View Full Version : I also have the virtmone
guilledoc
2008-03-02, 23:30
im realy new and im spanish speaker first of all sorry for ny mistakes in the writing and thanks for the help
this is my hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:28:37, on 02/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BMb7478d10] Rundll32.exe "C:\WINDOWS\system32\kawbvvhe.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DataViz Inc Messenger.lnk.disabled
O4 - Global Startup: HotSync Manager.lnk.disabled
O4 - Global Startup: Utility Tray.lnk.disabled
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128978400244
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151247097015
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 5608 bytes
thanks
Hello guilledoc
Welcome to Safer Networking.
Please read Before YouPost (http://forums.spybot.info/showthread.php?t=288)
That said, All advice given by anyone volunteering here, is taken at own risk.
While best efforts are made to assist in removing infections safely, unexpected stuff can happen.
Run these programs in the order listed please, I need to see the report for each program and after you run the last program ( Combofix) then post a new HJT log.
Download VundoFix (http://www.atribune.org/ccount/click.php?id=4 ) to your desktop
Double-click VundoFix.exe to run it.
Click the Scan for Vundo button.
Once it's done scanning, click the Remove Vundo button.
You will receive a prompt asking if you want to remove the files, click YES
Once you click yes, your desktop will go blank as it starts removing Vundo.
When completed, it will prompt that it will reboot your computer, click OK.
Please post the contents of C:\vundofix.txt and a new HiJackThis log in a reply to this thread.
Note: It is possible that VundoFix encountered a file it could not remove. In this case, VundoFix will run on reboot, simply follow the above instructions starting from "Click the Scan for Vundo button" when VundoFix appears upon rebooting.
Please download Malwarebytes' Anti-Malware from Here (http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html) or Here (http://www.besttechie.net/tools/mbam-setup.exe)
Double Click mbam-setup.exe to install the application.
Make sure a checkmark is placed next to Update Malwarebytes' Anti-Malware and Launch Malwarebytes' Anti-Malware, then click Finish.
If an update is found, it will download and install the latest version.
Once the program has loaded, select "Perform Quick Scan", then click Scan.
The scan may take some time to finish,so please be patient.
When the scan is complete, click OK, then Show Results to view the results.
Make sure that everything is checked, and click Remove Selected.
When disinfection is completed, a log will open in Notepad and you may be prompted to Restart.(See Extra Note)
The log is automatically saved by MBAM and can be viewed by clicking the Logs tab in MBAM.
Copy and Paste the entire report in your next reply along with a Hijackthis log.
Download ComboFix from Here (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) or Here (http://subs.geekstogo.com/ComboFix.exe) to your Desktop.
In the event you already have Combofix, this is a new version that I need you to download.
It must be saved directly to your desktop.
1. Close/disable all anti virus and anti malware programs so they do not interfere with the running of ComboFix.
Temporarily disable your anti-virus, script blocking and any anti-malware real-time protection before performing a scan.
Click on this link (http://www.bleepingcomputer.com/forums/topic114351.html) to see a list of programs that should be disabled. The list is not all inclusive. If yours is not listed and you don't know how to disable it, please ask.
Remember to re enable the protection again afterwards before connecting to the net
2. Close any open browsers and make sure you are disconnected from the net. Unplug the cable if need be before running combofix.
IF you have not already done so Combofix will disconnect your machine from the Internet when it starts.
If there is no internet connection when Combofix has completely finished then restart your computer to restore back the connections.
3. Now double click on combofix.exe & follow the prompts.
When finished, it will produce a report for you.
Please post the "C:\ComboFix.txt" along with a new HijackThis log for further review
guilledoc
2008-03-04, 15:40
Hi
i have downloaded all the files to my desk i start runing the vundofix. the scan runs ok but when i try to remove de vundo it last too long and then it promps that there is no responce.
i will thanks if you can tell me what to do
thanks
Hello,
Why don't you skip Vundofix right now and run Malwarebytes and Combofix.
Ken:)
guilledoc
2008-03-04, 20:00
hello:
im sending the logfiles of mbam and combofix also each hijack
my computer is already in a better mood
thanks and i will wait for more instructions
first mbam log
Malwarebytes' Anti-Malware 1.05
Versión de la Base de Datos: 451
Tipo de examen : Examen Rápido
Objetos examinados: 27405
Tiempo transcurrido: 3 minute(s), 20 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 2
Claves del Registro Infectadas: 18
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 2
Carpetas Infectadas: 0
Ficheros Infectados: 13
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
C:\WINDOWS\system32\jkkll.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kacivmyl.dll (Trojan.Vundo) -> No action taken.
Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cc7b76b0-0bb1-45c8-b8c6-ca494c4dc247} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cc7b76b0-0bb1-45c8-b8c6-ca494c4dc247} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{182c7ed7-e56d-4509-9d9b-ac49318d9895} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{182c7ed7-e56d-4509-9d9b-ac49318d9895} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{182c7ed7-e56d-4509-9d9b-ac49318d9895} (Trojan.Vundo) -> No action taken.
Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\jkkll.dll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\jkkll.dll -> No action taken.
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
C:\WINDOWS\system32\giwcknqg.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gqnkcwig.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gltiseeb.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\beesitlg.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ipeeukvf.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fvkueepi.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jkkll.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\llkkj.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\llkkj.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kacivmyl.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\lymvicak.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\njtjglcd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\dclgjtjn.ini (Trojan.Vundo) -> No action taken.
second mbamlog
Malwarebytes' Anti-Malware 1.05
Versión de la Base de Datos: 451
Tipo de examen : Examen Rápido
Objetos examinados: 27431
Tiempo transcurrido: 3 minute(s), 19 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 2
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)
Valores del Registro Infectados:
(No se han detectado elementos maliciosos)
Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
C:\WINDOWS\system32\jkkll.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\llkkj.ini (Trojan.Vundo) -> No action taken.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:32:14, on 04/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\guilledoc.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (disabled by BHODemon)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL (disabled by BHODemon)
O2 - BHO: {1701a891-7ea3-9ffb-01e4-e1c3de9b33d5} - {5d33b9ed-3c1e-4e10-bff9-3ae7198a1071} - C:\WINDOWS\system32\oxeqrffv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (disabled by BHODemon)
O2 - BHO: (no name) - {9FA9A763-461F-4FA2-BBE3-DC0F28797B2A} - (no file)
O2 - BHO: (no name) - {A64269FE-C60E-4F94-889B-0DEDED02A051} - (no file)
O2 - BHO: (no name) - {C1D92702-2EA7-4509-842A-AEB54FFCB88D} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (disabled by BHODemon)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [b474be8c] rundll32.exe "C:\WINDOWS\system32\kacivmyl.dll",b
O4 - HKLM\..\Run: [BMb7478d10] Rundll32.exe "C:\WINDOWS\system32\yppbqmba.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DataViz Inc Messenger.lnk.disabled
O4 - Global Startup: HotSync Manager.lnk.disabled
O4 - Global Startup: Utility Tray.lnk.disabled
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Archivos de programa\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Archivos de programa\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128978400244
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151247097015
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ddcccax - ddcccax.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
--
End of file - 7195 bytes
guilledoc
2008-03-04, 20:01
ComboFix 08-03-03.17 - GUILLE 2008-03-04 15:35:28.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.629 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\GUILLE\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\GUILLE\Datos de programa\inst.exe
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\eqbugjoc.dll
C:\WINDOWS\system32\exicyosq.dll
C:\WINDOWS\system32\fuhiswrl.dll
C:\WINDOWS\system32\hhxaksfm.dll
C:\WINDOWS\system32\kacivmyl.dll
C:\WINDOWS\system32\kawbvvhe.dll
C:\WINDOWS\system32\lfpunymd.dll
C:\WINDOWS\system32\lpffbmrn.dll
C:\WINDOWS\system32\lwtouxwo.dll
C:\WINDOWS\system32\mtejkixc.dll
C:\WINDOWS\system32\oxeqrffv.dll
C:\WINDOWS\system32\pefjnmpn.dll
C:\WINDOWS\system32\qdwdtekm.dll
C:\WINDOWS\system32\rmvsrfya.dll
C:\WINDOWS\system32\rxeooone.dll
C:\WINDOWS\system32\tmvaqutw.dll
C:\WINDOWS\system32\yikvpngb.dll
C:\WINDOWS\system32\yppbqmba.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\nm
(((((((((((((((((( Archivos creados desde 2008-02-04 - 2008-03-04 )))))))))))))))))))))))))))))))))
.
