Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

HJT log


  • This topic is locked This topic is locked
7 replies to this topic

#1 Tootas

Tootas

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:03:01 PM

Posted 04 April 2005 - 11:19 PM

Logfile of HijackThis v1.97.7
Scan saved at 9:18:48 PM, on 4/4/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\Lgl.exe
C:\WINDOWS\System32\open32.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\en-us\msnappau.exe
C:\WINDOWS\System32\WebSrchX.exe
C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
C:\Documents and Settings\Laina\Start Menu\Programs\Startup\winupdate43636341[1].exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sony.com/vaiopeople
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.sony.com/vaiopeople
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\adobe\acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WordPerfect Office 1215] C:\Program Files\WordPerfect Office 12\Programs\Registration.exe /title="WordPerfect Office 12" /date=010305 serial=WS12WTX-9999998-UYR lang=EN
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Ltf] C:\WINDOWS\Lgl.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Cbb] C:\WINDOWS\Unq.exe
O4 - HKLM\..\Run: [Hen] C:\WINDOWS\System32\Vcf.exe
O4 - HKLM\..\Run: [Glm] C:\WINDOWS\Eur.exe
O4 - HKLM\..\Run: [Pfh] C:\WINDOWS\Mqf.exe
O4 - HKLM\..\Run: [Phk] C:\WINDOWS\System32\Qep.exe
O4 - HKLM\..\Run: [Spj] C:\WINDOWS\Atg.exe
O4 - HKLM\..\Run: [Uor] C:\WINDOWS\Jgk.exe
O4 - HKLM\..\Run: [Gka] C:\WINDOWS\Kvc.exe
O4 - HKLM\..\Run: [Rfp] C:\WINDOWS\System32\Beb.exe
O4 - HKLM\..\Run: [Fat] C:\WINDOWS\Fqu.exe
O4 - HKLM\..\Run: [Ruf] C:\WINDOWS\Ocu.exe
O4 - HKLM\..\Run: [Mli] C:\WINDOWS\Cam.exe
O4 - HKLM\..\Run: [Roj] C:\WINDOWS\System32\Qql.exe
O4 - HKLM\..\Run: [Dra] C:\WINDOWS\System32\Mep.exe
O4 - HKLM\..\Run: [Sii] C:\WINDOWS\System32\Hvj.exe
O4 - HKLM\..\Run: [Dfj] C:\WINDOWS\System32\Ahc.exe
O4 - HKLM\..\Run: [Nrq] C:\WINDOWS\System32\Ird.exe
O4 - HKLM\..\Run: [Rmr] C:\WINDOWS\System32\Uvu.exe
O4 - HKLM\..\Run: [Kkf] C:\WINDOWS\Aff.exe
O4 - HKLM\..\Run: [Sgr] C:\WINDOWS\System32\Dfd.exe
O4 - HKLM\..\Run: [Gmn] C:\WINDOWS\System32\Lke.exe
O4 - HKLM\..\Run: [Qkl] C:\WINDOWS\Cpu.exe
O4 - HKLM\..\Run: [Gnv] C:\WINDOWS\System32\Mie.exe
O4 - HKLM\..\Run: [Svi] C:\WINDOWS\Idj.exe
O4 - HKLM\..\Run: [Akt] C:\WINDOWS\System32\Fku.exe
O4 - HKLM\..\Run: [Djq] C:\WINDOWS\Qtb.exe
O4 - HKLM\..\Run: [Urn] C:\WINDOWS\Plg.exe
O4 - HKLM\..\Run: [Ddh] C:\WINDOWS\System32\Etr.exe
O4 - HKLM\..\Run: [Pke] C:\WINDOWS\Keu.exe
O4 - HKLM\..\Run: [Hpj] C:\WINDOWS\System32\Vml.exe
O4 - HKLM\..\Run: [Mlu] C:\WINDOWS\Kgl.exe
O4 - HKLM\..\Run: [Sqr] C:\WINDOWS\System32\Ubo.exe
O4 - HKLM\..\Run: [Mvp] C:\WINDOWS\Tgr.exe
O4 - HKLM\..\Run: [Gbe] C:\WINDOWS\System32\Rar.exe
O4 - HKLM\..\Run: [Pfp] C:\WINDOWS\System32\Fot.exe
O4 - HKLM\..\Run: [Hqk] C:\WINDOWS\System32\Ein.exe
O4 - HKLM\..\Run: [Bnr] C:\WINDOWS\System32\Hev.exe
O4 - HKLM\..\Run: [Tcp] C:\WINDOWS\Kru.exe
O4 - HKLM\..\Run: [Mmb] C:\WINDOWS\System32\Vbk.exe
O4 - HKLM\..\Run: [Vdi] C:\WINDOWS\Ssn.exe
O4 - HKLM\..\Run: [Itp] C:\WINDOWS\System32\Llc.exe
O4 - HKLM\..\Run: [Leq] C:\WINDOWS\Jne.exe
O4 - HKLM\..\Run: [Kuu] C:\WINDOWS\System32\Nut.exe
O4 - HKLM\..\Run: [Kii] C:\WINDOWS\System32\Tro.exe
O4 - HKLM\..\Run: [Hfm] C:\WINDOWS\Eco.exe
O4 - HKLM\..\Run: [Gna] C:\WINDOWS\Mkc.exe
O4 - HKLM\..\Run: [Bho] C:\WINDOWS\Aao.exe
O4 - HKLM\..\Run: [Aup] C:\WINDOWS\Kaf.exe
O4 - HKLM\..\Run: [Uuc] C:\WINDOWS\Jij.exe
O4 - HKLM\..\Run: [Gad] C:\WINDOWS\Gvu.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\en-us\msnappau.exe"
O4 - HKLM\..\Run: [Nad] C:\WINDOWS\System32\Jcs.exe
O4 - HKLM\..\Run: [Sbn] C:\WINDOWS\System32\Drq.exe
O4 - HKLM\..\Run: [Ida] C:\WINDOWS\Mhv.exe
O4 - HKLM\..\Run: [Ssc] C:\WINDOWS\Baj.exe
O4 - HKLM\..\Run: [Rua] C:\WINDOWS\System32\Kkt.exe
O4 - HKLM\..\Run: [Qfb] C:\WINDOWS\System32\Fvq.exe
O4 - HKLM\..\Run: [Uld] C:\WINDOWS\Dou.exe
O4 - HKLM\..\Run: [Dal] C:\WINDOWS\System32\Cqk.exe
O4 - HKLM\..\Run: [Htb] C:\WINDOWS\Vge.exe
O4 - HKLM\..\Run: [Hho] C:\WINDOWS\Uno.exe
O4 - HKLM\..\Run: [Kfe] C:\WINDOWS\System32\Vhg.exe
O4 - HKLM\..\Run: [Dhq] C:\WINDOWS\System32\Elu.exe
O4 - HKLM\..\Run: [Htl] C:\WINDOWS\Drr.exe
O4 - HKLM\..\Run: [Aae] C:\WINDOWS\System32\Kpo.exe
O4 - HKLM\..\Run: [Lds] C:\WINDOWS\Pub.exe
O4 - HKLM\..\Run: [Has] C:\WINDOWS\System32\Nfl.exe
O4 - HKLM\..\Run: [Krb] C:\WINDOWS\System32\Mnk.exe
O4 - HKLM\..\Run: [Jrf] C:\WINDOWS\Stq.exe
O4 - HKLM\..\Run: [Ned] C:\WINDOWS\Bjk.exe
O4 - HKLM\..\Run: [Dmf] C:\WINDOWS\Jdf.exe
O4 - HKLM\..\Run: [Utk] C:\WINDOWS\System32\Toi.exe
O4 - HKLM\..\Run: [Idn] C:\WINDOWS\System32\Ebd.exe
O4 - HKLM\..\Run: [Vmo] C:\WINDOWS\Oup.exe
O4 - HKLM\..\Run: [Rqd] C:\WINDOWS\Kmk.exe
O4 - HKLM\..\Run: [Vil] C:\WINDOWS\System32\Rmp.exe
O4 - HKLM\..\Run: [Igq] C:\WINDOWS\Mrb.exe
O4 - HKLM\..\Run: [Prc] C:\WINDOWS\Stm.exe
O4 - HKLM\..\Run: [Vrh] C:\WINDOWS\System32\Crj.exe
O4 - HKLM\..\Run: [Ehp] C:\WINDOWS\System32\Fnv.exe
O4 - HKLM\..\Run: [Qtf] C:\WINDOWS\Lhm.exe
O4 - HKLM\..\Run: [Ima] C:\WINDOWS\Fhu.exe
O4 - HKLM\..\Run: [Gsd] C:\WINDOWS\Ovu.exe
O4 - HKLM\..\Run: [Qdk] C:\WINDOWS\System32\Gfs.exe
O4 - HKLM\..\Run: [Ppa] C:\WINDOWS\Ksj.exe
O4 - HKLM\..\Run: [Cth] C:\WINDOWS\Nog.exe
O4 - HKLM\..\Run: [Fnh] C:\WINDOWS\Vlo.exe
O4 - HKLM\..\Run: [Eit] C:\WINDOWS\Eas.exe
O4 - HKLM\..\Run: [Iuf] C:\WINDOWS\System32\Fav.exe
O4 - HKLM\..\Run: [Ipm] C:\WINDOWS\System32\Ajm.exe
O4 - HKLM\..\Run: [Log] C:\WINDOWS\Dvm.exe
O4 - HKLM\..\Run: [Qtj] C:\WINDOWS\System32\Nsk.exe
O4 - HKLM\..\Run: [Obj] C:\WINDOWS\Obr.exe
O4 - HKLM\..\Run: [Hdf] C:\WINDOWS\System32\Lnf.exe
O4 - HKLM\..\Run: [Png] C:\WINDOWS\System32\Oat.exe
O4 - HKLM\..\Run: [Vgp] C:\WINDOWS\Rpd.exe
O4 - HKLM\..\Run: [Oku] C:\WINDOWS\Jtd.exe
O4 - HKLM\..\Run: [Oqj] C:\WINDOWS\Rkc.exe
O4 - HKLM\..\Run: [Bgp] C:\WINDOWS\Scd.exe
O4 - HKLM\..\Run: [Ije] C:\WINDOWS\Scm.exe
O4 - HKLM\..\Run: [Ont] C:\WINDOWS\Bgt.exe
O4 - HKLM\..\Run: [Aqc] C:\WINDOWS\Kgv.exe
O4 - HKLM\..\Run: [Ibn] C:\WINDOWS\System32\Liq.exe
O4 - HKLM\..\Run: [Prv] C:\WINDOWS\System32\Drb.exe
O4 - HKLM\..\Run: [Jeb] C:\WINDOWS\System32\Qsm.exe
O4 - HKLM\..\Run: [Lqj] C:\WINDOWS\Sgs.exe
O4 - HKLM\..\Run: [Nvu] C:\WINDOWS\System32\Cde.exe
O4 - HKLM\..\Run: [Knl] C:\WINDOWS\System32\Vpk.exe
O4 - HKLM\..\Run: [Mim] C:\WINDOWS\Itj.exe
O4 - HKLM\..\Run: [Gtf] C:\WINDOWS\System32\Egn.exe
O4 - HKLM\..\Run: [Itf] C:\WINDOWS\System32\Lqp.exe
O4 - HKLM\..\Run: [Prl] C:\WINDOWS\Fni.exe
O4 - HKLM\..\Run: [Abh] C:\WINDOWS\Vrq.exe
O4 - HKCU\..\Run: [Ltf] C:\WINDOWS\Lgl.exe
O4 - HKCU\..\Run: [Cbb] C:\WINDOWS\Unq.exe
O4 - HKCU\..\Run: [Hen] C:\WINDOWS\System32\Vcf.exe
O4 - HKCU\..\Run: [Glm] C:\WINDOWS\Eur.exe
O4 - HKCU\..\Run: [Pfh] C:\WINDOWS\Mqf.exe
O4 - HKCU\..\Run: [Phk] C:\WINDOWS\System32\Qep.exe
O4 - HKCU\..\Run: [Spj] C:\WINDOWS\Atg.exe
O4 - HKCU\..\Run: [Gka] C:\WINDOWS\Kvc.exe
O4 - HKCU\..\Run: [Sqr] C:\WINDOWS\System32\Ubo.exe
O4 - HKCU\..\Run: [Mvp] C:\WINDOWS\Tgr.exe
O4 - HKCU\..\Run: [Gbe] C:\WINDOWS\System32\Rar.exe
O4 - HKCU\..\Run: [Pfp] C:\WINDOWS\System32\Fot.exe
O4 - HKCU\..\Run: [Hqk] C:\WINDOWS\System32\Ein.exe
O4 - HKCU\..\Run: [Ssc] C:\WINDOWS\Baj.exe
O4 - HKCU\..\Run: [Rua] C:\WINDOWS\System32\Kkt.exe
O4 - HKCU\..\Run: [Qtf] C:\WINDOWS\Lhm.exe
O4 - HKCU\..\Run: [Ima] C:\WINDOWS\Fhu.exe
O4 - HKCU\..\Run: [Cth] C:\WINDOWS\Nog.exe
O4 - HKCU\..\Run: [Fnh] C:\WINDOWS\Vlo.exe
O4 - HKCU\..\Run: [Eit] C:\WINDOWS\Eas.exe
O4 - HKCU\..\Run: [Nvu] C:\WINDOWS\System32\Cde.exe
O4 - HKCU\..\Run: [Knl] C:\WINDOWS\System32\Vpk.exe
O4 - HKCU\..\Run: [Mim] C:\WINDOWS\Itj.exe
O4 - HKCU\..\Run: [Gtf] C:\WINDOWS\System32\Egn.exe
O4 - HKCU\..\Run: [Itf] C:\WINDOWS\System32\Lqp.exe
O4 - HKCU\..\Run: [Prl] C:\WINDOWS\Fni.exe
O4 - HKCU\..\Run: [Abh] C:\WINDOWS\Vrq.exe
O4 - Startup: winupdate40271555[1].exe
O4 - Startup: winupdate43636341[1].exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O9 - Extra button: Research (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sony.com/vaiopeople
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971C.../bridge-c11.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/...8172.8680208333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

