Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Vundo.JE


  • This topic is locked This topic is locked
43 replies to this topic

#1 Starseller

Starseller

  • Members
  • 28 posts
  • OFFLINE
  •  
  • Local time:05:12 PM

Posted 23 December 2009 - 10:39 AM

Hello people, well i have a big big problem.

Last week, i've got infected by Vundo.JE and AVG was able to delete some files of it, but now i doubt it deleted everything. since when i boot computer, i have to kill CasPol.exe manually. I run a scan manually to see that MOM.exe (ATI core files) are binded with the virus, so i kill this process too (and idk if its good or not but w/e) I get redirected all the time to websites or popup to random websites.

Today when i booted the computer " Abundante " random thing popped in my taskbar some "Arcade" program, atleast teatimer blocked it.

now i'm very affraid that my computer will degenerate if i dont remove this.

I dont have a Hijackthis log since i never used this program.. so if needed help me through the way of deleting this..


Thank you very very much!

Luxury Link, or QuitSmokingSolution, or MyChurchLife.org get popped all the time.
And i have downloaded the addon NoScript for firefox and this adress IP is wanting an access 72.164.232.138 and looked at google seems like a spambot adress.

I use Windows XP Media Center Edition SP2.


Oh and another edit;

I downloaded vundofix, which not found anything, and tried combofix, and got a Windows XP not compatible, and launching it got me a bunch load of infections.

Alright so I cannot boot into Safe mode, everything load in the text area (bottom of the screen) but get rebooted immediatly.

This is my log for MBAM

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3415
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

2009-12-23 11:55:53
mbam-log-2009-12-23 (11-55-48).txt

Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 219875
Temps écoulé: 45 minute(s), 17 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerAppCertDllsappsecdll (Spyware.Passwords) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWBEMuid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWBEMupdatenew (Malware.Trace) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:System Volume Information_restore{910F533A-C18B-44B2-8A12-7D1FC12380E1}RP1A0000033.exe (Trojan.Dropper) -> No action taken.

Sorry french.

Did the TFC step tho.

Cannot launch IE at all, "urlmon" error pop out of it.

My pseudo hijackthis log;

DDS (Ver_09-12-01.01) - NTFSx86  
Run by Star at 18:15:53,01 on 2009-12-23
Internet Explorer: 6.0.2900.2180 BrowserJavaVersion: 1.6.0_17
Microsoft Windows XP Professionnel  5.1.2600.2.1252.2.1036.18.3063.2058 [GMT -5:00]

AV: AVG Internet Security *On-access scanning enabled* (Updated)   {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: AVG Firewall *enabled*   {8decf618-9569-4340-b34a-d78d28969b66}

============== Running Processes ===============

C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost -k DcomLaunch
svchost.exe
C:WINDOWSSystem32svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:WINDOWSsystem32Ati2evxx.exe
C:Program FilesAVGAVG9avgchsvx.exe
C:Program FilesAVGAVG9avgrsx.exe
C:Program FilesAVGAVG9avgcsrvx.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAVGAVG9Identity ProtectionAgentBinAVGIDSAgent.exe
svchost.exe
C:WINDOWSSystem32svchost.exe -k Akamai
C:Program FilesFichiers communsAppleMobile Device SupportbinAppleMobileDeviceService.exe
C:Program FilesASUSAsSysCtrlService1.00.02AsSysCtrlService.exe
C:Program FilesAVGAVG9avgwdsvc.exe
C:Program FilesAVGAVG9avgfws9.exe
C:Program FilesBonjourmDNSResponder.exe
C:ASUS.SYSconfigDVMExportService.exe
C:Program FilesAVGAVG9avgam.exe
C:WINDOWSeHomeehRecvr.exe
C:Program FilesAVGAVG9avgnsx.exe
C:WINDOWSeHomeehSched.exe
C:Program FilesJavajre6binjqs.exe
C:WINDOWSsystem32PnkBstrA.exe
C:WINDOWSsystem32spupdsvc.exe
C:WINDOWSsystem32svchost.exe -k imgsvc
C:Program FilesAVGAVG9avgcsrvx.exe
C:Program FilesAVGAVG9avgemc.exe
C:Program FilesAVGAVG9avgcsrvx.exe
C:WINDOWSehomemedctrro.exe
C:WINDOWSsystem32wbemwmiapsrv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSehomeehtray.exe
C:Program FilesUSBToolboxRes.EXE
C:Program FilesASUSTurboVTurboV.exe
C:Program FilesASUSSix EngineSixEngine.exe
C:Program FilesiTunesiTunesHelper.exe
C:Program FilesPowerISOPWRISOVM.EXE
C:PROGRA~1AVGAVG9avgtray.exe
C:Program FilesJavajre6binjusched.exe
C:WINDOWSRTHDCPL.EXE
C:WINDOWSsystem32ctfmon.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesSteamSteam.exe
C:Program FilesSUPERAntiSpywareSUPERAntiSpyware.exe
C:WINDOWSeHomeehmsas.exe
C:Program FilesATI TechnologiesATI.ACECore-StaticMOM.exe
C:Program FilesAVGAVG9Identity Protectionagentbinavgidsmonitor.exe
C:Program FilesiPodbiniPodService.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:WINDOWSsystem32NOTEPAD.EXE
C:WINDOWSsystem32wuauclt.exe
C:Documents and SettingsStarMes documentsTéléchargementsMOST WANTEDdds.scr