2008-03-04 15:19 . 2008-03-04 15:19 <DIR> d-------- C:\Documents and Settings\GUILLE\Datos de programa\Malwarebytes
2008-03-04 15:18 . 2008-03-04 15:18 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-03-04 15:18 . 2008-03-04 15:31 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-03-04 05:40 . 2008-03-04 05:40 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-03-04 05:21 . 2008-03-04 13:51 <DIR> d-------- C:\VundoFix Backups
2008-03-03 22:26 . 2008-03-03 22:26 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-03 22:26 . 2008-03-03 22:26 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-03 21:54 . 2008-03-04 05:14 954 ---hs---- C:\WINDOWS\system32\glhkauak.ini
2008-03-02 20:32 . 2008-03-03 21:48 714 ---hs---- C:\WINDOWS\system32\pmntnofp.ini
2008-03-02 18:50 . 2008-03-02 18:50 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-02 18:45 . 2008-03-02 18:45 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-02-28 23:01 . 2008-03-02 07:48 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2008-02-27 14:02 . 2008-02-28 21:52 354 ---hs---- C:\WINDOWS\system32\jmaspwnu.ini
2008-02-26 21:13 . 2008-02-26 21:13 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\vsosdk
2008-02-26 13:36 . 2008-03-04 13:26 99,482 --a------ C:\WINDOWS\BMb7478d10.xml
2008-02-25 12:45 . 2008-02-25 13:17 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-02-25 12:45 . 2008-02-25 12:45 <DIR> d-------- C:\Archivos de programa\Spybot - Search & Destroy
2008-02-25 12:01 . 2008-02-25 13:16 714 ---hs---- C:\WINDOWS\system32\qtrvtvwx.ini
2008-02-24 14:50 . 2008-02-24 14:50 <DIR> d-------- C:\Archivos de programa\Alwil Software
2008-02-24 14:50 . 2007-12-04 10:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-02-24 14:50 . 2004-01-09 06:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-02-24 14:50 . 2007-12-04 09:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-02-24 14:50 . 2007-12-04 11:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-02-24 14:50 . 2007-12-04 11:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-02-24 14:50 . 2007-12-04 11:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-02-24 14:50 . 2007-12-04 11:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-02-24 14:50 . 2007-12-04 11:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-02-24 14:12 . 2008-02-24 14:12 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-02-24 13:52 . 2008-02-25 13:16 <DIR> d-------- C:\Program Files
2008-02-23 21:09 . 2008-02-25 12:00 654 ---hs---- C:\WINDOWS\system32\gtteucoc.ini
2008-02-19 15:49 . 2008-02-27 06:02 <DIR> d-------- C:\Documents and Settings\GUILLE\Datos de programa\Vso
2008-02-19 15:49 . 2008-02-27 06:02 <DIR> d-------- C:\Archivos de programa\DVDFab Platinum 4
2008-02-19 15:49 . 2008-02-19 15:49 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-02-19 15:49 . 2008-02-27 06:01 47,360 --a------ C:\Documents and Settings\GUILLE\Datos de programa\pcouffin.sys
2008-02-19 14:17 . 2008-02-19 14:17 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SlySoft
2008-02-19 14:14 . 2008-02-19 14:53 120 --ahs---- C:\WINDOWS\S3E85E5E5.tmp
2008-02-19 14:13 . 2008-02-19 15:01 <DIR> d-------- C:\Archivos de programa\SlySoft
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-02 03:05 --------- d-----w C:\Documents and Settings\GUILLE\Datos de programa\Skype
2008-03-01 23:28 --------- d-----w C:\Documents and Settings\GUILLE\Datos de programa\skypePM
2008-02-25 01:51 --------- d-----w C:\Archivos de programa\ESET
2008-02-24 17:35 --------- d-----w C:\Archivos de programa\Windows Live Toolbar
2008-02-24 17:31 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-02-24 17:31 --------- d-----w C:\Archivos de programa\CyberLink
2008-02-24 17:26 --------- d-----w C:\Archivos de programa\Google
2008-02-24 17:24 --------- d-----w C:\Archivos de programa\palmOne
2008-02-24 17:09 --------- d-----w C:\Archivos de programa\Windows Live Safety Center
2008-02-19 19:02 --------- d-----w C:\Documents and Settings\GUILLE\Datos de programa\uTorrent
2008-02-17 01:16 45 ----a-w C:\Archivos de programa\kaluach.loc
2008-02-17 01:16 43 ----a-w C:\Archivos de programa\kaluach.usr
2008-02-17 01:16 318 ----a-w C:\Archivos de programa\kaluach.ini
2008-02-06 08:48 --------- d-----w C:\Archivos de programa\Documents To Go
2008-02-01 02:05 --------- d-----w C:\Documents and Settings\MARIELA\Datos de programa\uTorrent
2008-01-28 08:58 --------- d-----w C:\Archivos de programa\iSilo
2008-01-25 19:13 724,992 ----a-w C:\WINDOWS\iun6002.exe
2008-01-25 17:49 --------- d-----w C:\Archivos de programa\RADIO_USA
2008-01-25 17:28 --------- d-----w C:\Documents and Settings\GUILLE\Datos de programa\iSilo
2008-01-22 18:59 --------- d-----w C:\Archivos de programa\Epocrates
2008-01-22 18:59 --------- d-----w C:\Archivos de programa\Archivos comunes\Epocrates
2007-11-25 14:58 32 ----a-w C:\Documents and Settings\All Users\Datos de programa\ezsid.dat
2007-11-16 18:20 128,551,893 ----a-w C:\Archivos de programa\Corel.rar
2006-11-17 19:06 559 -c--a-w C:\Archivos de programa\Acceso directo a kaluach.lnk
2005-10-11 04:38 401,408 ----a-w C:\Archivos de programa\kaluach.exe
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:42 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Zone Labs Client"="C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe" [2004-04-01 09:30 693520]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 10:00 79224]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-11-16 15:56 282624]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcccax]
ddcccax.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"Skype"="C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Photo Downloader"="C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
"Ink Monitor"=C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
"SoundMan"=SOUNDMAN.EXE
"b474be8c"=rundll32.exe "C:\WINDOWS\system32\njtjglcd.dll",b
"BMb7478d10"=Rundll32.exe "C:\WINDOWS\system32\kawbvvhe.dll",s
"EPSON Stylus CX3700 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE /P26 "EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"
"SiSUSBRG"=C:\WINDOWS\SiSUSBrg.exe
"snpstd"=C:\WINDOWS\vsnpstd.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\Archivos de programa\\uTorrent\\uTorrent.exe"=
"C:\\Archivos de programa\\Archivos comunes\\Ahead\\Nero Web\\SetupX.exe"=
"C:\\Archivos de programa\\Real\\RealPlayer\\realplay.exe"=
"C:\\Archivos de programa\\CyberLink\\PowerDirector\\PDR.exe"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-05 05:43]
S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 02:58]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 03:08]
.
Contenido de carpeta 'Tareas Programadas'
"2008-03-04 18:42:15 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Archivos de programa\Windows Defender\MpCmdRun.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-04 15:40:03
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Tiempo completado: 2008-03-04 15:42:25 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-04 18:42:22
.
2008-02-29 00:59:15 --- E O F ---
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:44:17, on 04/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Trend Micro\HijackThis\guilledoc.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (disabled by BHODemon)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL (disabled by BHODemon)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (disabled by BHODemon)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (disabled by BHODemon)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DataViz Inc Messenger.lnk.disabled
O4 - Global Startup: HotSync Manager.lnk.disabled
O4 - Global Startup: Utility Tray.lnk.disabled
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Archivos de programa\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Archivos de programa\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128978400244
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151247097015
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ddcccax - ddcccax.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
--
End of file - 6925 bytes
thanks a lot :)
guilledoc,
I know your having a problem with the language, but maybe you need to have someone help you that can help you in English. These are the instructions for Malwarebytes.
Make sure that everything is checked, and click Remove Selected. Malwarebytes found a bunch of bad files but it did not remove anything, you need to run it again.
Malwarebytes.
Once the program has loaded, select "Perform Quick Scan", then click Scan.
The scan may take some time to finish,so please be patient.
When the scan is complete, click OK, then Show Results to view the results.
Make sure that everything is checked, and click Remove Selected. <--Don't forget this
When disinfection is completed, a log will open in Notepad and you may be prompted to Restart.(See Extra Note)
The log is automatically saved by MBAM and can be viewed by clicking the Logs tab in MBAM.
Copy and Paste the entire report in your next reply along with a Hijackthis log.
Then run Combofix again also please. Post the Malwarebytes log, the new Combofix log and a New HJT log
guilledoc
2008-03-05, 10:29
Hi
sorry my mistake i did remove the files but i send you a wrong log even though i run all the process again here are the the logs
please if if there are any further steps let me know
thanks a lot
Malwarebytes' Anti-Malware 1.05
Versión de la Base de Datos: 451
Tipo de examen : Examen Rápido
Objetos examinados: 27405
Tiempo transcurrido: 3 minute(s), 20 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 2
Claves del Registro Infectadas: 18
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 2
Carpetas Infectadas: 0
Ficheros Infectados: 13
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
C:\WINDOWS\system32\jkkll.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\kacivmyl.dll (Trojan.Vundo) -> Unloaded module successfully.
Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cc7b76b0-0bb1-45c8-b8c6-ca494c4dc247} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{cc7b76b0-0bb1-45c8-b8c6-ca494c4dc247} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{182c7ed7-e56d-4509-9d9b-ac49318d9895} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{182c7ed7-e56d-4509-9d9b-ac49318d9895} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> Delete on reboot.
HKEY_CURRENT_USER\Software\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{182c7ed7-e56d-4509-9d9b-ac49318d9895} (Trojan.Vundo) -> Quarantined and deleted successfully.
Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\jkkll.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\jkkll.dll -> Delete on reboot.
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
C:\WINDOWS\system32\giwcknqg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gqnkcwig.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gltiseeb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\beesitlg.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ipeeukvf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fvkueepi.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jkkll.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\llkkj.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\llkkj.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kacivmyl.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\lymvicak.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\njtjglcd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dclgjtjn.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
second
Malwarebytes' Anti-Malware 1.05
Versión de la Base de Datos: 451
Tipo de examen : Examen Rápido
Objetos examinados: 27431
Tiempo transcurrido: 3 minute(s), 19 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 2
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)
Valores del Registro Infectados:
(No se han detectado elementos maliciosos)
Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
C:\WINDOWS\system32\jkkll.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\llkkj.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
guilledoc
2008-03-05, 10:37
3
Malwarebytes' Anti-Malware 1.05
Versión de la Base de Datos: 451
Tipo de examen : Examen Rápido
Objetos examinados: 13849
Tiempo transcurrido: 2 minute(s), 22 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)
Valores del Registro Infectados:
(No se han detectado elementos maliciosos)
Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
(No se han detectado elementos maliciosos)
ComboFix 08-03-03.17 - GUILLE 2008-03-05 5:57:20.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.625 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\GUILLE\Escritorio\ComboFix.exe
ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.
(((((((((((((((((( Archivos creados desde 2008-02-05 - 2008-03-05 )))))))))))))))))))))))))))))))))
.
2008-03-04 15:42 . 2008-03-04 15:42 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuraci¾n local
2008-03-04 15:42 . 2008-03-04 15:42 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuraci¾n local
2008-03-04 15:42 . 2008-03-04 15:42 <DIR> d-------- C:\Documents and Settings\MARIELA\Configuraci¾n local
2008-03-04 15:42 . 2008-03-04 15:42 <DIR> d-------- C:\Documents and Settings\LocalService\Configuraci¾n local
2008-03-04 15:42 . 2008-03-04 15:42 <DIR> d-------- C:\Documents and Settings\GUILLE\Configuraci¾n local
2008-03-04 15:19 . 2008-03-04 15:19 <DIR> d-------- C:\Documents and Settings\GUILLE\Datos de programa\Malwarebytes
2008-03-04 15:18 . 2008-03-04 15:18 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-03-04 15:18 . 2008-03-04 15:31 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-03-04 05:40 . 2008-03-04 05:40 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-03-04 05:21 . 2008-03-05 05:02 <DIR> d-------- C:\VundoFix Backups
2008-03-03 22:26 . 2008-03-03 22:26 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-03 22:26 . 2008-03-03 22:26 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-03 21:54 . 2008-03-04 05:14 954 ---hs---- C:\WINDOWS\system32\glhkauak.ini
2008-03-02 20:32 . 2008-03-03 21:48 714 ---hs---- C:\WINDOWS\system32\pmntnofp.ini