BC AdBot (Login to Remove)

 


#2 ddeerrff

ddeerrff

    Retired


  • Malware Response Team
  • 2,736 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Upper Midwest, US
  • Local time:03:01 PM

Posted 05 April 2005 - 12:22 AM

Hello tootas and welcome to BleepingComputer.

You are using an outdated version of Hijackthis. Please download and install the newest version, v1.99.1, from this HijackThis download site.

You appear to have a Horseserver infection which requires some tools to get rid of.
  • First, download HSFix from here
  • After it is downloaded, create a new folder on your desktop called "HSFix" and extract all the files into the newly created folder.
  • Next, download CleanUp! Install it, but do not run it yet.
  • Boot into safe mode: Restart your computer and as soon as it starts booting up again continuously tap F8. A menu should come up where you will be given the option to enter Safe Mode.
  • Locate the HSFix folder on your desktop, open it, and double-click "hsfix.bat"
  • A log will be produced which you can close out of.
  • Run CleanUp! and let it clean your computer of temp files. Decline when it asks you to log off.
  • Restart your computer into normal mode and run at least one of the following free, online virus scans:
    http://housecall.trendmicro.com/housecall/start_corp.asp
    http://www.pandasoftware.com/activescan/co...n_principal.htm
    http://www3.ca.com/threatinfo/virusinfo/scan.aspx
  • Restart your computer one last time and post a new HijackThis log, as well as the HSFix log which is located at C:/hslog.txt

