Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Friggin' Virtumonde


  • This topic is locked This topic is locked
22 replies to this topic

#1 gonzalobb

gonzalobb

  • Members
  • 13 posts
  • OFFLINE
  •  
  • Local time:02:43 PM

Posted 03 August 2008 - 09:34 PM

I just ran Spybot S&D and it told that I had Virtumonde, which is sensible, considering how slow my Interent connection has been woking lately, the fact that I can't enter some sites, and the incredibly high number un connections I never started when I type netstat -a on the CMD window.

Anyway, I guessed you guys could help me out. I remember having usedyour site some time ago, but I don't remember neither the reason nor my username at the time, so it's like a fresh start. Let's begin with a fresh HJT log. Thanks in advance.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:38 p.m., on 03/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
D:\Archivos de programa\WinPoET\WrOS.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
D:\Archivos de programa\Thomson\Dragdiag.exe
D:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\Archivos de programa\Opera\Opera.exe
D:\HJT\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {24DEAB9A-62C3-457D-A4FD-5F2F056D4945} - C:\WINDOWS\system32\byXOiGYR.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Archivos de programa\Thomson\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [a-winpoet-service] "D:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [googletalk] C:\Archivos de programa\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [avast!] D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [20938305882908468754345965586533] C:\Archivos de programa\Antivirus 2009\av2009.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/instal...nosticsxp2k.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FCEBB61-AA27-4EA7-AB29-C3F29EE0FFA7}: NameServer = 208.67.222.222 208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FCEBB61-AA27-4EA7-AB29-C3F29EE0FFA7}: NameServer = 208.67.222.222 208.67.220.220
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Archivos de programa\WinPcap\rpcapd.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - D:\Archivos de programa\WinPoET\WrOS.EXE

--
End of file - 7382 bytes

BC AdBot (Login to Remove)

 


#2 gonzalobb

gonzalobb
  • Topic Starter

  • Members
  • 13 posts
  • OFFLINE
  •  
  • Local time:02:43 PM

Posted 03 August 2008 - 11:36 PM

I'm sorry, I just finished reading the guide to posting and realised I should have added a few mroe things, so here they are:

NOTE: Between the first HJT log and now I ran SUPERantispyware and it claims to have elimianted some virtumonde entries, so I wiil include a fresh HJT log as well

Frist, Deckard's scanner and the extras just to be sure.

Deckard's System Scanner v20071014.68
Run by Gonzalo on 2008-08-04 00:44:23
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
6: 2008-08-04 03:44:34 UTC - RP138 - Deckard's System Scanner Restore Point
5: 2008-08-04 02:35:21 UTC - RP137 - Installed SUPERAntiSpyware Free Edition
4: 2008-08-03 23:27:29 UTC - RP136 - Punto de control del sistema
3: 2008-08-02 23:27:21 UTC - RP135 - Eliminado PIMS & File Manager
2: 2008-08-02 23:17:27 UTC - RP134 - Instalado PIMS & File Manager


-- First Restore Point --
1: 2008-08-02 23:13:17 UTC - RP133 - Instalación de controlador no firmado


Backed up registry hives.
Performed disk cleanup.

System Drive C: has 1.18 GiB (less than 15%) free.


-- HijackThis (run as Gonzalo.exe) ---------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:45:51 a.m., on 04/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
D:\Archivos de programa\Thomson\Dragdiag.exe
D:\Archivos de programa\WinPoET\winpppoverethernet.exe
D:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\Google\Google Talk\googletalk.exe
D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Archivos de programa\DAEMON Tools Lite\daemon.exe
D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
D:\Archivos de programa\WinPoET\WrOS.EXE
C:\WINDOWS\system32\HPZipm12.exe
D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\NO BORRAR\HijackThis y otras yerbas\dss.exe
D:\HJT\Gonzalo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {24DEAB9A-62C3-457D-A4FD-5F2F056D4945} - C:\WINDOWS\system32\byXOiGYR.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Archivos de programa\Thomson\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [a-winpoet-service] "D:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [googletalk] C:\Archivos de programa\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [avast!] D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [20938305882908468754345965586533] C:\Archivos de programa\Antivirus 2009\av2009.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/instal...nosticsxp2k.cab
O20 - Winlogon Notify: !SASWinLogon - D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Archivos de programa\WinPcap\rpcapd.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - D:\Archivos de programa\WinPoET\WrOS.EXE

--
End of file - 7747 bytes

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R2 TopWinPoETDriver (WinPoET PPPoE Optimized Driver) - c:\windows\system32\drivers\wrkpoet2000.sys
R3 usb2vcom (USB Data Cable) - c:\windows\system32\drivers\usb2vcom.sys <Not Verified; ; USB to Serial Bridge Controller>
R3 WrKPoET2000 - d:\archivos de programa\winpoet\wrkpoet2000.sys

S3 NPF (NetGroup Packet Filter Driver) - c:\windows\system32\drivers\npf.sys <Not Verified; CACE Technologies; WinPcap Netgroup Packet Filter Driver>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 WinPPPoverEthernet - d:\archivos de programa\winpoet\wros.exe <Not Verified; iVasion, a Routerware Company; WinRouter Operating System>

S3 rpcapd (Remote Packet Capture Protocol v.0 (experimental)) - "c:\archivos de programa\winpcap\rpcapd.exe" -d -f "c:\archivos de programa\winpcap\rpcapd.ini" <Not Verified; CACE Technologies; Remote Packet Capture Daemon>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2008-08-02 10:41:05 298 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
2008-07-28 23:47:32 360 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209415281.job
2008-07-27 22:59:00 408 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209346110.job
2008-07-24 17:53:06 402 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1211489538.job
2008-07-18 15:43:10 482 --a------ C:\WINDOWS\Tasks\WebReg 20080718154309.job
2008-07-07 08:31:01 408 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209641428.job


-- Files created between 2008-07-04 and 2008-08-04 -----------------------------

2008-08-03 23:08:32 0 d-------- C:\VundoFix Backups
2008-08-02 20:17:47 344064 --a------ C:\WINDOWS\system32\msexch35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:46 294912 --a------ C:\WINDOWS\system32\msxbse35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:46 166672 --a------ C:\WINDOWS\system32\mstext35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:46 262144 --a------ C:\WINDOWS\system32\msrd2x35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:46 250128 --a------ C:\WINDOWS\system32\mspdox35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:46 168720 --a------ C:\WINDOWS\system32\msltus35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:45 1238288 --a------ C:\WINDOWS\system32\msjt4jlt.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:44 368912 --a------ C:\WINDOWS\system32\VBAR332.DLL <Not Verified; Microsoft Corporation; Microsoft Visual Basic for Applications>
2008-08-02 20:17:44 44304 --a------ C:\WINDOWS\system32\msrpfs35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:44 1050896 --a------ C:\WINDOWS\system32\msjet35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:44 252688 --a------ C:\WINDOWS\system32\msexcl35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:43 415504 --a------ C:\WINDOWS\system32\msrepl35.dll <Not Verified; Microsoft Corporation; Microsoft® Access>
2008-08-02 20:17:43 39424 --a------ C:\WINDOWS\system32\JETCOMP.exe <Not Verified; Microsoft Corporation; Microsoft® Database Compact Utility>
2008-08-02 20:17:42 24848 --a------ C:\WINDOWS\system32\msjter35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:42 123664 --a------ C:\WINDOWS\system32\msjint35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:13:21 29152 -ra------ C:\WINDOWS\system32\drivers\usb2vcom.sys <Not Verified; ; USB to Serial Bridge Controller>
2008-08-02 17:45:03 4096 --a------ C:\WINDOWS\d3dx.dat
2008-07-30 22:18:05 86016 --a------ C:\WINDOWS\unvise32.exe <Not Verified; MindVision Software; Installer VISE>
2008-07-30 00:05:49 0 d-------- C:\Archivos de programa\Mplayer
2008-07-29 21:29:47 0 d-------- C:\program files
2008-07-22 00:13:27 0 d-------- C:\Archivos de programa\Microsoft Encarta
2008-07-22 00:06:49 0 d-------- C:\WINDOWS\Lhsp
2008-07-22 00:06:02 0 d-------- C:\WINDOWS\speech
2008-07-16 21:53:03 859 --ahs---- C:\WINDOWS\system32\OnWHknmp.ini2
2008-07-16 19:18:17 859 --ahs---- C:\WINDOWS\system32\kkkllnpo.ini2
2008-07-16 17:21:47 384237 --ahs---- C:\WINDOWS\system32\RYGiOXyb.ini2
2008-07-09 23:33:54 0 d-------- C:\Archivos de programa\Wolfram Research
2008-07-09 22:43:09 0 d---s---- C:\Documents and Settings\Tiny\UserData
2008-07-04 18:10:30 0 d--h----- C:\WINDOWS\PIF


-- Find3M Report ---------------------------------------------------------------

2008-08-03 23:35:22 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\SUPERAntiSpyware.com
2008-08-03 23:35:01 0 d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-03 23:01:19 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\uTorrent
2008-08-03 22:35:36 33640 --a------ C:\Documents and Settings\Gonzalo\Datos de programa\GDIPFONTCACHEV1.DAT
2008-08-03 20:04:56 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\ImgBurn
2008-08-02 20:29:10 0 d--h----- C:\Archivos de programa\InstallShield Installation Information
2008-08-02 17:45:10 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Conor O'Kane
2008-07-30 21:24:59 157114 --a------ C:\WINDOWS\War3Unin.dat
2008-07-28 12:09:56 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Azureus
2008-07-09 23:25:40 0 d-------- C:\Archivos de programa\Archivos comunes\InstallShield
2008-07-01 22:01:46 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Apple Computer
2008-07-01 21:46:27 0 d-------- C:\Archivos de programa\Apple Software Update
2008-06-28 18:17:05 0 d-------- C:\Archivos de programa\Archivos comunes
2008-06-28 18:17:05 0 d-------- C:\Archivos de programa\Archivos comunes\DirectX
2008-06-28 18:11:13 0 d-------- C:\Archivos de programa\Archivos comunes\Blizzard Entertainment
2008-06-28 18:07:45 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Google
2008-06-28 16:28:45 0 d-------- C:\Archivos de programa\WinPcap
2008-06-22 21:04:27 2829 --a------ C:\WINDOWS\War3Unin.pif
2008-06-22 21:04:26 139264 --a------ C:\WINDOWS\War3Unin.exe <Not Verified; Blizzard Entertainment; Warcraft III Uninstaller>
2008-06-21 19:49:20 0 d-------- C:\Archivos de programa\Eraser
2008-06-11 17:09:18 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\DAEMON Tools
2008-06-03 02:31:15 434176 -----n--- C:\WINDOWS\Setup1.exe <Not Verified; Microsoft Corporation; Microsoft Visual Basic for Windows>
2008-06-03 02:31:13 73216 --a------ C:\WINDOWS\ST6UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic for Windows>


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{24DEAB9A-62C3-457D-A4FD-5F2F056D4945}]
C:\WINDOWS\system32\byXOiGYR.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedTouch USB Diagnostics"="D:\Archivos de programa\Thomson\Dragdiag.exe" [26/01/2004 04:08 a.m.]
"a-winpoet-service"="D:\Archivos de programa\WinPoET\winpppoverethernet.exe" [29/05/2003 05:25 a.m.]
"SunJavaUpdateSched"="D:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe" [22/02/2008 04:25 a.m.]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09/07/2001 11:50 a.m.]
"googletalk"="C:\Archivos de programa\Google\Google Talk\googletalk.exe" [01/01/2007 06:22 p.m.]
"avast!"="D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [15/05/2008 08:19 p.m.]
"QuickTime Task"="D:\Archivos de programa\QuickTime\QTTask.exe" [27/05/2008 10:50 a.m.]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 02:42 p.m.]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [11/05/2008 05:21 p.m.]
"DAEMON Tools Lite"="D:\Archivos de programa\DAEMON Tools Lite\daemon.exe" [01/04/2008 06:39 a.m.]
"20938305882908468754345965586533"="C:\Archivos de programa\Antivirus 2009\av2009.exe" []
"SUPERAntiSpyware"="D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [28/05/2008 10:33 a.m.]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"nltide_3"=rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
hp psc 1000 series.lnk - D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [16/06/2004 06:34:12 p.m.]
hpoddt01.exe.lnk - D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [16/06/2004 06:22:58 p.m.]
Inicio r pido de Adobe Reader.lnk - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe [23/04/2008 03:38:16 a.m.]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE [13/02/2001 01:31:04 a.m.]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [13/05/2008 10:13 a.m. 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 19/04/2007 01:41 p.m. 294912 D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\byXOiGYR




-- End of Deckard's System Scanner: finished at 2008-08-04 00:46:24 ------------




Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: Spanish

CPU 0: AMD Athlon™ XP 1800+
Percentage of Memory in Use: 30%
Physical Memory (total/avail): 1279.48 MiB / 886.68 MiB
Pagefile Memory (total/avail): 3054.07 MiB / 2745.33 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1944.57 MiB

A: is Removable (Unformatted)
C: is Fixed (NTFS) - 9.77 GiB total, 1.18 GiB free.
D: is Fixed (NTFS) - 66.91 GiB total, 33.34 GiB free.
E: is CDROM (No Media)
F: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - HDS722580VLAT20 - 76.69 GiB - 2 partitions
\PARTITION0 (bootable) - Sistema de archivos instalables - 9.77 GiB - C:
\PARTITION1 - Extendido con Inter. 13 extendida - 66.91 GiB - D:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is disabled.

FirstRunDisabled is set.

AV: avast! antivirus 4.8.1201 [VPS 080803-0] v4.8.1201 (ALWIL Software)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\Google\\Google Talk\\googletalk.exe"="C:\\Archivos de programa\\Google\\Google Talk\\googletalk.exe:*:Enabled:Google Talk"
"D:\\Archivos de programa\\Opera\\Opera.exe"="D:\\Archivos de programa\\Opera\\Opera.exe:*:Enabled:Opera Internet Browser"
"D:\\Archivos de programa\\uTorrent\\utorrent.exe"="D:\\Archivos de programa\\uTorrent\\utorrent.exe:*:Enabled:µTorrent"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"="C:\\Archivos de programa\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"D:\\Archivos de programa\\Warcraft III\\war3.exe"="D:\\Archivos de programa\\Warcraft III\\war3.exe:*:Enabled:Warcraft III"
"D:\\Archivos de programa\\MusicBrainz Picard\\picard.exe"="D:\\Archivos de programa\\MusicBrainz Picard\\picard.exe:*:Enabled:The next generation MusicBrainz tagger"
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\Mathematica.exe"="D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\Mathematica.exe:*:Enabled:Wolfram Mathematica 6"
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\MathKernel.exe"="D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\MathKernel.exe:*:Enabled:Wolfram Mathematica 6 Kernel"
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\math.exe"="D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\math.exe:*:Enabled:math.exe"
"D:\\Archivos de programa\\Vuze\\Azureus.exe"="D:\\Archivos de programa\\Vuze\\Azureus.exe:*:Enabled:Azureus"
"D:\\Archivos de programa\\Quake III Arena\\quake3.exe"="D:\\Archivos de programa\\Quake III Arena\\quake3.exe:*:Enabled:quake3"
"D:\\Archivos de programa\\Valve\\hl.exe"="D:\\Archivos de programa\\Valve\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"D:\\Archivos de programa\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.exe"="D:\\Archivos de programa\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.exe:*:Enabled:Age of Empires II Expansion"
"D:\\Archivos de programa\\HaloCE\\Halo Custom Edition\\haloce.exe"="D:\\Archivos de programa\\HaloCE\\Halo Custom Edition\\haloce.exe:*:Enabled:Halo"


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Gonzalo\Datos de programa
CLASSPATH=.;D:\Archivos de programa\Java\jre1.6.0_05\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Archivos de programa\Archivos comunes
COMPUTERNAME=PRIMERA
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\Gonzalo
LOGONSERVER=\\PRIMERA
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;D:\Archivos de programa\QuickTime\QTSystem\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0801
ProgramFiles=C:\Archivos de programa
PROMPT=$P$G
QTJAVA=D:\Archivos de programa\Java\jre1.6.0_05\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\Gonzalo\CONFIG~1\Temp
TMP=C:\DOCUME~1\Gonzalo\CONFIG~1\Temp
USERDOMAIN=PRIMERA
USERNAME=Gonzalo
USERPROFILE=C:\Documents and Settings\Gonzalo
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Gonzalo (admin)
Tiny (admin)
Mario (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> D:\Archivos de programa\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.57 --> "D:\Archivos de programa\7-Zip\Uninstall.exe"
Actualización de seguridad para el Reproductor de Windows Media 6.4 (KB925398) --> "C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"
Actualización de seguridad para el Reproductor de Windows Media 9 (KB936782) --> "C:\WINDOWS\$NtUninstallKB936782_WMP9$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Actualización de seguridad para Windows XP (KB928255) --> "C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB941569) -->
Actualización de seguridad para Windows XP (KB941644) --> "C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB941693) --> "C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB943055) --> "C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB943485) --> "C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB944338) --> "C:\WINDOWS\$NtUninstallKB944338$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB945553) --> "C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB946026) --> "C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB947864) --> "C:\WINDOWS\$NtUninstallKB947864$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB948590) --> "C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB948881) --> "C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB950749) --> "C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB950759) --> "C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB951376-v2) --> "C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB951748) --> "C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Actualización para Windows XP (KB912945) -->
Actualización para Windows XP (KB925720) --> "C:\WINDOWS\$NtUninstallKB925720$\spuninst\spuninst.exe"
Actualización para Windows XP (KB927891) --> "C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.1.0 - Español --> MsiExec.exe /I{AC76BA86-7AD7-1034-7B44-A71000000002}
Apple Software Update --> MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
µTorrent --> "D:\Archivos de programa\uTorrent\uninstall.exe"
avast! Antivirus --> D:\Archivos de programa\Alwil Software\Avast4\aswRunDll.exe "D:\Archivos de programa\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
Biblioteca de Consulta Microsoft Encarta 2005 --> MsiExec.exe /I{054500C0-64A6-4248-A026-9745C1E9E159}
Biología 6º edición, Curtis y Barnes. --> C:\WINDOWS\st6unst.exe -n "C:\Archivos de programa\CDCurtis\ST6UNST.LOG"
Contact (remove only) --> "D:\Archivos de programa\Contact\uninstall.exe"
coOpera 1.1.0 --> MsiExec.exe /I{6FE40950-A338-49E7-86B6-C02BF4795738}
Counter-Strike 1.6 --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\PROFES~1\RunTime\09\00\Intel32\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{9ABFB92D-93DA-49EE-8ABF-F8195DE45CA9}\Setup.exe" -l0x19
Darwinia --> C:\WINDOWS\IsUninst.exe -f"D:\Archivos de programa\Darwinia\Uninst.isu"
Eraser --> "C:\Archivos de programa\Eraser\unins000.exe"
FLV Player 1.3.3 --> "d:\Archivos de programa\FLVPlayer\uninstall.exe"
GameTap --> C:\Archivos de programa\InstallShield Installation Information\{67E158AF-8856-4337-B483-EA21930786AF}\setup.exe -runfromtemp -l0x0009 -removeonly
Go Beryllium 1.0 --> D:\Archivos de programa\Go Beryllium\uninst.exe
Google Talk (remove only) --> "C:\Archivos de programa\Google\Google Talk\uninstall.exe"
Google Toolbar for Internet Explorer --> MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer --> regsvr32 /u /s "c:\archivos de programa\google\googletoolbar1.dll"
HijackThis 2.0.2 --> "C:\Documents and Settings\Gonzalo\Escritorio\HijackThis.exe" /uninstall
HP Driver Diagnostics --> MsiExec.exe /X{624D19C3-D55D-4368-BC10-9B53036D8358}
hp psc 1200 series --> MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5}
hp psc 1200 series --> rundll32 hpzcon07.dll,VendorJettison hp psc 1200 series
ImgBurn --> "D:\Archivos de programa\ImgBurn\uninstall.exe"
International NWL Solutions --> MsiExec.exe /I{8B47080D-1840-499D-B511-2173EB28267A}
IrfanView (remove only) --> D:\Archivos de programa\IrfanView\iv_uninstall.exe
Java™ 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
L&H TTS3000 Español --> RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\LHTTSSPE.inf, Uninstall
Last.fm 1.5.1.30182 --> "D:\Archivos de programa\Last.fm\unins000.exe"
Messenger Plus! Live --> "C:\Archivos de programa\Messenger Plus! Live\Uninstall.exe"
Microsoft Age of Empires II --> "D:\Archivos de programa\Microsoft Games\Age of Empires II\UNINSTAL.EXE" /runtemp /uninstall
Microsoft Age of Empires II: The Conquerors Expansion --> "D:\Archivos de programa\Microsoft Games\Age of Empires II\UNINSTALX.EXE" /runtemp /addremove
Microsoft Office XP Professional con FrontPage --> MsiExec.exe /I{90280C0A-6000-11D3-8CFE-0050048383C9}
MSN --> C:\Archivos de programa\MSN\MsnInstaller\msninst.exe /Action:ARP
MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
MusicBrainz Picard 0.9.0 --> D:\Archivos de programa\MusicBrainz Picard\uninst.exe
Need for Speed Underground 2 --> D:\Archivos de programa\EA GAMES\Need for Speed Underground 2\EAUninstall.exe
Nero Suite --> C:\Archivos de programa\Archivos comunes\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
On the Rain-Slick Precipice of Darkness, Episode One --> d:\Archivos de programa\Hothead Games\Precipice of Darkness\uninstall.exe
Opera 9.51 --> MsiExec.exe /X{179624B1-2683-45ED-965A-B72189EB5820}
Quake III Arena --> C:\WINDOWS\IsUninst.exe -f"D:\Archivos de programa\Quake III Arena\QIII.isu"
Quake III Arena Point Release 1.32 --> C:\WINDOWS\unvise32.exe D:\Archivos de programa\Quake III Arena\uninstal5.log
QuickTime --> MsiExec.exe /I{08CA9554-B5FE-4313-938F-D4A417B81175}
Revisión de Windows XP - KB885884 --> C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe
Shockwave --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
SigmaTel SDK Firmware Download --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{8EAA27CB-A1FD-4E33-AD0E-E2458529EB09}\setup.exe" -l0xa
Software de fotografía e imágenes HP 2.0 - All-in-One --> MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
Software de fotografía e imágenes HP 2.0 - All-in-One Drivers --> MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
Software de fotografía e imágenes HP 2.0 - hp psc 1200 series --> D:\Archivos de programa\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot
SpeedTouch USB Software --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{D41FAAA9-8048-4906-86B2-9AADEA1FA0B7}\Setup.exe" /l000a -Control_Panel
Spybot - Search & Destroy --> "D:\Archivos de programa\Spybot - Search & Destroy\unins000.exe"
SUPERAntiSpyware Free Edition --> MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
Total Commander (Remove or Repair) --> d:\archivos de programa\totalcmd\tcuninst.exe
VIA Audio Driver Setup Program --> RunDll32.exe UnAudioNT.dll,UninstallAudio C:\WINDOWS\IsUninst.exe -f"C:\ARCHIV~1\VIATEC~1\VIAAUD~1/Uninst.isu"
VideoLAN VLC media player 0.8.5 --> D:\Archivos de programa\VideoLAN\VLC\uninstall.exe
Warcraft III: All Products --> C:\WINDOWS\War3Unin.exe C:\WINDOWS\War3Unin.dat
WC3Banlist --> "D:\Archivos de programa\WC3Banlist\unins000.exe"
Windows Communication Foundation --> MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Imaging Component --> "C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Live Asistente para el inicio de sesión --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer --> MsiExec.exe /X{9E1DDBE7-BF44-4AC8-87CA-3D25FC63C6E1}
Windows Live Messenger --> MsiExec.exe /X{FC411B47-30BF-428C-9C1E-F6C54A94EA7E}
Windows Presentation Foundation --> MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Presentation Foundation Language Pack (ESN) --> MsiExec.exe /X{5668914A-431C-4910-94E7-F6673615B538}
Windows Workflow Foundation --> MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows Workflow Foundation ES Language Pack --> MsiExec.exe /I{AB588DC0-FC95-42D2-908F-BCAD99596282}
WinPcap 3.1 --> C:\Archivos de programa\WinPcap\uninstall.exe
WinPoET v6.6 --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{9806BFBB-F566-4654-94DE-CB1F85B5CDDD}\setup.exe" -l0xa
Wolfram Mathematica 6 --> C:\Archivos de programa\Archivos comunes\InstallShield\Driver\8\Intel 32\IDriver.exe /M{236BCBCA-C7C2-4C49-B57D-1963279B2BF8}
Wolfram Notebook Indexer 2.0 --> MsiExec.exe /I{A3030AB0-E3FE-442F-A719-459B35178D10}
XML Paper Specification Shared Components Language Pack 1.0 --> "C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Pack 1.0 -->


-- Application Event Log -------------------------------------------------------

Event Record #/Type4795 / Warning
Event Submitted/Written: 08/03/2008 11:16:26 PM
Event ID/Source: 100 / PPPOE
Event Description:
Warning: on_message_event; control session map host unique handle mismatch.

