tomhelp
2006-09-19, 20:11
hi all , im new to all this s oplease excuse my ignorance , i think i have a virus i have run ad-adware se , window washer and spybot search & destroy but still i get pop ups home page changes and computer shutting down when i try to run spybot please help tom here is my log
ArchiveData(auto-quarantine- 2006-09-18 21-52-04.bckp)
Referencefile : SE1R123 14.09.2006
======================================================
MRU LIST
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=MRU FileReference : C:\Documents and Settings\jackson\Application Data\microsoft\office\recent\CHRIS TIME TABLE.LNK
obj[1]=MRU FileReference : C:\Documents and Settings\jackson\Application Data\microsoft\office\recent\CHRIS.LNK
obj[3]=MRU RegReference : S-1-5-21-746137067-1343024091-1957994488-1003\software\microsoft\search assistant\acmru\5001
obj[4]=MRU RegReference : S-1-5-21-746137067-1343024091-1957994488-1003\software\microsoft\search assistant\acmru\5603
obj[5]=MRU RegReference : S-1-5-21-746137067-1343024091-1957994488-1003\software\microsoft\search assistant\acmru\5604
obj[7]=MRU RegReference : S-1-5-21-746137067-1343024091-1957994488-1003\software\microsoft\windows\currentversion\applets\regedit lastkey
obj[8]=MRU RegReference : S-1-5-21-746137067-1343024091-1957994488-1003\software\microsoft\windows\currentversion\explorer\runmru
obj[9]=MRU RegReference : S-1-5-21-746137067-1343024091-1957994488-1003\software\nico mak computing\winzip\filemenu
WIN32.TROJAN.DNSCHANGER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[7]=Folder : C:\Program Files\Network Monitor
obj[32]=File : C:\Program Files\Network Monitor\netmon.exe
ADWARE.FREEPROD TOOLBAR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[8]=RegValue : software\microsoft\windows\currentversion\internet settings "GlobalUserOffline"
obj[34]=File : C:\RECYCLER\S-1-5-21-746137067-1343024091-1957994488-1003\Dc87\MyToolBar.dll
WIN32.TROJAN.DOWNLOADER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[9]=Regkey : software\adwaredisablekey3
obj[10]=Regkey : software\adwaredisablekey3
obj[35]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP12\A0016377.dll
obj[36]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP12\A0016378.exe
ADWARE.P2PNETWORKING
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[11]=Regkey : software\p2p networking
obj[40]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029233.exe
obj[47]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029271.DLL
obj[48]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0030268.exe
CMDSERVICES
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[12]=Regkey : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920}
obj[13]=RegValue : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920} "DisplayName"
obj[14]=RegValue : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920} "DisplayVersion"
obj[15]=RegValue : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920} "NoModify"
obj[16]=RegValue : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920} "NoRemove"
obj[17]=RegValue : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920} "NoRepair"
obj[18]=RegValue : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920} "UninstallString"
obj[19]=Regkey : system\controlset001\services\cmdservice
obj[20]=RegValue : system\controlset001\services\cmdservice "Start"
obj[21]=RegValue : system\controlset001\services\cmdservice "ErrorControl"
obj[22]=RegValue : system\controlset001\services\cmdservice "ImagePath"
obj[23]=RegValue : system\controlset001\services\cmdservice "DisplayName"
obj[24]=RegValue : system\controlset001\services\cmdservice "ObjectName"
obj[25]=Regkey : system\currentcontrolset\services\cmdservice
obj[26]=RegValue : system\currentcontrolset\services\cmdservice "Start"
obj[27]=RegValue : system\currentcontrolset\services\cmdservice "ErrorControl"
obj[28]=RegValue : system\currentcontrolset\services\cmdservice "ImagePath"
obj[29]=RegValue : system\currentcontrolset\services\cmdservice "DisplayName"
obj[30]=RegValue : system\currentcontrolset\services\cmdservice "ObjectName"
obj[51]=File : C:\WINDOWS\dG9t\command.exe
WIN32.TROJAN.STARTER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[31]=File : C:\Program Files\Common Files\{941B9D67-02BD-2057-0706-00111519002c}\Update.exe
SPYWAREQUAKE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[33]=File : C:\RECYCLER\S-1-5-21-746137067-1343024091-1957994488-1003\Dc86.com\Spy-Quake2.exe
WIN32.TROJANDOWNLOADER.ZLOB
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[37]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP13\A0016397.exe
RXTOOLBAR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[38]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029221.exe
obj[45]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029269.dll
obj[46]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029270.dll
ALTNETBDE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[39]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029230.dll
obj[41]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029234.exe
obj[42]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029245.exe
obj[43]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029246.exe
obj[44]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029247.dll
ADWARE.INSTAFINDER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[49]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP58\A0039115.dll
ISEARCH TOOLBAR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[50]=File : C:\WINDOWS\dG9t\asappsrv.dll
OTHER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[52]=File : C:\WINDOWS\prefetch\UPDATE.EXE-020DA1F3.pf
obj[53]=File : C:\WINDOWS\prefetch\NETMON.EXE-09C9CC43.pf
obj[54]=File : C:\WINDOWS\prefetch\SPY-QUAKE2.EXE-2D56BA5E.pf
obj[55]=File : C:\WINDOWS\prefetch\COMMAND.EXE-2711D9E0.pf
then done it again and had this one so ive post it as well
Logfile of HijackThis v1.99.1
Scan saved at 14:26:27, on 19/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\jackson\My Documents\downloaded progs\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.uk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "jackson"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/23d5cbd246ee92bb7818/netzip/RdxIE601.cab
O16 - DPF: {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - http://www.googlecaches.com/install/tload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156272073608
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156274946600