Derfram
~~~~~~

#3 Tootas

Tootas
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:03:01 PM

Posted 05 April 2005 - 10:50 PM

thanks for the help. Ive done all of the above. here is a new scan with the new version of HJT.

Logfile of HijackThis v1.99.1
Scan saved at 8:47:24 PM, on 4/5/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\Lgl.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\en-us\msnappau.exe
C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sony.com/vaiopeople
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://localhost;
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\adobe\acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WordPerfect Office 1215] C:\Program Files\WordPerfect Office 12\Programs\Registration.exe /title="WordPerfect Office 12" /date=010305 serial=WS12WTX-9999998-UYR lang=EN
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Ltf] C:\WINDOWS\Lgl.exe
O4 - HKLM\..\Run: [Cbb] C:\WINDOWS\Unq.exe
O4 - HKLM\..\Run: [Hen] C:\WINDOWS\System32\Vcf.exe
O4 - HKLM\..\Run: [Glm] C:\WINDOWS\Eur.exe
O4 - HKLM\..\Run: [Pfh] C:\WINDOWS\Mqf.exe
O4 - HKLM\..\Run: [Phk] C:\WINDOWS\System32\Qep.exe
O4 - HKLM\..\Run: [Spj] C:\WINDOWS\Atg.exe
O4 - HKLM\..\Run: [Uor] C:\WINDOWS\Jgk.exe
O4 - HKLM\..\Run: [Gka] C:\WINDOWS\Kvc.exe
O4 - HKLM\..\Run: [Rfp] C:\WINDOWS\System32\Beb.exe
O4 - HKLM\..\Run: [Fat] C:\WINDOWS\Fqu.exe
O4 - HKLM\..\Run: [Ruf] C:\WINDOWS\Ocu.exe
O4 - HKLM\..\Run: [Mli] C:\WINDOWS\Cam.exe
O4 - HKLM\..\Run: [Roj] C:\WINDOWS\System32\Qql.exe
O4 - HKLM\..\Run: [Dra] C:\WINDOWS\System32\Mep.exe
O4 - HKLM\..\Run: [Sii] C:\WINDOWS\System32\Hvj.exe
O4 - HKLM\..\Run: [Dfj] C:\WINDOWS\System32\Ahc.exe
O4 - HKLM\..\Run: [Nrq] C:\WINDOWS\System32\Ird.exe
O4 - HKLM\..\Run: [Rmr] C:\WINDOWS\System32\Uvu.exe
O4 - HKLM\..\Run: [Kkf] C:\WINDOWS\Aff.exe
O4 - HKLM\..\Run: [Sgr] C:\WINDOWS\System32\Dfd.exe
O4 - HKLM\..\Run: [Gmn] C:\WINDOWS\System32\Lke.exe
O4 - HKLM\..\Run: [Qkl] C:\WINDOWS\Cpu.exe
O4 - HKLM\..\Run: [Gnv] C:\WINDOWS\System32\Mie.exe
O4 - HKLM\..\Run: [Svi] C:\WINDOWS\Idj.exe
O4 - HKLM\..\Run: [Akt] C:\WINDOWS\System32\Fku.exe
O4 - HKLM\..\Run: [Djq] C:\WINDOWS\Qtb.exe
O4 - HKLM\..\Run: [Urn] C:\WINDOWS\Plg.exe
O4 - HKLM\..\Run: [Ddh] C:\WINDOWS\System32\Etr.exe
O4 - HKLM\..\Run: [Pke] C:\WINDOWS\Keu.exe
O4 - HKLM\..\Run: [Hpj] C:\WINDOWS\System32\Vml.exe
O4 - HKLM\..\Run: [Mlu] C:\WINDOWS\Kgl.exe
O4 - HKLM\..\Run: [Sqr] C:\WINDOWS\System32\Ubo.exe
O4 - HKLM\..\Run: [Mvp] C:\WINDOWS\Tgr.exe
O4 - HKLM\..\Run: [Gbe] C:\WINDOWS\System32\Rar.exe
O4 - HKLM\..\Run: [Pfp] C:\WINDOWS\System32\Fot.exe
O4 - HKLM\..\Run: [Hqk] C:\WINDOWS\System32\Ein.exe
O4 - HKLM\..\Run: [Bnr] C:\WINDOWS\System32\Hev.exe
O4 - HKLM\..\Run: [Tcp] C:\WINDOWS\Kru.exe
O4 - HKLM\..\Run: [Mmb] C:\WINDOWS\System32\Vbk.exe
O4 - HKLM\..\Run: [Vdi] C:\WINDOWS\Ssn.exe
O4 - HKLM\..\Run: [Itp] C:\WINDOWS\System32\Llc.exe
O4 - HKLM\..\Run: [Leq] C:\WINDOWS\Jne.exe
O4 - HKLM\..\Run: [Kuu] C:\WINDOWS\System32\Nut.exe
O4 - HKLM\..\Run: [Kii] C:\WINDOWS\System32\Tro.exe
O4 - HKLM\..\Run: [Hfm] C:\WINDOWS\Eco.exe
O4 - HKLM\..\Run: [Gna] C:\WINDOWS\Mkc.exe
O4 - HKLM\..\Run: [Bho] C:\WINDOWS\Aao.exe
O4 - HKLM\..\Run: [Aup] C:\WINDOWS\Kaf.exe
O4 - HKLM\..\Run: [Uuc] C:\WINDOWS\Jij.exe
O4 - HKLM\..\Run: [Gad] C:\WINDOWS\Gvu.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\en-us\msnappau.exe"
O4 - HKLM\..\Run: [Nad] C:\WINDOWS\System32\Jcs.exe
O4 - HKLM\..\Run: [Sbn] C:\WINDOWS\System32\Drq.exe
O4 - HKLM\..\Run: [Ida] C:\WINDOWS\Mhv.exe
O4 - HKLM\..\Run: [Ssc] C:\WINDOWS\Baj.exe
O4 - HKLM\..\Run: [Rua] C:\WINDOWS\System32\Kkt.exe
O4 - HKLM\..\Run: [Qfb] C:\WINDOWS\System32\Fvq.exe
O4 - HKLM\..\Run: [Uld] C:\WINDOWS\Dou.exe
O4 - HKLM\..\Run: [Dal] C:\WINDOWS\System32\Cqk.exe
O4 - HKLM\..\Run: [Htb] C:\WINDOWS\Vge.exe
O4 - HKLM\..\Run: [Hho] C:\WINDOWS\Uno.exe
O4 - HKLM\..\Run: [Kfe] C:\WINDOWS\System32\Vhg.exe
O4 - HKLM\..\Run: [Dhq] C:\WINDOWS\System32\Elu.exe
O4 - HKLM\..\Run: [Htl] C:\WINDOWS\Drr.exe
O4 - HKLM\..\Run: [Aae] C:\WINDOWS\System32\Kpo.exe
O4 - HKLM\..\Run: [Lds] C:\WINDOWS\Pub.exe
O4 - HKLM\..\Run: [Has] C:\WINDOWS\System32\Nfl.exe
O4 - HKLM\..\Run: [Krb] C:\WINDOWS\System32\Mnk.exe
O4 - HKLM\..\Run: [Jrf] C:\WINDOWS\Stq.exe
O4 - HKLM\..\Run: [Ned] C:\WINDOWS\Bjk.exe
O4 - HKLM\..\Run: [Dmf] C:\WINDOWS\Jdf.exe
O4 - HKLM\..\Run: [Utk] C:\WINDOWS\System32\Toi.exe
O4 - HKLM\..\Run: [Idn] C:\WINDOWS\System32\Ebd.exe
O4 - HKLM\..\Run: [Vmo] C:\WINDOWS\Oup.exe
O4 - HKLM\..\Run: [Rqd] C:\WINDOWS\Kmk.exe
O4 - HKLM\..\Run: [Vil] C:\WINDOWS\System32\Rmp.exe
O4 - HKLM\..\Run: [Igq] C:\WINDOWS\Mrb.exe
O4 - HKLM\..\Run: [Prc] C:\WINDOWS\Stm.exe
O4 - HKLM\..\Run: [Vrh] C:\WINDOWS\System32\Crj.exe
O4 - HKLM\..\Run: [Ehp] C:\WINDOWS\System32\Fnv.exe
O4 - HKLM\..\Run: [Qtf] C:\WINDOWS\Lhm.exe
O4 - HKLM\..\Run: [Ima] C:\WINDOWS\Fhu.exe
O4 - HKLM\..\Run: [Gsd] C:\WINDOWS\Ovu.exe
O4 - HKLM\..\Run: [Qdk] C:\WINDOWS\System32\Gfs.exe
O4 - HKLM\..\Run: [Ppa] C:\WINDOWS\Ksj.exe
O4 - HKLM\..\Run: [Cth] C:\WINDOWS\Nog.exe
O4 - HKLM\..\Run: [Fnh] C:\WINDOWS\Vlo.exe
O4 - HKLM\..\Run: [Eit] C:\WINDOWS\Eas.exe
O4 - HKLM\..\Run: [Iuf] C:\WINDOWS\System32\Fav.exe
O4 - HKLM\..\Run: [Ipm] C:\WINDOWS\System32\Ajm.exe
O4 - HKLM\..\Run: [Log] C:\WINDOWS\Dvm.exe