============== Pseudo HJT Report ===============

uInternet Settings,ProxyOverride = *.local
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:program filesfichiers communsadobeacrobatactivexAcroIEHelperShim.dll
BHO: KeyScramblerBHO Class: {2b9f5787-88a5-4945-90e7-c4b18563bc5e} - c:program fileskeyscramblerKeyScramblerIE.dll
BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:program filesavgavg9avgssie.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:progra~1spybot~1SDHelper.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:program filesfichiers communsmicrosoft sharedwindows liveWindowsLiveLogin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:program filesjavajre6binjp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:program filesjavajre6libdeployjqsiejqs_plugin.dll
uRun: [ctfmon.exe] c:windowssystem32ctfmon.exe
uRun: [SpybotSD TeaTimer] c:program filesspybot - search & destroyTeaTimer.exe
uRun: [Steam] "c:program filessteamSteam.exe" -silent
uRun: [PlayNC Launcher] 
uRun: [StartGame] "c:docume~1starapplic~1GameNIR.exe"
uRun: [SUPERAntiSpyware] c:program filessuperantispywareSUPERAntiSpyware.exe
mRun: [ehTray] c:windowsehomeehtray.exe
mRun: [StartCCC] "c:program filesati technologiesati.acecore-staticCLIStart.exe" MSRun
mRun: [USB Storage Toolbox] c:program filesusbtoolboxRes.EXE
mRun: [TurboV] "c:program filesasusturbovTurboV.exe"
mRun: [Six Engine] "c:program filesasussix engineSixEngine.exe" -b
mRun: [QuickTime Task] "c:program filesquicktimeQTTask.exe" -atboottime
mRun: [iTunesHelper] "c:program filesitunesiTunesHelper.exe"
mRun: [PWRISOVM.EXE] c:program filespowerisoPWRISOVM.EXE
mRun: [Adobe Reader Speed Launcher] "c:program filesadobereader 9.0readerReader_sl.exe"
mRun: [Adobe ARM] "c:program filesfichiers communsadobearm1.0AdobeARM.exe"
mRun: [AVG9_TRAY] c:progra~1avgavg9avgtray.exe
mRun: [SunJavaUpdateSched] "c:program filesjavajre6binjusched.exe"
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [JMB36X IDE Setup] c:windowsraidtoolxInsIDE.exe
IE: {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - c:program filespokerstarsPokerStarsUpdate.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:program filesmessengermsmsgs.exe
IE: {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - {B745F984-EF2E-40D6-A9AC-D8CED7230E61} - c:program fileskeyscramblerKeyScramblerIE.dll
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:progra~1spybot~1SDHelper.dll
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1257525012203
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:program filesavgavg9avgpp.dll
Notify: !SASWinLogon - c:program filessuperantispywareSASWINLO.dll
Notify: AtiExtEvent - Ati2evxx.dll
Notify: avgrsstarter - avgrsstx.dll
SSODL: crash_report - {495FE683-6249-4A05-8D1A-8F7CD8DF5A6D} - c:windowssystem32crash_report.dll
SEH: SABShellExecuteHook Class: {5ae067d3-9afb-48e0-853a-ebb7f4a000da} - c:program filessuperantispywareSASSEH.DLL
LSA: Notification Packages = 
Hosts: 127.0.0.1	www.spywareinfo.com

================= FIREFOX ===================

FF - ProfilePath - c:docume~1starapplic~1mozillafirefoxprofiles9v0o5nd8.default
FF - component: c:documents and settingsstarapplication datamozillafirefoxprofiles9v0o5nd8.defaultextensionskeyscrambler@qfx.software.corporationcomponentsKeyScramblerIE.dll
FF - component: c:program filesavgavg9firefoxcomponentsavgssff.dll
FF - plugin: c:program filesdivxdivx plus web playernpdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:windowsmicrosoft.netframeworkv3.5windows presentation foundationdotnetassistantextension
FF - HiddenExtension: Internal security: No Registry Reference - c:program filesmozilla firefoxextensions{8CE11043-9A15-4207-A565-0C94C42D590D}
FF - HiddenExtension: Java Console: No Registry Reference - c:program filesmozilla firefoxextensions{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
c:program filesmozilla firefoxgreprefssecurity-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

============= SERVICES / DRIVERS ===============

R0 AVGIDSErHrxpx;AVG9IDSErHr;c:windowssystem32driversAVGIDSxx.sys [2009-11-17 25608]
R0 AvgRkx86;avgrkx86.sys;c:windowssystem32driversavgrkx86.sys [2009-11-17 161800]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:windowssystem32driversavgldx86.sys [2009-11-17 333192]
R1 AvgMfx86;AVG On-access Scanner Minifilter Driver x86;c:windowssystem32driversavgmfx86.sys [2009-11-17 28424]
R1 AvgTdiX;AVG Network Redirector;c:windowssystem32driversavgtdix.sys [2009-11-17 360584]
R1 SASDIFSV;SASDIFSV;c:program filessuperantispywaresasdifsv.sys [2009-12-16 9968]
R1 SASKUTIL;SASKUTIL;c:program filessuperantispywareSASKUTIL.SYS [2009-12-16 74480]
R2 Akamai;Akamai NetSession Interface;c:windowssystem32svchost.exe -k Akamai [2004-8-10 14336]
R2 AsSysCtrlService;ASUS System Control Service;c:program filesasusassysctrlservice1.00.02AsSysCtrlService.exe [2009-11-6 90112]
R2 avg9emc;AVG E-mail Scanner;c:program filesavgavg9avgemc.exe [2009-11-17 906520]
R2 avg9wd;AVG WatchDog;c:program filesavgavg9avgwdsvc.exe [2009-11-17 285392]
R2 avgfws9;AVG Firewall;c:program filesavgavg9avgfws9.exe [2009-11-17 2303680]
R2 AVGIDSAgent;AVG9IDSAgent;c:program filesavgavg9identity protectionagentbinAVGIDSAgent.exe [2009-11-17 5832712]
R2 DvmMDES;DeviceVM Meta Data Export Service;c:asus.sysconfigDVMExportService.exe [2009-2-18 294912]
R3 Avgfwdx;Avgfwdx;c:windowssystem32driversavgfwdx.sys [2009-11-17 30104]
R3 AVGIDSDriverxpx;AVG9IDSDriver;c:program filesavgavg9identity protectionagentdriverplatform_xpAVGIDSDriver.sys [2009-11-17 122376]
R3 AVGIDSFilterxpx;AVG9IDSFilter;c:program filesavgavg9identity protectionagentdriverplatform_xpAVGIDSFilter.sys [2009-11-17 30216]
R3 AVGIDSShimxpx;AVG9IDSShim;c:program filesavgavg9identity protectionagentdriverplatform_xpAVGIDSShim.sys [2009-11-17 25736]
R3 KeyScrambler;KeyScrambler;c:windowssystem32driverskeyscrambler.sys [2009-12-19 115312]
R3 SASENUM;SASENUM;c:program filessuperantispywareSASENUM.SYS [2009-12-16 7408]
S3 Ambfilt;Ambfilt;c:windowssystem32driversAmbfilt.sys [2009-11-29 1684736]
S3 Avgfwfd;AVG network filter service;c:windowssystem32driversavgfwdx.sys [2009-11-17 30104]