2008-03-02 18:50 . 2008-03-02 18:50 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-02 18:45 . 2008-03-02 18:45 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-02-28 23:01 . 2008-03-02 07:48 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2008-02-27 14:02 . 2008-02-28 21:52 354 ---hs---- C:\WINDOWS\system32\jmaspwnu.ini
2008-02-26 21:13 . 2008-02-26 21:13 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\vsosdk
2008-02-26 13:36 . 2008-03-04 13:26 99,482 --a------ C:\WINDOWS\BMb7478d10.xml
2008-02-25 12:45 . 2008-02-25 13:17 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-02-25 12:45 . 2008-02-25 12:45 <DIR> d-------- C:\Archivos de programa\Spybot - Search & Destroy
2008-02-25 12:01 . 2008-02-25 13:16 714 ---hs---- C:\WINDOWS\system32\qtrvtvwx.ini
2008-02-24 14:50 . 2008-02-24 14:50 <DIR> d-------- C:\Archivos de programa\Alwil Software
2008-02-24 14:50 . 2007-12-04 10:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-02-24 14:50 . 2004-01-09 06:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-02-24 14:50 . 2007-12-04 09:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-02-24 14:50 . 2007-12-04 11:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-02-24 14:50 . 2007-12-04 11:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-02-24 14:50 . 2007-12-04 11:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-02-24 14:50 . 2007-12-04 11:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-02-24 14:50 . 2007-12-04 11:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-02-24 14:12 . 2008-02-24 14:12 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-02-24 13:52 . 2008-02-25 13:16 <DIR> d-------- C:\Program Files
2008-02-23 21:09 . 2008-02-25 12:00 654 ---hs---- C:\WINDOWS\system32\gtteucoc.ini
2008-02-19 15:49 . 2008-02-27 06:02 <DIR> d-------- C:\Documents and Settings\GUILLE\Datos de programa\Vso
2008-02-19 15:49 . 2008-02-27 06:02 <DIR> d-------- C:\Archivos de programa\DVDFab Platinum 4
2008-02-19 15:49 . 2008-02-19 15:49 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-02-19 15:49 . 2008-02-27 06:01 47,360 --a------ C:\Documents and Settings\GUILLE\Datos de programa\pcouffin.sys
2008-02-19 14:17 . 2008-02-19 14:17 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SlySoft
2008-02-19 14:14 . 2008-02-19 14:53 120 --ahs---- C:\WINDOWS\S3E85E5E5.tmp
2008-02-19 14:13 . 2008-02-19 15:01 <DIR> d-------- C:\Archivos de programa\SlySoft
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-04 17:43 81,920 ----a-w C:\WINDOWS\Internet Logs\xDB43.tmp
2008-03-04 17:43 4,958,720 ----a-w C:\WINDOWS\Internet Logs\xDB42.tmp
2008-03-04 14:19 4,956,160 ----a-w C:\WINDOWS\Internet Logs\xDB40.tmp
2008-03-04 14:19 30,720 ----a-w C:\WINDOWS\Internet Logs\xDB41.tmp
2008-03-04 13:50 4,956,160 ----a-w C:\WINDOWS\Internet Logs\xDB3E.tmp
2008-03-04 13:50 19,968 ----a-w C:\WINDOWS\Internet Logs\xDB3F.tmp
2008-03-04 10:26 4,955,648 ----a-w C:\WINDOWS\Internet Logs\xDB3B.tmp
2008-03-04 10:26 19,968 ----a-w C:\WINDOWS\Internet Logs\xDB3C.tmp
2008-03-04 08:41 830,976 ----a-w C:\WINDOWS\Internet Logs\xDB3A.tmp
2008-03-04 08:41 4,956,672 ----a-w C:\WINDOWS\Internet Logs\xDB39.tmp
2008-03-02 03:05 --------- d-----w C:\Documents and Settings\GUILLE\Datos de programa\Skype
2008-03-01 23:28 --------- d-----w C:\Documents and Settings\GUILLE\Datos de programa\skypePM
2008-02-26 18:27 736,256 ----a-w C:\WINDOWS\Internet Logs\xDB38.tmp
2008-02-26 18:27 4,883,968 ----a-w C:\WINDOWS\Internet Logs\xDB37.tmp
2008-02-25 01:51 --------- d-----w C:\Archivos de programa\ESET
2008-02-24 17:35 --------- d-----w C:\Archivos de programa\Windows Live Toolbar
2008-02-24 17:31 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-02-24 17:31 --------- d-----w C:\Archivos de programa\CyberLink
2008-02-24 17:26 --------- d-----w C:\Archivos de programa\Google
2008-02-24 17:24 --------- d-----w C:\Archivos de programa\palmOne
2008-02-24 17:09 --------- d-----w C:\Archivos de programa\Windows Live Safety Center
2008-02-20 17:53 4,756,480 ----a-w C:\WINDOWS\Internet Logs\xDB34.tmp
2008-02-20 17:53 1,237,504 ----a-w C:\WINDOWS\Internet Logs\xDB35.tmp
2008-02-19 19:02 --------- d-----w C:\Documents and Settings\GUILLE\Datos de programa\uTorrent
2008-02-17 01:16 45 ----a-w C:\Archivos de programa\kaluach.loc
2008-02-17 01:16 43 ----a-w C:\Archivos de programa\kaluach.usr
2008-02-17 01:16 318 ----a-w C:\Archivos de programa\kaluach.ini
2008-02-07 21:12 743,936 ----a-w C:\WINDOWS\Internet Logs\xDB3D.tmp
2008-02-07 21:12 4,686,848 ----a-w C:\WINDOWS\Internet Logs\xDB33.tmp
2008-02-06 08:48 --------- d-----w C:\Archivos de programa\Documents To Go
2008-02-04 02:08 4,685,824 ----a-w C:\WINDOWS\Internet Logs\xDB31.tmp
2008-02-04 02:08 1,130,496 ----a-w C:\WINDOWS\Internet Logs\xDB32.tmp
2008-02-01 02:05 --------- d-----w C:\Documents and Settings\MARIELA\Datos de programa\uTorrent
2008-01-29 02:12 4,660,736 ----a-w C:\WINDOWS\Internet Logs\xDB2F.tmp
2008-01-29 02:11 2,995,712 ----a-w C:\WINDOWS\Internet Logs\xDB30.tmp
2008-01-28 08:58 --------- d-----w C:\Archivos de programa\iSilo
2008-01-25 19:13 724,992 ----a-w C:\WINDOWS\iun6002.exe
2008-01-25 17:49 --------- d-----w C:\Archivos de programa\RADIO_USA
2008-01-25 17:28 --------- d-----w C:\Documents and Settings\GUILLE\Datos de programa\iSilo
2008-01-22 18:59 --------- d-----w C:\Archivos de programa\Epocrates
2008-01-22 18:59 --------- d-----w C:\Archivos de programa\Archivos comunes\Epocrates
2008-01-22 00:51 4,482,048 ----a-w C:\WINDOWS\Internet Logs\xDB2D.tmp
2008-01-22 00:50 244,736 ----a-w C:\WINDOWS\Internet Logs\xDB2E.tmp
2008-01-17 14:15 4,479,488 ----a-w C:\WINDOWS\Internet Logs\xDB2B.tmp
2008-01-17 14:15 282,624 ----a-w C:\WINDOWS\Internet Logs\xDB2C.tmp
2008-01-16 02:07 4,480,512 ----a-w C:\WINDOWS\Internet Logs\xDB29.tmp
2008-01-16 02:07 359,936 ----a-w C:\WINDOWS\Internet Logs\xDB2A.tmp
2008-01-14 14:30 851,456 ----a-w C:\WINDOWS\Internet Logs\xDB36.tmp
2008-01-14 14:30 4,479,488 ----a-w C:\WINDOWS\Internet Logs\xDB28.tmp
2008-01-06 16:49 4,472,832 ----a-w C:\WINDOWS\Internet Logs\xDB4028.tmp
2008-01-06 16:49 1,547,776 ----a-w C:\WINDOWS\Internet Logs\xDB4029.tmp
2007-12-26 03:17 4,344,832 ----a-w C:\WINDOWS\Internet Logs\xDB26.tmp
2007-12-26 03:17 369,664 ----a-w C:\WINDOWS\Internet Logs\xDB27.tmp
2007-12-24 02:11 4,342,272 ----a-w C:\WINDOWS\Internet Logs\xDB24.tmp
2007-12-24 02:11 2,609,664 ----a-w C:\WINDOWS\Internet Logs\xDB25.tmp
2007-12-09 19:26 4,299,776 ----a-w C:\WINDOWS\Internet Logs\xDB28B1.tmp
2007-12-09 19:26 34,304 ----a-w C:\WINDOWS\Internet Logs\xDB2A3B.tmp
2007-12-09 19:10 4,299,776 ----a-w C:\WINDOWS\Internet Logs\xDB17B.tmp
2007-12-09 19:10 3,104,768 ----a-w C:\WINDOWS\Internet Logs\xDB17C.tmp
2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-11-25 14:58 32 ----a-w C:\Documents and Settings\All Users\Datos de programa\ezsid.dat
2007-11-16 18:20 128,551,893 ----a-w C:\Archivos de programa\Corel.rar
2007-11-11 18:57 2,405,888 ----a-w C:\WINDOWS\Internet Logs\xDB22.tmp
2007-11-09 19:01 2,403,328 ----a-w C:\WINDOWS\Internet Logs\xDB23.tmp
2007-10-28 18:11 2,878,976 ----a-w C:\WINDOWS\Internet Logs\xDB21.tmp
2007-10-28 18:09 2,378,240 ----a-w C:\WINDOWS\Internet Logs\xDB20.tmp
2007-10-02 19:41 2,019,328 ----a-w C:\WINDOWS\Internet Logs\xDB1F.tmp
2007-09-23 22:50 287,232 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp
2007-09-23 22:50 1,996,288 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp
2007-09-21 01:30 19,456 ----a-w C:\WINDOWS\Internet Logs\xDB1B.tmp
2007-09-21 01:30 1,996,288 ----a-w C:\WINDOWS\Internet Logs\xDB1A.tmp
2007-09-21 01:26 24,576 ----a-w C:\WINDOWS\Internet Logs\xDB19.tmp
2007-09-21 01:26 1,996,288 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2007-09-21 01:23 3,147,776 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp
2007-09-21 01:23 1,996,288 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp
2007-09-20 18:02 1,996,288 ----a-w C:\WINDOWS\Internet Logs\xDB1E.tmp
2007-08-28 18:18 852,992 ----a-w C:\WINDOWS\Internet Logs\xDB26C.tmp
2007-08-28 18:18 1,900,032 ----a-w C:\WINDOWS\Internet Logs\xDB26B.tmp
2007-08-24 18:20 2,621,952 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp
2007-08-24 18:20 1,871,872 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2007-08-17 20:25 1,480,704 ----a-w C:\WINDOWS\Internet Logs\xDB76.tmp
2007-08-17 20:24 16,384 ----a-w C:\WINDOWS\Internet Logs\xDB77.tmp
2007-08-17 20:24 15,360 ----a-w C:\WINDOWS\Internet Logs\xDB75.tmp
2007-08-17 20:24 1,480,704 ----a-w C:\WINDOWS\Internet Logs\xDB74.tmp
2007-08-17 19:59 1,851,904 ----a-w C:\WINDOWS\Internet Logs\xDB73.tmp
2007-08-17 19:59 1,480,704 ----a-w C:\WINDOWS\Internet Logs\xDB72.tmp
2007-07-22 17:26 972,288 ----a-w C:\WINDOWS\Internet Logs\xDB194.tmp
2007-07-22 17:26 1,402,368 ----a-w C:\WINDOWS\Internet Logs\xDB193.tmp
2007-07-08 02:31 491,520 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2007-07-08 02:31 1,272,832 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2007-05-25 17:53 142,336 -c--a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2007-05-25 17:53 1,246,720 -c--a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2007-05-22 09:44 520,704 -c--a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2007-05-22 09:44 1,246,208 -c--a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2007-03-20 01:18 225,792 -c--a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2007-03-19 14:30 1,230,848 -c--a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2007-01-02 18:36 464,896 -c--a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2007-01-02 18:36 1,206,272 -c--a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2006-11-17 19:06 559 -c--a-w C:\Archivos de programa\Acceso directo a kaluach.lnk
2006-07-02 18:11 1,167,872 -c--a-w C:\WINDOWS\Internet Logs\xDB8.tmp
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:42 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Zone Labs Client"="C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe" [2004-04-01 09:30 693520]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 10:00 79224]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-11-16 15:56 282624]
C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
DataViz Inc Messenger.lnk.disabled [2007-10-25 23:05:01 867]
HotSync Manager.lnk.disabled [2007-10-09 19:13:40 1619]
Utility Tray.lnk.disabled [2005-10-11 01:57:26 1513]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcccax]
ddcccax.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"Skype"="C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Photo Downloader"="C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
"Ink Monitor"=C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
"SoundMan"=SOUNDMAN.EXE
"b474be8c"=rundll32.exe "C:\WINDOWS\system32\njtjglcd.dll",b
"BMb7478d10"=Rundll32.exe "C:\WINDOWS\system32\kawbvvhe.dll",s
"EPSON Stylus CX3700 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE /P26 "EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"
"SiSUSBRG"=C:\WINDOWS\SiSUSBrg.exe
"snpstd"=C:\WINDOWS\vsnpstd.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\Archivos de programa\\uTorrent\\uTorrent.exe"=
"C:\\Archivos de programa\\Archivos comunes\\Ahead\\Nero Web\\SetupX.exe"=
"C:\\Archivos de programa\\Real\\RealPlayer\\realplay.exe"=
"C:\\Archivos de programa\\CyberLink\\PowerDirector\\PDR.exe"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-05 05:43]
S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 02:58]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 03:08]
.
Contenido de carpeta 'Tareas Programadas'
"2008-03-05 08:00:45 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Archivos de programa\Windows Defender\MpCmdRun.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-05 05:59:15
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
**************************************************************************
.
Tiempo completado: 2008-03-05 5:59:56
ComboFix-quarantined-files.txt 2008-03-05 08:59:47
ComboFix2.txt 2008-03-04 18:42:26
.
2008-03-05 07:47:50 --- E O F ---
guilledoc
2008-03-05, 10:39
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:01:32, on 05/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Trend Micro\HijackThis\guilledoc.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (disabled by BHODemon)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL (disabled by BHODemon)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (disabled by BHODemon)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (disabled by BHODemon)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DataViz Inc Messenger.lnk.disabled
O4 - Global Startup: HotSync Manager.lnk.disabled
O4 - Global Startup: Utility Tray.lnk.disabled
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Archivos de programa\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Archivos de programa\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128978400244
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151247097015
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ddcccax - ddcccax.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
--
End of file - 6892 bytes
thanks again :)
Good Morning,
Thats much better , thank you.
Go to Start> All Programs> Assessories> Notepad
Open Notepad ( this will only work with Notepad )and copy all the text inside the Codebox by highlighting it all and pressing CTRL C on your keyboard, then paste it into Notepad, make sure there is no space before and above File::
File::
C:\WINDOWS\system32\glhkauak.ini
C:\WINDOWS\system32\pmntnofp.ini
C:\WINDOWS\system32\jmaspwnu.ini
C:\WINDOWS\system32\qtrvtvwx.ini
C:\WINDOWS\system32\gtteucoc.ini
C:\WINDOWS\system32\njtjglcd.dll
C:\WINDOWS\system32\ddcccax.dll
C:\WINDOWS\system32\kawbvvhe.dll
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcccax]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"b474be8c"=-
"BMb7478d10"=-
Save this as CFScript to your desktop.
Then drag the CFScript into ComboFix.exe as you see in the screenshot below.
http://i24.photobucket.com/albums/c30/ken545/CFScript.gif
This will start ComboFix again. After reboot, (in case it asks to reboot), post the contents of Combofix.txt in your next reply together with a new HijackThis log.
guilledoc
2008-03-05, 11:53
good morning
im not at home right now and i wont be back till tomorrow
i will do what you said first thing when i will sit in front of my computer
thanks a lot
guilledoc
2008-03-06, 14:34
hello
i did what you asked and here i send you the logs of combofix and hijackthis
thank i will wait for further tips
ComboFix 08-03-03.17 - GUILLE 2008-03-06 7:26:01.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.622 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\GUILLE\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\GUILLE\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración
ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
FILE ::
C:\WINDOWS\system32\ddcccax.dll
C:\WINDOWS\system32\glhkauak.ini
C:\WINDOWS\system32\gtteucoc.ini
C:\WINDOWS\system32\jmaspwnu.ini
C:\WINDOWS\system32\kawbvvhe.dll
C:\WINDOWS\system32\njtjglcd.dll
C:\WINDOWS\system32\pmntnofp.ini
C:\WINDOWS\system32\qtrvtvwx.ini
.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\glhkauak.ini
C:\WINDOWS\system32\gtteucoc.ini
C:\WINDOWS\system32\jmaspwnu.ini
C:\WINDOWS\system32\pmntnofp.ini
C:\WINDOWS\system32\qtrvtvwx.ini
.