Event Record #/Type4794 / Warning
Event Submitted/Written: 08/03/2008 11:16:26 PM
Event ID/Source: 100 / PPPOE
Event Description:
Warning: on_message_event; control session map host unique handle mismatch.

Event Record #/Type4793 / Warning
Event Submitted/Written: 08/03/2008 11:05:56 PM
Event ID/Source: 100 / PPPOE
Event Description:
Warning: on_message_event; control session map host unique handle mismatch.

Event Record #/Type4792 / Warning
Event Submitted/Written: 08/03/2008 11:05:56 PM
Event ID/Source: 100 / PPPOE
Event Description:
Warning: on_message_event; control session map host unique handle mismatch.

Event Record #/Type4766 / Warning
Event Submitted/Written: 08/03/2008 07:55:12 PM
Event ID/Source: 100 / PPPOE
Event Description:
Warning: on_message_event; control session map host unique handle mismatch.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type7789 / Error
Event Submitted/Written: 08/03/2008 11:05:32 PM
Event ID/Source: 54 / Print
Event Description:
El documento Microsoft Word - Carolina.doc estaba dañado y se ha eliminado. El controlador asociado es: hp psc 1200 series.

Event Record #/Type7733 / Warning
Event Submitted/Written: 08/03/2008 04:02:05 PM
Event ID/Source: 4226 / Tcpip
Event Description:
TCP/IP alcanzó el límite de seguridad impuesto sobre el número de intentos de conexión TCP simultáneas.

Event Record #/Type7732 / Warning
Event Submitted/Written: 08/03/2008 10:12:13 AM
Event ID/Source: 36 / W32Time
Event Description:
El servicio de hora no ha podido sincronizar la hora del sistema en 49152
segundos porque ninguno de los proveedores de hora ha podido proporcionar
un sello de hora que se pueda usar. El reloj del sistema no está sincronizado.

Event Record #/Type7728 / Warning
Event Submitted/Written: 08/03/2008 08:42:10 AM
Event ID/Source: 4226 / Tcpip
Event Description:
TCP/IP alcanzó el límite de seguridad impuesto sobre el número de intentos de conexión TCP simultáneas.

Event Record #/Type7727 / Warning
Event Submitted/Written: 08/03/2008 05:03:01 AM
Event ID/Source: 4226 / Tcpip
Event Description:
TCP/IP alcanzó el límite de seguridad impuesto sobre el número de intentos de conexión TCP simultáneas.



-- End of Deckard's System Scanner: finished at 2008-08-04 00:46:24 ------------




Now a fresh HJT log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:35:38 a.m., on 04/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
D:\Archivos de programa\Thomson\Dragdiag.exe
D:\Archivos de programa\WinPoET\winpppoverethernet.exe
D:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\Google\Google Talk\googletalk.exe
D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Archivos de programa\DAEMON Tools Lite\daemon.exe
D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
D:\Archivos de programa\WinPoET\WrOS.EXE
C:\WINDOWS\system32\HPZipm12.exe
D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\notepad.exe
D:\Archivos de programa\Opera\Opera.exe
D:\HJT\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {24DEAB9A-62C3-457D-A4FD-5F2F056D4945} - C:\WINDOWS\system32\byXOiGYR.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Archivos de programa\Thomson\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [a-winpoet-service] "D:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [googletalk] C:\Archivos de programa\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [avast!] D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [20938305882908468754345965586533] C:\Archivos de programa\Antivirus 2009\av2009.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/instal...nosticsxp2k.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FCEBB61-AA27-4EA7-AB29-C3F29EE0FFA7}: NameServer = 208.67.222.222 208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FCEBB61-AA27-4EA7-AB29-C3F29EE0FFA7}: NameServer = 208.67.222.222 208.67.220.220
O20 - Winlogon Notify: !SASWinLogon - D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Archivos de programa\WinPcap\rpcapd.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - D:\Archivos de programa\WinPoET\WrOS.EXE

--
End of file - 7975 bytes



And I promise to have a Kaspersky online scanner log by tomorrow morning. Here it's 1:30 in the morning so I'm going to sleep, and my PC is going to run Kaspersky. Again, thanks in advance.

#3 gonzalobb

gonzalobb
  • Topic Starter

  • Members
  • 13 posts
  • OFFLINE
  •  
  • Local time:02:43 PM

Posted 04 August 2008 - 06:39 AM

And here-s the promised kaspersky report. However, it seems to signal the content of my antivirus ¿avastª? vault only. Well, you-ll know better.

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Monday, August 4, 2008
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Monday, August 04, 2008 03:58:57
Records in database: 1050986
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan statistics:
Files scanned: 79318
Threat name: 11
Infected objects: 25
Suspicious objects: 0
Duration of the scan: 02:03:25


File name / Threat name / Threats count
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019194.exe.vir Infected: not-a-virus:FraudTool.Win32.Antivirus2009.e 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019203.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abje 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019206.dll.vir Infected: Trojan.Win32.Monder.amd 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019236.dll.vir Infected: Trojan.Win32.Monder.bbk 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019238.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.aard 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019243.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.aard 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019309.dll.vir Infected: Trojan.Win32.Monder.gen 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019330.dll.vir Infected: Trojan.Win32.Monder.gen 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0020339.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abje 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0020414.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.aard 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0021616.dll.vir Infected: Trojan.Win32.Monder.anu 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0021900.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abuo 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0021916.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abun 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0023015.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abuo 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\CAAJ8HE7.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.aard 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\CAREEXJV.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.aard 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb456456[1].2.vir Infected: Trojan.Win32.Monder.bbk 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb456456[1].3.vir Infected: Trojan.Win32.Monder.bbk 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb456456[1].vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abje 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb456456[2].vir Infected: Trojan.Win32.Monder.anu 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb671231[1].vir Infected: Trojan.Win32.Monder.amd 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb671231[2].vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abun 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb767887[2].vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abuo 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\scui.cpl.vir Infected: not-a-virus:FraudTool.Win32.XPAntivirus.ld 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\UPS_INVOICE_978172.zip#1583016067.vir Infected: Trojan-Spy.Win32.Zbot.dip 1

The selected area was scanned.

#4 SifuMike

SifuMike

    malware expert


  • Members
  • 15,385 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Vancouver (not BC) WA (Not DC) USA
  • Local time:10:43 AM

Posted 09 August 2008 - 12:03 AM

Hello gonzalobb,

Please download Malwarebytes' Anti-Malware from Here or Here

Double Click mbam-setup.exe to install the application.
Make sure a checkmark is placed next to Update Malwarebytes' Anti-Malware and Launch Malwarebytes' Anti-Malware, then click Finish.
If an update is found, it will download and install the latest version.
Once the program has loaded, select "Perform Quick Scan", then click Scan.
The scan may take some time to finish, so please be patient.
When the scan is complete, click OK, then Show Results to view the results.
Make sure that everything is checked, and click Remove Selected.
When disinfection is completed, a log will open in Notepad and you may be prompted to Restart. (See Extra Note)
The log is automatically saved by MBAM and can be viewed by clicking the Logs tab in MBAM.

Copy and Paste the entire Malwarebytes' Anti-Malware report in your next reply along with a fresh DSS Main.txt log.

Extra Note:
If MBAM encounters a file that is difficult to remove, you will be presented with 1 of 2 prompts, click OK to either and let MBAM proceed with the disinfection process, if asked to restart the computer, please do so immediatly.

If you encounter this message:"c:\program files\malwarebytes' Anti-Malware\mbamext.dll Unable to register the dll/ocx: RegSvr32 failed with exit code 0x5" Click on ignore mbamext.dll

If I've saved you time & money,
please make a donation so I can keep helping people just like you! You can donate using a credit card and PayPal. Thank you!



Posted Image

Asking for help via Private Message or Mail will be ignored - So If you need help, post your problem in the forum.

#5 gonzalobb

gonzalobb
  • Topic Starter

  • Members
  • 13 posts
  • OFFLINE
  •  
  • Local time:02:43 PM

Posted 09 August 2008 - 08:32 PM

Thanks for your prompt reply. Just in case, I'm using Opera 9.51 with Windows XP Service Pack 2. In that order, these are the Malwarebytes and DSS logs:

Malwarebytes' Anti-Malware 1.24
Database version: 1036
Windows 5.1.2600 Service Pack 2

10:23:16 p.m. 09/08/2008
mbam-log-8-9-2008 (22-23-16).txt

Scan type: Quick Scan
Objects scanned: 44092
Time elapsed: 4 minute(s), 20 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 4
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 3

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\BM5302eaf6.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM5302eaf6.txt (Trojan.Vundo) -> Quarantined and deleted successfully.


______________


Deckard's System Scanner v20071014.68
Run by Gonzalo on 2008-08-09 22:27:17
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Gonzalo.exe) ---------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:27:39 p.m., on 09/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
D:\Archivos de programa\WinPoET\WrOS.EXE
D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
D:\Archivos de programa\Thomson\Dragdiag.exe
D:\Archivos de programa\WinPoET\winpppoverethernet.exe
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Archivos de programa\DAEMON Tools Lite\daemon.exe
D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
D:\Archivos de programa\Last.fm\LastFM.exe
C:\Archivos de programa\Google\Google Talk\googletalk.exe
C:\WINDOWS\system32\HPZipm12.exe
D:\Archivos de programa\Opera\Opera.exe
D:\NO BORRAR\HijackThis y otras yerbas\dss.exe
D:\HJT\Gonzalo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {24DEAB9A-62C3-457D-A4FD-5F2F056D4945} - C:\WINDOWS\system32\byXOiGYR.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Archivos de programa\Thomson\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [a-winpoet-service] "D:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [googletalk] C:\Archivos de programa\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [avast!] D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [20938305882908468754345965586533] C:\Archivos de programa\Antivirus 2009\av2009.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-21-602162358-1935655697-1801674531-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Tiny')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/instal...nosticsxp2k.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FCEBB61-AA27-4EA7-AB29-C3F29EE0FFA7}: NameServer = 208.67.222.222 208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FCEBB61-AA27-4EA7-AB29-C3F29EE0FFA7}: NameServer = 208.67.222.222 208.67.220.220
O20 - Winlogon Notify: !SASWinLogon - D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Archivos de programa\WinPcap\rpcapd.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - D:\Archivos de programa\WinPoET\WrOS.EXE

--
End of file - 8232 bytes

-- Files created between 2008-07-09 and 2008-08-09 -----------------------------

2008-08-06 18:30:03 0 d-------- C:\Archivos de programa\Java
2008-08-04 14:22:53 47360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>
2008-08-04 14:22:48 0 d-------- C:\Archivos de programa\vso
2008-08-04 14:22:45 217127 --a------ C:\WINDOWS\system32\drv43260.dll <Not Verified; RealNetworks, Inc.; RealVideo 9 (32-bit)>
2008-08-04 14:22:45 208935 --a------ C:\WINDOWS\system32\drv33260.dll <Not Verified; RealNetworks, Inc.; RealVideo 8 (32-bit)>
2008-08-04 14:22:45 176165 --a------ C:\WINDOWS\system32\drv23260.dll <Not Verified; RealNetworks, Inc.; RealVideo G2 (32-bit)>
2008-08-04 12:41:06 0 d-------- C:\subs
2008-08-04 12:35:38 180224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-08-04 12:35:38 765952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-08-03 23:08:32 0 d-------- C:\VundoFix Backups
2008-08-02 20:17:47 344064 --a------ C:\WINDOWS\system32\msexch35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:46 294912 --a------ C:\WINDOWS\system32\msxbse35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:46 166672 --a------ C:\WINDOWS\system32\mstext35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:46 262144 --a------ C:\WINDOWS\system32\msrd2x35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:46 250128 --a------ C:\WINDOWS\system32\mspdox35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:46 168720 --a------ C:\WINDOWS\system32\msltus35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:45 1238288 --a------ C:\WINDOWS\system32\msjt4jlt.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:44 368912 --a------ C:\WINDOWS\system32\VBAR332.DLL <Not Verified; Microsoft Corporation; Microsoft Visual Basic for Applications>
2008-08-02 20:17:44 44304 --a------ C:\WINDOWS\system32\msrpfs35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:44 1050896 --a------ C:\WINDOWS\system32\msjet35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:44 252688 --a------ C:\WINDOWS\system32\msexcl35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:43 415504 --a------ C:\WINDOWS\system32\msrepl35.dll <Not Verified; Microsoft Corporation; Microsoft® Access>
2008-08-02 20:17:43 39424 --a------ C:\WINDOWS\system32\JETCOMP.exe <Not Verified; Microsoft Corporation; Microsoft® Database Compact Utility>
2008-08-02 20:17:42 24848 --a------ C:\WINDOWS\system32\msjter35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:17:42 123664 --a------ C:\WINDOWS\system32\msjint35.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-08-02 20:13:21 29152 -ra------ C:\WINDOWS\system32\drivers\usb2vcom.sys <Not Verified; ; USB to Serial Bridge Controller>
2008-08-02 17:45:03 4096 --a------ C:\WINDOWS\d3dx.dat
2008-07-30 22:18:05 86016 --a------ C:\WINDOWS\unvise32.exe <Not Verified; MindVision Software; Installer VISE>
2008-07-30 00:05:49 0 d-------- C:\Archivos de programa\Mplayer
2008-07-29 21:29:47 0 d-------- C:\program files
2008-07-22 00:13:27 0 d-------- C:\Archivos de programa\Microsoft Encarta
2008-07-22 00:06:49 0 d-------- C:\WINDOWS\Lhsp
2008-07-22 00:06:02 0 d-------- C:\WINDOWS\speech
2008-07-16 21:53:03 859 --ahs---- C:\WINDOWS\system32\OnWHknmp.ini2
2008-07-16 19:18:17 859 --ahs---- C:\WINDOWS\system32\kkkllnpo.ini2
2008-07-16 17:21:47 384237 --ahs---- C:\WINDOWS\system32\RYGiOXyb.ini2
2008-07-09 23:33:54 0 d-------- C:\Archivos de programa\Wolfram Research
2008-07-09 22:43:09 0 d---s---- C:\Documents and Settings\Tiny\UserData


-- Find3M Report ---------------------------------------------------------------

2008-08-09 20:26:55 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Malwarebytes
2008-08-05 23:07:58 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\uTorrent
2008-08-04 20:58:59 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Vso
2008-08-04 17:44:15 582 --a------ C:\Documents and Settings\Gonzalo\Datos de programa\AutoGK.ini
2008-08-04 14:23:04 34 --a------ C:\Documents and Settings\Gonzalo\Datos de programa\pcouffin.log
2008-08-04 14:22:53 47360 --a------ C:\Documents and Settings\Gonzalo\Datos de programa\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>
2008-08-04 14:22:53 1144 --a------ C:\Documents and Settings\Gonzalo\Datos de programa\pcouffin.inf
2008-08-04 14:22:53 7887 --a------ C:\Documents and Settings\Gonzalo\Datos de programa\pcouffin.cat
2008-08-04 13:38:19 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\DivX
2008-08-03 23:35:22 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\SUPERAntiSpyware.com
2008-08-03 23:35:01 0 d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-03 22:35:36 33640 --a------ C:\Documents and Settings\Gonzalo\Datos de programa\GDIPFONTCACHEV1.DAT
2008-08-03 20:04:56 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\ImgBurn
2008-08-02 20:29:10 0 d--h----- C:\Archivos de programa\InstallShield Installation Information
2008-08-02 17:45:10 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Conor O'Kane
2008-07-30 21:24:59 157114 --a------ C:\WINDOWS\War3Unin.dat
2008-07-28 12:09:56 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Azureus
2008-07-09 23:25:40 0 d-------- C:\Archivos de programa\Archivos comunes\InstallShield
2008-07-01 22:01:46 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Apple Computer
2008-07-01 21:46:27 0 d-------- C:\Archivos de programa\Apple Software Update
2008-06-28 18:17:05 0 d-------- C:\Archivos de programa\Archivos comunes
2008-06-28 18:17:05 0 d-------- C:\Archivos de programa\Archivos comunes\DirectX
2008-06-28 18:11:13 0 d-------- C:\Archivos de programa\Archivos comunes\Blizzard Entertainment
2008-06-28 18:07:45 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Google
2008-06-28 16:28:45 0 d-------- C:\Archivos de programa\WinPcap
2008-06-22 21:04:27 2829 --a------ C:\WINDOWS\War3Unin.pif
2008-06-22 21:04:26 139264 --a------ C:\WINDOWS\War3Unin.exe <Not Verified; Blizzard Entertainment; Warcraft III Uninstaller>
2008-06-21 19:49:20 0 d-------- C:\Archivos de programa\Eraser
2008-06-11 17:09:18 0 d-------- C:\Documents and Settings\Gonzalo\Datos de programa\DAEMON Tools
2008-06-10 21:07:20 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-06-10 21:03:26 196608 --a------ C:\WINDOWS\system32\dtu100.dll <Not Verified; DivX, Inc.; DivX, Inc. dtu100>
2008-06-10 21:03:26 81920 --a------ C:\WINDOWS\system32\dpl100.dll <Not Verified; DivX, Inc.; DivX, Inc. dpl100>
2008-06-10 21:03:20 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?>
2008-06-10 21:03:20 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®>
2008-06-10 21:03:20 815104 --a------ C:\WINDOWS\system32\divx_xx0a.dll <Not Verified; DivX, Inc.; DivX®>
2008-06-10 21:03:20 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®>
2008-06-10 21:03:18 683520 --a------ C:\WINDOWS\system32\DivX.dll <Not Verified; DivX, Inc.; DivX®>
2008-06-03 02:31:15 434176 -----n--- C:\WINDOWS\Setup1.exe <Not Verified; Microsoft Corporation; Microsoft Visual Basic for Windows>
2008-06-03 02:31:13 73216 --a------ C:\WINDOWS\ST6UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic for Windows>
2008-05-22 19:18:54 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{24DEAB9A-62C3-457D-A4FD-5F2F056D4945}]
C:\WINDOWS\system32\byXOiGYR.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedTouch USB Diagnostics"="D:\Archivos de programa\Thomson\Dragdiag.exe" [26/01/2004 04:08 a.m.]
"a-winpoet-service"="D:\Archivos de programa\WinPoET\winpppoverethernet.exe" [29/05/2003 05:25 a.m.]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [10/06/2008 04:27 a.m.]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09/07/2001 11:50 a.m.]
"googletalk"="C:\Archivos de programa\Google\Google Talk\googletalk.exe" [01/01/2007 06:22 p.m.]
"avast!"="D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [15/05/2008 08:19 p.m.]
"QuickTime Task"="D:\Archivos de programa\QuickTime\QTTask.exe" [27/05/2008 10:50 a.m.]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 02:42 p.m.]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [11/05/2008 05:21 p.m.]
"DAEMON Tools Lite"="D:\Archivos de programa\DAEMON Tools Lite\daemon.exe" [01/04/2008 06:39 a.m.]
"20938305882908468754345965586533"="C:\Archivos de programa\Antivirus 2009\av2009.exe" []
"SUPERAntiSpyware"="D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [28/05/2008 10:33 a.m.]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"nltide_3"=rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
hp psc 1000 series.lnk - D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [16/06/2004 06:34:12 p.m.]
hpoddt01.exe.lnk - D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [16/06/2004 06:22:58 p.m.]
Inicio r pido de Adobe Reader.lnk - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe [23/04/2008 03:38:16 a.m.]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE [13/02/2001 01:31:04 a.m.]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [13/05/2008 10:13 a.m. 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 19/04/2007 01:41 p.m. 294912 D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\byXOiGYR

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,




-- End of Deckard's System Scanner: finished at 2008-08-09 22:28:07 ------------

#6 SifuMike

SifuMike

    malware expert


  • Members
  • 15,385 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Vancouver (not BC) WA (Not DC) USA
  • Local time:10:43 AM

Posted 09 August 2008 - 09:44 PM

Hi gonzalobb,

Since you are still infected, we will run ComboFix.

You should NOT use Combofix unless you have been instructed to do so by a Malware Removal Expert.
It is intended by its creator to be used under the guidance and supervision of an Malware Removal Expert, not for private use.

Using this tool incorrectly could lead to disastrous problems with your operating system such as preventing it from ever starting again.


You need to disable your AVAST Antivirus before running ComboFix, as it will prevent it from running.

AVAST will cause BSOD unless you disable it like this:
Posted Image

Please visit this webpage for instructions for downloading and running ComboFix:
http://www.bleepingcomputer.com/combofix/how-to-use-combofix

To work properly, you must install ComboFix on the Desktop.

When following the instructions install the Windows XP Recovery Console if you are using XP. <== IMPORTANT
It is a simple procedure that will only take a few moments of your time. It is our safety net.


You DO NOT need to have the Windows CD to install Recovery Console!

Once installed, you should see a blue screen prompt that says:

The Recovery Console was successfully installed.


We need Recovery Console because malware damages a lot and causes an instable system - and because of that, it may happen that your computer won't be able to boot anymore. With the Recovery Console installed, there are extra options present to repair whatever malware damaged.
Also, even though you're not infected, the presence of the Recovery Console is a useful feature in case a computer won't boot anymore because of several other reasons. Read here what you can do with the Recovery Console.

Extra note: After you have installed the Recovery Console - if you reboot your computer, right after reboot, you'll see the option for the Recovery Console now as well.
Don't select to run the Recovery Console as we don't need it.
By default, your main OS is selected there. The screen stays for 2 seconds and then it proceeds to load Windows.

A caution -
Have no other programs running. Your Task Bar should be clear of any program entries including your Browser.
Do not run Combofix more than once.
Do not touch your mouse/keyboard until the scan has completed, as this may cause the process to stall or your computer to lock. The scan will temporarily disable your desktop, and if interrupted may leave your desktop disabled. If this occurs, please reboot to restore the desktop. Even when ComboFix appears to be doing nothing, look at your Drive light. If it is flashing, Combofix is still at work.

Post the ComboFix log.
If I've saved you time & money,
please make a donation so I can keep helping people just like you! You can donate using a credit card and PayPal. Thank you!



Posted Image

Asking for help via Private Message or Mail will be ignored - So If you need help, post your problem in the forum.

#7 gonzalobb

gonzalobb
  • Topic Starter

  • Members
  • 13 posts
  • OFFLINE
  •  
  • Local time:02:43 PM

Posted 09 August 2008 - 11:47 PM

There you go.

ComboFix 08-08-09.03 - Gonzalo 2008-08-10 0:21:55.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.941 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\Gonzalo\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Gonzalo\Datos de programa\inst.exe
C:\Documents and Settings\Gonzalo\Datos de programa\macromedia\Flash Player\#SharedObjects\GVP00001\interclick.com
C:\Documents and Settings\Gonzalo\Datos de programa\macromedia\Flash Player\#SharedObjects\GVP00001\interclick.com\ud.sol
C:\Documents and Settings\Gonzalo\Datos de programa\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Documents and Settings\Gonzalo\Datos de programa\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\imqqfbvr.ini
C:\WINDOWS\system32\kkkllnpo.ini2
C:\WINDOWS\system32\OnWHknmp.ini2
C:\WINDOWS\system32\pffadgus.ini
C:\WINDOWS\system32\RYGiOXyb.ini
C:\WINDOWS\system32\RYGiOXyb.ini2

.
(((((((((((((((((( Archivos creados desde 2008-07-10 - 2008-08-10 )))))))))))))))))))))))))))))))))
.