=============== Created Last 30 ================

2009-12-23 21:19:20	0	d-----w-	c:docume~1alluse~1applic~1SUPERAntiSpyware.com
2009-12-23 21:19:07	0	d-----w-	c:program filesSUPERAntiSpyware
2009-12-23 21:19:07	0	d-----w-	c:docume~1starapplic~1SUPERAntiSpyware.com
2009-12-23 15:34:10	0	d-----w-	c:docume~1starapplic~1Malwarebytes
2009-12-23 15:34:08	0	d-----w-	c:program filesMALWAREBYTES ANTI-MALWARE
2009-12-23 15:34:05	38224	----a-w-	c:windowssystem32driversmbamswissarmy.sys
2009-12-23 15:34:04	19160	----a-w-	c:windowssystem32driversmbam.sys
2009-12-23 15:34:04	0	d-----w-	c:program filesMalwarebytes' Anti-Malware
2009-12-23 15:34:04	0	d-----w-	c:docume~1alluse~1applic~1Malwarebytes
2009-12-23 15:01:24	0	d-----w-	c:docume~1starapplic~1Abundante
2009-12-23 14:55:09	0	d-----w-	c:docume~1starapplic~1MyGames
2009-12-23 14:55:08	22	----a-w-	c:windowssystem32crash_report.ini
2009-12-23 14:55:06	0	d-----w-	c:windowssystem32{1361570A-7A05-4FE0-B657-E2B1D167B03D}
2009-12-19 18:21:07	0	d-----w-	c:program filesfichiers communsAkamai
2009-12-19 17:58:53	115312	----a-w-	c:windowssystem32driverskeyscrambler.sys
2009-12-19 17:58:53	0	d-----w-	c:program filesKeyScrambler
2009-12-19 00:54:59	0	d-----w-	c:program filesBestGameEver
2009-12-17 04:48:18	0	d-----w-	c:program filesPokerStars
2009-12-15 16:30:26	0	d-----w-	C:VundoFix Backups
2009-12-15 03:08:21	0	d-sh--w-	c:docume~1starapplic~1SystemProc
2009-12-15 03:07:44	360320	----a-w-	c:windowssystem32driversTCPIP.SYS.ORIGINAL
2009-12-15 03:07:00	0	d-----w-	c:docume~1alluse~1applic~1c5aee30
2009-12-14 23:50:30	0	d-----w-	c:program filesEidos
2009-12-12 04:54:35	0	d-----w-	c:program filesSpeederXP
2009-12-12 04:43:47	56	----a-w-	c:windowsSpeederXP.INI
2009-12-11 23:59:12	73728	----a-w-	c:windowssystem32javacpl.cpl
2009-12-11 23:59:12	411368	----a-w-	c:windowssystem32deploytk.dll
2009-12-11 09:37:56	536576	----a-w-	c:windowssystem32crash_report.dll
2009-12-06 21:23:43	819200	----a-w-	c:windowssystem32xvidcore.dll
2009-12-06 21:23:43	77824	----a-w-	c:windowssystem32xvid.ax
2009-12-06 21:23:43	180224	----a-w-	c:windowssystem32xvidvfw.dll
2009-12-06 21:23:43	0	d-----w-	c:program filesXvid
2009-12-06 21:14:55	120056	------w-	c:windowssystem32pxcpyi64.exe
2009-12-06 21:14:55	118520	------w-	c:windowssystem32pxinsi64.exe
2009-12-06 21:14:36	0	d-----w-	c:program filesfichiers communsDivX Shared
2009-12-06 21:14:36	0	d-----w-	c:program filesDivX
2009-12-06 02:52:39	0	dc-h--w-	c:docume~1alluse~1applic~1{0D1E323F-9D1D-410B-9F3E-FBF24ECC2B05}
2009-12-06 02:52:31	0	d-----w-	c:docume~1alluse~1applic~1Native Instruments
2009-12-06 02:52:19	0	dc-h--w-	c:docume~1alluse~1applic~1{D6072FCA-C57E-4A39-92CE-3ABE6C6D694B}
2009-12-06 02:52:11	0	dc-h--w-	c:docume~1alluse~1applic~1{442B6EC3-77A0-4817-825F-67F47D7A2E54}
2009-12-06 02:52:06	0	d-----w-	c:program filesNative Instruments
2009-12-06 02:52:06	0	d-----w-	c:program filesfichiers communsNative Instruments
2009-12-02 18:50:35	215104	----a-w-	c:windowssystem32PnkBstrB.xtr
2009-12-02 06:23:25	22328	----a-w-	c:docume~1starapplic~1PnkBstrK.sys
2009-12-02 06:23:25	138576	----a-w-	c:windowssystem32driversPnkBstrK.sys
2009-12-02 06:23:06	215104	----a-w-	c:windowssystem32PnkBstrB.exe
2009-12-02 06:23:05	75064	----a-w-	c:windowssystem32PnkBstrA.exe
2009-12-02 06:23:05	674600	----a-w-	c:windowssystem32pbsvc.exe
2009-12-02 06:23:01	0	d-----w-	c:windowssystem32LogFiles
2009-12-01 04:44:47	0	d-----w-	c:program filesZonline Client
2009-11-30 04:02:35	9200	------w-	c:windowssystem32driverscdralw2k.sys
2009-11-30 04:02:35	9072	------w-	c:windowssystem32driverscdr4_xp.sys
2009-11-30 04:02:34	129520	------w-	c:windowssystem32pxafs.dll
2009-11-30 01:19:16	0	d-----w-	c:program filesmIRC2
2009-11-30 01:14:55	9804	---ha-w-	c:windowssystem32mlfcache.dat
2009-11-29 23:19:47	0	d-----w-	c:program filesMacromedia
2009-11-29 23:19:47	0	d-----w-	c:program filesfichiers communsMacromedia
2009-11-29 23:19:12	0	d-----w-	c:windowsDownloaded Installations
2009-11-29 20:36:43	940794	----a-w-	c:windowssystem32LoopyMusic.wav
2009-11-29 20:36:43	146650	----a-w-	c:windowssystem32BuzzingBee.wav
2009-11-29 20:31:43	0	d-----w-	c:windowssystem32RTCOM
2009-11-29 20:30:27	0	d-----w-	c:program filesRealtek
2009-11-29 20:29:30	540672	------r-	c:windowsRtlExUpd.dll
2009-11-27 05:35:45	61440	----a-r-	c:windowsov519dib.dll
2009-11-27 05:34:42	0	d-----w-	C:eyetoy
2009-11-27 05:15:46	31616	-c--a-w-	c:windowssystem32dllcacheusbccgp.sys
2009-11-27 05:15:46	31616	----a-w-	c:windowssystem32driversusbccgp.sys
2009-11-26 22:16:59	0	d-----w-	c:program filesSpeedFan
2009-11-26 22:16:57	45	----a-w-	c:windowssystem32initdebug.nfo
2009-11-24 01:28:04	0	d-----w-	c:program filesVentrilo
2009-11-24 01:27:58	262	----a-w-	c:windows{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini
2009-11-24 01:27:53	0	d-----w-	c:program filesfichiers communsWise Installation Wizard

==================== Find3M  ====================

2009-12-23 00:35:37	95360	----a-w-	c:windowssystem32driversatapi.sys
2009-12-10 15:02:01	80282	----a-w-	c:windowssystem32perfc00C.dat
2009-12-10 15:02:01	501264	----a-w-	c:windowssystem32perfh00C.dat
2009-11-17 07:21:02	12464	----a-w-	c:windowssystem32avgrsstx.dll
2009-11-17 07:21:01	360584	----a-w-	c:windowssystem32driversavgtdix.sys
2009-11-17 07:21:01	25608	----a-w-	c:windowssystem32driversAVGIDSxx.sys
2009-11-17 07:21:01	161800	----a-w-	c:windowssystem32driversavgrkx86.sys
2009-11-17 07:20:58	333192	----a-w-	c:windowssystem32driversavgldx86.sys
2009-11-17 07:20:26	50968	----a-w-	c:windowssystem32avgfwdx.dll
2009-11-17 07:20:26	30104	----a-w-	c:windowssystem32driversavgfwdx.sys
2009-11-14 00:47:32	90112	----a-w-	c:windowssystem32dpl100.dll
2009-11-14 00:47:28	856064	----a-w-	c:windowssystem32divx_xx0c.dll
2009-11-14 00:47:28	856064	----a-w-	c:windowssystem32divx_xx07.dll
2009-11-14 00:47:28	847872	----a-w-	c:windowssystem32divx_xx0a.dll
2009-11-14 00:47:28	843776	----a-w-	c:windowssystem32divx_xx16.dll
2009-11-14 00:47:28	839680	----a-w-	c:windowssystem32divx_xx11.dll
2009-11-14 00:47:28	696320	----a-w-	c:windowssystem32DivX.dll
2009-11-13 18:04:47	12400	----a-w-	c:windowssystem32driverssecdrv.sys
2009-11-08 06:09:03	281760	----a-w-	c:windowssystem32driversatksgt.sys
2009-11-08 06:09:02	25888	----a-w-	c:windowssystem32driverslirsgt.sys
2009-11-06 17:25:04	6216032	----a-w-	C:windowsupdateagent30-x86.exe
2009-11-06 08:09:37	21892	----a-w-	c:windowssystem32emptyregdb.dat
2009-10-29 05:20:44	672768	----a-w-	c:windowssystem32wininet.dll
2009-10-21 06:03:11	75776	----a-w-	c:windowssystem32strmfilt.dll
2009-10-21 06:03:10	25088	----a-w-	c:windowssystem32httpapi.dll
2009-10-13 10:52:18	267776	----a-w-	c:windowssystem32oakley.dll
2009-10-12 13:52:51	69632	----a-w-	c:windowssystem32raschap.dll
2009-10-12 13:52:51	113152	----a-w-	c:windowssystem32rastls.dll
2009-10-08 19:57:26	614400	----a-w-	c:windowssystem32uiautomationcore.dll
2009-10-08 19:57:26	22528	----a-w-	c:windowssystem32oleaccrc.dll
2009-10-08 19:57:00	220160	----a-w-	c:windowssystem32oleacc.dll
2009-09-25 21:35:00	593920	------w-	c:windowssystem32ati2sgag.exe
2009-09-25 05:49:51	81920	----a-w-	c:windowssystem32ieencode.dll
2006-06-24 19:48:54	32768	----a-w-	c:windowsinfUpdateUSB.exe

============= FINISH: 18:16:45,42 ===============


ROOT REPEAL

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2009/12/23 18:19
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP Media Center Edition SP2
==================================================

Drivers
-------------------
Name: giveio.sys
Image Path: giveio.sys
Address: 0xBA671000	Size: 1664	File Visible: No	Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:WINDOWSsystem32driversrootrepeal.sys
Address: 0x9B17D000	Size: 49152	File Visible: No	Signed: -
Status: -

Name: speedfan.sys
Image Path: speedfan.sys
Address: 0xBA5AE000	Size: 5248	File Visible: No	Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: c:windowstemp0c1ee5cf-c08a-47f0-848b-5da506ea1c1b.tmp
Status: Allocation size mismatch (API: 24, Raw: 0)

Path: c:windowstemp1e24043f-eeed-4b1e-80ee-d4c018ea551c.tmp
Status: Allocation size mismatch (API: 65536, Raw: 0)

Path: c:windowstemp71c28354-13f0-4b20-9190-52bed33810a2.tmp
Status: Allocation size mismatch (API: 32768, Raw: 0)

Path: C:System Volume Information_restore{910F533A-C18B-44B2-8A12-7D1FC12380E1}RP21A0010684.lnk
Status: Visible to the Windows API, but not on disk.

Path: c:documents and settingsall usersapplication dataspybot - search & destroyproccache.sbc
Status: Size mismatch (API: 15246, Raw: 15110)

Path: c:documents and settingsall usersapplication dataavg9tempf2f43de8-0833-4cf1-95ce-67bffa71c60b-764-oopp.tmp
Status: Allocation size mismatch (API: 4096, Raw: 0)

Path: C:Documents and SettingsStarApplication DataMozillaFirefoxProfiles9v0o5nd8.defaultsessionstore.js
Status: Could not get file information (Error 0xc0000008)

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurseClient.exe.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurseClient.exe.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.ClientService.Models.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.ClientService.Models.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.AddOns.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.AddOns.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.MurmurHash.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.MurmurHash.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurseClient.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurseClient.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.CurseClient.Enumerations.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.CurseClient.Enumerations.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.DownloadSecurity.Tokens.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.DownloadSecurity.Tokens.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsWin32Interop.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsWin32Interop.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsWPF.Themes.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsWPF.Themes.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsXceed.Wpf.DataGrid.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsXceed.Wpf.DataGrid.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsXceed.Wpf.Controls.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsXceed.Wpf.Controls.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestszlib.net.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestszlib.net.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.CurseClient.Common.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.CurseClient.Localization.resources.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.CurseClient.Localization.resources.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.CurseClient.Controls.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.CurseClient.Controls.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.CurseClient.Localization.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.CurseClient.Localization.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsCurse.CurseClient.Common.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsICSharpCode.SharpZipLib.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsICSharpCode.SharpZipLib.manifest
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsInterop.NetFwTypeLib.cdf-ms
Status: Locked to the Windows API!

Path: C:Documents and SettingsStarLocal SettingsApps2.0AP7V7Q50.Q3VMKM9TWN8.9KCmanifestsInterop.NetFwTypeLib.manifest
Status: Locked to the Windows API!

SSDT
-------------------
#: 122	Function Name: NtOpenProcess
Status: Hooked by "C:Program FilesAVGAVG9Identity ProtectionAgentDriverPlatform_XPAVGIDSShim.sys" at address 0xa6859470

#: 257	Function Name: NtTerminateProcess
Status: Hooked by "C:Program FilesSUPERAntiSpywareSASKUTIL.sys" at address 0x9f6110b0

#: 258	Function Name: NtTerminateThread
Status: Hooked by "C:Program FilesAVGAVG9Identity ProtectionAgentDriverPlatform_XPAVGIDSShim.sys" at address 0xa68595c0

#: 277	Function Name: NtWriteVirtualMemory
Status: Hooked by "C:Program FilesAVGAVG9Identity ProtectionAgentDriverPlatform_XPAVGIDSShim.sys" at address 0xa6859660

==EOF==

And i found this weird directory in my C: anybody know this ?

Posted Image

Edited by garmanma, 23 December 2009 - 08:59 PM.


BC AdBot (Login to Remove)

 


#2 Starseller

Starseller
  • Topic Starter

  • Members
  • 28 posts
  • OFFLINE
  •  
  • Local time:05:12 PM

Posted 23 December 2009 - 10:25 PM

Bump...

===========

Hello

While we understand your frustration at having to wait, please note that Bleeping Computer deals with several hundred requests for assistance such as yours on a daily basis. As a result, our backlog is quite large as are other comparable sites that help others with malware issues. Although our HJT Team members work on hundreds of requests each day, they are all volunteers who work logs when they can and are able to do so. No one is paid by Bleeping Computer for their assistance to our members.

Further, our malware removal staff is comprised of team members with various levels of skill and expertise to deal with thousands of malware variants, some more complex than others. Although we try to take DDS/HJT logs in order (starting with the oldest), it is often the skill level of the particular helper and sometimes the operating system that dictates which logs get selected first. Some infections are more complicated than others and require a higher skill level to remove. Without that skill level attempted removal could result in disastrous results. In other instances, the helper may not be familiar with the operating system that you are using, since they use another. In either case, neither of us want someone to assist you who is not familiar with your issue and attempt to fix it.

We ask that once you have posted your log and are waiting, please DO NOT "bump" your thread or make further replies until it has been responded to by a member of the HJT Team. The reason we ask this or do not respond to your requests is because that would remove you from the active queue that Techs and Staff have access to. The malware staff checks the forum for postings that have 0 replies as this makes it easier for them to identify those who have not been helped. If you post another response, there will be 1 reply. A team member, looking for a new log to work may assume another HJT Team member is already assisting you and not open the thread to respond.

That is why I have made an edit to your last post, instead of a reply. Please do not multiple post here, as that only pushes you further down the queue and causes confusion to the staff.

Please be patient. It may take several days, up to two weeks perhaps less, to get a response but your log will be reviewed and answered as soon as possible. I advise checking your topic once a day for responses as the e-mail notification system is unreliable.

Thank you for understanding.

Orange Blossom ~ forum moderator

Edited by Orange Blossom, 25 December 2009 - 03:54 AM.


#3 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 60,831 posts
  • ONLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:12:12 AM

Posted 04 January 2010 - 03:32 PM

Hello ,
And :( to the Bleeping Computer Malware Removal Forum
. My name is Elise and I'll be glad to help you with your computer problems.


I will be working on your malware issues, this may or may not solve other issues you may have with your machine.

Please note that whatever repairs we make, are for fixing your computer problems only and by no means should be used on another computer.

You may want to keep the link to this topic in your favorites. Alternatively, you can click the button at the top bar of this topic and Track this Topic, where you can choose email notifications. The topics you are tracking are shown here.
-----------------------------------------------------------
If you have since resolved the original problem you were having, we would appreciate you letting us know. If not please perform the following steps below so we can have a look at the current condition of your machine.

If you have not done so, include a clear description of the problems you're having, along with any steps you may have performed so far.

If you have already posted a DDS log, please do so again, as your situation may have changed.
Use the 'Add Reply' and add the new log to this thread.

We need to see some information about what is happening in your machine. Please perform the following scan:
  • Download DDS by sUBs from one of the following links. Save it to your desktop.
  • Double click on the DDS icon, allow it to run.
  • A small box will open, with an explanation about the tool. No input is needed, the scan is running.
  • Notepad will open with the results.
  • Follow the instructions that pop up for posting the results. Post both logs (no need to zip attach.txt).
  • Close the program window, and delete the program from your desktop.
Please note: You may have to disable any script protection running if the scan fails to run. After downloading the tool, disconnect from the internet and disable all antivirus protection. Run the scan, enable your A/V and reconnect to the internet.