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - (no CLSID) - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
ArchiveData(auto-quarantine- 2006-09-18 21-52-04.bckp)
Referencefile : SE1R123 14.09.2006
======================================================
MRU LIST
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=MRU FileReference : C:\Documents and Settings\jackson\Application Data\microsoft\office\recent\CHRIS TIME TABLE.LNK
obj[1]=MRU FileReference : C:\Documents and Settings\jackson\Application Data\microsoft\office\recent\CHRIS.LNK
obj[3]=MRU RegReference : S-1-5-21-746137067-1343024091-1957994488-1003\software\microsoft\search assistant\acmru\5001
obj[4]=MRU RegReference : S-1-5-21-746137067-1343024091-1957994488-1003\software\microsoft\search assistant\acmru\5603
obj[5]=MRU RegReference : S-1-5-21-746137067-1343024091-1957994488-1003\software\microsoft\search assistant\acmru\5604
obj[7]=MRU RegReference : S-1-5-21-746137067-1343024091-1957994488-1003\software\microsoft\windows\currentversion\applets\regedit lastkey
obj[8]=MRU RegReference : S-1-5-21-746137067-1343024091-1957994488-1003\software\microsoft\windows\currentversion\explorer\runmru
obj[9]=MRU RegReference : S-1-5-21-746137067-1343024091-1957994488-1003\software\nico mak computing\winzip\filemenu
WIN32.TROJAN.DNSCHANGER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[7]=Folder : C:\Program Files\Network Monitor
obj[32]=File : C:\Program Files\Network Monitor\netmon.exe
ADWARE.FREEPROD TOOLBAR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[8]=RegValue : software\microsoft\windows\currentversion\internet settings "GlobalUserOffline"
obj[34]=File : C:\RECYCLER\S-1-5-21-746137067-1343024091-1957994488-1003\Dc87\MyToolBar.dll
WIN32.TROJAN.DOWNLOADER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[9]=Regkey : software\adwaredisablekey3
obj[10]=Regkey : software\adwaredisablekey3
obj[35]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP12\A0016377.dll
obj[36]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP12\A0016378.exe
ADWARE.P2PNETWORKING
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[11]=Regkey : software\p2p networking
obj[40]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029233.exe
obj[47]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029271.DLL
obj[48]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0030268.exe
CMDSERVICES
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[12]=Regkey : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920}
obj[13]=RegValue : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920} "DisplayName"
obj[14]=RegValue : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920} "DisplayVersion"
obj[15]=RegValue : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920} "NoModify"
obj[16]=RegValue : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920} "NoRemove"
obj[17]=RegValue : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920} "NoRepair"
obj[18]=RegValue : software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920} "UninstallString"
obj[19]=Regkey : system\controlset001\services\cmdservice
obj[20]=RegValue : system\controlset001\services\cmdservice "Start"
obj[21]=RegValue : system\controlset001\services\cmdservice "ErrorControl"
obj[22]=RegValue : system\controlset001\services\cmdservice "ImagePath"
obj[23]=RegValue : system\controlset001\services\cmdservice "DisplayName"
obj[24]=RegValue : system\controlset001\services\cmdservice "ObjectName"
obj[25]=Regkey : system\currentcontrolset\services\cmdservice
obj[26]=RegValue : system\currentcontrolset\services\cmdservice "Start"
obj[27]=RegValue : system\currentcontrolset\services\cmdservice "ErrorControl"
obj[28]=RegValue : system\currentcontrolset\services\cmdservice "ImagePath"
obj[29]=RegValue : system\currentcontrolset\services\cmdservice "DisplayName"
obj[30]=RegValue : system\currentcontrolset\services\cmdservice "ObjectName"
obj[51]=File : C:\WINDOWS\dG9t\command.exe
WIN32.TROJAN.STARTER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[31]=File : C:\Program Files\Common Files\{941B9D67-02BD-2057-0706-00111519002c}\Update.exe
SPYWAREQUAKE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[33]=File : C:\RECYCLER\S-1-5-21-746137067-1343024091-1957994488-1003\Dc86.com\Spy-Quake2.exe
WIN32.TROJANDOWNLOADER.ZLOB
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[37]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP13\A0016397.exe
RXTOOLBAR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[38]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029221.exe
obj[45]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029269.dll
obj[46]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029270.dll
ALTNETBDE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[39]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029230.dll
obj[41]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029234.exe
obj[42]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029245.exe
obj[43]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029246.exe
obj[44]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP43\A0029247.dll
ADWARE.INSTAFINDER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[49]=File : C:\System Volume Information\_restore{52483964-DEF0-4326-8DB4-BE5C087F89E7}\RP58\A0039115.dll
ISEARCH TOOLBAR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[50]=File : C:\WINDOWS\dG9t\asappsrv.dll
OTHER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[52]=File : C:\WINDOWS\prefetch\UPDATE.EXE-020DA1F3.pf
obj[53]=File : C:\WINDOWS\prefetch\NETMON.EXE-09C9CC43.pf
obj[54]=File : C:\WINDOWS\prefetch\SPY-QUAKE2.EXE-2D56BA5E.pf
obj[55]=File : C:\WINDOWS\prefetch\COMMAND.EXE-2711D9E0.pf
then done it again and had this one so ive post it as well
Logfile of HijackThis v1.99.1
Scan saved at 14:26:27, on 19/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\jackson\My Documents\downloaded progs\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.uk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "jackson"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/23d5cbd246ee92bb7818/netzip/RdxIE601.cab
O16 - DPF: {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - http://www.googlecaches.com/install/tload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156272073608
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156274946600
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - (no CLSID) - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe