Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Infected With Vundo Virus


  • This topic is locked This topic is locked
25 replies to this topic

#1 cochon

cochon

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Spain
  • Local time:02:04 PM

Posted 26 August 2008 - 12:55 PM

Good afternoon, I have been trying to get rid of this Trojan.Vundo with no success. MBAM finds it and cleans it, but next time I reboot, SpyBot comes up saying that qelxysyx.dll (this is one of the names I have gotten, but it changes) wants to something to the registers.

Please find written my HijackThis Log and MBAM log.

Can you please direct me on how to proceed.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:54:10, on 26/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\a-squared Free\a2service.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Hotspot Shield\bin\openvpnas.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\TomTom HOME\TomTomHOME.exe
C:\Archivos de programa\QuickTime\QTTask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\dvd43\dvd43_tray.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\DNA\btdna.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\FinePixViewer\QuickDCF.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\DTV\DVB-T USB 2.0\RC.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\Archivos de programa\internet explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\mire\Mis documentos\Mis archvos\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64FA5797-6319-4E92-A639-9990A5EB752C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7C8DE250-6AF1-42FB-B280-7D07CDE5D693} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {987167DA-28CD-4483-9919-43732140AFD3} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {B7888777-C9E4-4770-A4E1-D107AA5E3D14} - (no file)
O2 - BHO: (no name) - {CB689EF1-B20D-460B-A43D-9F1A0747C6F8} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Archivos de programa\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [dvd43] C:\Archivos de programa\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Archivos de programa\DNA\btdna.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services4] winvers.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RC.exe.lnk = C:\Archivos de programa\DTV\DVB-T USB 2.0\RC.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Archivos de programa\Palm\Hotsync.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.18\AMVConverter\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Word Racer - http://download.games.yahoo.com/games/clients/y/wt1_x.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVR Control) - http://www.devalvr.com/instalacion/plugin/devalvrplugin.php
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1149882307059
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O20 - AppInit_DLLs: flybnv.dll suvsiv.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: iifgGARi - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Archivos de programa\a-squared Free\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - C:\Archivos de programa\Ares\chatServer.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Archivos de programa\Hotspot Shield\bin\openvpnas.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NMSAccess - Unknown owner - C:\Archivos de programa\CDBurnerXP\NMSAccess.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 11913 bytes

Malwarebytes' Anti-Malware 1.25
Database version: 1083
Windows 5.1.2600 Service Pack 2

19:51:09 26/08/2008
mbam-log-08-26-2008 (19-51-09).txt

Scan type: Quick Scan
Objects scanned: 51040
Time elapsed: 3 minute(s), 49 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 3

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM676c9b06.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM676c9b06.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

BC AdBot (Login to Remove)

 


#2 steamwiz

steamwiz

  • Members
  • 1,039 posts
  • OFFLINE
  •  
  • Local time:01:04 PM

Posted 27 August 2008 - 05:03 PM

Hi

Please run a Kaspersky Online Scan

Please do an online scan with Kaspersky WebScanner

Click on Kaspersky Online Scanner

Click Accept

You will be promted to install an ActiveX component from Kaspersky,
Click Yes.
  • The program will launch and then begin downloading the latest definition files:
  • Once the files have been downloaded click on NEXT
  • Now click on Scan Settings
  • In the scan settings make sure that the following are selected:
    • Scan using the following Anti-Virus database:
    Extended (if available otherwise Standard)
    • Scan Options:
    Scan Archives Scan Mail Bases
  • Click OK
  • Now under select a target to scan: Select My Computer
  • The program will start and scan your system.
  • The scan will take a while so be patient and let it run.
  • Once the scan is complete it will display if your system has been infected.
    • Now click on the Save as Text button:
  • Once finished, save the log to your Desktop as filename KAV.txt
THEN ...

Please follow these directions to run Combofix & post a log.

http://www.bleepingcomputer.com/combofix/how-to-use-combofix

steam
MICROSOFT MVP - Windows Security 2004/9
member of ASAP since 2004
member of U.N.I.T.E

If I have helped you, please consider a small donation to help me continue my online fight in the war against malware Posted Image

#3 cochon

cochon
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Spain
  • Local time:02:04 PM

Posted 27 August 2008 - 07:13 PM

Hello Steam,

thank you for taking the time to help out.

Please find pasted both logs:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Thursday, August 28, 2008
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Wednesday, August 27, 2008 22:33:26
Records in database: 1152133
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
F:\
H:\

Scan statistics:
Files scanned: 98115
Threat name: 4
Infected objects: 4
Suspicious objects: 0
Duration of the scan: 01:25:41


File name / Threat name / Threats count
C:\Documents and Settings\mire\.housecall6.6\Quarantine\us48.exe.bac_a04068 Infected: not-a-virus:Porn-Dialer.Win32.EzDial.a 1
C:\Documents and Settings\mire\Configuración local\Archivos temporales de Internet\Content.IE5\197BDL35\kb456456[1] Infected: Trojan.Win32.Monder.ilh 1
C:\Documents and Settings\mire\Configuración local\Archivos temporales de Internet\Content.IE5\197BDL35\kb671231[1] Infected: not-a-virus:AdWare.Win32.Virtumonde.agnd 1
C:\WINDOWS\system32\cliconfgs.exe Infected: Backdoor.Win32.Agent.qdg 1

The selected area was scanned.


ComboFix 08-08-27.01 - mire 2008-08-28 2:00:19.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.664 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\mire\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\aabhkohy.dll
C:\WINDOWS\system32\dvrjbdbc.dll
C:\WINDOWS\system32\fjnlxmwo.dll
C:\WINDOWS\system32\jhkbfrmi.dll
C:\WINDOWS\system32\jnatbe.dll
C:\WINDOWS\system32\jsrlamch.dll
C:\WINDOWS\system32\lqmqvefi.dll
C:\WINDOWS\system32\mrxoyumx.dll
C:\WINDOWS\system32\najjyumn.dll
C:\WINDOWS\system32\oqmnjxwp.dll
C:\WINDOWS\system32\oyxohahe.dll
C:\WINDOWS\system32\ppepopmt.dll
C:\WINDOWS\system32\qkrlls.dll
C:\WINDOWS\system32\ruEOnnmp.ini
C:\WINDOWS\system32\ruEOnnmp.ini2
C:\WINDOWS\system32\suwrruws.dll
C:\WINDOWS\system32\TCJlmnnn.ini
C:\WINDOWS\system32\TCJlmnnn.ini2
C:\WINDOWS\system32\twaxrejn.dll
C:\WINDOWS\system32\waekttxi.ini
C:\WINDOWS\system32\wdgbqltw.dll
C:\WINDOWS\system32\xasmgefe.dll
C:\WINDOWS\system32\ybuybplv.dll
C:\WINDOWS\system32\ymvswnyi.dll

.
(((((((((((((((((( Archivos creados desde 2008-07-28 - 2008-08-28 )))))))))))))))))))))))))))))))))
.

2009-08-19 22:41 . 2009-08-19 22:41 <DIR> d-------- C:\Archivos de programa\Hotspot Shield
2009-08-19 20:11 . 2009-08-19 20:11 0 --a------ C:\WINDOWS\nsreg.dat
2009-08-18 19:06 . 2009-08-18 19:06 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\vsosdk
2009-08-18 18:43 . 2009-08-18 18:43 <DIR> d-------- C:\Archivos de programa\dvd43
2009-08-18 18:43 . 2009-08-18 18:43 18,816 --a------ C:\WINDOWS\system32\drivers\dvd43llh.sys
2009-08-18 18:41 . 2009-08-18 19:59 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\1Click DVD Copy
2009-08-18 18:40 . 2009-08-18 18:40 <DIR> d-------- C:\Archivos de programa\LG Software Innovations
2009-08-18 18:30 . 1998-06-26 00:00 644,400 --a------ C:\WINDOWS\system32\mscomct2.ocx
2009-08-18 18:16 . 2009-08-18 18:16 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\dvdcss
2009-08-18 18:16 . 2009-08-18 18:24 <DIR> d-------- C:\Archivos de programa\123 DVD Clone
2009-08-18 18:02 . 2009-08-18 18:02 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Elaborate Bytes
2009-08-18 17:55 . 2009-08-18 18:02 48 --ahs---- C:\WINDOWS\SEEAEF3F3.tmp
2009-08-18 17:52 . 2009-08-18 18:08 <DIR> d-------- C:\Archivos de programa\Elaborate Bytes
2009-08-18 00:14 . 2009-08-18 00:14 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Malwarebytes
2009-08-18 00:13 . 2009-08-18 00:13 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2009-08-18 00:13 . 2009-08-18 00:14 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2009-08-18 00:13 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2009-08-18 00:13 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-26 22:28 . 2008-08-26 23:06 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-08-26 17:52 . 2008-08-26 17:52 <DIR> d-------- C:\fsaua.data
2008-08-25 22:53 . 2008-08-25 22:53 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-25 22:05 . 2008-08-25 22:05 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-08-25 22:05 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-08-24 16:57 . 2008-08-24 16:57 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-08-24 16:56 . 2008-08-24 16:56 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\SUPERAntiSpyware.com
2008-08-24 16:56 . 2008-08-24 16:56 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-08-20 19:43 . 2008-08-20 19:43 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Move Networks
2008-08-17 23:16 . 2008-08-17 23:16 <DIR> d-------- C:\Archivos de programa\Yahoo!
2008-08-17 23:15 . 2008-08-17 23:16 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-08-17 22:43 . 2008-08-17 22:37 37,010,164 --a------ C:\temp\dat-5362.zip
2008-08-17 12:41 . 2004-08-30 21:00 367,104 --a------ C:\WINDOWS\system32\cliconfgs.exe
2008-08-17 12:41 . 2007-08-25 18:16 215 --a------ C:\WINDOWS\system32\Monitored2.dat
2008-08-17 12:39 . 2009-08-18 18:41 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Vso
2008-08-17 12:39 . 2009-08-18 18:41 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-08-17 12:39 . 2009-08-18 18:41 47,360 --a------ C:\Documents and Settings\mire\Datos de programa\pcouffin.sys
2008-08-13 19:44 . 2008-05-01 16:31 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-02 12:33 . 2008-08-02 12:33 <DIR> d-------- C:\temp\Pirates!
2008-08-02 12:33 . 2008-08-17 22:43 <DIR> d-------- C:\temp

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-18 16:19 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-08-28 00:04 --------- d-----w C:\Documents and Settings\mire\Datos de programa\DNA
2008-08-26 19:41 --------- d-----w C:\Archivos de programa\a-squared Free
2008-08-26 19:14 --------- d-----w C:\Documents and Settings\mire\Datos de programa\AdobeUM
2008-08-26 19:13 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-08-26 16:17 --------- d-----w C:\Archivos de programa\Java
2008-08-25 22:51 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-08-24 15:50 --------- d-----w C:\Archivos de programa\Spybot - Search & Destroy
2008-08-24 14:56 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-17 19:57 102,664 ----a-w C:\WINDOWS\system32\drivers\tmcomm.sys
2008-08-02 10:40 --------- d-----w C:\Archivos de programa\DivX
2008-07-30 08:16 --------- d-----w C:\Archivos de programa\TomTom HOME
2008-07-22 09:27 --------- d-----w C:\Documents and Settings\Luis y Mickey\Datos de programa\MSN6
2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR
2008-07-16 17:25 --------- d-----w C:\Archivos de programa\World of Warcraft
2008-07-06 22:07 --------- d-----w C:\Archivos de programa\FinePixViewer
2005-09-14 09:58 20,480 ----a-w C:\Archivos de programa\Archivos comunes\UninstallDrv.exe
1999-04-23 09:57 99,840 ----a-w C:\Archivos de programa\Archivos comunes\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w C:\Archivos de programa\Archivos comunes\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w C:\Archivos de programa\Archivos comunes\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w C:\Archivos de programa\Archivos comunes\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w C:\Archivos de programa\Archivos comunes\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w C:\Archivos de programa\Archivos comunes\IRASRIAL.DLL
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 21:28 68856]
"BitTorrent DNA"="C:\Archivos de programa\DNA\btdna.exe" [2008-05-08 13:46 289088]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-08-19 23:34 1576176]
"updateMgr"="C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShStatEXE"="C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-18 08:00 94208]
"McAfeeUpdaterUI"="C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50 139320]
"Network Associates Error Reporting Service"="C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48 147514]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"TomTomHOME.exe"="C:\Archivos de programa\TomTom HOME\TomTomHOME.exe" [2007-03-14 17:52 3770024]
"REGSHAVE"="C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE" [2002-02-04 23:32 53248]
"QuickTime Task"="C:\Archivos de programa\QuickTime\QTTask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2007-09-26 14:42 267064]
"dvd43"="C:\Archivos de programa\dvd43\dvd43_tray.exe" [2008-04-09 10:00 826880]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 05:01 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:42 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"NT Printing Services4"="winvers.exe" [2007-08-25 18:16 50688 C:\WINDOWS\system32\winvers.exe]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= "C:\ARCHIV~1\DVDREG~1\DVDShell.dll" [2004-10-09 16:18 49152]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Documents and Settings^mire^Menú Inicio^Programas^Inicio^Screen Saver Control.lnk]
path=C:\Documents and Settings\mire\Menú Inicio\Programas\Inicio\Screen Saver Control.lnk
backup=C:\WINDOWS\pss\Screen Saver Control.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.10.0-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\Archivos de programa\\HP\\HP Software Update\\HPWUCli.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.10.2.5302-to-1.11.0.5428-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.11.1.5462-to-1.11.2.5464-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.11.2.5464-to-1.12.0.5595-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.12.0.5595-to-1.12.1.5875-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.12.x-to-2.0.1-enGB-patch-downloader.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Zattoo\\Zattoo2.exe"=
"C:\\Archivos de programa\\Zattoo\\zattood.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\Zattoo\\Zattoo.exe"=
"C:\\Archivos de programa\\DNA\\btdna.exe"=
"C:\\Archivos de programa\\Telefonica\\AsistCfg64\\awcbrwsr.exe"=
"C:\\Archivos de programa\\Ubisoft\\Chessmaster 10th Edition\\game.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader
"6112:TCP"= 6112:TCP:Blizzard Downloader

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24]
R3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 23:25]
S3 CEBDADTV;C&E DVB-T device;C:\WINDOWS\system32\DRIVERS\CEBDA150.sys [2006-07-05 18:57]
S3 WDM_Capture_220A;DVB-T TV Receiver;C:\WINDOWS\system32\Drivers\WDM_Capture_220A.sys [2004-09-06 22:40]
S3 WDM_Loader_220A;DVB-T TV Loader;C:\WINDOWS\system32\Drivers\WDM_Loader_220A.sys [2005-12-28 11:37]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\_exec\startx.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76f272a1-a64f-11dc-9d1b-4d6564696130}]
\Shell\Auto\command - G:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba21688b-a58a-11dc-9d1a-4d6564696130}]
\Shell\AutoRun\command - G:\ybxithhg.exe
\Shell\explore\Command - G:\ybxithhg.exe
\Shell\open\Command - G:\ybxithhg.exe

*Newly Created Service* - ENTDRV51
.
Contenido de carpeta 'Tareas Programadas'

2008-08-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-Octoshape Streaming Services - C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
ShellExecuteHooks-{A0ED1495-7460-4191-A95A-2521E994BB0C} - (no file)
Notify-hgGwUkHB - hgGwUkHB.dll
Notify-iifgGARi - (no file)
Notify-sclgntfy - (no file)
MSConfigStartUp-ares - C:\Archivos de programa\Ares\Ares.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\mire\Datos de programa\Mozilla\Firefox\Profiles\gl7ejs0z.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
FF -: plugin - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Archivos de programa\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Archivos de programa\DNA\plugins\npbtdna.dll
FF -: plugin - C:\Archivos de programa\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Archivos de programa\Yahoo!\Common\npyaxmpb.dll
FF -: plugin - C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\octoprogram-L03-NMS0806260_SUA_900\npoctoshape.dll
FF -: plugin - C:\Documents and Settings\mire\Datos de programa\Mozilla\plugins\npoctoshape.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 02:04:39
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Archivos de programa\a-squared Free\a2service.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Hotspot Shield\bin\openvpnas.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Archivos de programa\FinePixViewer\QuickDCF.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqste08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\DTV\DVB-T USB 2.0\RC.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe
.
**************************************************************************
.
Tiempo completado: 2008-08-28 2:08:39 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-28 00:08:35
ComboFix2.txt 2008-08-25 21:29:43

Pre-Run: 56,166,756,352 bytes libres
Post-Run: 56,113,393,664 bytes libres

254 --- E O F --- 2008-08-24 21:39:59

#4 steamwiz

steamwiz

  • Members
  • 1,039 posts
  • OFFLINE
  •  
  • Local time:01:04 PM

Posted 28 August 2008 - 04:21 PM

HI

I see you've run Combofix twice ... would you post the log from the first run please ... ComboFix2.txt 2008-08-25 21:29:43

Please go here :- http://virscan.org/

Upload these files & post back the results :-

C:\WINDOWS\system32\winvers.exe
C:\WINDOWS\system32\cliconfgs.exe

-
You also have an infected flashdrive G:\

Please run this Flash_Disinfector tool by sUBs ...

http://www.techsupportforum.com/sectools/s...Disinfector.exe

Just download the exe file and double click on it to run it...then follow instructions

A box will pop up telling you to plug in your flash drive and click OK to start the disinfection ... by the way if you try to cross the box of with the X in the corner ... it will run anyway ... after a few seconds a box will pop up saying "done"

Note: Flash_Disinfector will create a hidden folder named autorun.inf in each partition and every USB drive plugged in when you ran it. Don't delete this folder...it will help protect your drives from future infection.

-
Next ...

Please Download CCleaner from :-

http://www.filehippo.com/download_ccleaner/ (click the download tab)

During the installation be sure to UN-check the box for "Ccleaner Yahoo Toolbar" unless you want it.

doubleclick the ccsetup.exe file and install the program...

After installing, go to Start > programs > CCleaner > Options > Advanced > UNCHECK "Only delete files in Windows Temp folder older than 48 hours"

Make sure the "windows" tab is selected

Under "internet explorer" tick...

Temporary internet files
Cookies* > see Note below
History
Recently typed URL's
(leave this unticked if you DON'T want to clear the drop down list in the address window of IE)
Delete index.dat files
Last download location
Autocomplete form history


under "Windows explorer" these are optional, but you can safely tick them all if you wish, they are only "most recently used lists"

Other explorer MRU's
(leave this unticked if you DON'T want to clear lists such as the start\run list)

under "System"

Tick ALL these ...


under "Advanced"

no need to tick any of these (but you can if you want, and realise what they do)


Applications tab...

These will mostly clean out old log files for these applications...

Clean:- (if you use them)

Firefox/Mozilla (optional - leave the cookies - see note)
Opera
Sun Java
ZoneAlarm

...
Personally I clean everything in the applications tab... but you tick what you want...

Note: *If there are any cookies you want to keep (if you remove the cookie for a site you require a password for, you will need to re-enter your password when you next visit that site) ... click options > cookies > then keep the cookies you want.

click "analyse" if you want to see a list of what is going to be removed, before it is removed.

Or

click "run cleaner" to let it get on with it's work... clicking this will result in the following pop-up

"This process will permanently delete files from your system. Are you sure you wish to proceed?"

click OK.

cheers

steam
MICROSOFT MVP - Windows Security 2004/9
member of ASAP since 2004
member of U.N.I.T.E

If I have helped you, please consider a small donation to help me continue my online fight in the war against malware Posted Image

#5 cochon

cochon
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Spain
  • Local time:02:04 PM

Posted 28 August 2008 - 05:15 PM

Good evening Steam,

Posting log ComboFix2.txt

ComboFix 08-08-24.03 - mire 2008-08-25 23:26:44.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.540 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\mire\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\mire\Escritorio\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
* Creado un nuevo punto de restauración
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\mire\Datos de programa\inst.exe
C:\Documents and Settings\Mirey\Configuración local\Datos de programa\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\system32\esnawecp.ini
C:\WINDOWS\system32\LRrCJRqr.ini
C:\WINDOWS\system32\LRrCJRqr.ini2
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\systeminfo3.dll

.
(((((((((((((((((( Archivos creados desde 2008-07-25 - 2008-08-25 )))))))))))))))))))))))))))))))))
.

2009-08-19 22:41 . 2009-08-19 22:41 <DIR> d-------- C:\Archivos de programa\Hotspot Shield
2009-08-19 20:11 . 2009-08-19 20:11 0 --a------ C:\WINDOWS\nsreg.dat
2009-08-18 19:06 . 2009-08-18 19:06 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\vsosdk
2009-08-18 18:43 . 2009-08-18 18:43 <DIR> d-------- C:\Archivos de programa\dvd43
2009-08-18 18:43 . 2009-08-18 18:43 18,816 --a------ C:\WINDOWS\system32\drivers\dvd43llh.sys
2009-08-18 18:41 . 2009-08-18 19:59 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\1Click DVD Copy
2009-08-18 18:40 . 2009-08-18 18:40 <DIR> d-------- C:\Archivos de programa\LG Software Innovations
2009-08-18 18:30 . 1998-06-26 00:00 644,400 --a------ C:\WINDOWS\system32\mscomct2.ocx
2009-08-18 18:16 . 2009-08-18 18:16 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\dvdcss
2009-08-18 18:16 . 2009-08-18 18:24 <DIR> d-------- C:\Archivos de programa\123 DVD Clone
2009-08-18 18:02 . 2009-08-18 18:02 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Elaborate Bytes
2009-08-18 17:55 . 2009-08-18 18:02 48 --ahs---- C:\WINDOWS\SEEAEF3F3.tmp
2009-08-18 17:52 . 2009-08-18 18:08 <DIR> d-------- C:\Archivos de programa\Elaborate Bytes
2009-08-18 00:14 . 2009-08-18 00:14 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Malwarebytes
2009-08-18 00:13 . 2009-08-18 00:13 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2009-08-18 00:13 . 2009-08-18 00:14 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2009-08-18 00:13 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2009-08-18 00:13 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-25 22:53 . 2008-08-25 22:53 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-25 22:05 . 2008-08-25 22:05 <DIR> d-------- C:\WINDOWS\LastGood
2008-08-25 22:05 . 2008-08-25 22:05 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-08-25 22:05 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-08-25 19:05 . 2008-08-24 05:08 <DIR> d-------- C:\SDFix
2008-08-24 16:57 . 2008-08-24 16:57 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-08-24 16:56 . 2008-08-24 16:56 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\SUPERAntiSpyware.com
2008-08-24 16:56 . 2008-08-24 16:56 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-08-24 16:39 . 2008-08-25 22:51 <DIR> d-------- C:\VundoFix Backups
2008-08-20 19:43 . 2008-08-20 19:43 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Move Networks
2008-08-17 23:16 . 2008-08-17 23:16 <DIR> d-------- C:\Archivos de programa\Yahoo!
2008-08-17 23:15 . 2008-08-17 23:16 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-08-17 22:43 . 2008-08-17 22:37 37,010,164 --a------ C:\temp\dat-5362.zip
2008-08-17 12:41 . 2004-08-30 21:00 367,104 --a------ C:\WINDOWS\system32\cliconfgs.exe
2008-08-17 12:41 . 2007-08-25 18:16 215 --a------ C:\WINDOWS\system32\Monitored2.dat
2008-08-17 12:39 . 2009-08-18 18:41 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Vso
2008-08-17 12:39 . 2009-08-18 18:41 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-08-17 12:39 . 2009-08-18 18:41 47,360 --a------ C:\Documents and Settings\mire\Datos de programa\pcouffin.sys
2008-08-13 19:44 . 2008-05-01 16:31 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-02 12:33 . 2008-08-02 12:33 <DIR> d-------- C:\temp\Pirates!
2008-08-02 12:33 . 2008-08-17 22:43 <DIR> d-------- C:\temp

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-18 16:19 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2009-08-17 22:49 --------- d-----w C:\Archivos de programa\Java
2008-08-25 21:23 --------- d-----w C:\Documents and Settings\mire\Datos de programa\DNA
2008-08-25 19:28 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-08-24 15:50 --------- d-----w C:\Archivos de programa\Spybot - Search & Destroy
2008-08-24 14:56 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-17 19:57 102,664 ----a-w C:\WINDOWS\system32\drivers\tmcomm.sys
2008-08-17 19:54 --------- d-----w C:\Archivos de programa\Ares
2008-08-02 10:40 --------- d-----w C:\Archivos de programa\DivX
2008-07-30 08:16 --------- d-----w C:\Archivos de programa\TomTom HOME
2008-07-22 09:27 --------- d-----w C:\Documents and Settings\Luis y Mickey\Datos de programa\MSN6
2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR
2008-07-16 17:25 --------- d-----w C:\Archivos de programa\World of Warcraft
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-06 22:07 --------- d-----w C:\Archivos de programa\FinePixViewer
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 248,320 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-18 17:52 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-06-11 00:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2005-09-14 09:58 20,480 ----a-w C:\Archivos de programa\Archivos comunes\UninstallDrv.exe
1999-04-23 09:57 99,840 ----a-w C:\Archivos de programa\Archivos comunes\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w C:\Archivos de programa\Archivos comunes\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w C:\Archivos de programa\Archivos comunes\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w C:\Archivos de programa\Archivos comunes\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w C:\Archivos de programa\Archivos comunes\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w C:\Archivos de programa\Archivos comunes\IRASRIAL.DLL
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 21:28 68856]
"BitTorrent DNA"="C:\Archivos de programa\DNA\btdna.exe" [2008-05-08 13:46 289088]
"SpybotSD TeaTimer"="C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 18:41 1832272]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"Octoshape Streaming Services"="C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2008-05-22 15:59 156944]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-08-19 23:34 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShStatEXE"="C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-18 08:00 94208]
"McAfeeUpdaterUI"="C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50 139320]
"Network Associates Error Reporting Service"="C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48 147514]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"TomTomHOME.exe"="C:\Archivos de programa\TomTom HOME\TomTomHOME.exe" [2007-03-14 17:52 3770024]
"REGSHAVE"="C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE" [2002-02-04 23:32 53248]
"QuickTime Task"="C:\Archivos de programa\QuickTime\QTTask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2007-09-26 14:42 267064]
"dvd43"="C:\Archivos de programa\dvd43\dvd43_tray.exe" [2008-04-09 10:00 826880]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 05:01 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:42 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"NT Printing Services4"="winvers.exe" [2007-08-25 18:16 50688 C:\WINDOWS\system32\winvers.exe]

C:\Documents and Settings\mire\Men£ Inicio\Programas\Inicio\
RC.exe.lnk - C:\Archivos de programa\DTV\DVB-T USB 2.0\RC.exe [2006-01-06 12:16:41 49152]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Exif Launcher.lnk - C:\Archivos de programa\FinePixViewer\QuickDCF.exe [2006-11-01 10:56:44 282624]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= "C:\ARCHIV~1\DVDREG~1\DVDShell.dll" [2004-10-09 16:18 49152]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=flybnv.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Documents and Settings^mire^Menú Inicio^Programas^Inicio^Screen Saver Control.lnk]
path=C:\Documents and Settings\mire\Menú Inicio\Programas\Inicio\Screen Saver Control.lnk
backup=C:\WINDOWS\pss\Screen Saver Control.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
--a------ 2008-02-20 16:33 963072 C:\Archivos de programa\Ares\Ares.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.10.0-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\Archivos de programa\\HP\\HP Software Update\\HPWUCli.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.10.2.5302-to-1.11.0.5428-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.11.1.5462-to-1.11.2.5464-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.11.2.5464-to-1.12.0.5595-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.12.0.5595-to-1.12.1.5875-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.12.x-to-2.0.1-enGB-patch-downloader.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Zattoo\\Zattoo2.exe"=
"C:\\Archivos de programa\\Zattoo\\zattood.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\Zattoo\\Zattoo.exe"=
"C:\\Archivos de programa\\DNA\\btdna.exe"=
"C:\\Archivos de programa\\BitTorrent\\bittorrent.exe"=
"C:\\Archivos de programa\\Telefonica\\AsistCfg64\\awcbrwsr.exe"=
"C:\\Archivos de programa\\Ares\\Ares.exe"=
"C:\\Archivos de programa\\Ubisoft\\Chessmaster 10th Edition\\game.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Documents and Settings\\mire\\Configuración local\\Datos de programa\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader
"6112:TCP"= 6112:TCP:Blizzard Downloader

R3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 23:25]
S3 CEBDADTV;C&E DVB-T device;C:\WINDOWS\system32\DRIVERS\CEBDA150.sys [2006-07-05 18:57]
S3 WDM_Capture_220A;DVB-T TV Receiver;C:\WINDOWS\system32\Drivers\WDM_Capture_220A.sys [2004-09-06 22:40]
S3 WDM_Loader_220A;DVB-T TV Loader;C:\WINDOWS\system32\Drivers\WDM_Loader_220A.sys [2005-12-28 11:37]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\_exec\startx.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76f272a1-a64f-11dc-9d1b-4d6564696130}]
\Shell\Auto\command - G:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba21688b-a58a-11dc-9d1a-4d6564696130}]
\Shell\AutoRun\command - G:\ybxithhg.exe
\Shell\explore\Command - G:\ybxithhg.exe
\Shell\open\Command - G:\ybxithhg.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - ENTDRV51
*Newly Created Service* - PROCEXP90
.
Contenido de carpeta 'Tareas Programadas'

2008-08-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-adiras - adiras.exe
HKCU-Explorer_Run-NT Printing Services2 - cleanmgrs.exe
Notify-iifgGARi - (no file)
Notify-sclgntfy - (no file)
MSConfigStartUp-645fa89a - C:\WINDOWS\system32\piondoqc.dll
MSConfigStartUp-BM676c9b06 - C:\WINDOWS\system32\urdyjlji.dll


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\mire\Datos de programa\Mozilla\Firefox\Profiles\gl7ejs0z.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
FF -: plugin - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Archivos de programa\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Archivos de programa\DNA\plugins\npbtdna.dll
FF -: plugin - C:\Archivos de programa\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Archivos de programa\Yahoo!\Common\npyaxmpb.dll
FF -: plugin - C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\octoprogram-L03-NMS0806260_SUA_900\npoctoshape.dll
FF -: plugin - C:\Documents and Settings\mire\Datos de programa\Mozilla\plugins\npoctoshape.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 23:28:29
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
Tiempo completado: 2008-08-25 23:29:42
ComboFix-quarantined-files.txt 2008-08-25 21:29:37

Pre-Run: 55,880,286,208 bytes libres
Post-Run: 55,868,157,952 bytes libres

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

241 --- E O F --- 2008-08-24 21:39:59








I went to the site and was only able to upload and scan 1 file out of the two mentioned.

The file in C:\WINDOWS\system32\winvers.exe had an error in Step 2 when analizing the file. "ERROR: Cant find the upload file!"

Here is the log for the one that worked:
VirSCAN.org Scanned Report :
Scanned time : 2008/08/28 23:28:48 (CEST)
Scanner results: 28% Scanner(10/36) found malware!
File Name : cliconfgs.exe
File Size : 367104 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : b9f7e6bf52228d0e71920a30bcd4f2c6
SHA1 : 74fbbeddaf0f8849fff84c8804454fa0eb4e9ca6
Online report : http://virscan.org/report/5716b8bb96a52ae2...1ddb7fedd3.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 3.5.0.22 2008.08.27 2008-08-27 2.48 -
AhnLab V3 2008.08.29.00 2008.08.29 2008-08-29 0.88 -
AntiVir 7.8.1.23 7.0.6.88 2008-08-28 2.27 -
Arcavir 1.0.5 200808271847 2008-08-27 1.24 -
AVAST! 3.0.1 080828-0 2008-08-28 0.71 Win32:Adware-gen [Adw]
AVG 7.5.51.442 270.6.11/1639 2008-08-28 1.54 Generic11.JJU
BitDefender 7.60825.1655726 7.20707 2008-08-28 3.32 -
CA (VET) 9.0.0.143 31.6.6054 2008-08-28 5.29 -
ClamAV 0.93.3 8109 2008-08-28 0.08 -
Comodo 2.11 2.0.0.630 2008-08-28 0.43 -
CP Secure 1.1.0.715 2008.08.29 2008-08-29 6.52 -
Dr.Web 4.44.0.9170 2008.08.28 2008-08-28 3.12 Trojan.PWS.LDPinch.4180
ewido 4.0.0.2 2008.08.28 2008-08-28 2.96 -
F-Prot 4.4.4.56 20080828 2008-08-28 1.01 -
F-Secure 5.51.6100 2008.08.28.11 2008-08-28 3.16 Backdoor.Win32.Agent.qdg [AVP]
Fortinet 2.81-3.11 9.481 2008-08-28 1.81 PossibleThreat
ViRobot 20080828 2008.08.28 2008-08-28 0.79 -
Ikarus T3.1.01.34 2008.08.28.71356 2008-08-28 3.17 BehavesLikeWin32.ProcessHijack
JiangMin 11.0.706 2008.08.28 2008-08-28 1.99 -
Kaspersky 5.5.10 2008.08.28 2008-08-28 0.03 Backdoor.Win32.Agent.qdg
KingSoft 2008.1.14.15 2008.8.28.17 2008-08-28 3.21 -
McAfee 5.3.00 5371 2008-08-27 2.11 -
Microsoft 1.3807 2008.08.28 2008-08-28 5.63 VirTool:Win32/DelfInject.gen!AC
mks_vir 2.01 2008.08.25 2008-08-25 2.61 -
Norman 5.93.01 5.93.00 2008-08-28 4.96 -
Panda 9.05.01 2008.08.28 2008-08-28 3.83 -
Trend Micro 8.700-1004 5.506.02 2008-08-28 0.03 -
Quick Heal 9.50 2008.08.26 2008-08-26 3.24 -
Rising 20.0 20.59.31.00 2008-08-28 0.89 -
Sophos 2.78.0 4.33 2008-08-28 1.64 Troj/Mdrop-BVC
Sunbelt 3.1.1582.1 2204 2008-08-25 0.73 -
Symantec 1.3.0.24 20080827.038 2008-08-27 0.39 -
nProtect 2008-08-28.00 1982990 2008-08-28 4.89 -
The Hacker 6.3.0.6 v00064 2008-08-27 0.41 -
VBA32 3.12.8.4 20080828.0615 2008-08-28 1.15 Trojan.PWS.LDPinch.4180
VirusBuster 4.5.11.10 10.84.14/623168 2008-08-28 0.93 -





Did both my flash drives, thanks.

Ran CCleaner and cleaned the selected files found.

I had to run MBAM again, as I could not access this site from the infected computer, once I did it and deleted the items found, I was able to acces BC site.

Please let me know if you need me to post any of the logs (either from CCleaer, or the new log from MBAM)

Cheers,

#6 steamwiz

steamwiz

  • Members
  • 1,039 posts
  • OFFLINE
  •  
  • Local time:01:04 PM

Posted 29 August 2008 - 02:31 PM

Hi

Yes ... please post the latest MBAM log

Then...

Open notepad and copy/paste the text in the code box below into it:
NOTE* make sure to only highlight and copy what is inside the code box nothing out side of it.
Also ..

Pay particular attention to this :-

Make sure the word File:: is on the first line of the text file you save (no blank line above it, & no space in front of it)
File::
C:\WINDOWS\system32\winvers.exe
C:\WINDOWS\system32\cliconfgs.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76f272a1-a64f-11dc-9d1b-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba21688b-a58a-11dc-9d1a-4d6564696130}]
[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"NT Printing Services4"=-


Save this as "CFScript.txt"

Then drag the CFScript.txt into ComboFix.exe as you see in the screenshot below.
Posted Image

This will start ComboFix again. After reboot, (in case it asks to reboot), post the contents of Combofix.txt in your next reply together with a new HijackThis log.

How's the computer running now ? Spybot clean ?

steam
MICROSOFT MVP - Windows Security 2004/9
member of ASAP since 2004
member of U.N.I.T.E

If I have helped you, please consider a small donation to help me continue my online fight in the war against malware Posted Image

#7 cochon

cochon
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Spain
  • Local time:02:04 PM

Posted 30 August 2008 - 12:56 PM

Ok,

this is the MBAM log of the scan I had to do yesterday to be able to bet in to the BC website.

Malwarebytes' Anti-Malware 1.25
Database version: 1094
Windows 5.1.2600 Service Pack 2

16:09:01 29/08/2008
mbam-log-08-29-2008 (16-09-01).txt

Scan type: Quick Scan
Objects scanned: 37428
Time elapsed: 3 minute(s), 31 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 4
Registry Keys Infected: 11
Registry Values Infected: 3
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 11

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
C:\WINDOWS\system32\gacfiqvt.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\jkkIXOfe.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ywisjqcc.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\wvUmmnnK.dll (Trojan.Vundo) -> Delete on reboot.

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64fa29d8-a1d1-442f-bec7-52d92b6884e2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{64fa29d8-a1d1-442f-bec7-52d92b6884e2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{78527a84-d05b-4e8a-af04-dfbca5544e48} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvummnnk (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm676c9b06 (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\645fa89a (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{78527a84-d05b-4e8a-af04-dfbca5544e48} (Trojan.Vundo) -> Delete on reboot.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\jkkixofe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\jkkixofe -> Delete on reboot.

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\jkkIXOfe.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\efOXIkkj.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\efOXIkkj.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gacfiqvt.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\tvqifcag.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ywisjqcc.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wvUmmnnK.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\BM676c9b06.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM676c9b06.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fccdeebc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.




Did the steps on ComboFix, pasted log as follows:

ComboFix 08-08-29.02 - mire 2008-08-30 18:59:07.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.545 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\mire\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\mire\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

FILE ::
C:\WINDOWS\system32\cliconfgs.exe
C:\WINDOWS\system32\winvers.exe
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM676c9b06.txt
C:\WINDOWS\BM676c9b06.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\cffMlnpo.ini
C:\WINDOWS\system32\cffMlnpo.ini2
C:\WINDOWS\system32\cliconfgs.exe
C:\WINDOWS\system32\geBQjHBR.dll
C:\WINDOWS\system32\lxtmoxde.dll
C:\WINDOWS\system32\newbrtvg.dll
C:\WINDOWS\system32\nwwcubhk.ini
C:\WINDOWS\system32\opnlMffc.dll
C:\WINDOWS\system32\rcepns.dll
C:\WINDOWS\system32\riywpqwi.ini
C:\WINDOWS\system32\rlekqrox.dll
C:\WINDOWS\system32\ssqRIbxV.dll
C:\WINDOWS\system32\winvers.exe
C:\WINDOWS\system32\xorqkelr.ini

.
(((((((((((((((((( Archivos creados desde 2008-07-28 - 2008-08-30 )))))))))))))))))))))))))))))))))
.

2009-08-19 22:41 . 2009-08-19 22:41 <DIR> d-------- C:\Archivos de programa\Hotspot Shield
2009-08-19 20:11 . 2009-08-19 20:11 0 --a------ C:\WINDOWS\nsreg.dat
2009-08-18 19:06 . 2009-08-18 19:06 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\vsosdk
2009-08-18 18:43 . 2009-08-18 18:43 <DIR> d-------- C:\Archivos de programa\dvd43
2009-08-18 18:43 . 2009-08-18 18:43 18,816 --a------ C:\WINDOWS\system32\drivers\dvd43llh.sys
2009-08-18 18:41 . 2009-08-18 19:59 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\1Click DVD Copy
2009-08-18 18:40 . 2009-08-18 18:40 <DIR> d-------- C:\Archivos de programa\LG Software Innovations
2009-08-18 18:30 . 1998-06-26 00:00 644,400 --a------ C:\WINDOWS\system32\mscomct2.ocx
2009-08-18 18:16 . 2009-08-18 18:16 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\dvdcss
2009-08-18 18:16 . 2009-08-18 18:24 <DIR> d-------- C:\Archivos de programa\123 DVD Clone
2009-08-18 18:02 . 2009-08-18 18:02 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Elaborate Bytes
2009-08-18 17:55 . 2009-08-18 18:02 48 --ahs---- C:\WINDOWS\SEEAEF3F3.tmp
2009-08-18 17:52 . 2009-08-18 18:08 <DIR> d-------- C:\Archivos de programa\Elaborate Bytes
2009-08-18 00:14 . 2009-08-18 00:14 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Malwarebytes
2009-08-18 00:13 . 2009-08-18 00:13 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2009-08-18 00:13 . 2009-08-18 00:14 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2009-08-18 00:13 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2009-08-18 00:13 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-29 00:22 . 2008-08-29 00:22 <DIR> d--h----- C:\WINDOWS\PIF
2008-08-28 02:08 . 2008-08-28 02:08 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuración local
2008-08-28 02:08 . 2008-08-28 02:08 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-08-28 02:08 . 2008-08-28 02:08 <DIR> d-------- C:\Documents and Settings\Mirey\Configuración local
2008-08-28 02:08 . 2008-08-28 02:08 <DIR> d-------- C:\Documents and Settings\mire\Configuración local
2008-08-28 02:08 . 2008-08-28 02:08 <DIR> d-------- C:\Documents and Settings\Luis y Mickey\Configuración local
2008-08-28 02:08 . 2008-08-28 02:08 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-08-26 22:28 . 2008-08-26 23:06 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-08-26 17:52 . 2008-08-26 17:52 <DIR> d-------- C:\fsaua.data
2008-08-25 22:53 . 2008-08-25 22:53 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-25 22:05 . 2008-08-25 22:05 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-08-25 22:05 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-08-24 16:57 . 2008-08-24 16:57 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-08-24 16:56 . 2008-08-24 16:56 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\SUPERAntiSpyware.com
2008-08-24 16:56 . 2008-08-24 16:56 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-08-20 19:43 . 2008-08-20 19:43 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Move Networks
2008-08-17 23:16 . 2008-08-17 23:16 <DIR> d-------- C:\Archivos de programa\Yahoo!
2008-08-17 23:15 . 2008-08-17 23:16 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-08-17 22:43 . 2008-08-17 22:37 37,010,164 --a------ C:\temp\dat-5362.zip
2008-08-17 12:41 . 2007-08-25 18:16 215 --a------ C:\WINDOWS\system32\Monitored2.dat
2008-08-17 12:39 . 2009-08-18 18:41 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Vso
2008-08-17 12:39 . 2009-08-18 18:41 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-08-17 12:39 . 2009-08-18 18:41 47,360 --a------ C:\Documents and Settings\mire\Datos de programa\pcouffin.sys
2008-08-13 19:44 . 2008-05-01 16:31 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-02 12:33 . 2008-08-02 12:33 <DIR> d-------- C:\temp\Pirates!
2008-08-02 12:33 . 2008-08-17 22:43 <DIR> d-------- C:\temp
2008-07-22 11:27 . 2008-07-22 11:27 <DIR> d-------- C:\Documents and Settings\Luis y Mickey\Datos de programa\MSN6
2008-07-18 20:39 . 2008-07-18 20:39 587,264 --a------ C:\WINDOWS\WLXPGSS.SCR
2008-07-14 22:00 . 2008-07-14 22:00 <DIR> d-------- C:\Documents and Settings\Luis y Mickey\Contacts
2008-07-07 22:31 . 2008-07-07 22:31 253,952 -----c--- C:\WINDOWS\system32\dllcache\es.dll
2008-07-03 16:02 . 2008-07-03 16:02 <DIR> d-------- C:\Documents and Settings\Mirey\Contacts

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-18 16:19 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-08-30 17:03 --------- d-----w C:\Documents and Settings\mire\Datos de programa\DNA
2008-08-30 16:49 --------- d-----w C:\Archivos de programa\DNA
2008-08-29 16:52 --------- d-----w C:\Archivos de programa\a-squared Free
2008-08-28 22:51 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-08-26 19:14 --------- d-----w C:\Documents and Settings\mire\Datos de programa\AdobeUM
2008-08-26 19:13 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-08-26 16:17 --------- d-----w C:\Archivos de programa\Java
2008-08-24 15:50 --------- d-----w C:\Archivos de programa\Spybot - Search & Destroy
2008-08-24 14:56 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-17 19:57 102,664 ----a-w C:\WINDOWS\system32\drivers\tmcomm.sys
2008-08-02 10:40 --------- d-----w C:\Archivos de programa\DivX
2008-07-30 08:16 --------- d-----w C:\Archivos de programa\TomTom HOME
2008-07-16 17:25 --------- d-----w C:\Archivos de programa\World of Warcraft
2008-07-06 22:07 --------- d-----w C:\Archivos de programa\FinePixViewer
2005-09-14 09:58 20,480 ----a-w C:\Archivos de programa\Archivos comunes\UninstallDrv.exe
1999-04-23 09:57 99,840 ----a-w C:\Archivos de programa\Archivos comunes\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w C:\Archivos de programa\Archivos comunes\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w C:\Archivos de programa\Archivos comunes\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w C:\Archivos de programa\Archivos comunes\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w C:\Archivos de programa\Archivos comunes\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w C:\Archivos de programa\Archivos comunes\IRASRIAL.DLL
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 21:28 68856]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-08-19 23:34 1576176]
"updateMgr"="C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"Octoshape Streaming Services"="C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [BU]
"SpybotSD TeaTimer"="C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 18:41 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShStatEXE"="C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-18 08:00 94208]
"McAfeeUpdaterUI"="C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50 139320]
"Network Associates Error Reporting Service"="C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48 147514]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"TomTomHOME.exe"="C:\Archivos de programa\TomTom HOME\TomTomHOME.exe" [2007-03-14 17:52 3770024]
"REGSHAVE"="C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE" [2002-02-04 23:32 53248]
"QuickTime Task"="C:\Archivos de programa\QuickTime\QTTask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2007-09-26 14:42 267064]
"dvd43"="C:\Archivos de programa\dvd43\dvd43_tray.exe" [2008-04-09 10:00 826880]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 05:01 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:42 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= "C:\ARCHIV~1\DVDREG~1\DVDShell.dll" [2004-10-09 16:18 49152]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgGARi]
[BU]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
[BU]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=psrdsw.dll ixnczh.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Documents and Settings^mire^Menú Inicio^Programas^Inicio^Screen Saver Control.lnk]
path=C:\Documents and Settings\mire\Menú Inicio\Programas\Inicio\Screen Saver Control.lnk
backup=C:\WINDOWS\pss\Screen Saver Control.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.10.0-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\Archivos de programa\\HP\\HP Software Update\\HPWUCli.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.10.2.5302-to-1.11.0.5428-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.11.1.5462-to-1.11.2.5464-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.11.2.5464-to-1.12.0.5595-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.12.0.5595-to-1.12.1.5875-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.12.x-to-2.0.1-enGB-patch-downloader.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Zattoo\\Zattoo2.exe"=
"C:\\Archivos de programa\\Zattoo\\zattood.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\Zattoo\\Zattoo.exe"=
"C:\\Archivos de programa\\DNA\\btdna.exe"=
"C:\\Archivos de programa\\Telefonica\\AsistCfg64\\awcbrwsr.exe"=
"C:\\Archivos de programa\\Ubisoft\\Chessmaster 10th Edition\\game.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader
"6112:TCP"= 6112:TCP:Blizzard Downloader

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24]
R3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 23:25]
S3 CEBDADTV;C&E DVB-T device;C:\WINDOWS\system32\DRIVERS\CEBDA150.sys [2006-07-05 18:57]
S3 WDM_Capture_220A;DVB-T TV Receiver;C:\WINDOWS\system32\Drivers\WDM_Capture_220A.sys [2004-09-06 22:40]
S3 WDM_Loader_220A;DVB-T TV Loader;C:\WINDOWS\system32\Drivers\WDM_Loader_220A.sys [2005-12-28 11:37]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\_exec\startx.exe
.
Contenido de carpeta 'Tareas Programadas'

2008-08-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - - ORPHANS REMOVED - - - -

BHO-{64FA5797-6319-4E92-A639-9990A5EB752C} - (no file)
BHO-{7C8DE250-6AF1-42FB-B280-7D07CDE5D693} - (no file)
BHO-{987167DA-28CD-4483-9919-43732140AFD3} - (no file)
BHO-{B7888777-C9E4-4770-A4E1-D107AA5E3D14} - (no file)
BHO-{ba7e1cf1-cbc0-44a1-bdb8-79e71609f890} - (no file)
BHO-{CB689EF1-B20D-460B-A43D-9F1A0747C6F8} - (no file)
BHO-{D6AEEADC-7733-4AA6-9CC3-2A0415F73416} - (no file)
BHO-{DD38FBCD-6DD1-49D8-9C1D-1BD077517A0C} - (no file)
BHO-{EFD2E5E8-DF6E-480C-8F85-8FFF6FA63DBC} - (no file)
HKLM-Run-645fa89a - C:\WINDOWS\system32\rlekqrox.dll
HKLM-Run-BM676c9b06 - C:\WINDOWS\system32\newbrtvg.dll
ShellExecuteHooks-{7BC6B793-BBAA-4EED-9E56-8CBFA6F5BB03} - C:\WINDOWS\system32\ssqRIbxV.dll
Notify-geBuRLBt - (no file)



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-30 19:06:39
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Archivos de programa\a-squared Free\a2service.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Hotspot Shield\bin\openvpnas.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Archivos de programa\FinePixViewer\QuickDCF.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\DTV\DVB-T USB 2.0\RC.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqste08.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe
.
**************************************************************************
.
Tiempo completado: 2008-08-30 19:10:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-30 17:10:17
ComboFix2.txt 2008-08-28 00:08:40
ComboFix3.txt 2008-08-25 21:29:43

Pre-Run: 56,115,245,056 bytes libres
Post-Run: 56,104,542,208 bytes libres

250 --- E O F --- 2008-08-24 21:39:59





Also ran HijackThis, here is the log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:28:13, on 30/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\a-squared Free\a2service.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Hotspot Shield\bin\openvpnas.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\TomTom HOME\TomTomHOME.exe
C:\Archivos de programa\QuickTime\QTTask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\dvd43\dvd43_tray.exe
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\FinePixViewer\QuickDCF.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\DTV\DVB-T USB 2.0\RC.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe
C:\Documents and Settings\mire\Mis documentos\Mis archvos\Hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64FA5797-6319-4E92-A639-9990A5EB752C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7C8DE250-6AF1-42FB-B280-7D07CDE5D693} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {987167DA-28CD-4483-9919-43732140AFD3} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {B7888777-C9E4-4770-A4E1-D107AA5E3D14} - (no file)
O2 - BHO: (no name) - {ba7e1cf1-cbc0-44a1-bdb8-79e71609f890} - (no file)
O2 - BHO: (no name) - {CB689EF1-B20D-460B-A43D-9F1A0747C6F8} - (no file)
O2 - BHO: (no name) - {D6AEEADC-7733-4AA6-9CC3-2A0415F73416} - (no file)
O2 - BHO: (no name) - {DD38FBCD-6DD1-49D8-9C1D-1BD077517A0C} - (no file)
O2 - BHO: (no name) - {EFD2E5E8-DF6E-480C-8F85-8FFF6FA63DBC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Archivos de programa\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [dvd43] C:\Archivos de programa\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [645fa89a] rundll32.exe "C:\WINDOWS\system32\ulmoirbt.dll",b
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RC.exe.lnk = C:\Archivos de programa\DTV\DVB-T USB 2.0\RC.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.18\AMVConverter\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: Yahoo! Word Racer - http://download.games.yahoo.com/games/clients/y/wt1_x.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVR Control) - http://www.devalvr.com/instalacion/plugin/devalvrplugin.php
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1149882307059
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O20 - AppInit_DLLs: psrdsw.dll ixnczh.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: geBuRLBt - C:\WINDOWS\
O20 - Winlogon Notify: iifgGARi - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Archivos de programa\a-squared Free\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - C:\Archivos de programa\Ares\chatServer.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Archivos de programa\Hotspot Shield\bin\openvpnas.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NMSAccess - Unknown owner - C:\Archivos de programa\CDBurnerXP\NMSAccess.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 11930 bytes


After all of the above I ran MBAM again, here is the latest log:

Malwarebytes' Anti-Malware 1.25
Database version: 1098
Windows 5.1.2600 Service Pack 2

19:34:23 30/08/2008
mbam-log-08-30-2008 (19-34-23).txt

Scan type: Quick Scan
Objects scanned: 48898
Time elapsed: 3 minute(s), 25 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\645fa89a (Trojan.Vundo) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


Besides a longer wait to start up windows, computer seems to be running ok after last reboot. Havent gotten any signs of the virus (besides the MBAM scan wich had an infected Registry) in an hour or so.

Let me know how the logs see and if any further steps are needed. Will also update if anything pops up.

#8 steamwiz

steamwiz

  • Members
  • 1,039 posts
  • OFFLINE
  •  
  • Local time:01:04 PM

Posted 30 August 2008 - 04:47 PM

Hi

You had the full infection back, I can only assume that a site which you think is clean is in fact running an exploit and infecting you each time you visit...

please do this :-

Open notepad and copy/paste the text in the code box below into it:
NOTE* make sure to only highlight and copy what is inside the code box nothing out side of it.
Also ..

Pay particular attention to this :-

Make sure the word File:: is on the first line of the text file you save (no blank line above it, & no space in front of it)
File::
C:\WINDOWS\system32\ulmoirbt.dll

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgGARi]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBuRLBt]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{64FA5797-6319-4E92-A639-9990A5EB752C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7C8DE250-6AF1-42FB-B280-7D07CDE5D693}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{987167DA-28CD-4483-9919-43732140AFD3}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B7888777-C9E4-4770-A4E1-D107AA5E3D14}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba7e1cf1-cbc0-44a1-bdb8-79e71609f890}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CB689EF1-B20D-460B-A43D-9F1A0747C6F8}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D6AEEADC-7733-4AA6-9CC3-2A0415F73416}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DD38FBCD-6DD1-49D8-9C1D-1BD077517A0C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EFD2E5E8-DF6E-480C-8F85-8FFF6FA63DBC}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""


Save this as "CFScript.txt"

Then drag the CFScript.txt into ComboFix.exe as you see in the screenshot below.
Posted Image

This will start ComboFix again. After reboot, (in case it asks to reboot), post the contents of Combofix.txt in your next reply together with a new HijackThis log.

steam
MICROSOFT MVP - Windows Security 2004/9
member of ASAP since 2004
member of U.N.I.T.E

If I have helped you, please consider a small donation to help me continue my online fight in the war against malware Posted Image

#9 cochon

cochon
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Spain
  • Local time:02:04 PM

Posted 30 August 2008 - 05:42 PM

Hello again Steam,

before reading your post I ran SAS, it found the following and deleted it:

Core Rules Database Version : 3552
Trace Rules Database Version: 1540

Scan type : Complete Scan
Total Scan Time : 00:33:48

Memory items scanned : 507
Memory threats detected : 0
Registry items scanned : 5941
Registry threats detected : 0
File items scanned : 21779
File threats detected : 16

Adware.Tracking Cookie
C:\Documents and Settings\mire\Cookies\mire@wmvmedialease[1].txt

Trojan.Downloader-CREW
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003273.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003275.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003276.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003279.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003280.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003281.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003282.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003283.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003284.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003286.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003287.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003288.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003289.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003290.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{41FCB365-33B5-4B4A-828C-58B187F40811}\RP15\A0003291.DLL





Ran the CFScript.txt with ComboFix and got the following log:

ComboFix 08-08-29.02 - mire 2008-08-31 0:21:16.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.695 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\mire\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\mire\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

FILE ::
C:\WINDOWS\system32\ulmoirbt.dll
.