O4 - HKLM\..\Run: [Qtj] C:\WINDOWS\System32\Nsk.exe
O4 - HKLM\..\Run: [Obj] C:\WINDOWS\Obr.exe
O4 - HKLM\..\Run: [Hdf] C:\WINDOWS\System32\Lnf.exe
O4 - HKLM\..\Run: [Png] C:\WINDOWS\System32\Oat.exe
O4 - HKLM\..\Run: [Vgp] C:\WINDOWS\Rpd.exe
O4 - HKLM\..\Run: [Oku] C:\WINDOWS\Jtd.exe
O4 - HKLM\..\Run: [Oqj] C:\WINDOWS\Rkc.exe
O4 - HKLM\..\Run: [Bgp] C:\WINDOWS\Scd.exe
O4 - HKLM\..\Run: [Ije] C:\WINDOWS\Scm.exe
O4 - HKLM\..\Run: [Ont] C:\WINDOWS\Bgt.exe
O4 - HKLM\..\Run: [Aqc] C:\WINDOWS\Kgv.exe
O4 - HKLM\..\Run: [Ibn] C:\WINDOWS\System32\Liq.exe
O4 - HKLM\..\Run: [Prv] C:\WINDOWS\System32\Drb.exe
O4 - HKLM\..\Run: [Jeb] C:\WINDOWS\System32\Qsm.exe
O4 - HKLM\..\Run: [Lqj] C:\WINDOWS\Sgs.exe
O4 - HKLM\..\Run: [Nvu] C:\WINDOWS\System32\Cde.exe
O4 - HKLM\..\Run: [Knl] C:\WINDOWS\System32\Vpk.exe
O4 - HKLM\..\Run: [Mim] C:\WINDOWS\Itj.exe
O4 - HKLM\..\Run: [Gtf] C:\WINDOWS\System32\Egn.exe
O4 - HKLM\..\Run: [Itf] C:\WINDOWS\System32\Lqp.exe
O4 - HKLM\..\Run: [Prl] C:\WINDOWS\Fni.exe
O4 - HKLM\..\Run: [Abh] C:\WINDOWS\Vrq.exe
O4 - HKLM\..\Run: [Hcl] C:\WINDOWS\System32\Bfr.exe
O4 - HKLM\..\Run: [Qdl] C:\WINDOWS\Oea.exe
O4 - HKLM\..\Run: [Jrt] C:\WINDOWS\System32\Ieh.exe
O4 - HKLM\..\Run: [Dql] C:\WINDOWS\System32\Sei.exe
O4 - HKLM\..\Run: [Lhf] C:\WINDOWS\Vul.exe
O4 - HKLM\..\Run: [Usm] C:\WINDOWS\System32\Dbm.exe
O4 - HKLM\..\Run: [Bcs] C:\WINDOWS\Iov.exe
O4 - HKLM\..\Run: [Fea] C:\WINDOWS\System32\Nst.exe
O4 - HKLM\..\Run: [Mrc] C:\WINDOWS\Dgr.exe
O4 - HKLM\..\Run: [Jqq] C:\WINDOWS\System32\Nmf.exe
O4 - HKLM\..\Run: [Tsa] C:\WINDOWS\Mmk.exe
O4 - HKLM\..\Run: [Djn] C:\WINDOWS\System32\Tac.exe
O4 - HKLM\..\Run: [Oah] C:\WINDOWS\Apf.exe
O4 - HKLM\..\Run: [Aou] C:\WINDOWS\Ljh.exe
O4 - HKLM\..\Run: [Mof] C:\WINDOWS\Iha.exe
O4 - HKLM\..\Run: [Nti] C:\WINDOWS\Pmv.exe
O4 - HKLM\..\Run: [Eoo] C:\WINDOWS\Ogu.exe
O4 - HKLM\..\Run: [Lpd] C:\WINDOWS\System32\Chp.exe
O4 - HKLM\..\Run: [Lql] C:\WINDOWS\System32\Fcu.exe
O4 - HKLM\..\Run: [Uvu] C:\WINDOWS\System32\Tvp.exe
O4 - HKLM\..\Run: [Gdv] C:\WINDOWS\System32\Akh.exe
O4 - HKLM\..\Run: [Afh] C:\WINDOWS\Bqi.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Uor] C:\WINDOWS\Jgk.exe
O4 - HKCU\..\Run: [Rfp] C:\WINDOWS\System32\Beb.exe
O4 - HKCU\..\Run: [Fat] C:\WINDOWS\Fqu.exe
O4 - HKCU\..\Run: [Ruf] C:\WINDOWS\Ocu.exe
O4 - HKCU\..\Run: [Mli] C:\WINDOWS\Cam.exe
O4 - HKCU\..\Run: [Roj] C:\WINDOWS\System32\Qql.exe
O4 - HKCU\..\Run: [Dra] C:\WINDOWS\System32\Mep.exe
O4 - HKCU\..\Run: [Sii] C:\WINDOWS\System32\Hvj.exe
O4 - HKCU\..\Run: [Dfj] C:\WINDOWS\System32\Ahc.exe
O4 - HKCU\..\Run: [Kkf] C:\WINDOWS\Aff.exe
O4 - HKCU\..\Run: [Sgr] C:\WINDOWS\System32\Dfd.exe
O4 - HKCU\..\Run: [Gmn] C:\WINDOWS\System32\Lke.exe
O4 - HKCU\..\Run: [Qkl] C:\WINDOWS\Cpu.exe
O4 - HKCU\..\Run: [Gnv] C:\WINDOWS\System32\Mie.exe
O4 - HKCU\..\Run: [Svi] C:\WINDOWS\Idj.exe
O4 - HKCU\..\Run: [Akt] C:\WINDOWS\System32\Fku.exe
O4 - HKCU\..\Run: [Djq] C:\WINDOWS\Qtb.exe
O4 - HKCU\..\Run: [Urn] C:\WINDOWS\Plg.exe
O4 - HKCU\..\Run: [Ddh] C:\WINDOWS\System32\Etr.exe
O4 - HKCU\..\Run: [Pke] C:\WINDOWS\Keu.exe
O4 - HKCU\..\Run: [Hpj] C:\WINDOWS\System32\Vml.exe
O4 - HKCU\..\Run: [Mlu] C:\WINDOWS\Kgl.exe
O4 - HKCU\..\Run: [Uld] C:\WINDOWS\Dou.exe
O4 - HKCU\..\Run: [Dal] C:\WINDOWS\System32\Cqk.exe
O4 - HKCU\..\Run: [Htb] C:\WINDOWS\Vge.exe
O4 - HKCU\..\Run: [Hho] C:\WINDOWS\Uno.exe
O4 - HKCU\..\Run: [Kfe] C:\WINDOWS\System32\Vhg.exe
O4 - HKCU\..\Run: [Dhq] C:\WINDOWS\System32\Elu.exe
O4 - HKCU\..\Run: [Htl] C:\WINDOWS\Drr.exe
O4 - HKCU\..\Run: [Aae] C:\WINDOWS\System32\Kpo.exe
O4 - HKCU\..\Run: [Lds] C:\WINDOWS\Pub.exe
O4 - HKCU\..\Run: [Has] C:\WINDOWS\System32\Nfl.exe
O4 - HKCU\..\Run: [Krb] C:\WINDOWS\System32\Mnk.exe
O4 - HKCU\..\Run: [Jrf] C:\WINDOWS\Stq.exe
O4 - HKCU\..\Run: [Ned] C:\WINDOWS\Bjk.exe
O4 - HKCU\..\Run: [Utk] C:\WINDOWS\System32\Toi.exe
O4 - HKCU\..\Run: [Idn] C:\WINDOWS\System32\Ebd.exe
O4 - HKCU\..\Run: [Vmo] C:\WINDOWS\Oup.exe
O4 - HKCU\..\Run: [Rqd] C:\WINDOWS\Kmk.exe
O4 - HKCU\..\Run: [Iuf] C:\WINDOWS\System32\Fav.exe
O4 - HKCU\..\Run: [Ipm] C:\WINDOWS\System32\Ajm.exe
O4 - HKCU\..\Run: [Log] C:\WINDOWS\Dvm.exe
O4 - HKCU\..\Run: [Obj] C:\WINDOWS\Obr.exe
O4 - HKCU\..\Run: [Hdf] C:\WINDOWS\System32\Lnf.exe
O4 - HKCU\..\Run: [Png] C:\WINDOWS\System32\Oat.exe
O4 - HKCU\..\Run: [Vgp] C:\WINDOWS\Rpd.exe
O4 - HKCU\..\Run: [Oku] C:\WINDOWS\Jtd.exe
O4 - HKCU\..\Run: [Oqj] C:\WINDOWS\Rkc.exe
O4 - HKCU\..\Run: [Bgp] C:\WINDOWS\Scd.exe
O4 - HKCU\..\Run: [Ije] C:\WINDOWS\Scm.exe
O4 - HKCU\..\Run: [Lqj] C:\WINDOWS\Sgs.exe
O4 - HKCU\..\Run: [Eoo] C:\WINDOWS\Ogu.exe
O4 - HKCU\..\Run: [Lpd] C:\WINDOWS\System32\Chp.exe
O4 - HKCU\..\Run: [Lql] C:\WINDOWS\System32\Fcu.exe
O4 - HKCU\..\Run: [Uvu] C:\WINDOWS\System32\Tvp.exe
O4 - HKCU\..\Run: [Gdv] C:\WINDOWS\System32\Akh.exe
O4 - HKCU\..\Run: [Afh] C:\WINDOWS\Bqi.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sony.com/vaiopeople
O15 - Trusted Zone: *.horse-active.net (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 64.62.171.156 (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971C.../bridge-c11.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

#4 ddeerrff

ddeerrff

    Retired


  • Malware Response Team
  • 2,736 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Upper Midwest, US
  • Local time:03:01 PM

Posted 05 April 2005 - 11:14 PM

Download the following file and save it to your desktop:
http://www.mvps.org/winhelp2002/DelDomains.inf

Right-click on the deldomains.inf file and select 'Install'.


Open Notepad, (Start button, click on Run, type in Notepad, and click OK) copy & pastes the following block of text into Notepad.

del /f C:\WINDOWS\Lgl.exe
del /f C:\WINDOWS\Unq.exe
del /f C:\WINDOWS\System32\Vcf.exe
del /f C:\WINDOWS\Eur.exe
del /f C:\WINDOWS\Mqf.exe
del /f C:\WINDOWS\System32\Qep.exe
del /f C:\WINDOWS\Atg.exe
del /f C:\WINDOWS\Jgk.exe
del /f C:\WINDOWS\Kvc.exe
del /f C:\WINDOWS\System32\Beb.exe
del /f C:\WINDOWS\Fqu.exe
del /f C:\WINDOWS\Ocu.exe
del /f C:\WINDOWS\Cam.exe
del /f C:\WINDOWS\System32\Qql.exe
del /f C:\WINDOWS\System32\Mep.exe
del /f C:\WINDOWS\System32\Hvj.exe
del /f C:\WINDOWS\System32\Ahc.exe
del /f C:\WINDOWS\System32\Ird.exe
del /f C:\WINDOWS\System32\Uvu.exe
del /f C:\WINDOWS\Aff.exe
del /f C:\WINDOWS\System32\Dfd.exe
del /f C:\WINDOWS\System32\Lke.exe
del /f C:\WINDOWS\Cpu.exe
del /f C:\WINDOWS\System32\Mie.exe
del /f C:\WINDOWS\Idj.exe
del /f C:\WINDOWS\System32\Fku.exe
del /f C:\WINDOWS\Qtb.exe
del /f C:\WINDOWS\Plg.exe
del /f C:\WINDOWS\System32\Etr.exe
del /f C:\WINDOWS\Keu.exe
del /f C:\WINDOWS\System32\Vml.exe
del /f C:\WINDOWS\Kgl.exe
del /f C:\WINDOWS\System32\Ubo.exe
del /f C:\WINDOWS\Tgr.exe
del /f C:\WINDOWS\System32\Rar.exe
del /f C:\WINDOWS\System32\Fot.exe
del /f C:\WINDOWS\System32\Ein.exe
del /f C:\WINDOWS\System32\Hev.exe
del /f C:\WINDOWS\Kru.exe
del /f C:\WINDOWS\System32\Vbk.exe
del /f C:\WINDOWS\Ssn.exe
del /f C:\WINDOWS\System32\Llc.exe
del /f C:\WINDOWS\Jne.exe
del /f C:\WINDOWS\System32\Nut.exe
del /f C:\WINDOWS\System32\Tro.exe
del /f C:\WINDOWS\Eco.exe
del /f C:\WINDOWS\Mkc.exe
del /f C:\WINDOWS\Aao.exe
del /f C:\WINDOWS\Kaf.exe
del /f C:\WINDOWS\Jij.exe
del /f C:\WINDOWS\Gvu.exe
del /f C:\WINDOWS\System32\Jcs.exe
del /f C:\WINDOWS\System32\Drq.exe
del /f C:\WINDOWS\Mhv.exe
del /f C:\WINDOWS\Baj.exe
del /f C:\WINDOWS\System32\Kkt.exe
del /f C:\WINDOWS\System32\Fvq.exe
del /f C:\WINDOWS\Dou.exe
del /f C:\WINDOWS\System32\Cqk.exe
del /f C:\WINDOWS\Vge.exe
del /f C:\WINDOWS\Uno.exe
del /f C:\WINDOWS\System32\Vhg.exe
del /f C:\WINDOWS\System32\Elu.exe
del /f C:\WINDOWS\Drr.exe
del /f C:\WINDOWS\System32\Kpo.exe
del /f C:\WINDOWS\Pub.exe
del /f C:\WINDOWS\System32\Nfl.exe
del /f C:\WINDOWS\System32\Mnk.exe
del /f C:\WINDOWS\Stq.exe
del /f C:\WINDOWS\Bjk.exe
del /f C:\WINDOWS\Jdf.exe
del /f C:\WINDOWS\System32\Toi.exe
del /f C:\WINDOWS\System32\Ebd.exe
del /f C:\WINDOWS\Oup.exe
del /f C:\WINDOWS\Kmk.exe
del /f C:\WINDOWS\System32\Rmp.exe
del /f C:\WINDOWS\Mrb.exe
del /f C:\WINDOWS\Stm.exe
del /f C:\WINDOWS\System32\Crj.exe
del /f C:\WINDOWS\System32\Fnv.exe
del /f C:\WINDOWS\Lhm.exe
del /f C:\WINDOWS\Fhu.exe
del /f C:\WINDOWS\Ovu.exe
del /f C:\WINDOWS\System32\Gfs.exe
del /f C:\WINDOWS\Ksj.exe
del /f C:\WINDOWS\Nog.exe
del /f C:\WINDOWS\Vlo.exe
del /f C:\WINDOWS\Eas.exe
del /f C:\WINDOWS\System32\Fav.exe
del /f C:\WINDOWS\System32\Ajm.exe
del /f C:\WINDOWS\Dvm.exe
del /f C:\WINDOWS\System32\Nsk.exe
del /f C:\WINDOWS\Obr.exe
del /f C:\WINDOWS\System32\Lnf.exe
del /f C:\WINDOWS\System32\Oat.exe
del /f C:\WINDOWS\Rpd.exe
del /f C:\WINDOWS\Jtd.exe
del /f C:\WINDOWS\Rkc.exe
del /f C:\WINDOWS\Scd.exe
del /f C:\WINDOWS\Scm.exe
del /f C:\WINDOWS\Bgt.exe
del /f C:\WINDOWS\Kgv.exe
del /f C:\WINDOWS\System32\Liq.exe
del /f C:\WINDOWS\System32\Drb.exe
del /f C:\WINDOWS\System32\Qsm.exe
del /f C:\WINDOWS\Sgs.exe
del /f C:\WINDOWS\System32\Cde.exe
del /f C:\WINDOWS\System32\Vpk.exe
del /f C:\WINDOWS\Itj.exe
del /f C:\WINDOWS\System32\Egn.exe
del /f C:\WINDOWS\System32\Lqp.exe
del /f C:\WINDOWS\Fni.exe
del /f C:\WINDOWS\Vrq.exe
del /f C:\WINDOWS\System32\Bfr.exe
del /f C:\WINDOWS\Oea.exe
del /f C:\WINDOWS\System32\Ieh.exe
del /f C:\WINDOWS\System32\Sei.exe
del /f C:\WINDOWS\Vul.exe
del /f C:\WINDOWS\System32\Dbm.exe
del /f C:\WINDOWS\Iov.exe
del /f C:\WINDOWS\System32\Nst.exe
del /f C:\WINDOWS\Dgr.exe
del /f C:\WINDOWS\System32\Nmf.exe
del /f C:\WINDOWS\Mmk.exe
del /f C:\WINDOWS\System32\Tac.exe
del /f C:\WINDOWS\Apf.exe
del /f C:\WINDOWS\Ljh.exe
del /f C:\WINDOWS\Iha.exe
del /f C:\WINDOWS\Pmv.exe
del /f C:\WINDOWS\Ogu.exe
del /f C:\WINDOWS\System32\Chp.exe
del /f C:\WINDOWS\System32\Fcu.exe
del /f C:\WINDOWS\System32\Tvp.exe
del /f C:\WINDOWS\System32\Akh.exe
del /f C:\WINDOWS\Bqi.exe
del /f C:\WINDOWS\Jgk.exe
del /f C:\WINDOWS\System32\Beb.exe
del /f C:\WINDOWS\Fqu.exe
del /f C:\WINDOWS\Ocu.exe
del /f C:\WINDOWS\Cam.exe
del /f C:\WINDOWS\System32\Qql.exe
del /f C:\WINDOWS\System32\Mep.exe
del /f C:\WINDOWS\System32\Hvj.exe
del /f C:\WINDOWS\System32\Ahc.exe
del /f C:\WINDOWS\Aff.exe
del /f C:\WINDOWS\System32\Dfd.exe
del /f C:\WINDOWS\System32\Lke.exe
del /f C:\WINDOWS\Cpu.exe
del /f C:\WINDOWS\System32\Mie.exe
del /f C:\WINDOWS\Idj.exe
del /f C:\WINDOWS\System32\Fku.exe
del /f C:\WINDOWS\Qtb.exe
del /f C:\WINDOWS\Plg.exe
del /f C:\WINDOWS\System32\Etr.exe
del /f C:\WINDOWS\Keu.exe
del /f C:\WINDOWS\System32\Vml.exe
del /f C:\WINDOWS\Kgl.exe
del /f C:\WINDOWS\Dou.exe
del /f C:\WINDOWS\System32\Cqk.exe
del /f C:\WINDOWS\Vge.exe
del /f C:\WINDOWS\Uno.exe
del /f C:\WINDOWS\System32\Vhg.exe
del /f C:\WINDOWS\System32\Elu.exe