(((((((((((((((((( Archivos creados desde 2008-02-06 - 2008-03-06 )))))))))))))))))))))))))))))))))
.
2008-03-06 07:13 . 2008-03-06 07:13 0 --a------ C:\WINDOWS\nsreg.dat
2008-03-04 15:42 . 2008-03-04 15:42 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuraci¾n local
2008-03-04 15:42 . 2008-03-04 15:42 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuraci¾n local
2008-03-04 15:42 . 2008-03-04 15:42 <DIR> d-------- C:\Documents and Settings\MARIELA\Configuraci¾n local
2008-03-04 15:42 . 2008-03-04 15:42 <DIR> d-------- C:\Documents and Settings\LocalService\Configuraci¾n local
2008-03-04 15:42 . 2008-03-04 15:42 <DIR> d-------- C:\Documents and Settings\GUILLE\Configuraci¾n local
2008-03-04 15:19 . 2008-03-04 15:19 <DIR> d-------- C:\Documents and Settings\GUILLE\Datos de programa\Malwarebytes
2008-03-04 15:18 . 2008-03-04 15:18 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-03-04 15:18 . 2008-03-04 15:31 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-03-04 05:40 . 2008-03-04 05:40 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-03-04 05:21 . 2008-03-05 05:02 <DIR> d-------- C:\VundoFix Backups
2008-03-03 22:26 . 2008-03-03 22:26 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-03 22:26 . 2008-03-03 22:26 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-02 18:50 . 2008-03-02 18:50 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-02 18:45 . 2008-03-02 18:45 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-02-28 23:01 . 2008-03-02 07:48 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2008-02-26 21:13 . 2008-02-26 21:13 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\vsosdk
2008-02-26 13:36 . 2008-03-04 13:26 99,482 --a------ C:\WINDOWS\BMb7478d10.xml
2008-02-25 12:45 . 2008-02-25 13:17 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-02-25 12:45 . 2008-02-25 12:45 <DIR> d-------- C:\Archivos de programa\Spybot - Search & Destroy
2008-02-24 14:50 . 2008-02-24 14:50 <DIR> d-------- C:\Archivos de programa\Alwil Software
2008-02-24 14:50 . 2007-12-04 10:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-02-24 14:50 . 2004-01-09 06:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-02-24 14:50 . 2007-12-04 09:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-02-24 14:50 . 2007-12-04 11:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-02-24 14:50 . 2007-12-04 11:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-02-24 14:50 . 2007-12-04 11:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-02-24 14:50 . 2007-12-04 11:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-02-24 14:50 . 2007-12-04 11:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-02-24 14:12 . 2008-02-24 14:12 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-02-24 13:52 . 2008-02-25 13:16 <DIR> d-------- C:\Program Files
2008-02-19 15:49 . 2008-02-27 06:02 <DIR> d-------- C:\Documents and Settings\GUILLE\Datos de programa\Vso
2008-02-19 15:49 . 2008-02-27 06:02 <DIR> d-------- C:\Archivos de programa\DVDFab Platinum 4
2008-02-19 15:49 . 2008-02-19 15:49 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-02-19 15:49 . 2008-02-27 06:01 47,360 --a------ C:\Documents and Settings\GUILLE\Datos de programa\pcouffin.sys
2008-02-19 14:17 . 2008-02-19 14:17 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SlySoft
2008-02-19 14:14 . 2008-02-19 14:53 120 --ahs---- C:\WINDOWS\S3E85E5E5.tmp
2008-02-19 14:13 . 2008-02-19 15:01 <DIR> d-------- C:\Archivos de programa\SlySoft
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-04 17:43 81,920 ----a-w C:\WINDOWS\Internet Logs\xDB43.tmp
2008-03-04 17:43 4,958,720 ----a-w C:\WINDOWS\Internet Logs\xDB42.tmp
2008-03-04 14:19 4,956,160 ----a-w C:\WINDOWS\Internet Logs\xDB40.tmp
2008-03-04 14:19 30,720 ----a-w C:\WINDOWS\Internet Logs\xDB41.tmp
2008-03-04 13:50 4,956,160 ----a-w C:\WINDOWS\Internet Logs\xDB3E.tmp
2008-03-04 13:50 19,968 ----a-w C:\WINDOWS\Internet Logs\xDB3F.tmp
2008-03-04 10:26 4,955,648 ----a-w C:\WINDOWS\Internet Logs\xDB3B.tmp
2008-03-04 10:26 19,968 ----a-w C:\WINDOWS\Internet Logs\xDB3C.tmp
2008-03-04 08:41 830,976 ----a-w C:\WINDOWS\Internet Logs\xDB3A.tmp
2008-03-04 08:41 4,956,672 ----a-w C:\WINDOWS\Internet Logs\xDB39.tmp
2008-03-02 03:05 --------- d-----w C:\Documents and Settings\GUILLE\Datos de programa\Skype
2008-03-01 23:28 --------- d-----w C:\Documents and Settings\GUILLE\Datos de programa\skypePM
2008-02-26 18:27 736,256 ----a-w C:\WINDOWS\Internet Logs\xDB38.tmp
2008-02-26 18:27 4,883,968 ----a-w C:\WINDOWS\Internet Logs\xDB37.tmp
2008-02-25 01:51 --------- d-----w C:\Archivos de programa\ESET
2008-02-24 17:35 --------- d-----w C:\Archivos de programa\Windows Live Toolbar
2008-02-24 17:31 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-02-24 17:31 --------- d-----w C:\Archivos de programa\CyberLink
2008-02-24 17:26 --------- d-----w C:\Archivos de programa\Google
2008-02-24 17:24 --------- d-----w C:\Archivos de programa\palmOne
2008-02-24 17:09 --------- d-----w C:\Archivos de programa\Windows Live Safety Center
2008-02-20 17:53 4,756,480 ----a-w C:\WINDOWS\Internet Logs\xDB34.tmp
2008-02-20 17:53 1,237,504 ----a-w C:\WINDOWS\Internet Logs\xDB35.tmp
2008-02-19 19:02 --------- d-----w C:\Documents and Settings\GUILLE\Datos de programa\uTorrent
2008-02-17 01:16 45 ----a-w C:\Archivos de programa\kaluach.loc
2008-02-17 01:16 43 ----a-w C:\Archivos de programa\kaluach.usr
2008-02-17 01:16 318 ----a-w C:\Archivos de programa\kaluach.ini
2008-02-07 21:12 743,936 ----a-w C:\WINDOWS\Internet Logs\xDB3D.tmp
2008-02-07 21:12 4,686,848 ----a-w C:\WINDOWS\Internet Logs\xDB33.tmp
2008-02-06 08:48 --------- d-----w C:\Archivos de programa\Documents To Go
2008-02-04 02:08 4,685,824 ----a-w C:\WINDOWS\Internet Logs\xDB31.tmp
2008-02-04 02:08 1,130,496 ----a-w C:\WINDOWS\Internet Logs\xDB32.tmp
2008-02-01 02:05 --------- d-----w C:\Documents and Settings\MARIELA\Datos de programa\uTorrent
2008-01-29 02:12 4,660,736 ----a-w C:\WINDOWS\Internet Logs\xDB2F.tmp
2008-01-29 02:11 2,995,712 ----a-w C:\WINDOWS\Internet Logs\xDB30.tmp
2008-01-28 08:58 --------- d-----w C:\Archivos de programa\iSilo
2008-01-25 19:13 724,992 ----a-w C:\WINDOWS\iun6002.exe
2008-01-25 17:49 --------- d-----w C:\Archivos de programa\RADIO_USA
2008-01-25 17:28 --------- d-----w C:\Documents and Settings\GUILLE\Datos de programa\iSilo
2008-01-22 18:59 --------- d-----w C:\Archivos de programa\Epocrates
2008-01-22 18:59 --------- d-----w C:\Archivos de programa\Archivos comunes\Epocrates
2008-01-22 00:51 4,482,048 ----a-w C:\WINDOWS\Internet Logs\xDB2D.tmp
2008-01-22 00:50 244,736 ----a-w C:\WINDOWS\Internet Logs\xDB2E.tmp
2008-01-17 14:15 4,479,488 ----a-w C:\WINDOWS\Internet Logs\xDB2B.tmp
2008-01-17 14:15 282,624 ----a-w C:\WINDOWS\Internet Logs\xDB2C.tmp
2008-01-16 02:07 4,480,512 ----a-w C:\WINDOWS\Internet Logs\xDB29.tmp
2008-01-16 02:07 359,936 ----a-w C:\WINDOWS\Internet Logs\xDB2A.tmp
2008-01-14 14:30 851,456 ----a-w C:\WINDOWS\Internet Logs\xDB36.tmp
2008-01-14 14:30 4,479,488 ----a-w C:\WINDOWS\Internet Logs\xDB28.tmp
2008-01-06 16:49 4,472,832 ----a-w C:\WINDOWS\Internet Logs\xDB4028.tmp
2008-01-06 16:49 1,547,776 ----a-w C:\WINDOWS\Internet Logs\xDB4029.tmp
2007-12-26 03:17 4,344,832 ----a-w C:\WINDOWS\Internet Logs\xDB26.tmp
2007-12-26 03:17 369,664 ----a-w C:\WINDOWS\Internet Logs\xDB27.tmp
2007-12-24 02:11 4,342,272 ----a-w C:\WINDOWS\Internet Logs\xDB24.tmp
2007-12-24 02:11 2,609,664 ----a-w C:\WINDOWS\Internet Logs\xDB25.tmp
2007-12-09 19:26 4,299,776 ----a-w C:\WINDOWS\Internet Logs\xDB28B1.tmp
2007-12-09 19:26 34,304 ----a-w C:\WINDOWS\Internet Logs\xDB2A3B.tmp
2007-12-09 19:10 4,299,776 ----a-w C:\WINDOWS\Internet Logs\xDB17B.tmp
2007-12-09 19:10 3,104,768 ----a-w C:\WINDOWS\Internet Logs\xDB17C.tmp
2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-11-25 14:58 32 ----a-w C:\Documents and Settings\All Users\Datos de programa\ezsid.dat
2007-11-16 18:20 128,551,893 ----a-w C:\Archivos de programa\Corel.rar
2007-11-11 18:57 2,405,888 ----a-w C:\WINDOWS\Internet Logs\xDB22.tmp
2007-11-09 19:01 2,403,328 ----a-w C:\WINDOWS\Internet Logs\xDB23.tmp
2007-10-28 18:11 2,878,976 ----a-w C:\WINDOWS\Internet Logs\xDB21.tmp
2007-10-28 18:09 2,378,240 ----a-w C:\WINDOWS\Internet Logs\xDB20.tmp
2007-10-02 19:41 2,019,328 ----a-w C:\WINDOWS\Internet Logs\xDB1F.tmp
2007-09-23 22:50 287,232 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp
2007-09-23 22:50 1,996,288 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp
2007-09-21 01:30 19,456 ----a-w C:\WINDOWS\Internet Logs\xDB1B.tmp
2007-09-21 01:30 1,996,288 ----a-w C:\WINDOWS\Internet Logs\xDB1A.tmp
2007-09-21 01:26 24,576 ----a-w C:\WINDOWS\Internet Logs\xDB19.tmp
2007-09-21 01:26 1,996,288 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2007-09-21 01:23 3,147,776 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp
2007-09-21 01:23 1,996,288 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp
2007-09-20 18:02 1,996,288 ----a-w C:\WINDOWS\Internet Logs\xDB1E.tmp
2007-08-28 18:18 852,992 ----a-w C:\WINDOWS\Internet Logs\xDB26C.tmp
2007-08-28 18:18 1,900,032 ----a-w C:\WINDOWS\Internet Logs\xDB26B.tmp
2007-08-24 18:20 2,621,952 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp
2007-08-24 18:20 1,871,872 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2007-08-17 20:25 1,480,704 ----a-w C:\WINDOWS\Internet Logs\xDB76.tmp
2007-08-17 20:24 16,384 ----a-w C:\WINDOWS\Internet Logs\xDB77.tmp
2007-08-17 20:24 15,360 ----a-w C:\WINDOWS\Internet Logs\xDB75.tmp
2007-08-17 20:24 1,480,704 ----a-w C:\WINDOWS\Internet Logs\xDB74.tmp
2007-08-17 19:59 1,851,904 ----a-w C:\WINDOWS\Internet Logs\xDB73.tmp
2007-08-17 19:59 1,480,704 ----a-w C:\WINDOWS\Internet Logs\xDB72.tmp
2007-07-22 17:26 972,288 ----a-w C:\WINDOWS\Internet Logs\xDB194.tmp
2007-07-22 17:26 1,402,368 ----a-w C:\WINDOWS\Internet Logs\xDB193.tmp
2007-07-08 02:31 491,520 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2007-07-08 02:31 1,272,832 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2007-05-25 17:53 142,336 -c--a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2007-05-25 17:53 1,246,720 -c--a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2007-05-22 09:44 520,704 -c--a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2007-05-22 09:44 1,246,208 -c--a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2007-03-20 01:18 225,792 -c--a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2007-03-19 14:30 1,230,848 -c--a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2007-01-02 18:36 464,896 -c--a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2007-01-02 18:36 1,206,272 -c--a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2006-11-17 19:06 559 -c--a-w C:\Archivos de programa\Acceso directo a kaluach.lnk
2006-07-02 18:11 1,167,872 -c--a-w C:\WINDOWS\Internet Logs\xDB8.tmp
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:42 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Zone Labs Client"="C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe" [2004-04-01 09:30 693520]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 10:00 79224]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-11-16 15:56 282624]
C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
DataViz Inc Messenger.lnk.disabled [2007-10-25 23:05:01 867]
HotSync Manager.lnk.disabled [2007-10-09 19:13:40 1619]
Utility Tray.lnk.disabled [2005-10-11 01:57:26 1513]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"Skype"="C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Photo Downloader"="C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
"Ink Monitor"=C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
"SoundMan"=SOUNDMAN.EXE
"EPSON Stylus CX3700 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE /P26 "EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"
"SiSUSBRG"=C:\WINDOWS\SiSUSBrg.exe
"snpstd"=C:\WINDOWS\vsnpstd.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\Archivos de programa\\uTorrent\\uTorrent.exe"=
"C:\\Archivos de programa\\Archivos comunes\\Ahead\\Nero Web\\SetupX.exe"=
"C:\\Archivos de programa\\Real\\RealPlayer\\realplay.exe"=
"C:\\Archivos de programa\\CyberLink\\PowerDirector\\PDR.exe"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-05 05:43]
R3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 02:58]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 03:08]
.