(((((((((((((((((( Archivos creados desde 2008-07-28 - 2008-08-30 )))))))))))))))))))))))))))))))))
.

2009-08-19 22:41 . 2009-08-19 22:41 <DIR> d-------- C:\Archivos de programa\Hotspot Shield
2009-08-19 20:11 . 2009-08-19 20:11 0 --a------ C:\WINDOWS\nsreg.dat
2009-08-18 19:06 . 2009-08-18 19:06 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\vsosdk
2009-08-18 18:43 . 2009-08-18 18:43 <DIR> d-------- C:\Archivos de programa\dvd43
2009-08-18 18:43 . 2009-08-18 18:43 18,816 --a------ C:\WINDOWS\system32\drivers\dvd43llh.sys
2009-08-18 18:41 . 2009-08-18 19:59 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\1Click DVD Copy
2009-08-18 18:40 . 2009-08-18 18:40 <DIR> d-------- C:\Archivos de programa\LG Software Innovations
2009-08-18 18:30 . 1998-06-26 00:00 644,400 --a------ C:\WINDOWS\system32\mscomct2.ocx
2009-08-18 18:16 . 2009-08-18 18:16 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\dvdcss
2009-08-18 18:16 . 2009-08-18 18:24 <DIR> d-------- C:\Archivos de programa\123 DVD Clone
2009-08-18 18:02 . 2009-08-18 18:02 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Elaborate Bytes
2009-08-18 17:55 . 2009-08-18 18:02 48 --ahs---- C:\WINDOWS\SEEAEF3F3.tmp
2009-08-18 17:52 . 2009-08-18 18:08 <DIR> d-------- C:\Archivos de programa\Elaborate Bytes
2009-08-18 00:14 . 2009-08-18 00:14 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Malwarebytes
2009-08-18 00:13 . 2009-08-18 00:13 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2009-08-18 00:13 . 2009-08-18 00:14 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2009-08-18 00:13 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2009-08-18 00:13 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-29 00:22 . 2008-08-29 00:22 <DIR> d--h----- C:\WINDOWS\PIF
2008-08-28 02:08 . 2008-08-30 19:10 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuraci¾n local
2008-08-28 02:08 . 2008-08-30 19:10 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuraci¾n local
2008-08-28 02:08 . 2008-08-30 19:10 <DIR> d-------- C:\Documents and Settings\Mirey\Configuraci¾n local
2008-08-28 02:08 . 2008-08-30 19:10 <DIR> d-------- C:\Documents and Settings\mire\Configuraci¾n local
2008-08-28 02:08 . 2008-08-30 19:10 <DIR> d-------- C:\Documents and Settings\Luis y Mickey\Configuraci¾n local
2008-08-28 02:08 . 2008-08-30 19:10 <DIR> d-------- C:\Documents and Settings\LocalService\Configuraci¾n local
2008-08-26 22:28 . 2008-08-26 23:06 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-08-26 17:52 . 2008-08-26 17:52 <DIR> d-------- C:\fsaua.data
2008-08-25 22:53 . 2008-08-25 22:53 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-25 22:05 . 2008-08-25 22:05 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-08-25 22:05 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-08-24 16:57 . 2008-08-24 16:57 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-08-24 16:56 . 2008-08-24 16:56 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\SUPERAntiSpyware.com
2008-08-24 16:56 . 2008-08-24 16:56 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-08-20 19:43 . 2008-08-20 19:43 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Move Networks
2008-08-17 23:16 . 2008-08-17 23:16 <DIR> d-------- C:\Archivos de programa\Yahoo!
2008-08-17 23:15 . 2008-08-17 23:16 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-08-17 22:43 . 2008-08-17 22:37 37,010,164 --a------ C:\temp\dat-5362.zip
2008-08-17 12:41 . 2007-08-25 18:16 215 --a------ C:\WINDOWS\system32\Monitored2.dat
2008-08-17 12:39 . 2009-08-18 18:41 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Vso
2008-08-17 12:39 . 2009-08-18 18:41 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-08-17 12:39 . 2009-08-18 18:41 47,360 --a------ C:\Documents and Settings\mire\Datos de programa\pcouffin.sys
2008-08-13 19:44 . 2008-05-01 16:31 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-02 12:33 . 2008-08-02 12:33 <DIR> d-------- C:\temp\Pirates!
2008-08-02 12:33 . 2008-08-17 22:43 <DIR> d-------- C:\temp
2008-07-22 11:27 . 2008-07-22 11:27 <DIR> d-------- C:\Documents and Settings\Luis y Mickey\Datos de programa\MSN6
2008-07-18 20:39 . 2008-07-18 20:39 587,264 --a------ C:\WINDOWS\WLXPGSS.SCR
2008-07-14 22:00 . 2008-07-14 22:00 <DIR> d-------- C:\Documents and Settings\Luis y Mickey\Contacts
2008-07-07 22:31 . 2008-07-07 22:31 253,952 -----c--- C:\WINDOWS\system32\dllcache\es.dll
2008-07-03 16:02 . 2008-07-03 16:02 <DIR> d-------- C:\Documents and Settings\Mirey\Contacts

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-18 16:19 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-08-30 21:15 --------- d-----w C:\Archivos de programa\World of Warcraft
2008-08-30 17:03 --------- d-----w C:\Documents and Settings\mire\Datos de programa\DNA
2008-08-30 16:49 --------- d-----w C:\Archivos de programa\DNA
2008-08-29 16:52 --------- d-----w C:\Archivos de programa\a-squared Free
2008-08-28 22:51 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-08-26 19:14 --------- d-----w C:\Documents and Settings\mire\Datos de programa\AdobeUM
2008-08-26 19:13 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-08-26 16:17 --------- d-----w C:\Archivos de programa\Java
2008-08-24 15:50 --------- d-----w C:\Archivos de programa\Spybot - Search & Destroy
2008-08-24 14:56 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-17 19:57 102,664 ----a-w C:\WINDOWS\system32\drivers\tmcomm.sys
2008-08-02 10:40 --------- d-----w C:\Archivos de programa\DivX
2008-07-30 08:16 --------- d-----w C:\Archivos de programa\TomTom HOME
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-06 22:07 --------- d-----w C:\Archivos de programa\FinePixViewer
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 248,320 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-18 17:52 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-06-11 00:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2005-09-14 09:58 20,480 ----a-w C:\Archivos de programa\Archivos comunes\UninstallDrv.exe
1999-04-23 09:57 99,840 ----a-w C:\Archivos de programa\Archivos comunes\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w C:\Archivos de programa\Archivos comunes\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w C:\Archivos de programa\Archivos comunes\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w C:\Archivos de programa\Archivos comunes\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w C:\Archivos de programa\Archivos comunes\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w C:\Archivos de programa\Archivos comunes\IRASRIAL.DLL
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 21:28 68856]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-08-19 23:34 1576176]
"updateMgr"="C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"Octoshape Streaming Services"="C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2008-05-22 15:59 156944]
"SpybotSD TeaTimer"="C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 18:41 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShStatEXE"="C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-18 08:00 94208]
"McAfeeUpdaterUI"="C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50 139320]
"Network Associates Error Reporting Service"="C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48 147514]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"TomTomHOME.exe"="C:\Archivos de programa\TomTom HOME\TomTomHOME.exe" [2007-03-14 17:52 3770024]
"REGSHAVE"="C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE" [2002-02-04 23:32 53248]
"QuickTime Task"="C:\Archivos de programa\QuickTime\QTTask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2007-09-26 14:42 267064]
"dvd43"="C:\Archivos de programa\dvd43\dvd43_tray.exe" [2008-04-09 10:00 826880]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"645fa89a"="C:\WINDOWS\system32\ulmoirbt.dll" [BU]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 05:01 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:42 15360]

C:\Documents and Settings\mire\Men£ Inicio\Programas\Inicio\
RC.exe.lnk - C:\Archivos de programa\DTV\DVB-T USB 2.0\RC.exe [2006-01-06 12:16:41 49152]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Exif Launcher.lnk - C:\Archivos de programa\FinePixViewer\QuickDCF.exe [2006-11-01 10:56:44 282624]
HP Digital Imaging Monitor.lnk - C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26 282624]
Inicio r pido de Adobe Reader.lnk - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
Inicio r pido de HP Image Zone.lnk - C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 00:49:24 73728]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE [2000-01-21 10:15:56 65588]
Puerto Symantec Fax Starter Edition.lnk - C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE [1999-04-23 11:57:16 46077]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= "C:\ARCHIV~1\DVDREG~1\DVDShell.dll" [2004-10-09 16:18 49152]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
[BU]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Documents and Settings^mire^Menú Inicio^Programas^Inicio^Screen Saver Control.lnk]
path=C:\Documents and Settings\mire\Menú Inicio\Programas\Inicio\Screen Saver Control.lnk
backup=C:\WINDOWS\pss\Screen Saver Control.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.10.0-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\Archivos de programa\\HP\\HP Software Update\\HPWUCli.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.10.2.5302-to-1.11.0.5428-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.11.1.5462-to-1.11.2.5464-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.11.2.5464-to-1.12.0.5595-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.12.0.5595-to-1.12.1.5875-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.12.x-to-2.0.1-enGB-patch-downloader.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Zattoo\\Zattoo2.exe"=
"C:\\Archivos de programa\\Zattoo\\zattood.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\Zattoo\\Zattoo.exe"=
"C:\\Archivos de programa\\DNA\\btdna.exe"=
"C:\\Archivos de programa\\Telefonica\\AsistCfg64\\awcbrwsr.exe"=
"C:\\Archivos de programa\\Ubisoft\\Chessmaster 10th Edition\\game.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader
"6112:TCP"= 6112:TCP:Blizzard Downloader

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24]
R3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 23:25]
S3 CEBDADTV;C&E DVB-T device;C:\WINDOWS\system32\DRIVERS\CEBDA150.sys [2006-07-05 18:57]
S3 WDM_Capture_220A;DVB-T TV Receiver;C:\WINDOWS\system32\Drivers\WDM_Capture_220A.sys [2004-09-06 22:40]
S3 WDM_Loader_220A;DVB-T TV Loader;C:\WINDOWS\system32\Drivers\WDM_Loader_220A.sys [2005-12-28 11:37]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\_exec\startx.exe

*Newly Created Service* - CATCHME
.
Contenido de carpeta 'Tareas Programadas'