del /f C:\WINDOWS\Drr.exe
del /f C:\WINDOWS\System32\Kpo.exe
del /f C:\WINDOWS\Pub.exe
del /f C:\WINDOWS\System32\Nfl.exe
del /f C:\WINDOWS\System32\Mnk.exe
del /f C:\WINDOWS\Stq.exe
del /f C:\WINDOWS\Bjk.exe
del /f C:\WINDOWS\System32\Toi.exe
del /f C:\WINDOWS\System32\Ebd.exe
del /f C:\WINDOWS\Oup.exe
del /f C:\WINDOWS\Kmk.exe
del /f C:\WINDOWS\System32\Fav.exe
del /f C:\WINDOWS\System32\Ajm.exe
del /f C:\WINDOWS\Dvm.exe
del /f C:\WINDOWS\Obr.exe
del /f C:\WINDOWS\System32\Lnf.exe
del /f C:\WINDOWS\System32\Oat.exe
del /f C:\WINDOWS\Rpd.exe
del /f C:\WINDOWS\Jtd.exe
del /f C:\WINDOWS\Rkc.exe
del /f C:\WINDOWS\Scd.exe
del /f C:\WINDOWS\Scm.exe
del /f C:\WINDOWS\Sgs.exe
del /f C:\WINDOWS\Ogu.exe
del /f C:\WINDOWS\System32\Chp.exe
del /f C:\WINDOWS\System32\Fcu.exe
del /f C:\WINDOWS\System32\Tvp.exe
del /f C:\WINDOWS\System32\Akh.exe
del /f C:\WINDOWS\Bqi.exe

Select 'Save as type:' as All Files,
Save the file to the desktop as delfiles.bat. Close Notepad.


Configure Windows to enable viewing of Hidden and System files.

Reboot into Safe Mode.


Start HJT and click on the SCAN button. Put a check mark in front of the following lines if they still show:

O4 - HKLM\..\Run: [Ltf] C:\WINDOWS\Lgl.exe
O4 - HKLM\..\Run: [Cbb] C:\WINDOWS\Unq.exe
O4 - HKLM\..\Run: [Hen] C:\WINDOWS\System32\Vcf.exe
O4 - HKLM\..\Run: [Glm] C:\WINDOWS\Eur.exe
O4 - HKLM\..\Run: [Pfh] C:\WINDOWS\Mqf.exe
O4 - HKLM\..\Run: [Phk] C:\WINDOWS\System32\Qep.exe
O4 - HKLM\..\Run: [Spj] C:\WINDOWS\Atg.exe
O4 - HKLM\..\Run: [Uor] C:\WINDOWS\Jgk.exe
O4 - HKLM\..\Run: [Gka] C:\WINDOWS\Kvc.exe
O4 - HKLM\..\Run: [Rfp] C:\WINDOWS\System32\Beb.exe
O4 - HKLM\..\Run: [Fat] C:\WINDOWS\Fqu.exe
O4 - HKLM\..\Run: [Ruf] C:\WINDOWS\Ocu.exe
O4 - HKLM\..\Run: [Mli] C:\WINDOWS\Cam.exe
O4 - HKLM\..\Run: [Roj] C:\WINDOWS\System32\Qql.exe
O4 - HKLM\..\Run: [Dra] C:\WINDOWS\System32\Mep.exe
O4 - HKLM\..\Run: [Sii] C:\WINDOWS\System32\Hvj.exe
O4 - HKLM\..\Run: [Dfj] C:\WINDOWS\System32\Ahc.exe
O4 - HKLM\..\Run: [Nrq] C:\WINDOWS\System32\Ird.exe
O4 - HKLM\..\Run: [Rmr] C:\WINDOWS\System32\Uvu.exe
O4 - HKLM\..\Run: [Kkf] C:\WINDOWS\Aff.exe
O4 - HKLM\..\Run: [Sgr] C:\WINDOWS\System32\Dfd.exe
O4 - HKLM\..\Run: [Gmn] C:\WINDOWS\System32\Lke.exe
O4 - HKLM\..\Run: [Qkl] C:\WINDOWS\Cpu.exe
O4 - HKLM\..\Run: [Gnv] C:\WINDOWS\System32\Mie.exe
O4 - HKLM\..\Run: [Svi] C:\WINDOWS\Idj.exe
O4 - HKLM\..\Run: [Akt] C:\WINDOWS\System32\Fku.exe
O4 - HKLM\..\Run: [Djq] C:\WINDOWS\Qtb.exe
O4 - HKLM\..\Run: [Urn] C:\WINDOWS\Plg.exe
O4 - HKLM\..\Run: [Ddh] C:\WINDOWS\System32\Etr.exe
O4 - HKLM\..\Run: [Pke] C:\WINDOWS\Keu.exe
O4 - HKLM\..\Run: [Hpj] C:\WINDOWS\System32\Vml.exe
O4 - HKLM\..\Run: [Mlu] C:\WINDOWS\Kgl.exe
O4 - HKLM\..\Run: [Sqr] C:\WINDOWS\System32\Ubo.exe
O4 - HKLM\..\Run: [Mvp] C:\WINDOWS\Tgr.exe
O4 - HKLM\..\Run: [Gbe] C:\WINDOWS\System32\Rar.exe
O4 - HKLM\..\Run: [Pfp] C:\WINDOWS\System32\Fot.exe
O4 - HKLM\..\Run: [Hqk] C:\WINDOWS\System32\Ein.exe
O4 - HKLM\..\Run: [Bnr] C:\WINDOWS\System32\Hev.exe
O4 - HKLM\..\Run: [Tcp] C:\WINDOWS\Kru.exe
O4 - HKLM\..\Run: [Mmb] C:\WINDOWS\System32\Vbk.exe
O4 - HKLM\..\Run: [Vdi] C:\WINDOWS\Ssn.exe
O4 - HKLM\..\Run: [Itp] C:\WINDOWS\System32\Llc.exe
O4 - HKLM\..\Run: [Leq] C:\WINDOWS\Jne.exe
O4 - HKLM\..\Run: [Kuu] C:\WINDOWS\System32\Nut.exe
O4 - HKLM\..\Run: [Kii] C:\WINDOWS\System32\Tro.exe
O4 - HKLM\..\Run: [Hfm] C:\WINDOWS\Eco.exe
O4 - HKLM\..\Run: [Gna] C:\WINDOWS\Mkc.exe
O4 - HKLM\..\Run: [Bho] C:\WINDOWS\Aao.exe
O4 - HKLM\..\Run: [Aup] C:\WINDOWS\Kaf.exe
O4 - HKLM\..\Run: [Uuc] C:\WINDOWS\Jij.exe
O4 - HKLM\..\Run: [Gad] C:\WINDOWS\Gvu.exe
O4 - HKLM\..\Run: [Nad] C:\WINDOWS\System32\Jcs.exe
O4 - HKLM\..\Run: [Sbn] C:\WINDOWS\System32\Drq.exe
O4 - HKLM\..\Run: [Ida] C:\WINDOWS\Mhv.exe
O4 - HKLM\..\Run: [Ssc] C:\WINDOWS\Baj.exe
O4 - HKLM\..\Run: [Rua] C:\WINDOWS\System32\Kkt.exe
O4 - HKLM\..\Run: [Qfb] C:\WINDOWS\System32\Fvq.exe
O4 - HKLM\..\Run: [Uld] C:\WINDOWS\Dou.exe
O4 - HKLM\..\Run: [Dal] C:\WINDOWS\System32\Cqk.exe
O4 - HKLM\..\Run: [Htb] C:\WINDOWS\Vge.exe
O4 - HKLM\..\Run: [Hho] C:\WINDOWS\Uno.exe
O4 - HKLM\..\Run: [Kfe] C:\WINDOWS\System32\Vhg.exe
O4 - HKLM\..\Run: [Dhq] C:\WINDOWS\System32\Elu.exe
O4 - HKLM\..\Run: [Htl] C:\WINDOWS\Drr.exe
O4 - HKLM\..\Run: [Aae] C:\WINDOWS\System32\Kpo.exe
O4 - HKLM\..\Run: [Lds] C:\WINDOWS\Pub.exe
O4 - HKLM\..\Run: [Has] C:\WINDOWS\System32\Nfl.exe
O4 - HKLM\..\Run: [Krb] C:\WINDOWS\System32\Mnk.exe
O4 - HKLM\..\Run: [Jrf] C:\WINDOWS\Stq.exe
O4 - HKLM\..\Run: [Ned] C:\WINDOWS\Bjk.exe
O4 - HKLM\..\Run: [Dmf] C:\WINDOWS\Jdf.exe
O4 - HKLM\..\Run: [Utk] C:\WINDOWS\System32\Toi.exe
O4 - HKLM\..\Run: [Idn] C:\WINDOWS\System32\Ebd.exe
O4 - HKLM\..\Run: [Vmo] C:\WINDOWS\Oup.exe
O4 - HKLM\..\Run: [Rqd] C:\WINDOWS\Kmk.exe
O4 - HKLM\..\Run: [Vil] C:\WINDOWS\System32\Rmp.exe
O4 - HKLM\..\Run: [Igq] C:\WINDOWS\Mrb.exe
O4 - HKLM\..\Run: [Prc] C:\WINDOWS\Stm.exe
O4 - HKLM\..\Run: [Vrh] C:\WINDOWS\System32\Crj.exe
O4 - HKLM\..\Run: [Ehp] C:\WINDOWS\System32\Fnv.exe
O4 - HKLM\..\Run: [Qtf] C:\WINDOWS\Lhm.exe
O4 - HKLM\..\Run: [Ima] C:\WINDOWS\Fhu.exe
O4 - HKLM\..\Run: [Gsd] C:\WINDOWS\Ovu.exe
O4 - HKLM\..\Run: [Qdk] C:\WINDOWS\System32\Gfs.exe
O4 - HKLM\..\Run: [Ppa] C:\WINDOWS\Ksj.exe
O4 - HKLM\..\Run: [Cth] C:\WINDOWS\Nog.exe
O4 - HKLM\..\Run: [Fnh] C:\WINDOWS\Vlo.exe