2008-08-09 20:26 . 2008-08-09 20:26 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Malwarebytes
2008-08-09 20:26 . 2008-08-09 20:26 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-08-09 20:26 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-09 20:26 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-06 18:30 . 2008-08-06 18:30 <DIR> d-------- C:\Archivos de programa\Java
2008-08-04 16:01 . 2008-08-04 16:01 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\vsosdk
2008-08-04 14:22 . 2008-08-04 20:58 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Vso
2008-08-04 14:22 . 2008-08-04 14:22 <DIR> d-------- C:\Archivos de programa\vso
2008-08-04 14:22 . 2006-09-29 11:24 217,127 --a------ C:\WINDOWS\system32\drv43260.dll
2008-08-04 14:22 . 2006-09-29 11:25 208,935 --a------ C:\WINDOWS\system32\drv33260.dll
2008-08-04 14:22 . 2006-09-29 11:26 176,165 --a------ C:\WINDOWS\system32\drv23260.dll
2008-08-04 14:22 . 2008-08-04 14:22 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-08-04 14:22 . 2008-08-04 14:22 47,360 --a------ C:\Documents and Settings\Gonzalo\Datos de programa\pcouffin.sys
2008-08-04 13:38 . 2008-08-04 13:38 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\DivX
2008-08-04 12:41 . 2008-08-04 12:41 <DIR> d-------- C:\subs
2008-08-04 12:35 . 2007-06-28 18:52 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-08-04 12:35 . 2007-06-28 18:54 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-08-04 12:35 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-08-04 00:44 . 2008-08-04 00:44 <DIR> d-------- C:\Deckard
2008-08-03 23:35 . 2008-08-03 23:35 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\SUPERAntiSpyware.com
2008-08-03 23:35 . 2008-08-03 23:35 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-08-03 23:08 . 2008-08-03 23:08 <DIR> d-------- C:\VundoFix Backups
2008-08-03 19:18 . 2008-08-03 20:04 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\ImgBurn
2008-08-02 20:13 . 2006-02-19 01:13 29,152 -ra------ C:\WINDOWS\system32\drivers\usb2vcom.sys
2008-08-02 17:56 . 2008-08-02 17:56 246 --a------ C:\WINDOWS\cncscore.ini
2008-08-02 17:45 . 2008-08-02 17:45 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Conor O'Kane
2008-08-02 17:45 . 2008-08-02 17:45 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-07-30 22:18 . 1999-12-17 10:13 86,016 --a------ C:\WINDOWS\unvise32.exe
2008-07-30 00:05 . 2008-07-30 00:05 <DIR> d-------- C:\Archivos de programa\Mplayer
2008-07-30 00:03 . 2008-07-30 20:39 997 --a------ C:\WINDOWS\QIII.INI
2008-07-29 21:29 . 2008-07-29 21:29 <DIR> d-------- C:\program files
2008-07-28 12:07 . 2008-07-28 12:09 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Azureus
2008-07-28 12:07 . 2008-07-28 12:07 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Azureus
2008-07-22 00:13 . 2008-07-22 00:13 <DIR> d-------- C:\Archivos de programa\Microsoft Encarta
2008-07-22 00:06 . 2008-07-22 00:12 <DIR> d-------- C:\WINDOWS\speech
2008-07-22 00:06 . 2008-07-22 00:12 <DIR> d-------- C:\WINDOWS\Lhsp
2008-07-17 23:39 . 2008-07-17 23:39 95 --a------ C:\WINDOWS\wininit.ini
2008-07-17 23:08 . 2008-07-17 23:38 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-06 02:07 --------- d-----w C:\Documents and Settings\Gonzalo\Datos de programa\uTorrent
2008-08-04 02:35 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-04 01:35 33,640 ----a-w C:\Documents and Settings\Gonzalo\Datos de programa\GDIPFONTCACHEV1.DAT
2008-08-02 23:29 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-07-10 02:33 --------- d-----w C:\Archivos de programa\Wolfram Research
2008-07-10 02:25 --------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2008-07-10 02:20 --------- d-----w C:\Documents and Settings\Tiny\Datos de programa\DAEMON Tools
2008-07-06 20:08 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Last.fm
2008-07-02 01:01 --------- d-----w C:\Documents and Settings\Gonzalo\Datos de programa\Apple Computer
2008-07-02 00:46 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2008-07-02 00:46 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple
2008-07-02 00:46 --------- d-----w C:\Archivos de programa\Apple Software Update
2008-06-28 21:17 --------- d-----w C:\Archivos de programa\Archivos comunes\DirectX
2008-06-28 21:11 --------- d-----w C:\Archivos de programa\Archivos comunes\Blizzard Entertainment
2008-06-28 19:28 --------- d-----w C:\Archivos de programa\WinPcap
2008-06-23 00:04 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-06-23 00:04 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-06-21 22:49 --------- d-----w C:\Archivos de programa\Eraser
2008-06-20 17:36 248,320 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 05:01 --------- d-----w C:\Documents and Settings\Tiny\Datos de programa\AdobeUM
2008-06-18 17:52 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-06-14 17:59 272,512 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 20:09 --------- d-----w C:\Documents and Settings\Gonzalo\Datos de programa\DAEMON Tools
2008-06-11 20:06 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-06-11 00:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-06-03 05:31 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-06-03 05:31 434,176 ------w C:\WINDOWS\Setup1.exe
2008-06-02 03:10 17,144 ----a-w C:\Documents and Settings\Tiny\Datos de programa\GDIPFONTCACHEV1.DAT
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
.
<pre>
----a-w	   101,834,752 2008-07-29 23:37:38  C:\Documents and Settings\Gonzalo\Configuración local\Datos de programa\Opera\Opera\profile\cache4\temporary_download\Crazy Taxi .exe
</pre>


((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 14:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-11 17:21 68856]
"DAEMON Tools Lite"="D:\Archivos de programa\DAEMON Tools Lite\daemon.exe" [2008-04-01 06:39 486856]
"SUPERAntiSpyware"="D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedTouch USB Diagnostics"="D:\Archivos de programa\Thomson\Dragdiag.exe" [2004-01-26 04:08 866816]
"a-winpoet-service"="D:\Archivos de programa\WinPoET\winpppoverethernet.exe" [2003-05-29 05:25 299008]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"googletalk"="C:\Archivos de programa\Google\Google Talk\googletalk.exe" [2007-01-01 18:22 3739648]
"avast!"="D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 20:19 79224]
"QuickTime Task"="D:\Archivos de programa\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:42 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "D:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Google\\Google Talk\\googletalk.exe"=
"D:\\Archivos de programa\\Opera\\Opera.exe"=
"D:\\Archivos de programa\\uTorrent\\utorrent.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"D:\\Archivos de programa\\Warcraft III\\war3.exe"=
"D:\\Archivos de programa\\MusicBrainz Picard\\picard.exe"=
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\Mathematica.exe"=
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\MathKernel.exe"=
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\math.exe"=
"D:\\Archivos de programa\\Quake III Arena\\quake3.exe"=
"D:\\Archivos de programa\\Valve\\hl.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"D:\\Archivos de programa\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.exe"=
"D:\\Archivos de programa\\HaloCE\\Halo Custom Edition\\haloce.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-15 20:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-15 20:16]
R2 TopWinPoETDriver;WinPoET PPPoE Optimized Driver;C:\WINDOWS\system32\DRIVERS\WrKPoET2000.sys [2003-05-22 09:30]
R3 alcan5ln;SpeedTouch™ USB ADSL RFC1483 Networking Driver (NDIS);C:\WINDOWS\system32\DRIVERS\alcan5ln.sys [2003-12-08 04:23]
R3 usb2vcom;USB Data Cable;C:\WINDOWS\system32\DRIVERS\usb2vcom.sys [2006-02-19 01:13]
R3 WrKPoET2000;WrKPoET2000;D:\Archivos de programa\WinPoET\WrKPoET2000.sys [2003-05-22 09:30]
R3 WRSWanDD;iVasion PoET Adapter;C:\WINDOWS\system32\DRIVERS\WrKPoETNic2000.sys [2002-10-28 11:12]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 18:10]
.
Contenido de carpeta 'Tareas Programadas'

2008-08-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-07-28 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209346110.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-07-29 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209415281.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-08-09 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209641428.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-07-24 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1211489538.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-07-18 C:\WINDOWS\Tasks\WebReg 20080718154309.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2004-06-16 18:17]
.
- - - - ORPHANS REMOVED - - - -

BHO-{24DEAB9A-62C3-457D-A4FD-5F2F056D4945} - C:\WINDOWS\system32\byXOiGYR.dll


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com/
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R0 -: HKLM-Main,Default_Search_URL = hxxp://www.google.com/ie
R0 -: HKCU-Search,SearchAssistant = hxxp://www.google.com/ie
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
R0 -: HKLM-Search,SearchAssistant = hxxp://www.google.com/ie
O8 -: E&xportar a Microsoft Excel - C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-10 01:36:22
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
D:\Archivos de programa\WinPoET\WROS.exe
D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hposts08.exe
D:\Archivos de programa\Opera\opera.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Tiempo completado: 2008-08-10 1:40:52 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-10 04:40:13

Pre-Run: 1,651,220,480 bytes libres
Post-Run: 1,677,627,392 bytes libres

217 --- E O F --- 2008-07-09 14:29:54

#8 SifuMike

SifuMike

    malware expert


  • Members
  • 15,385 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Vancouver (not BC) WA (Not DC) USA
  • Local time:10:43 AM

Posted 10 August 2008 - 12:16 AM

Hi gonzalobb,

Looks much better. :thumbsup:

Close/disable all anti virus and anti malware programs so they do not interfere with the running of ComboFix.


Click Start, then Run and type Notepad and click OK.
Open notepad - don't use any other text editor than notepad or the script will fail.
Copy/paste the text in the code box below into notepad:

Folder:: 
C:\VundoFix Backups 

RenV:: 
C:\Documents and Settings\Gonzalo\Configuración local\Datos de programa\Opera\Opera\profile\cache4\temporary_download\Crazy Taxi .exe


Name the Notepad file CFScript.txt and Save it to your desktop.

IMPORTANT: The above script was written specifically for this infection on this person's computer. It is NOT to be used on another computer, as it may cause damage that could result in a format!

Then drag the CFScript into ComboFix.exe as you see in the screenshot below.

Posted Image


This will start ComboFix again. After reboot, (in case it asks to reboot), post the contents of Combofix.txt in your next reply together with a new HijackThis log.
If I've saved you time & money,
please make a donation so I can keep helping people just like you! You can donate using a credit card and PayPal. Thank you!



Posted Image

Asking for help via Private Message or Mail will be ignored - So If you need help, post your problem in the forum.

#9 gonzalobb

gonzalobb
  • Topic Starter

  • Members
  • 13 posts
  • OFFLINE
  •  
  • Local time:02:43 PM

Posted 10 August 2008 - 01:13 AM

This one didn't restart the PC. The ComboFix and HJT logs (I directly ran hijackthis.exe, NOT Deckard's, is that right?):

ComboFix 08-08-09.03 - Gonzalo 2008-08-10 2:54:29.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.916 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\Gonzalo\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Gonzalo\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\VundoFix Backups

.
(((((((((((((((((( Archivos creados desde 2008-07-10 - 2008-08-10 )))))))))))))))))))))))))))))))))
.