2008-08-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-31 00:22:56
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
Tiempo completado: 2008-08-31 0:23:56
ComboFix-quarantined-files.txt 2008-08-30 22:23:52
ComboFix2.txt 2008-08-30 17:10:23
ComboFix3.txt 2008-08-28 00:08:40
ComboFix4.txt 2008-08-25 21:29:43

Pre-Run: 55,963,127,808 bytes libres
Post-Run: 56,005,304,320 bytes libres

212 --- E O F --- 2008-08-24 21:39:59

There was no reboot of the machine, finally ran HijackThis and obtained:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:34:49, on 31/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\a-squared Free\a2service.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Hotspot Shield\bin\openvpnas.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\QuickTime\QTTask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\mire\Mis documentos\Mis archvos\Hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64FA5797-6319-4E92-A639-9990A5EB752C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7C8DE250-6AF1-42FB-B280-7D07CDE5D693} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {987167DA-28CD-4483-9919-43732140AFD3} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {B7888777-C9E4-4770-A4E1-D107AA5E3D14} - (no file)
O2 - BHO: (no name) - {ba7e1cf1-cbc0-44a1-bdb8-79e71609f890} - (no file)
O2 - BHO: (no name) - {CB689EF1-B20D-460B-A43D-9F1A0747C6F8} - (no file)
O2 - BHO: (no name) - {D6AEEADC-7733-4AA6-9CC3-2A0415F73416} - (no file)
O2 - BHO: (no name) - {DD38FBCD-6DD1-49D8-9C1D-1BD077517A0C} - (no file)
O2 - BHO: (no name) - {EFD2E5E8-DF6E-480C-8F85-8FFF6FA63DBC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Archivos de programa\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [dvd43] C:\Archivos de programa\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [645fa89a] rundll32.exe "C:\WINDOWS\system32\ulmoirbt.dll",b
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RC.exe.lnk = C:\Archivos de programa\DTV\DVB-T USB 2.0\RC.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.18\AMVConverter\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: Yahoo! Word Racer - http://download.games.yahoo.com/games/clients/y/wt1_x.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVR Control) - http://www.devalvr.com/instalacion/plugin/devalvrplugin.php
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1149882307059
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: geBuRLBt - C:\WINDOWS\
O20 - Winlogon Notify: iifgGARi - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Archivos de programa\a-squared Free\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - C:\Archivos de programa\Ares\chatServer.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Archivos de programa\Hotspot Shield\bin\openvpnas.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NMSAccess - Unknown owner - C:\Archivos de programa\CDBurnerXP\NMSAccess.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 11502 bytes


Currently I have not gotten any pop ups, nor registry change warnings from SpyBot. I have not visited anysite of of the usual sites I visit in the last years, besides the Hijackthis forums (wich I was not a regular until now :cP)

Let me know what you think,

#10 steamwiz

steamwiz

  • Members
  • 1,039 posts
  • OFFLINE
  •  
  • Local time:01:04 PM

Posted 31 August 2008 - 03:56 PM

Hi

All superantispyware found was a cookie & an infected restore point (which we would have cleaned in our final post) :thumbsup:

Your logs are basically clean now :)

There are a number of registry keys/values shown in hijackthis which we have tried to remove, but they are still there ...

there are NO files associated with them now, so they are effectively DEAD(empty) keys and will cause you NO problems...

One of your protective programs is probably stopping them being deleted, maybe Spybot's teatimer or Superantispyware...

teatimer...

1. Run Spybot-S&D in Advanced Mode.
2. If it is not already set to do this Go to the Mode menu select "Advanced Mode"
3. On the left hand side, Click on Tools
4. Then click on the Resident Icon in the List
5. Uncheck "Resident TeaTimer" and OK any prompts.
6. Restart your computer.

Superantispyware... (if you have the professional (paid) version)

1. right click the icon in the systray
2. click "view control center"
3. click the "real-time protection" tab
4. uncheck the box "enable real-time protection"
5. Restart your computer.

THEN ...

Disconnect from the internet Close ALL browser windows (including this one) - run hijackthis and tick to fix (check the box next to) the list below.........when all are ticked (checked) click the Fix Checked button at the bottom. :-

O2 - BHO: (no name) - {64FA5797-6319-4E92-A639-9990A5EB752C} - (no file)
O2 - BHO: (no name) - {7C8DE250-6AF1-42FB-B280-7D07CDE5D693} - (no file)
O2 - BHO: (no name) - {987167DA-28CD-4483-9919-43732140AFD3} - (no file)
O2 - BHO: (no name) - {B7888777-C9E4-4770-A4E1-D107AA5E3D14} - (no file)
O2 - BHO: (no name) - {ba7e1cf1-cbc0-44a1-bdb8-79e71609f890} - (no file)
O2 - BHO: (no name) - {CB689EF1-B20D-460B-A43D-9F1A0747C6F8} - (no file)
O2 - BHO: (no name) - {D6AEEADC-7733-4AA6-9CC3-2A0415F73416} - (no file)
O2 - BHO: (no name) - {DD38FBCD-6DD1-49D8-9C1D-1BD077517A0C} - (no file)
O2 - BHO: (no name) - {EFD2E5E8-DF6E-480C-8F85-8FFF6FA63DBC} - (no file)

O4 - HKLM\..\Run: [645fa89a] rundll32.exe "C:\WINDOWS\system32\ulmoirbt.dll",b

O20 - Winlogon Notify: geBuRLBt - C:\WINDOWS\
O20 - Winlogon Notify: iifgGARi - C:\WINDOWS\


Restart your computer.

Run hijackthis again & see if those entries are still there ?

Re-enable "real-time protection" with teatimer\Superantispyware

steam
MICROSOFT MVP - Windows Security 2004/9
member of ASAP since 2004
member of U.N.I.T.E

If I have helped you, please consider a small donation to help me continue my online fight in the war against malware Posted Image

#11 cochon

cochon
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Spain
  • Local time:02:04 PM

Posted 31 August 2008 - 04:22 PM

Good evening Steam,

did the steps you mentioned, only the following entry remained:

O4 - HKLM\..\Run: [645fa89a] rundll32.exe "C:\WINDOWS\system32\ulmoirbt.dll",b

Besides that one, the rest were deleted.

Please let me know if there are any more steps needed to follow.

Cheers

#12 steamwiz

steamwiz

  • Members
  • 1,039 posts
  • OFFLINE
  •  
  • Local time:01:04 PM

Posted 31 August 2008 - 04:51 PM

Hi Cochon

How's the weather in my favourite holiday country ? (though I haven't had a holiday for 10 years)

RE: hijackthis ...

that's a surprise ... I expected ALL of them to go, or NONE of them ...

The one which is left, I asked Combofix to delete the file, & Combofix didn't find it (it wasn't there) ... so that run key should have been the easiest of those entries to delete ...

Let's try Combofix again & this time treat it as though it is rootkit hidden...

Open notepad and copy/paste the text in the code box below into it:
NOTE* make sure to only highlight and copy what is inside the code box nothing out side of it.
Also ..

Pay particular attention to this :-

Make sure the word Rootkit:: is on the first line of the text file you save (no blank line above it, & no space in front of it)
Rootkit::
C:\WINDOWS\system32\ulmoirbt.dll

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"645fa89a"=-


Save this as "CFScript.txt"

Then drag the CFScript.txt into ComboFix.exe as you see in the screenshot below.
Posted Image

This will start ComboFix again. After reboot, (in case it asks to reboot), post the contents of Combofix.txt in your next reply together with a new HijackThis log.

steam
MICROSOFT MVP - Windows Security 2004/9
member of ASAP since 2004
member of U.N.I.T.E

If I have helped you, please consider a small donation to help me continue my online fight in the war against malware Posted Image

#13 cochon

cochon
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Spain
  • Local time:02:04 PM

Posted 01 September 2008 - 12:01 PM

Hello Steam,

weather is really good this time of the year, with an occasional rainy/cloudy day, but besides that, excellent either for a day in the beach or an afternoon in the mountains.

I ran ComboFix with the script you gave, here is the log

ComboFix 08-08-31.01 - mire 2008-09-01 18:41:27.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.573 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\mire\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\mire\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración
.

(((((((((((((((((( Archivos creados desde 2008-08-01 - 2008-09-01 )))))))))))))))))))))))))))))))))
.

2009-08-19 22:41 . 2009-08-19 22:41 <DIR> d-------- C:\Archivos de programa\Hotspot Shield
2009-08-19 20:11 . 2009-08-19 20:11 0 --a------ C:\WINDOWS\nsreg.dat
2009-08-18 19:06 . 2009-08-18 19:06 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\vsosdk
2009-08-18 18:43 . 2009-08-18 18:43 <DIR> d-------- C:\Archivos de programa\dvd43
2009-08-18 18:43 . 2009-08-18 18:43 18,816 --a------ C:\WINDOWS\system32\drivers\dvd43llh.sys
2009-08-18 18:41 . 2009-08-18 19:59 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\1Click DVD Copy
2009-08-18 18:40 . 2009-08-18 18:40 <DIR> d-------- C:\Archivos de programa\LG Software Innovations
2009-08-18 18:30 . 1998-06-26 00:00 644,400 --a------ C:\WINDOWS\system32\mscomct2.ocx
2009-08-18 18:16 . 2009-08-18 18:16 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\dvdcss
2009-08-18 18:16 . 2009-08-18 18:24 <DIR> d-------- C:\Archivos de programa\123 DVD Clone
2009-08-18 18:02 . 2009-08-18 18:02 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Elaborate Bytes
2009-08-18 17:55 . 2009-08-18 18:02 48 --ahs---- C:\WINDOWS\SEEAEF3F3.tmp
2009-08-18 17:52 . 2009-08-18 18:08 <DIR> d-------- C:\Archivos de programa\Elaborate Bytes
2009-08-18 00:14 . 2009-08-18 00:14 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Malwarebytes
2009-08-18 00:13 . 2009-08-18 00:13 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2009-08-18 00:13 . 2009-08-18 00:14 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2009-08-18 00:13 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2009-08-18 00:13 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-29 00:22 . 2008-08-29 00:22 <DIR> d--h----- C:\WINDOWS\PIF
2008-08-28 02:08 . 2008-08-30 19:10 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuración local
2008-08-28 02:08 . 2008-08-30 19:10 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-08-28 02:08 . 2008-08-30 19:10 <DIR> d-------- C:\Documents and Settings\Mirey\Configuración local
2008-08-28 02:08 . 2008-08-30 19:10 <DIR> d-------- C:\Documents and Settings\mire\Configuración local
2008-08-28 02:08 . 2008-08-30 19:10 <DIR> d-------- C:\Documents and Settings\Luis y Mickey\Configuración local
2008-08-28 02:08 . 2008-08-30 19:10 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-08-26 22:28 . 2008-08-26 23:06 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-08-26 17:52 . 2008-08-26 17:52 <DIR> d-------- C:\fsaua.data
2008-08-25 22:53 . 2008-08-25 22:53 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-25 22:05 . 2008-08-25 22:05 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-08-25 22:05 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-08-24 16:57 . 2008-08-24 16:57 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-08-24 16:56 . 2008-08-24 16:56 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\SUPERAntiSpyware.com
2008-08-24 16:56 . 2008-08-24 16:56 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-08-20 19:43 . 2008-08-20 19:43 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Move Networks
2008-08-17 23:16 . 2008-08-17 23:16 <DIR> d-------- C:\Archivos de programa\Yahoo!
2008-08-17 23:15 . 2008-08-17 23:16 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-08-17 22:43 . 2008-08-17 22:37 37,010,164 --a------ C:\temp\dat-5362.zip
2008-08-17 12:41 . 2007-08-25 18:16 215 --a------ C:\WINDOWS\system32\Monitored2.dat
2008-08-17 12:39 . 2009-08-18 18:41 <DIR> d-------- C:\Documents and Settings\mire\Datos de programa\Vso
2008-08-17 12:39 . 2009-08-18 18:41 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-08-17 12:39 . 2009-08-18 18:41 47,360 --a------ C:\Documents and Settings\mire\Datos de programa\pcouffin.sys
2008-08-13 19:44 . 2008-05-01 16:31 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-02 12:33 . 2008-08-02 12:33 <DIR> d-------- C:\temp\Pirates!
2008-08-02 12:33 . 2008-08-17 22:43 <DIR> d-------- C:\temp