O4 - HKLM\..\Run: [Eit] C:\WINDOWS\Eas.exe
O4 - HKLM\..\Run: [Iuf] C:\WINDOWS\System32\Fav.exe
O4 - HKLM\..\Run: [Ipm] C:\WINDOWS\System32\Ajm.exe
O4 - HKLM\..\Run: [Log] C:\WINDOWS\Dvm.exe
O4 - HKLM\..\Run: [Qtj] C:\WINDOWS\System32\Nsk.exe
O4 - HKLM\..\Run: [Obj] C:\WINDOWS\Obr.exe
O4 - HKLM\..\Run: [Hdf] C:\WINDOWS\System32\Lnf.exe
O4 - HKLM\..\Run: [Png] C:\WINDOWS\System32\Oat.exe
O4 - HKLM\..\Run: [Vgp] C:\WINDOWS\Rpd.exe
O4 - HKLM\..\Run: [Oku] C:\WINDOWS\Jtd.exe
O4 - HKLM\..\Run: [Oqj] C:\WINDOWS\Rkc.exe
O4 - HKLM\..\Run: [Bgp] C:\WINDOWS\Scd.exe
O4 - HKLM\..\Run: [Ije] C:\WINDOWS\Scm.exe
O4 - HKLM\..\Run: [Ont] C:\WINDOWS\Bgt.exe
O4 - HKLM\..\Run: [Aqc] C:\WINDOWS\Kgv.exe
O4 - HKLM\..\Run: [Ibn] C:\WINDOWS\System32\Liq.exe
O4 - HKLM\..\Run: [Prv] C:\WINDOWS\System32\Drb.exe
O4 - HKLM\..\Run: [Jeb] C:\WINDOWS\System32\Qsm.exe
O4 - HKLM\..\Run: [Lqj] C:\WINDOWS\Sgs.exe
O4 - HKLM\..\Run: [Nvu] C:\WINDOWS\System32\Cde.exe
O4 - HKLM\..\Run: [Knl] C:\WINDOWS\System32\Vpk.exe
O4 - HKLM\..\Run: [Mim] C:\WINDOWS\Itj.exe
O4 - HKLM\..\Run: [Gtf] C:\WINDOWS\System32\Egn.exe
O4 - HKLM\..\Run: [Itf] C:\WINDOWS\System32\Lqp.exe
O4 - HKLM\..\Run: [Prl] C:\WINDOWS\Fni.exe
O4 - HKLM\..\Run: [Abh] C:\WINDOWS\Vrq.exe
O4 - HKLM\..\Run: [Hcl] C:\WINDOWS\System32\Bfr.exe
O4 - HKLM\..\Run: [Qdl] C:\WINDOWS\Oea.exe
O4 - HKLM\..\Run: [Jrt] C:\WINDOWS\System32\Ieh.exe
O4 - HKLM\..\Run: [Dql] C:\WINDOWS\System32\Sei.exe
O4 - HKLM\..\Run: [Lhf] C:\WINDOWS\Vul.exe
O4 - HKLM\..\Run: [Usm] C:\WINDOWS\System32\Dbm.exe
O4 - HKLM\..\Run: [Bcs] C:\WINDOWS\Iov.exe
O4 - HKLM\..\Run: [Fea] C:\WINDOWS\System32\Nst.exe
O4 - HKLM\..\Run: [Mrc] C:\WINDOWS\Dgr.exe
O4 - HKLM\..\Run: [Jqq] C:\WINDOWS\System32\Nmf.exe
O4 - HKLM\..\Run: [Tsa] C:\WINDOWS\Mmk.exe
O4 - HKLM\..\Run: [Djn] C:\WINDOWS\System32\Tac.exe
O4 - HKLM\..\Run: [Oah] C:\WINDOWS\Apf.exe
O4 - HKLM\..\Run: [Aou] C:\WINDOWS\Ljh.exe
O4 - HKLM\..\Run: [Mof] C:\WINDOWS\Iha.exe
O4 - HKLM\..\Run: [Nti] C:\WINDOWS\Pmv.exe
O4 - HKLM\..\Run: [Eoo] C:\WINDOWS\Ogu.exe
O4 - HKLM\..\Run: [Lpd] C:\WINDOWS\System32\Chp.exe
O4 - HKLM\..\Run: [Lql] C:\WINDOWS\System32\Fcu.exe
O4 - HKLM\..\Run: [Uvu] C:\WINDOWS\System32\Tvp.exe
O4 - HKLM\..\Run: [Gdv] C:\WINDOWS\System32\Akh.exe
O4 - HKLM\..\Run: [Afh] C:\WINDOWS\Bqi.exe
O4 - HKCU\..\Run: [Uor] C:\WINDOWS\Jgk.exe
O4 - HKCU\..\Run: [Rfp] C:\WINDOWS\System32\Beb.exe
O4 - HKCU\..\Run: [Fat] C:\WINDOWS\Fqu.exe
O4 - HKCU\..\Run: [Ruf] C:\WINDOWS\Ocu.exe
O4 - HKCU\..\Run: [Mli] C:\WINDOWS\Cam.exe
O4 - HKCU\..\Run: [Roj] C:\WINDOWS\System32\Qql.exe
O4 - HKCU\..\Run: [Dra] C:\WINDOWS\System32\Mep.exe
O4 - HKCU\..\Run: [Sii] C:\WINDOWS\System32\Hvj.exe
O4 - HKCU\..\Run: [Dfj] C:\WINDOWS\System32\Ahc.exe
O4 - HKCU\..\Run: [Kkf] C:\WINDOWS\Aff.exe
O4 - HKCU\..\Run: [Sgr] C:\WINDOWS\System32\Dfd.exe
O4 - HKCU\..\Run: [Gmn] C:\WINDOWS\System32\Lke.exe
O4 - HKCU\..\Run: [Qkl] C:\WINDOWS\Cpu.exe
O4 - HKCU\..\Run: [Gnv] C:\WINDOWS\System32\Mie.exe
O4 - HKCU\..\Run: [Svi] C:\WINDOWS\Idj.exe
O4 - HKCU\..\Run: [Akt] C:\WINDOWS\System32\Fku.exe
O4 - HKCU\..\Run: [Djq] C:\WINDOWS\Qtb.exe
O4 - HKCU\..\Run: [Urn] C:\WINDOWS\Plg.exe
O4 - HKCU\..\Run: [Ddh] C:\WINDOWS\System32\Etr.exe
O4 - HKCU\..\Run: [Pke] C:\WINDOWS\Keu.exe
O4 - HKCU\..\Run: [Hpj] C:\WINDOWS\System32\Vml.exe
O4 - HKCU\..\Run: [Mlu] C:\WINDOWS\Kgl.exe
O4 - HKCU\..\Run: [Uld] C:\WINDOWS\Dou.exe
O4 - HKCU\..\Run: [Dal] C:\WINDOWS\System32\Cqk.exe
O4 - HKCU\..\Run: [Htb] C:\WINDOWS\Vge.exe
O4 - HKCU\..\Run: [Hho] C:\WINDOWS\Uno.exe
O4 - HKCU\..\Run: [Kfe] C:\WINDOWS\System32\Vhg.exe
O4 - HKCU\..\Run: [Dhq] C:\WINDOWS\System32\Elu.exe
O4 - HKCU\..\Run: [Htl] C:\WINDOWS\Drr.exe
O4 - HKCU\..\Run: [Aae] C:\WINDOWS\System32\Kpo.exe
O4 - HKCU\..\Run: [Lds] C:\WINDOWS\Pub.exe
O4 - HKCU\..\Run: [Has] C:\WINDOWS\System32\Nfl.exe
O4 - HKCU\..\Run: [Krb] C:\WINDOWS\System32\Mnk.exe
O4 - HKCU\..\Run: [Jrf] C:\WINDOWS\Stq.exe
O4 - HKCU\..\Run: [Ned] C:\WINDOWS\Bjk.exe
O4 - HKCU\..\Run: [Utk] C:\WINDOWS\System32\Toi.exe
O4 - HKCU\..\Run: [Idn] C:\WINDOWS\System32\Ebd.exe
O4 - HKCU\..\Run: [Vmo] C:\WINDOWS\Oup.exe
O4 - HKCU\..\Run: [Rqd] C:\WINDOWS\Kmk.exe
O4 - HKCU\..\Run: [Iuf] C:\WINDOWS\System32\Fav.exe
O4 - HKCU\..\Run: [Ipm] C:\WINDOWS\System32\Ajm.exe
O4 - HKCU\..\Run: [Log] C:\WINDOWS\Dvm.exe
O4 - HKCU\..\Run: [Obj] C:\WINDOWS\Obr.exe
O4 - HKCU\..\Run: [Hdf] C:\WINDOWS\System32\Lnf.exe
O4 - HKCU\..\Run: [Png] C:\WINDOWS\System32\Oat.exe
O4 - HKCU\..\Run: [Vgp] C:\WINDOWS\Rpd.exe
O4 - HKCU\..\Run: [Oku] C:\WINDOWS\Jtd.exe
O4 - HKCU\..\Run: [Oqj] C:\WINDOWS\Rkc.exe
O4 - HKCU\..\Run: [Bgp] C:\WINDOWS\Scd.exe
O4 - HKCU\..\Run: [Ije] C:\WINDOWS\Scm.exe
O4 - HKCU\..\Run: [Lqj] C:\WINDOWS\Sgs.exe
O4 - HKCU\..\Run: [Eoo] C:\WINDOWS\Ogu.exe
O4 - HKCU\..\Run: [Lpd] C:\WINDOWS\System32\Chp.exe
O4 - HKCU\..\Run: [Lql] C:\WINDOWS\System32\Fcu.exe
O4 - HKCU\..\Run: [Uvu] C:\WINDOWS\System32\Tvp.exe
O4 - HKCU\..\Run: [Gdv] C:\WINDOWS\System32\Akh.exe
O4 - HKCU\..\Run: [Afh] C:\WINDOWS\Bqi.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971C.../bridge-c11.cab

With ALL OTHER WINDOWS CLOSED, click on Fix Checked.


Double click on the delfile.bat file that you previously created on the desktop. Allow it to finish, then reboot normally.


Post a Fresh HJT log.
Derfram
~~~~~~