2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\Tiny\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\Mario\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\LocalService\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\Gonzalo\Configuraci¾n local
2008-08-09 20:26 . 2008-08-09 20:26 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Malwarebytes
2008-08-09 20:26 . 2008-08-09 20:26 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-08-09 20:26 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-09 20:26 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-06 18:30 . 2008-08-06 18:30 <DIR> d-------- C:\Archivos de programa\Java
2008-08-04 16:01 . 2008-08-04 16:01 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\vsosdk
2008-08-04 14:22 . 2008-08-04 20:58 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Vso
2008-08-04 14:22 . 2008-08-04 14:22 <DIR> d-------- C:\Archivos de programa\vso
2008-08-04 14:22 . 2006-09-29 11:24 217,127 --a------ C:\WINDOWS\system32\drv43260.dll
2008-08-04 14:22 . 2006-09-29 11:25 208,935 --a------ C:\WINDOWS\system32\drv33260.dll
2008-08-04 14:22 . 2006-09-29 11:26 176,165 --a------ C:\WINDOWS\system32\drv23260.dll
2008-08-04 14:22 . 2008-08-04 14:22 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-08-04 14:22 . 2008-08-04 14:22 47,360 --a------ C:\Documents and Settings\Gonzalo\Datos de programa\pcouffin.sys
2008-08-04 13:38 . 2008-08-04 13:38 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\DivX
2008-08-04 12:41 . 2008-08-04 12:41 <DIR> d-------- C:\subs
2008-08-04 12:35 . 2007-06-28 18:52 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-08-04 12:35 . 2007-06-28 18:54 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-08-04 12:35 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-08-04 00:44 . 2008-08-04 00:44 <DIR> d-------- C:\Deckard
2008-08-03 23:35 . 2008-08-03 23:35 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\SUPERAntiSpyware.com
2008-08-03 23:35 . 2008-08-03 23:35 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-08-03 19:18 . 2008-08-03 20:04 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\ImgBurn
2008-08-02 20:13 . 2006-02-19 01:13 29,152 -ra------ C:\WINDOWS\system32\drivers\usb2vcom.sys
2008-08-02 17:56 . 2008-08-02 17:56 246 --a------ C:\WINDOWS\cncscore.ini
2008-08-02 17:45 . 2008-08-02 17:45 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Conor O'Kane
2008-08-02 17:45 . 2008-08-02 17:45 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-07-30 22:18 . 1999-12-17 10:13 86,016 --a------ C:\WINDOWS\unvise32.exe
2008-07-30 00:05 . 2008-07-30 00:05 <DIR> d-------- C:\Archivos de programa\Mplayer
2008-07-30 00:03 . 2008-07-30 20:39 997 --a------ C:\WINDOWS\QIII.INI
2008-07-29 21:29 . 2008-07-29 21:29 <DIR> d-------- C:\program files
2008-07-28 12:07 . 2008-07-28 12:09 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Azureus
2008-07-28 12:07 . 2008-07-28 12:07 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Azureus
2008-07-22 00:13 . 2008-07-22 00:13 <DIR> d-------- C:\Archivos de programa\Microsoft Encarta
2008-07-22 00:06 . 2008-07-22 00:12 <DIR> d-------- C:\WINDOWS\speech
2008-07-22 00:06 . 2008-07-22 00:12 <DIR> d-------- C:\WINDOWS\Lhsp
2008-07-17 23:39 . 2008-07-17 23:39 95 --a------ C:\WINDOWS\wininit.ini
2008-07-17 23:08 . 2008-07-17 23:38 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-06 02:07 --------- d-----w C:\Documents and Settings\Gonzalo\Datos de programa\uTorrent
2008-08-04 02:35 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-04 01:35 33,640 ----a-w C:\Documents and Settings\Gonzalo\Datos de programa\GDIPFONTCACHEV1.DAT
2008-08-02 23:29 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-07-10 02:33 --------- d-----w C:\Archivos de programa\Wolfram Research
2008-07-10 02:25 --------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2008-07-10 02:20 --------- d-----w C:\Documents and Settings\Tiny\Datos de programa\DAEMON Tools
2008-07-06 20:08 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Last.fm
2008-07-02 01:01 --------- d-----w C:\Documents and Settings\Gonzalo\Datos de programa\Apple Computer
2008-07-02 00:46 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2008-07-02 00:46 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple
2008-07-02 00:46 --------- d-----w C:\Archivos de programa\Apple Software Update
2008-06-28 21:17 --------- d-----w C:\Archivos de programa\Archivos comunes\DirectX
2008-06-28 21:11 --------- d-----w C:\Archivos de programa\Archivos comunes\Blizzard Entertainment
2008-06-28 19:28 --------- d-----w C:\Archivos de programa\WinPcap
2008-06-23 00:04 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-06-23 00:04 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-06-21 22:49 --------- d-----w C:\Archivos de programa\Eraser
2008-06-20 17:36 248,320 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 05:01 --------- d-----w C:\Documents and Settings\Tiny\Datos de programa\AdobeUM
2008-06-18 17:52 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-06-14 17:59 272,512 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 20:09 --------- d-----w C:\Documents and Settings\Gonzalo\Datos de programa\DAEMON Tools
2008-06-11 20:06 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-06-11 00:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-06-03 05:31 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-06-03 05:31 434,176 ------w C:\WINDOWS\Setup1.exe
2008-06-02 03:10 17,144 ----a-w C:\Documents and Settings\Tiny\Datos de programa\GDIPFONTCACHEV1.DAT
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
.
<pre>
----a-w	   101,834,752 2008-07-29 23:37:38  C:\Documents and Settings\Gonzalo\Configuración local\Datos de programa\Opera\Opera\profile\cache4\temporary_download\Crazy Taxi .exe
</pre>


((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 14:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-11 17:21 68856]
"DAEMON Tools Lite"="D:\Archivos de programa\DAEMON Tools Lite\daemon.exe" [2008-04-01 06:39 486856]
"SUPERAntiSpyware"="D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedTouch USB Diagnostics"="D:\Archivos de programa\Thomson\Dragdiag.exe" [2004-01-26 04:08 866816]
"a-winpoet-service"="D:\Archivos de programa\WinPoET\winpppoverethernet.exe" [2003-05-29 05:25 299008]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"googletalk"="C:\Archivos de programa\Google\Google Talk\googletalk.exe" [2007-01-01 18:22 3739648]
"avast!"="D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 20:19 79224]
"QuickTime Task"="D:\Archivos de programa\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:42 15360]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
hp psc 1000 series.lnk - D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2004-06-16 18:34:12 147456]
hpoddt01.exe.lnk - D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2004-06-16 18:22:58 28672]
Inicio r pido de Adobe Reader.lnk - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:31:04 83360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "D:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Google\\Google Talk\\googletalk.exe"=
"D:\\Archivos de programa\\Opera\\Opera.exe"=
"D:\\Archivos de programa\\uTorrent\\utorrent.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"D:\\Archivos de programa\\Warcraft III\\war3.exe"=
"D:\\Archivos de programa\\MusicBrainz Picard\\picard.exe"=
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\Mathematica.exe"=
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\MathKernel.exe"=
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\math.exe"=
"D:\\Archivos de programa\\Quake III Arena\\quake3.exe"=
"D:\\Archivos de programa\\Valve\\hl.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"D:\\Archivos de programa\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.exe"=
"D:\\Archivos de programa\\HaloCE\\Halo Custom Edition\\haloce.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-15 20:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-15 20:16]
R2 TopWinPoETDriver;WinPoET PPPoE Optimized Driver;C:\WINDOWS\system32\DRIVERS\WrKPoET2000.sys [2003-05-22 09:30]
R3 alcan5ln;SpeedTouch™ USB ADSL RFC1483 Networking Driver (NDIS);C:\WINDOWS\system32\DRIVERS\alcan5ln.sys [2003-12-08 04:23]
R3 usb2vcom;USB Data Cable;C:\WINDOWS\system32\DRIVERS\usb2vcom.sys [2006-02-19 01:13]
R3 WrKPoET2000;WrKPoET2000;D:\Archivos de programa\WinPoET\WrKPoET2000.sys [2003-05-22 09:30]
R3 WRSWanDD;iVasion PoET Adapter;C:\WINDOWS\system32\DRIVERS\WrKPoETNic2000.sys [2002-10-28 11:12]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 18:10]
.
Contenido de carpeta 'Tareas Programadas'

2008-08-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-07-28 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209346110.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-07-29 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209415281.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-08-09 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209641428.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-07-24 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1211489538.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-07-18 C:\WINDOWS\Tasks\WebReg 20080718154309.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2004-06-16 18:17]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-10 02:56:04
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
Tiempo completado: 2008-08-10 2:57:15
ComboFix-quarantined-files.txt 2008-08-10 05:56:59
ComboFix2.txt 2008-08-10 04:40:55

Pre-Run: 1,861,615,616 bytes libres
Post-Run: 1,853,587,456 bytes libres

185 --- E O F --- 2008-07-09 14:29:54


_____________________


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:11:06 a.m., on 10/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
D:\Archivos de programa\WinPoET\WrOS.EXE
C:\WINDOWS\system32\wscntfy.exe
D:\Archivos de programa\Thomson\Dragdiag.exe
D:\Archivos de programa\WinPoET\winpppoverethernet.exe
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\Archivos de programa\Google\Google Talk\googletalk.exe
D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
D:\Archivos de programa\Opera\opera.exe
D:\NO BORRAR\HijackThis y otras yerbas\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Archivos de programa\Thomson\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [a-winpoet-service] "D:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [googletalk] C:\Archivos de programa\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [avast!] D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-21-602162358-1935655697-1801674531-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Tiny')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/instal...nosticsxp2k.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FCEBB61-AA27-4EA7-AB29-C3F29EE0FFA7}: NameServer = 208.67.222.222 208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FCEBB61-AA27-4EA7-AB29-C3F29EE0FFA7}: NameServer = 208.67.222.222 208.67.220.220
O20 - Winlogon Notify: !SASWinLogon - D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Archivos de programa\WinPcap\rpcapd.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - D:\Archivos de programa\WinPoET\WrOS.EXE

--
End of file - 8077 bytes


If you have time to answer I'd like to know what the hell have I've been doing. I mean, what have this programs done to clean my PC?

A thankful newbie,
Gonzalo

#10 SifuMike

SifuMike

    malware expert


  • Members
  • 15,385 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Vancouver (not BC) WA (Not DC) USA
  • Local time:10:43 AM

Posted 10 August 2008 - 10:56 AM

Hi gonzalo,

I directly ran hijackthis.exe, NOT Deckard's, is that right?):

Yes, that is right.

You have been removing malware files. We still have one more to remove.


Close/disable all anti virus and anti malware programs so they do not interfere with the running of ComboFix.


Click Start, then Run and type Notepad and click OK.
Open notepad - don't use any other text editor than notepad or the script will fail.
Copy/paste the text in the code box below into notepad:

RenV::
----a-w       101,834,752 2008-07-29 23:37:38  C:\Documents and Settings\Gonzalo\Configuración local\Datos de programa\Opera\Opera\profile\cache4\temporary_download\Crazy Taxi .exe


Name the Notepad file CFScript.txt and Save it to your desktop.

IMPORTANT: The above script was written specifically for this infection on this person's computer. It is NOT to be used on another computer, as it may cause damage that could result in a format!

Then drag the CFScript into ComboFix.exe as you see in the screenshot below.

Posted Image


This will start ComboFix again. After reboot, (in case it asks to reboot), post the contents of Combofix.txt in your next reply together with a new HijackThis log.

Edited by SifuMike, 10 August 2008 - 10:57 AM.

If I've saved you time & money,
please make a donation so I can keep helping people just like you! You can donate using a credit card and PayPal. Thank you!



Posted Image

Asking for help via Private Message or Mail will be ignored - So If you need help, post your problem in the forum.

#11 gonzalobb

gonzalobb
  • Topic Starter

  • Members
  • 13 posts
  • OFFLINE
  •  
  • Local time:02:43 PM

Posted 10 August 2008 - 01:57 PM

Here's the log. Again, it didn't restart the pc:

ComboFix 08-08-09.03 - Gonzalo 2008-08-10 15:40:00.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.884 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\Gonzalo\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Gonzalo\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración
.

(((((((((((((((((( Archivos creados desde 2008-07-10 - 2008-08-10 )))))))))))))))))))))))))))))))))
.