Information on A/V control HERE


Please download GMER from one of the following locations and save it to your desktop:
  • Main Mirror
    This version will download a randomly named file (Recommended)
  • Zipped Mirror
    This version will download a zip file you will need to extract first. If you use this mirror, please extract the zip file to your desktop.
  • Disconnect from the Internet and close all running programs.
  • Temporarily disable any real-time active protection so your security programs will not conflict with gmer's driver.
  • Double-click on the randomly named GMER file (i.e. n7gmo46c.exe) and allow the gmer.sys driver to load if asked.
  • Note: If you downloaded the zipped version, extract the file to its own folder such as C:\gmer and then double-click on gmer.exe.

    Posted Image
  • GMER will open to the Rootkit/Malware tab and perform an automatic quick scan when first run. (do not use the computer while the scan is in progress)
  • If you receive a WARNING!!! about rootkit activity and are asked to fully scan your system...click NO.
  • Now click the Scan button. If you see a rootkit warning window, click OK.
  • When the scan is finished, click the Save... button to save the scan results to your Desktop. Save the file as gmer.log.
  • Click the Copy button and paste the results into your next reply.
  • Exit GMER and re-enable all active protection when done.
-- If you encounter any problems, try running GMER in Safe Mode.

-------------------------------------------------------------
Please be patient and I'd be grateful if you would note the following
  • The cleaning process is not instant. DDS logs can take some time to research, so please be patient with me. I know that you need your computer working as quickly as possible, and I will work hard to help see that happen.
  • Please reply using the Add/Reply button in the lower right hand corner of your screen. Do not start a new topic.
  • The logs that you post should be pasted directly into the reply. Only attach them if requested or if they do not fit into the post.
  • Unfortunately, if I do not hear back from you within 5 days, I will be forced to close your topic. If you still need help after I have closed your topic, send me or a moderator a personal message with the address of the thread or feel free to create a new one.
In the meantime please, do NOT install any new programs or update anything unless told to do so while we are fixing your problem

If you still need help, please include the following in your next reply
  • A detailed description of your problems
  • A new DDS log (don't forget attach.txt)
  • GMER log
Please do NOT post logs as attachments, unless you are unable to copy/paste a log directly in the reply box.


Thanks and again sorry for the delay.

regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft


#4 Starseller

Starseller
  • Topic Starter

  • Members
  • 28 posts
  • OFFLINE
  •  
  • Local time:05:12 PM

Posted 04 January 2010 - 08:56 PM

Alright so when i boot up my system i have to kill CasPol.exe manually. I run a scan manually to see that MOM.exe (ATI core files) are binded with the virus, so i kill this process too (and idk if its good or not but w/e) I get redirected all the time to websites or popup to random websites.

Today when i booted the computer " Abundante " random thing popped in my taskbar some "Arcade" program, atleast teatimer blocked it.
Luxury Link, or QuitSmokingSolution, or MyChurchLife.org get popped all the time.
I cannot launch IE at all, Firefox redirect my googles and search site to random websites

DDS

DDS (Ver_09-12-01.01) - NTFSx86
Run by Star at 18:28:29,31 on 2010-01-04
Internet Explorer: 6.0.2900.2180 BrowserJavaVersion: 1.6.0_17
Microsoft Windows XP Professionnel 5.1.2600.2.1252.2.1036.18.3063.1800 [GMT -5:00]

AV: AVG Internet Security *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: AVG Firewall *enabled* {8decf618-9569-4340-b34a-d78d28969b66}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe
svchost.exe
C:\WINDOWS\System32\svchost.exe -k Akamai
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\AVG\AVG9\avgfws9.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\ASUS.SYS\config\DVMExportService.exe
C:\Program Files\AVG\AVG9\avgam.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Program Files\AVG\AVG9\avgemc.exe
C:\WINDOWS\ehome\medctrro.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\USBToolbox\Res.EXE
C:\Program Files\ASUS\TurboV\TurboV.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\AVG\AVG9\Identity Protection\agent\bin\avgidsmonitor.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe -k HTTPFilter
C:\Program Files\Steam\Steam.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Ventrilo\Ventrilo.exe
C:\Program Files\Winamp\winamp.exe
C:\Documents and Settings\Star\Mes documents\Téléchargements\ROM\dds.scr

============== Pseudo HJT Report ===============

uInternet Settings,ProxyOverride = *.local
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\fichiers communs\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: KeyScramblerBHO Class: {2b9f5787-88a5-4945-90e7-c4b18563bc5e} - c:\program files\keyscrambler\KeyScramblerIE.dll
BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg9\avgssie.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot~1\SDHelper.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Java™ Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [SpybotSD TeaTimer] c:\program files\spybot - search & destroy\TeaTimer.exe
uRun: [SUPERAntiSpyware] c:\program files\superantispyware\SUPERAntiSpyware.exe
mRun: [ehTray] c:\windows\ehome\ehtray.exe
mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [USB Storage Toolbox] c:\program files\usbtoolbox\Res.EXE
mRun: [TurboV] "c:\program files\asus\turbov\TurboV.exe"
mRun: [Six Engine] "c:\program files\asus\six engine\SixEngine.exe" -b
mRun: [QuickTime Task] "c:\program files\quicktime\qttask.exe" -atboottime
mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
mRun: [PWRISOVM.EXE] c:\program files\poweriso\PWRISOVM.EXE
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\program files\fichiers communs\adobe\arm\1.0\AdobeARM.exe"
mRun: [AVG9_TRAY] c:\progra~1\avg\avg9\avgtray.exe
mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [MSConfig] c:\windows\pchealth\helpctr\binaries\MSConfig.exe /auto
IE: {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - c:\program files\pokerstars\PokerStarsUpdate.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - {B745F984-EF2E-40D6-A9AC-D8CED7230E61} - c:\program files\keyscrambler\KeyScramblerIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~4\office12\REFIEBAR.DLL
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\progra~1\spybot~1\SDHelper.dll
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1257525012203
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\program files\avg\avg9\avgpp.dll
Notify: !SASWinLogon - c:\program files\superantispyware\SASWINLO.dll
Notify: AtiExtEvent - Ati2evxx.dll
Notify: avgrsstarter - avgrsstx.dll
SSODL: crash_report - {495FE683-6249-4A05-8D1A-8F7CD8DF5A6D} - c:\windows\system32\crash_report.dll
SEH: SABShellExecuteHook Class: {5ae067d3-9afb-48e0-853a-ebb7f4a000da} - c:\program files\superantispyware\SASSEH.DLL
LSA: Notification Packages =
Hosts: 127.0.0.1 www.spywareinfo.com