#5 Tootas

Tootas
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:03:01 PM

Posted 06 April 2005 - 09:01 AM

Here is a new HJT log as well as the HSlog you asked for earlier. thanks

Logfile of HijackThis v1.99.1
Scan saved at 6:53:26 AM, on 4/6/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\en-us\msnappau.exe
C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
C:\WINDOWS\System32\svchost.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sony.com/vaiopeople
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://localhost;
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\adobe\acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WordPerfect Office 1215] C:\Program Files\WordPerfect Office 12\Programs\Registration.exe /title="WordPerfect Office 12" /date=010305 serial=WS12WTX-9999998-UYR lang=EN
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\en-us\msnappau.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sony.com/vaiopeople
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe


Horseserver Removal Tool v1.05
by Atri
-
-
1. Registry Fix Started
-
Registry fix complete
-
2. Deleted Services
-
-
3. Finding files Located on system
-
tmp*.tmp
w32tm.exe
open32.exe
-
4. Deleting files that were found.
-
-
5. Checking for and Removing Winupdate
-

#6 ddeerrff

ddeerrff

    Retired


  • Malware Response Team
  • 2,736 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Upper Midwest, US
  • Local time:03:01 PM

Posted 06 April 2005 - 09:18 AM

Log looks clean...great job! Any unresolved malware related issues?

Now that you are clean, please follow these steps in order to keep your computer safe and secure:
Simple and easy ways to keep your computer safe and secure on the Internet
Derfram
~~~~~~

#7 Tootas

Tootas
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:03:01 PM

Posted 06 April 2005 - 10:02 PM

no unresolved issues yet. thanks a lot for the help. I'll definetly be back if there are any problems. thanks again

#8 ddeerrff

ddeerrff

    Retired


  • Malware Response Team
  • 2,736 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Upper Midwest, US
  • Local time:03:01 PM

Posted 14 April 2005 - 02:45 PM

Since your problem appears to be resolved, this thread will now be closed. If you need this topic reopened, please contact a member of the HJT Team and we will reopen it for you. Include the address of this thread in your request. If you should have a new issue, please start a new topic. This applies only to the original topic starter. Everyone else please begin a New Topic.
Derfram
~~~~~~




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users