2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\Tiny\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\Mario\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\LocalService\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\Gonzalo\Configuraci¾n local
2008-08-09 20:26 . 2008-08-09 20:26 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Malwarebytes
2008-08-09 20:26 . 2008-08-09 20:26 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-08-09 20:26 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-09 20:26 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-06 18:30 . 2008-08-06 18:30 <DIR> d-------- C:\Archivos de programa\Java
2008-08-04 16:01 . 2008-08-04 16:01 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\vsosdk
2008-08-04 14:22 . 2008-08-04 20:58 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Vso
2008-08-04 14:22 . 2008-08-04 14:22 <DIR> d-------- C:\Archivos de programa\vso
2008-08-04 14:22 . 2006-09-29 11:24 217,127 --a------ C:\WINDOWS\system32\drv43260.dll
2008-08-04 14:22 . 2006-09-29 11:25 208,935 --a------ C:\WINDOWS\system32\drv33260.dll
2008-08-04 14:22 . 2006-09-29 11:26 176,165 --a------ C:\WINDOWS\system32\drv23260.dll
2008-08-04 14:22 . 2008-08-04 14:22 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-08-04 14:22 . 2008-08-04 14:22 47,360 --a------ C:\Documents and Settings\Gonzalo\Datos de programa\pcouffin.sys
2008-08-04 13:38 . 2008-08-04 13:38 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\DivX
2008-08-04 12:41 . 2008-08-04 12:41 <DIR> d-------- C:\subs
2008-08-04 12:35 . 2007-06-28 18:52 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-08-04 12:35 . 2007-06-28 18:54 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-08-04 12:35 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-08-04 00:44 . 2008-08-04 00:44 <DIR> d-------- C:\Deckard
2008-08-03 23:35 . 2008-08-03 23:35 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\SUPERAntiSpyware.com
2008-08-03 23:35 . 2008-08-03 23:35 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-08-03 19:18 . 2008-08-03 20:04 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\ImgBurn
2008-08-02 20:13 . 2006-02-19 01:13 29,152 -ra------ C:\WINDOWS\system32\drivers\usb2vcom.sys
2008-08-02 17:56 . 2008-08-02 17:56 246 --a------ C:\WINDOWS\cncscore.ini
2008-08-02 17:45 . 2008-08-02 17:45 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Conor O'Kane
2008-08-02 17:45 . 2008-08-02 17:45 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-07-30 22:18 . 1999-12-17 10:13 86,016 --a------ C:\WINDOWS\unvise32.exe
2008-07-30 00:05 . 2008-07-30 00:05 <DIR> d-------- C:\Archivos de programa\Mplayer
2008-07-30 00:03 . 2008-07-30 20:39 997 --a------ C:\WINDOWS\QIII.INI
2008-07-29 21:29 . 2008-07-29 21:29 <DIR> d-------- C:\program files
2008-07-28 12:07 . 2008-07-28 12:09 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Azureus
2008-07-28 12:07 . 2008-07-28 12:07 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Azureus
2008-07-22 00:13 . 2008-07-22 00:13 <DIR> d-------- C:\Archivos de programa\Microsoft Encarta
2008-07-22 00:06 . 2008-07-22 00:12 <DIR> d-------- C:\WINDOWS\speech
2008-07-22 00:06 . 2008-07-22 00:12 <DIR> d-------- C:\WINDOWS\Lhsp
2008-07-17 23:39 . 2008-07-17 23:39 95 --a------ C:\WINDOWS\wininit.ini
2008-07-17 23:08 . 2008-07-17 23:38 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-06 02:07 --------- d-----w C:\Documents and Settings\Gonzalo\Datos de programa\uTorrent
2008-08-04 02:35 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-04 01:35 33,640 ----a-w C:\Documents and Settings\Gonzalo\Datos de programa\GDIPFONTCACHEV1.DAT
2008-08-02 23:29 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-07-10 02:33 --------- d-----w C:\Archivos de programa\Wolfram Research
2008-07-10 02:25 --------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2008-07-10 02:20 --------- d-----w C:\Documents and Settings\Tiny\Datos de programa\DAEMON Tools
2008-07-06 20:08 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Last.fm
2008-07-02 01:01 --------- d-----w C:\Documents and Settings\Gonzalo\Datos de programa\Apple Computer
2008-07-02 00:46 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2008-07-02 00:46 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple
2008-07-02 00:46 --------- d-----w C:\Archivos de programa\Apple Software Update
2008-06-28 21:17 --------- d-----w C:\Archivos de programa\Archivos comunes\DirectX
2008-06-28 21:11 --------- d-----w C:\Archivos de programa\Archivos comunes\Blizzard Entertainment
2008-06-28 19:28 --------- d-----w C:\Archivos de programa\WinPcap
2008-06-23 00:04 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-06-23 00:04 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-06-21 22:49 --------- d-----w C:\Archivos de programa\Eraser
2008-06-20 17:36 248,320 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 05:01 --------- d-----w C:\Documents and Settings\Tiny\Datos de programa\AdobeUM
2008-06-18 17:52 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-06-14 17:59 272,512 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 20:09 --------- d-----w C:\Documents and Settings\Gonzalo\Datos de programa\DAEMON Tools
2008-06-11 20:06 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-06-11 00:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-06-03 05:31 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-06-03 05:31 434,176 ------w C:\WINDOWS\Setup1.exe
2008-06-02 03:10 17,144 ----a-w C:\Documents and Settings\Tiny\Datos de programa\GDIPFONTCACHEV1.DAT
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
.
<pre>
----a-w	   101,834,752 2008-07-29 23:37:38  C:\Documents and Settings\Gonzalo\Configuración local\Datos de programa\Opera\Opera\profile\cache4\temporary_download\Crazy Taxi .exe
</pre>


((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 14:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-11 17:21 68856]
"DAEMON Tools Lite"="D:\Archivos de programa\DAEMON Tools Lite\daemon.exe" [2008-04-01 06:39 486856]
"SUPERAntiSpyware"="D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedTouch USB Diagnostics"="D:\Archivos de programa\Thomson\Dragdiag.exe" [2004-01-26 04:08 866816]
"a-winpoet-service"="D:\Archivos de programa\WinPoET\winpppoverethernet.exe" [2003-05-29 05:25 299008]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"googletalk"="C:\Archivos de programa\Google\Google Talk\googletalk.exe" [2007-01-01 18:22 3739648]
"avast!"="D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 20:19 79224]
"QuickTime Task"="D:\Archivos de programa\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:42 15360]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
hp psc 1000 series.lnk - D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2004-06-16 18:34:12 147456]
hpoddt01.exe.lnk - D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2004-06-16 18:22:58 28672]
Inicio r pido de Adobe Reader.lnk - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:31:04 83360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "D:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Google\\Google Talk\\googletalk.exe"=
"D:\\Archivos de programa\\Opera\\Opera.exe"=
"D:\\Archivos de programa\\uTorrent\\utorrent.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"D:\\Archivos de programa\\Warcraft III\\war3.exe"=
"D:\\Archivos de programa\\MusicBrainz Picard\\picard.exe"=
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\Mathematica.exe"=
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\MathKernel.exe"=
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\math.exe"=
"D:\\Archivos de programa\\Quake III Arena\\quake3.exe"=
"D:\\Archivos de programa\\Valve\\hl.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"D:\\Archivos de programa\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.exe"=
"D:\\Archivos de programa\\HaloCE\\Halo Custom Edition\\haloce.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-15 20:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-15 20:16]
R2 TopWinPoETDriver;WinPoET PPPoE Optimized Driver;C:\WINDOWS\system32\DRIVERS\WrKPoET2000.sys [2003-05-22 09:30]
R3 alcan5ln;SpeedTouch™ USB ADSL RFC1483 Networking Driver (NDIS);C:\WINDOWS\system32\DRIVERS\alcan5ln.sys [2003-12-08 04:23]
R3 usb2vcom;USB Data Cable;C:\WINDOWS\system32\DRIVERS\usb2vcom.sys [2006-02-19 01:13]
R3 WrKPoET2000;WrKPoET2000;D:\Archivos de programa\WinPoET\WrKPoET2000.sys [2003-05-22 09:30]
R3 WRSWanDD;iVasion PoET Adapter;C:\WINDOWS\system32\DRIVERS\WrKPoETNic2000.sys [2002-10-28 11:12]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 18:10]
.
Contenido de carpeta 'Tareas Programadas'

2008-08-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-07-28 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209346110.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-07-29 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209415281.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-08-10 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209641428.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-07-24 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1211489538.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-07-18 C:\WINDOWS\Tasks\WebReg 20080718154309.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2004-06-16 18:17]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-10 15:41:28
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
Tiempo completado: 2008-08-10 15:43:39
ComboFix-quarantined-files.txt 2008-08-10 18:42:48
ComboFix2.txt 2008-08-10 05:57:20
ComboFix3.txt 2008-08-10 04:40:55

Pre-Run: 1,743,351,808 bytes libres
Post-Run: 1,735,188,480 bytes libres

182 --- E O F --- 2008-07-09 14:29:54


After running Combofix, I cleaned the cache of Opera, via Tools->Preferences->Advanced->Historial (I have it in french, so the menu's translation might not be accurate). I search for the crazy taxi.exe file with total commander on the location the script mentions, and it was still there, so I deleted it permanently (I used shift+del). I hope I haven't caused much trouble, but it seemed like a sensible thing to do. See you.

#12 SifuMike

SifuMike

    malware expert


  • Members
  • 15,385 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Vancouver (not BC) WA (Not DC) USA
  • Local time:10:43 AM

Posted 10 August 2008 - 02:03 PM

Hi gonzalo,

After running Combofix, I cleaned the cache of Opera, via Tools->Preferences->Advanced->Historial (I have it in french, so the menu's translation might not be accurate). I search for the crazy taxi.exe file with total commander on the location the script mentions, and it was still there, so I deleted it permanently (I used shift+del). I hope I haven't caused much trouble, but it seemed like a sensible thing to do. See you.



That is OK. We will make sure it is gone.

Close/disable all anti virus and anti malware programs so they do not interfere with the running of ComboFix.


Click Start, then Run and type Notepad and click OK.
Open notepad - don't use any other text editor than notepad or the script will fail.
Copy/paste the text in the code box below into notepad:

File::
C:\Documents and Settings\Gonzalo\Configuración local\Datos de programa\Opera\Opera\profile\cache4\temporary_download\Crazy Taxi .exe


Name the Notepad file CFScript.txt and Save it to your desktop.

IMPORTANT: The above script was written specifically for this infection on this person's computer. It is NOT to be used on another computer, as it may cause damage that could result in a format!

Then drag the CFScript into ComboFix.exe as you see in the screenshot below.

Posted Image


This will start ComboFix again. After reboot, (in case it asks to reboot), post the contents of Combofix.txt in your next reply together with a new HijackThis log.
If I've saved you time & money,
please make a donation so I can keep helping people just like you! You can donate using a credit card and PayPal. Thank you!



Posted Image

Asking for help via Private Message or Mail will be ignored - So If you need help, post your problem in the forum.

#13 gonzalobb

gonzalobb
  • Topic Starter

  • Members
  • 13 posts
  • OFFLINE
  •  
  • Local time:02:43 PM

Posted 10 August 2008 - 05:40 PM

Here they go. Combofix and HJT. This time the pc didn-t restart either.

ComboFix 08-08-09.03 - Gonzalo 2008-08-10 19:28:02.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.919 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\Gonzalo\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Gonzalo\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

FILE ::
C:\Documents and Settings\Gonzalo\Configuración local\Datos de programa\Opera\Opera\profile\cache4\temporary_download\Crazy Taxi .exe
.

(((((((((((((((((( Archivos creados desde 2008-07-10 - 2008-08-10 )))))))))))))))))))))))))))))))))
.