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\star\applic~1\mozilla\firefox\profiles\9v0o5nd8.default\
FF - component: c:\documents and settings\star\application data\mozilla\firefox\profiles\9v0o5nd8.default\extensions\keyscrambler@qfx.software.corporation\components\KeyScramblerIE.dll
FF - component: c:\program files\avg\avg9\firefox\components\avgssff.dll
FF - plugin: c:\program files\divx\divx plus web player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\
FF - HiddenExtension: Internal security: No Registry Reference - c:\program files\mozilla firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

============= SERVICES / DRIVERS ===============

R0 AVGIDSErHrxpx;AVG9IDSErHr;c:\windows\system32\drivers\AVGIDSxx.sys [2009-11-17 25608]
R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [2009-11-17 161800]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-11-17 333192]
R1 AvgMfx86;AVG On-access Scanner Minifilter Driver x86;c:\windows\system32\drivers\avgmfx86.sys [2009-11-17 28424]
R1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-11-17 360584]
R1 SASDIFSV;SASDIFSV;c:\program files\superantispyware\sasdifsv.sys [2009-12-16 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\superantispyware\SASKUTIL.SYS [2009-12-16 74480]
R2 Akamai;Akamai NetSession Interface;c:\windows\system32\svchost.exe -k Akamai [2004-8-10 14336]
R2 AsSysCtrlService;ASUS System Control Service;c:\program files\asus\assysctrlservice\1.00.02\AsSysCtrlService.exe [2009-11-6 90112]
R2 avg9emc;AVG E-mail Scanner;c:\program files\avg\avg9\avgemc.exe [2009-11-17 906520]
R2 avg9wd;AVG WatchDog;c:\program files\avg\avg9\avgwdsvc.exe [2009-11-17 285392]
R2 avgfws9;AVG Firewall;c:\program files\avg\avg9\avgfws9.exe [2009-11-17 2303680]
R2 AVGIDSAgent;AVG9IDSAgent;c:\program files\avg\avg9\identity protection\agent\bin\AVGIDSAgent.exe [2009-11-17 5832712]
R2 DvmMDES;DeviceVM Meta Data Export Service;c:\asus.sys\config\DVMExportService.exe [2009-2-18 294912]
R3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [2009-11-17 30104]
R3 AVGIDSDriverxpx;AVG9IDSDriver;c:\program files\avg\avg9\identity protection\agent\driver\platform_xp\AVGIDSDriver.sys [2009-11-17 122376]
R3 AVGIDSFilterxpx;AVG9IDSFilter;c:\program files\avg\avg9\identity protection\agent\driver\platform_xp\AVGIDSFilter.sys [2009-11-17 30216]
R3 AVGIDSShimxpx;AVG9IDSShim;c:\program files\avg\avg9\identity protection\agent\driver\platform_xp\AVGIDSShim.sys [2009-11-17 25736]
R3 KeyScrambler;KeyScrambler;c:\windows\system32\drivers\keyscrambler.sys [2009-12-19 115312]
R3 SASENUM;SASENUM;c:\program files\superantispyware\SASENUM.SYS [2009-12-16 7408]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-11-29 1684736]
S3 Avgfwfd;AVG network filter service;c:\windows\system32\drivers\avgfwdx.sys [2009-11-17 30104]

=============== Created Last 30 ================

2009-12-26 23:19:34 0 d-----w- C:\Uninstall
2009-12-26 19:34:58 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_xusb21_01007.Wdf
2009-12-26 19:34:57 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-12-26 19:34:45 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll
2009-12-25 15:42:05 0 d-----w- c:\docume~1\star\applic~1\PeggleDeluxe
2009-12-24 14:13:32 166912 ----a-w- c:\docume~1\star\applic~1\GameNIR.exe
2009-12-24 14:13:31 0 d-----w- c:\docume~1\star\applic~1\Luxor
2009-12-23 21:19:20 0 d-----w- c:\docume~1\alluse~1\applic~1\SUPERAntiSpyware.com
2009-12-23 21:19:07 0 d-----w- c:\program files\SUPERAntiSpyware
2009-12-23 21:19:07 0 d-----w- c:\docume~1\star\applic~1\SUPERAntiSpyware.com
2009-12-23 15:34:10 0 d-----w- c:\docume~1\star\applic~1\Malwarebytes
2009-12-23 15:34:08 0 d-----w- c:\program files\MALWAREBYTES ANTI-MALWARE
2009-12-23 15:34:05 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-23 15:34:04 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-23 15:34:04 0 d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-23 15:34:04 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes
2009-12-23 15:01:24 0 d-----w- c:\docume~1\star\applic~1\Abundante
2009-12-23 14:55:09 0 d-----w- c:\docume~1\star\applic~1\MyGames
2009-12-23 14:55:08 22 ----a-w- c:\windows\system32\crash_report.ini
2009-12-23 14:55:06 0 d-----w- c:\windows\system32\{1361570A-7A05-4FE0-B657-E2B1D167B03D}
2009-12-19 18:21:07 0 d-----w- c:\program files\fichiers communs\Akamai
2009-12-19 17:58:53 115312 ----a-w- c:\windows\system32\drivers\keyscrambler.sys
2009-12-19 17:58:53 0 d-----w- c:\program files\KeyScrambler
2009-12-19 00:54:59 0 d-----w- c:\program files\BestGameEver
2009-12-17 04:48:18 0 d-----w- c:\program files\PokerStars
2009-12-15 16:30:26 0 d-----w- C:\VundoFix Backups
2009-12-15 03:08:21 0 d-sh--w- c:\docume~1\star\applic~1\SystemProc
2009-12-15 03:07:44 360320 ----a-w- c:\windows\system32\drivers\TCPIP.SYS.ORIGINAL
2009-12-15 03:07:00 0 d-----w- c:\docume~1\alluse~1\applic~1\c5aee30
2009-12-14 23:50:30 0 d-----w- c:\program files\Eidos
2009-12-12 04:54:35 0 d-----w- c:\program files\SpeederXP
2009-12-12 04:43:47 56 ----a-w- c:\windows\SpeederXP.INI
2009-12-11 23:59:12 73728 ----a-w- c:\windows\system32\javacpl.cpl
2009-12-11 23:59:12 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-11 09:37:56 536576 ----a-w- c:\windows\system32\crash_report.dll
2009-12-06 21:23:43 819200 ----a-w- c:\windows\system32\xvidcore.dll
2009-12-06 21:23:43 77824 ----a-w- c:\windows\system32\xvid.ax
2009-12-06 21:23:43 180224 ----a-w- c:\windows\system32\xvidvfw.dll
2009-12-06 21:23:43 0 d-----w- c:\program files\Xvid
2009-12-06 21:14:55 120056 ------w- c:\windows\system32\pxcpyi64.exe
2009-12-06 21:14:55 118520 ------w- c:\windows\system32\pxinsi64.exe
2009-12-06 21:14:36 0 d-----w- c:\program files\fichiers communs\DivX Shared
2009-12-06 21:14:36 0 d-----w- c:\program files\DivX
2009-12-06 02:52:39 0 dc-h--w- c:\docume~1\alluse~1\applic~1\{0D1E323F-9D1D-410B-9F3E-FBF24ECC2B05}
2009-12-06 02:52:31 0 d-----w- c:\docume~1\alluse~1\applic~1\Native Instruments
2009-12-06 02:52:19 0 dc-h--w- c:\docume~1\alluse~1\applic~1\{D6072FCA-C57E-4A39-92CE-3ABE6C6D694B}
2009-12-06 02:52:11 0 dc-h--w- c:\docume~1\alluse~1\applic~1\{442B6EC3-77A0-4817-825F-67F47D7A2E54}
2009-12-06 02:52:06 0 d-----w- c:\program files\Native Instruments
2009-12-06 02:52:06 0 d-----w- c:\program files\fichiers communs\Native Instruments

