and do a full scan. Remove all it finds.

Reboot back into Windows and go to Panda ActiveScan (http://www.pandasoftware.com/products/activescan.htm)


Once you are on the Panda site click the Scan your PC button.
A new window will open...click the Check Now button.
Enter your Country
Enter your State/Province
Enter your e-mail address and click send
Select either Home User or Company
Click the big Scan Now button

If it wants to install an ActiveX component allow it
It will start downloading the files it requires for the scan (Note: It may take a couple of minutes)
When the download is complete, click on My Computer to start the scan
When the scan completes, if anything malicious is detected, click the See Report button, then Save Report and save it to a convenient location.
Post the contents of the Panda scan report, along with a new HijackThis Log by using Add Reply.
Let us know if any problems persist.

tashi
2006-02-19, 02:38
Still with us DarkWingedOmen?

tashi
2006-02-22, 17:02
Due to lack of a response :scratch: this topic will be archived.

If you need it re-opened please send me a pm and provide a link to the thread.