Contenido de carpeta 'Tareas Programadas'
"2008-03-06 10:16:02 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Archivos de programa\Windows Defender\MpCmdRun.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-06 07:27:43
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
**************************************************************************
.
Tiempo completado: 2008-03-06 7:28:24
ComboFix-quarantined-files.txt 2008-03-06 10:28:10
ComboFix2.txt 2008-03-05 08:59:56
ComboFix3.txt 2008-03-04 18:42:26
.
2008-03-05 07:47:50 --- E O F ---
guilledoc
2008-03-06, 14:37
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:29:48, on 06/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\system32\fxssvc.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Trend Micro\HijackThis\guilledoc.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (disabled by BHODemon)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL (disabled by BHODemon)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (disabled by BHODemon)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (disabled by BHODemon)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DataViz Inc Messenger.lnk.disabled
O4 - Global Startup: HotSync Manager.lnk.disabled
O4 - Global Startup: Utility Tray.lnk.disabled
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Archivos de programa\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Archivos de programa\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128978400244
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151247097015
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
--
End of file - 6932 bytes
Hello,
Everything looks fine :bigthumb::bigthumb:
How is your computer running now???
guilledoc
2008-03-07, 01:57
hello:
the computer is runing much better now, but yet, I pased again the malwarebites antimalware and it find one key infected of course I´ve it deleted.
im sending you the log and a new hijackthis
i will apreciate if you can tell me if there is anything else to do with this infection and wich programs I should have to work safer. should I enable the teatimer? download spywareblaster 4? Is the antivirus ok? or what else to do.
thanks a lot till now you did a great, great job :bigthumb:
Malwarebytes' Anti-Malware 1.07
Versión de la Base de Datos: 460
Tipo de examen : Examen Rápido
Objetos examinados: 27059
Tiempo transcurrido: 3 minute(s), 17 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{182c7ed7-e56d-4509-9d9b-ac49318d9895} (Trojan.Vundo) -> Quarantined and deleted successfully.
Valores del Registro Infectados:
(No se han detectado elementos maliciosos)
Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
(No se han detectado elementos maliciosos)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:22, on 06/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\internet explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Trend Micro\HijackThis\guilledoc.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {18E7A60D-E98B-485C-9B83-3D44B38A88E1} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (disabled by BHODemon)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL (disabled by BHODemon)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (disabled by BHODemon)
O2 - BHO: (no name) - {9FA9A763-461F-4FA2-BBE3-DC0F28797B2A} - (no file)
O2 - BHO: (no name) - {A64269FE-C60E-4F94-889B-0DEDED02A051} - (no file)
O2 - BHO: (no name) - {C1D92702-2EA7-4509-842A-AEB54FFCB88D} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (disabled by BHODemon)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DataViz Inc Messenger.lnk.disabled
O4 - Global Startup: HotSync Manager.lnk.disabled
O4 - Global Startup: Utility Tray.lnk.disabled
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Archivos de programa\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Archivos de programa\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128978400244
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151247097015
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ddcccax - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
--
End of file - 6860 bytes
Hello,
Open HijackThis > Do a System Scan Only, close your browser and all open windows including this one, the only program or window you should have open is HijackThis, check the following entries and click on Fix Checked.
O2 - BHO: (no name) - {18E7A60D-E98B-485C-9B83-3D44B38A88E1} - (no file)
O2 - BHO: (no name) - {9FA9A763-461F-4FA2-BBE3-DC0F28797B2A} - (no file)
O2 - BHO: (no name) - {A64269FE-C60E-4F94-889B-0DEDED02A051} - (no file)
O2 - BHO: (no name) - {C1D92702-2EA7-4509-842A-AEB54FFCB88D} - (no file)
O20 - Winlogon Notify: ddcccax - C:\WINDOWS\
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
Time for some housekeeping
Click START then RUN
Now type Combofix /u in the runbox and click OK. Note the space between the X and the U, it needs to be there.
http://i189.photobucket.com/albums/z176/EPL47/CF_Cleanup.png
When shown the disclaimer, Select "2"
The above procedure will:
Delete the following:
ComboFix and its associated files and folders.
VundoFix backups, if present
The C:\Deckard folder, if present
The C:_OtMoveIt folder, if present
Reset the clock settings.
Hide file extensions, if required.
Hide System/Hidden files, if required.
Reset System Restore.
Download CCleaner from here (http://www.ccleaner.com/) to clean temp files from your computer.
Double click on the file to start the installation of the program.
Select your language and click OK, then next.
Read the license agreement and click I Agree.
Click next to use the default install location. Click Install then finish to complete installation.
Double click the CCleaner shortcut on the desktop to start the program.
On the "Windows" tab, under "Internet Explorer," uncheck "Cookies" if you do not want them deleted. (If deleted, you will likely need to reenter your passwords at all sites where a cookie is used to recognize you when you visit).
If you use either the Firefox or Mozilla browsers, the box to uncheck for "Cookies" is on the Applications tab, under Firefox/Mozilla.
Click on the "Options" icon at the left side of the window, then click on "Advanced."
deselect "Only delete files in Windows Temp folders older than 48 hours."
Click on the "Cleaner" icon on the left side of the window, then click Run Cleaner to run the program.
Caution: It is not recommended that you use the "Issues" feature unless you are very familiar with the registry as it has been known to find legitimate items.
After CCleaner has completed its process, click Exit.
*NOTE* CCleaner deletes EVERYTHING out of temp/temporary folders. If you have anything in a temp folder, back it up or move it to a permanent folder prior to running CCleaner!
Post one last HJT log and lets make sure everything is ok, and then I will link you to free programs to install to help keep you more secure.
guilledoc
2008-03-07, 09:38
good morning
this is the last hijack log hope every thing is ok
thanks a lot :)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:31:30, on 07/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\internet explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\HijackThis\guilledoc.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (disabled by BHODemon)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL (disabled by BHODemon)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (disabled by BHODemon)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (disabled by BHODemon)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DataViz Inc Messenger.lnk.disabled
O4 - Global Startup: HotSync Manager.lnk.disabled
O4 - Global Startup: Utility Tray.lnk.disabled
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Archivos de programa\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Archivos de programa\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128978400244
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151247097015
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
--
End of file - 6444 bytes
:bigthumb::bigthumb::bigthumb:
How did I get infected in the first place ? Read these links and find out how to prevent getting infected again.
Tutorial for System Restore (http://www.bleepingcomputer.com/tutorials/tutorial56.html) <-- Do this first to prevent yourself from being reinfected.
WhattheTech (http://forums.whatthetech.com/So_how_did_I_get_infected_in_the_first_place_t57817.html)
TonyKlein CastleCops (http://www.castlecops.com/postlite7736-.html)
Grinler BleepingComputer (http://www.bleepingcomputer.com/forums/topic2520.html)
GeeksTo Go (http://www.geekstogo.com/forum/index.php?autocom=custom&page=How_did_I)
Dslreports (http://www.dslreports.com/faq/10002)
Safe Surfn
Ken
guilledoc
2008-03-07, 13:44
hi
realy thank you for everything, at least we won this battle, I think.
it´s very nice to know there are also good people in the net that make his best effort to help desperete and knowless people like me
you are great :crowned:
thanks a lot
hope not beeing in this forum soon
guilledoc :bigthumb:
This topic has been resolved and is now closed