2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\Tiny\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\Mario\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\LocalService\Configuraci¾n local
2008-08-10 01:40 . 2008-08-10 01:40 <DIR> d-------- C:\Documents and Settings\Gonzalo\Configuraci¾n local
2008-08-09 20:26 . 2008-08-09 20:26 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Malwarebytes
2008-08-09 20:26 . 2008-08-09 20:26 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-08-09 20:26 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-09 20:26 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-06 18:30 . 2008-08-06 18:30 <DIR> d-------- C:\Archivos de programa\Java
2008-08-04 16:01 . 2008-08-04 16:01 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\vsosdk
2008-08-04 14:22 . 2008-08-04 20:58 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Vso
2008-08-04 14:22 . 2008-08-04 14:22 <DIR> d-------- C:\Archivos de programa\vso
2008-08-04 14:22 . 2006-09-29 11:24 217,127 --a------ C:\WINDOWS\system32\drv43260.dll
2008-08-04 14:22 . 2006-09-29 11:25 208,935 --a------ C:\WINDOWS\system32\drv33260.dll
2008-08-04 14:22 . 2006-09-29 11:26 176,165 --a------ C:\WINDOWS\system32\drv23260.dll
2008-08-04 14:22 . 2008-08-04 14:22 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-08-04 14:22 . 2008-08-04 14:22 47,360 --a------ C:\Documents and Settings\Gonzalo\Datos de programa\pcouffin.sys
2008-08-04 13:38 . 2008-08-04 13:38 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\DivX
2008-08-04 12:41 . 2008-08-04 12:41 <DIR> d-------- C:\subs
2008-08-04 12:35 . 2007-06-28 18:52 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-08-04 12:35 . 2007-06-28 18:54 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-08-04 12:35 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-08-04 00:44 . 2008-08-04 00:44 <DIR> d-------- C:\Deckard
2008-08-03 23:35 . 2008-08-03 23:35 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\SUPERAntiSpyware.com
2008-08-03 23:35 . 2008-08-03 23:35 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-08-03 19:18 . 2008-08-03 20:04 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\ImgBurn
2008-08-02 20:13 . 2006-02-19 01:13 29,152 -ra------ C:\WINDOWS\system32\drivers\usb2vcom.sys
2008-08-02 17:56 . 2008-08-02 17:56 246 --a------ C:\WINDOWS\cncscore.ini
2008-08-02 17:45 . 2008-08-02 17:45 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Conor O'Kane
2008-08-02 17:45 . 2008-08-02 17:45 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-07-30 22:18 . 1999-12-17 10:13 86,016 --a------ C:\WINDOWS\unvise32.exe
2008-07-30 00:05 . 2008-07-30 00:05 <DIR> d-------- C:\Archivos de programa\Mplayer
2008-07-30 00:03 . 2008-07-30 20:39 997 --a------ C:\WINDOWS\QIII.INI
2008-07-29 21:29 . 2008-07-29 21:29 <DIR> d-------- C:\program files
2008-07-28 12:07 . 2008-07-28 12:09 <DIR> d-------- C:\Documents and Settings\Gonzalo\Datos de programa\Azureus
2008-07-28 12:07 . 2008-07-28 12:07 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Azureus
2008-07-22 00:13 . 2008-07-22 00:13 <DIR> d-------- C:\Archivos de programa\Microsoft Encarta
2008-07-22 00:06 . 2008-07-22 00:12 <DIR> d-------- C:\WINDOWS\speech
2008-07-22 00:06 . 2008-07-22 00:12 <DIR> d-------- C:\WINDOWS\Lhsp
2008-07-17 23:39 . 2008-07-17 23:39 95 --a------ C:\WINDOWS\wininit.ini
2008-07-17 23:08 . 2008-07-17 23:38 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-06 02:07 --------- d-----w C:\Documents and Settings\Gonzalo\Datos de programa\uTorrent
2008-08-04 02:35 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-04 01:35 33,640 ----a-w C:\Documents and Settings\Gonzalo\Datos de programa\GDIPFONTCACHEV1.DAT
2008-08-02 23:29 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-07-10 02:33 --------- d-----w C:\Archivos de programa\Wolfram Research
2008-07-10 02:25 --------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2008-07-10 02:20 --------- d-----w C:\Documents and Settings\Tiny\Datos de programa\DAEMON Tools
2008-07-06 20:08 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Last.fm
2008-07-02 01:01 --------- d-----w C:\Documents and Settings\Gonzalo\Datos de programa\Apple Computer
2008-07-02 00:46 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2008-07-02 00:46 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple
2008-07-02 00:46 --------- d-----w C:\Archivos de programa\Apple Software Update
2008-06-28 21:17 --------- d-----w C:\Archivos de programa\Archivos comunes\DirectX
2008-06-28 21:11 --------- d-----w C:\Archivos de programa\Archivos comunes\Blizzard Entertainment
2008-06-28 19:28 --------- d-----w C:\Archivos de programa\WinPcap
2008-06-23 00:04 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-06-23 00:04 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-06-21 22:49 --------- d-----w C:\Archivos de programa\Eraser
2008-06-20 17:36 248,320 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 05:01 --------- d-----w C:\Documents and Settings\Tiny\Datos de programa\AdobeUM
2008-06-18 17:52 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-06-14 17:59 272,512 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 20:09 --------- d-----w C:\Documents and Settings\Gonzalo\Datos de programa\DAEMON Tools
2008-06-11 20:06 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-06-11 00:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-06-03 05:31 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-06-03 05:31 434,176 ------w C:\WINDOWS\Setup1.exe
2008-06-02 03:10 17,144 ----a-w C:\Documents and Settings\Tiny\Datos de programa\GDIPFONTCACHEV1.DAT
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 14:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-11 17:21 68856]
"DAEMON Tools Lite"="D:\Archivos de programa\DAEMON Tools Lite\daemon.exe" [2008-04-01 06:39 486856]
"SUPERAntiSpyware"="D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedTouch USB Diagnostics"="D:\Archivos de programa\Thomson\Dragdiag.exe" [2004-01-26 04:08 866816]
"a-winpoet-service"="D:\Archivos de programa\WinPoET\winpppoverethernet.exe" [2003-05-29 05:25 299008]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"googletalk"="C:\Archivos de programa\Google\Google Talk\googletalk.exe" [2007-01-01 18:22 3739648]
"avast!"="D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 20:19 79224]
"QuickTime Task"="D:\Archivos de programa\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:42 15360]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
hp psc 1000 series.lnk - D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2004-06-16 18:34:12 147456]
hpoddt01.exe.lnk - D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2004-06-16 18:22:58 28672]
Inicio r pido de Adobe Reader.lnk - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:31:04 83360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "D:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Google\\Google Talk\\googletalk.exe"=
"D:\\Archivos de programa\\Opera\\Opera.exe"=
"D:\\Archivos de programa\\uTorrent\\utorrent.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"D:\\Archivos de programa\\Warcraft III\\war3.exe"=
"D:\\Archivos de programa\\MusicBrainz Picard\\picard.exe"=
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\Mathematica.exe"=
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\MathKernel.exe"=
"D:\\Archivos de programa\\Wolfram Research\\Mathematica\\6.0\\math.exe"=
"D:\\Archivos de programa\\Quake III Arena\\quake3.exe"=
"D:\\Archivos de programa\\Valve\\hl.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"D:\\Archivos de programa\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.exe"=
"D:\\Archivos de programa\\HaloCE\\Halo Custom Edition\\haloce.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-15 20:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-15 20:16]
R2 TopWinPoETDriver;WinPoET PPPoE Optimized Driver;C:\WINDOWS\system32\DRIVERS\WrKPoET2000.sys [2003-05-22 09:30]
R3 alcan5ln;SpeedTouch™ USB ADSL RFC1483 Networking Driver (NDIS);C:\WINDOWS\system32\DRIVERS\alcan5ln.sys [2003-12-08 04:23]
R3 usb2vcom;USB Data Cable;C:\WINDOWS\system32\DRIVERS\usb2vcom.sys [2006-02-19 01:13]
R3 WrKPoET2000;WrKPoET2000;D:\Archivos de programa\WinPoET\WrKPoET2000.sys [2003-05-22 09:30]
R3 WRSWanDD;iVasion PoET Adapter;C:\WINDOWS\system32\DRIVERS\WrKPoETNic2000.sys [2002-10-28 11:12]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 18:10]
.
Contenido de carpeta 'Tareas Programadas'

2008-08-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-07-28 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209346110.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-07-29 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209415281.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-08-10 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1209641428.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-07-24 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1211489538.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 18:06]

2008-07-18 C:\WINDOWS\Tasks\WebReg 20080718154309.job
- D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2004-06-16 18:17]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-10 19:29:20
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
Tiempo completado: 2008-08-10 19:30:28
ComboFix-quarantined-files.txt 2008-08-10 22:30:15
ComboFix2.txt 2008-08-10 18:43:44
ComboFix3.txt 2008-08-10 05:57:20
ComboFix4.txt 2008-08-10 04:40:55

Pre-Run: 1,818,517,504 bytes libres
Post-Run: 1,810,558,976 bytes libres

182 --- E O F --- 2008-07-09 14:29:54



============================



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:36:44 p.m., on 10/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
D:\Archivos de programa\WinPoET\WrOS.EXE
C:\WINDOWS\system32\wscntfy.exe
D:\Archivos de programa\Thomson\Dragdiag.exe
D:\Archivos de programa\WinPoET\winpppoverethernet.exe
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
D:\HJT\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Archivos de programa\Thomson\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [a-winpoet-service] "D:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [googletalk] C:\Archivos de programa\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [avast!] D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/instal...nosticsxp2k.cab
O20 - Winlogon Notify: !SASWinLogon - D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Archivos de programa\WinPcap\rpcapd.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - D:\Archivos de programa\WinPoET\WrOS.EXE

--
End of file - 7599 bytes

#14 SifuMike

SifuMike

    malware expert


  • Members
  • 15,385 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Vancouver (not BC) WA (Not DC) USA
  • Local time:10:43 AM

Posted 10 August 2008 - 06:08 PM

Hi,

Looks good so far. :thumbsup: We are almost done.
Lets make sure you do not have a lingering malware.

Please do a scan with Kaspersky Online Scanner

Note: If you are using Windows Vista, open your browser by right-clicking on its icon and select 'Run as administrator' to perform this scan.

Click on the Accept button and install any components it needs.
  • The program will install and then begin downloading the latest definition files.
  • After the files have been downloaded on the left side of the page in the Scan section select My Computer
  • This will start the program and scan your system.
  • The scan will take a while, so be patient and let it run.
  • Once the scan is complete, click on View scan report
  • Now, click on the Save Report as button.
  • Save the file to your desktop.
  • Copy and paste that information in your next post.

If I've saved you time & money,
please make a donation so I can keep helping people just like you! You can donate using a credit card and PayPal. Thank you!



Posted Image

Asking for help via Private Message or Mail will be ignored - So If you need help, post your problem in the forum.

#15 gonzalobb

gonzalobb
  • Topic Starter

  • Members
  • 13 posts
  • OFFLINE
  •  
  • Local time:02:43 PM

Posted 11 August 2008 - 05:20 AM

Here it is. Seemingly, it just the contents of the avast! vault.

Program database last update: Monday, August 11, 2008 04:21:22
Records in database: 1081144
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\

Scan statistics:
Files scanned: 79006
Threat name: 11
Infected objects: 25
Suspicious objects: 0
Duration of the scan: 04:26:51


File name / Threat name / Threats count
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019194.exe.vir Infected: not-a-virus:FraudTool.Win32.Antivirus2009.e 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019203.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abje 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019206.dll.vir Infected: Trojan.Win32.Monder.amd 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019236.dll.vir Infected: Trojan.Win32.Monder.bbk 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019238.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.aard 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019243.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.aard 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019309.dll.vir Infected: Trojan.Win32.Monder.gen 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0019330.dll.vir Infected: Trojan.Win32.Monder.gen 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0020339.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abje 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0020414.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.aard 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0021616.dll.vir Infected: Trojan.Win32.Monder.anu 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0021900.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abuo 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0021916.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abun 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\A0023015.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abuo 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\CAAJ8HE7.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.aard 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\CAREEXJV.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.aard 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb456456[1].2.vir Infected: Trojan.Win32.Monder.bbk 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb456456[1].3.vir Infected: Trojan.Win32.Monder.bbk 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb456456[1].vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abje 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb456456[2].vir Infected: Trojan.Win32.Monder.anu 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb671231[1].vir Infected: Trojan.Win32.Monder.amd 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb671231[2].vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abun 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\kb767887[2].vir Infected: not-a-virus:AdWare.Win32.Virtumonde.abuo 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\scui.cpl.vir Infected: not-a-virus:FraudTool.Win32.XPAntivirus.ld 1
D:\Archivos de programa\Alwil Software\Avast4\DATA\moved\UPS_INVOICE_978172.zip#1583016067.vir Infected: Trojan-Spy.Win32.Zbot.dip 1

The selected area was scanned.




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users