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-18 16:19 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-08-31 09:16 --------- d-----w C:\Archivos de programa\a-squared Free
2008-08-30 21:15 --------- d-----w C:\Archivos de programa\World of Warcraft
2008-08-30 17:03 --------- d-----w C:\Documents and Settings\mire\Datos de programa\DNA
2008-08-30 16:49 --------- d-----w C:\Archivos de programa\DNA
2008-08-28 22:51 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-08-26 19:14 --------- d-----w C:\Documents and Settings\mire\Datos de programa\AdobeUM
2008-08-26 19:13 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-08-26 16:17 --------- d-----w C:\Archivos de programa\Java
2008-08-24 15:50 --------- d-----w C:\Archivos de programa\Spybot - Search & Destroy
2008-08-24 14:56 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-17 19:57 102,664 ----a-w C:\WINDOWS\system32\drivers\tmcomm.sys
2008-08-02 10:40 --------- d-----w C:\Archivos de programa\DivX
2008-07-30 08:16 --------- d-----w C:\Archivos de programa\TomTom HOME
2008-07-22 09:27 --------- d-----w C:\Documents and Settings\Luis y Mickey\Datos de programa\MSN6
2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR
2008-07-06 22:07 --------- d-----w C:\Archivos de programa\FinePixViewer
2005-09-14 09:58 20,480 ----a-w C:\Archivos de programa\Archivos comunes\UninstallDrv.exe
1999-04-23 09:57 99,840 ----a-w C:\Archivos de programa\Archivos comunes\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w C:\Archivos de programa\Archivos comunes\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w C:\Archivos de programa\Archivos comunes\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w C:\Archivos de programa\Archivos comunes\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w C:\Archivos de programa\Archivos comunes\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w C:\Archivos de programa\Archivos comunes\IRASRIAL.DLL
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 21:28 68856]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-08-19 23:34 1576176]
"updateMgr"="C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"Octoshape Streaming Services"="C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShStatEXE"="C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-18 08:00 94208]
"McAfeeUpdaterUI"="C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50 139320]
"Network Associates Error Reporting Service"="C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48 147514]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"TomTomHOME.exe"="C:\Archivos de programa\TomTom HOME\TomTomHOME.exe" [2007-03-14 17:52 3770024]
"REGSHAVE"="C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE" [2002-02-04 23:32 53248]
"QuickTime Task"="C:\Archivos de programa\QuickTime\QTTask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2007-09-26 14:42 267064]
"dvd43"="C:\Archivos de programa\dvd43\dvd43_tray.exe" [2008-04-09 10:00 826880]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 05:01 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:42 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= "C:\ARCHIV~1\DVDREG~1\DVDShell.dll" [2004-10-09 16:18 49152]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
[BU]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Documents and Settings^mire^Menú Inicio^Programas^Inicio^Screen Saver Control.lnk]
path=C:\Documents and Settings\mire\Menú Inicio\Programas\Inicio\Screen Saver Control.lnk
backup=C:\WINDOWS\pss\Screen Saver Control.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.10.0-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\Archivos de programa\\HP\\HP Software Update\\HPWUCli.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.10.2.5302-to-1.11.0.5428-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.11.1.5462-to-1.11.2.5464-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.11.2.5464-to-1.12.0.5595-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.12.0.5595-to-1.12.1.5875-enGB-downloader.exe"=
"C:\\Archivos de programa\\World of Warcraft\\WoW-1.12.x-to-2.0.1-enGB-patch-downloader.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Zattoo\\Zattoo2.exe"=
"C:\\Archivos de programa\\Zattoo\\zattood.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\Zattoo\\Zattoo.exe"=
"C:\\Archivos de programa\\DNA\\btdna.exe"=
"C:\\Archivos de programa\\Telefonica\\AsistCfg64\\awcbrwsr.exe"=
"C:\\Archivos de programa\\Ubisoft\\Chessmaster 10th Edition\\game.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader
"6112:TCP"= 6112:TCP:Blizzard Downloader

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24]
R3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 23:25]
S3 CEBDADTV;C&E DVB-T device;C:\WINDOWS\system32\DRIVERS\CEBDA150.sys [2006-07-05 18:57]
S3 WDM_Capture_220A;DVB-T TV Receiver;C:\WINDOWS\system32\Drivers\WDM_Capture_220A.sys [2004-09-06 22:40]
S3 WDM_Loader_220A;DVB-T TV Loader;C:\WINDOWS\system32\Drivers\WDM_Loader_220A.sys [2005-12-28 11:37]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\_exec\startx.exe

*Newly Created Service* - ENTDRV51
.
Contenido de carpeta 'Tareas Programadas'
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-01 18:45:52
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Archivos de programa\a-squared Free\a2service.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Hotspot Shield\bin\openvpnas.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\FinePixViewer\QuickDCF.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\DTV\DVB-T USB 2.0\RC.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Tiempo completado: 2008-09-01 18:49:16 - machine was rebooted [mire]
ComboFix-quarantined-files.txt 2008-09-01 16:49:12
ComboFix2.txt 2008-08-30 22:23:57
ComboFix3.txt 2008-08-30 17:10:23
ComboFix4.txt 2008-08-28 00:08:40
ComboFix5.txt 2008-09-01 16:37:34

Pre-Run: 56,004,874,240 bytes libres
Post-Run: 55,992,684,544 bytes libres

206 --- E O F --- 2008-08-24 21:39:59






And finally ran HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:51:28, on 01/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\a-squared Free\a2service.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Hotspot Shield\bin\openvpnas.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\TomTom HOME\TomTomHOME.exe
C:\Archivos de programa\QuickTime\QTTask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\dvd43\dvd43_tray.exe
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
C:\Archivos de programa\FinePixViewer\QuickDCF.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\DTV\DVB-T USB 2.0\RC.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\mire\Mis documentos\Mis archvos\Hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Archivos de programa\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [dvd43] C:\Archivos de programa\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [645fa89a] rundll32.exe "C:\WINDOWS\system32\ulmoirbt.dll",b
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Documents and Settings\mire\Configuración local\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RC.exe.lnk = C:\Archivos de programa\DTV\DVB-T USB 2.0\RC.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.18\AMVConverter\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: Yahoo! Word Racer - http://download.games.yahoo.com/games/clients/y/wt1_x.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVR Control) - http://www.devalvr.com/instalacion/plugin/devalvrplugin.php
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1149882307059
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Archivos de programa\a-squared Free\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - C:\Archivos de programa\Ares\chatServer.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Archivos de programa\Hotspot Shield\bin\openvpnas.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NMSAccess - Unknown owner - C:\Archivos de programa\CDBurnerXP\NMSAccess.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 11079 bytes

The run key is still there, bugger just won't go away :c) As long as that .dll is dead...

Let me know what you think and of any next steps to take

#14 steamwiz

steamwiz

  • Members
  • 1,039 posts
  • OFFLINE
  •  
  • Local time:01:04 PM

Posted 01 September 2008 - 12:24 PM

HI

Combofix says the file is not there ... & doesn't see the run key either ...

From the combofix log :-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShStatEXE"="C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-18 08:00 94208]
"McAfeeUpdaterUI"="C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50 139320]
"Network Associates Error Reporting Service"="C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48 147514]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"TomTomHOME.exe"="C:\Archivos de programa\TomTom HOME\TomTomHOME.exe" [2007-03-14 17:52 3770024]
"REGSHAVE"="C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE" [2002-02-04 23:32 53248]
"QuickTime Task"="C:\Archivos de programa\QuickTime\QTTask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2007-09-26 14:42 267064]
"dvd43"="C:\Archivos de programa\dvd43\dvd43_tray.exe" [2008-04-09 10:00 826880]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 05:01 77824 C:\WINDOWS\SOUNDMAN.EXE]

It should be in there, but isn't ...

Please run this batch file for me, let's see what regedit says ...

Open a new notepad & copy the text from the code box into it

regedit /e runlist.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

Save in "desktop"

Save as type: all files

File name runlist.bat

Doubleclick the runlist.bat on your desktop & a file named runlist.txt will be created on your desktop...

please post the contents of the runlist.txt

steam
MICROSOFT MVP - Windows Security 2004/9
member of ASAP since 2004
member of U.N.I.T.E

If I have helped you, please consider a small donation to help me continue my online fight in the war against malware Posted Image

#15 cochon

cochon
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Spain
  • Local time:02:04 PM

Posted 01 September 2008 - 12:38 PM

Yep it's there:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE"
"ShStatEXE"="\"C:\\Archivos de programa\\Network Associates\\VirusScan\\SHSTAT.EXE\" /STANDALONE"
"McAfeeUpdaterUI"="\"C:\\Archivos de programa\\Network Associates\\Common Framework\\UpdaterUI.exe\" /StartedFromRunKey"
"Network Associates Error Reporting Service"="\"C:\\Archivos de programa\\Archivos comunes\\Network Associates\\TalkBack\\TBMon.exe\""
"HP Software Update"="C:\\Archivos de programa\\HP\\HP Software Update\\HPWuSchd2.exe"
"TomTomHOME.exe"="\"C:\\Archivos de programa\\TomTom HOME\\TomTomHOME.exe\" -s"
"REGSHAVE"="C:\\Archivos de programa\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"
"QuickTime Task"="\"C:\\Archivos de programa\\QuickTime\\QTTask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Archivos de programa\\iTunes\\iTunesHelper.exe\""
"dvd43"="C:\\Archivos de programa\\dvd43\\dvd43_tray.exe"
"SunJavaUpdateSched"="\"C:\\Archivos de programa\\Java\\jre1.6.0_07\\bin\\jusched.exe\""
"MSConfig"="C:\\WINDOWS\\pchealth\\helpctr\\Binaries\\MSCONFIG.EXE /auto"
"645fa89a"="rundll32.exe \"C:\\WINDOWS\\system32\\ulmoirbt.dll\",b"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users