==================== Find3M ====================

2010-01-04 16:46:20 215104 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-01-04 16:30:11 138576 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-01-02 17:14:44 95360 ----a-w- c:\windows\system32\drivers\atapi.sys
2009-12-10 15:02:01 80282 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-10 15:02:01 501264 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-02 18:45:41 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-12-02 06:24:45 22328 ----a-w- c:\docume~1\star\applic~1\PnkBstrK.sys
2009-12-02 06:23:05 674600 ----a-w- c:\windows\system32\pbsvc.exe
2009-11-30 01:14:55 9804 ---ha-w- c:\windows\system32\mlfcache.dat
2009-11-17 07:21:02 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2009-11-17 07:21:01 360584 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2009-11-17 07:21:01 25608 ----a-w- c:\windows\system32\drivers\AVGIDSxx.sys
2009-11-17 07:21:01 161800 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
2009-11-17 07:20:58 333192 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-11-17 07:20:26 50968 ----a-w- c:\windows\system32\avgfwdx.dll
2009-11-17 07:20:26 30104 ----a-w- c:\windows\system32\drivers\avgfwdx.sys
2009-11-14 00:47:32 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-11-14 00:47:28 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47:28 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2009-11-14 00:47:28 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47:28 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2009-11-14 00:47:28 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2009-11-14 00:47:28 696320 ----a-w- c:\windows\system32\DivX.dll
2009-11-13 18:04:47 12400 ----a-w- c:\windows\system32\drivers\secdrv.sys
2009-11-08 06:09:03 281760 ----a-w- c:\windows\system32\drivers\atksgt.sys
2009-11-08 06:09:02 25888 ----a-w- c:\windows\system32\drivers\lirsgt.sys
2009-11-06 17:25:04 6216032 ----a-w- C:\windowsupdateagent30-x86.exe
2009-11-06 08:09:37 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2009-10-29 05:20:44 672768 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 06:03:11 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 06:03:10 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-13 10:52:18 267776 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:52:51 69632 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:52:51 113152 ----a-w- c:\windows\system32\rastls.dll
2009-10-08 19:57:26 614400 ----a-w- c:\windows\system32\uiautomationcore.dll
2009-10-08 19:57:26 22528 ----a-w- c:\windows\system32\oleaccrc.dll
2009-10-08 19:57:00 220160 ----a-w- c:\windows\system32\oleacc.dll
2006-06-24 19:48:54 32768 ----a-w- c:\windows\inf\UpdateUSB.exe

============= FINISH: 18:29:20,29 ===============

GMER

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-04 20:42:58
Windows 5.1.2600 Service Pack 2
Running: 4v5srzps.exe; Driver: C:\DOCUME~1\Star\LOCALS~1\Temp\pgxyrpog.sys


---- System - GMER 1.0.15 ----

SSDT \??\C:\Program Files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies ) ZwOpenProcess [0xBA459470]
SSDT \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xA401F0B0]
SSDT \??\C:\Program Files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies ) ZwTerminateThread [0xBA4595C0]
SSDT \??\C:\Program Files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies ) ZwWriteVirtualMemory [0xBA459660]

---- Kernel code sections - GMER 1.0.15 ----

.rsrc C:\WINDOWS\system32\drivers\atapi.sys entry point in ".rsrc" section [0xB9F203A4]
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB8546000, 0x21F557, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0x9B8D6300, 0x3B6D8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB8BD6300, 0x1BEE, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\svchost.exe[1288] ole32.dll!CoCreateInstance 774E6009 5 Bytes JMP 00CE000A
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] kernel32.dll!LoadResource 7C809FC5 7 Bytes JMP 28001E30 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] kernel32.dll!FindResourceExW 7C80AC98 7 Bytes JMP 28001C70 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] kernel32.dll!FindResourceW 7C80BBDE 7 Bytes JMP 28001BF0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] kernel32.dll!SizeofResource 7C80BC79 7 Bytes JMP 28001EF0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] kernel32.dll!FindResourceA 7C80BE99 7 Bytes JMP 28001D00 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] kernel32.dll!LockResource 7C80CCA7 5 Bytes JMP 28001F60 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] kernel32.dll!CreateEventA 7C8308C9 5 Bytes JMP 28001850 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] kernel32.dll!FindResourceExA 7C835FC0 7 Bytes JMP 28001D90 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] ADVAPI32.dll!CryptDeriveKey 77DBA1A5 7 Bytes JMP 28001000 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] ADVAPI32.dll!CryptDecrypt 77DBA2D1 7 Bytes JMP 28001060 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] USER32.dll!GetWindowLongW 77D1887E 7 Bytes JMP 28006AF0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] USER32.dll!PeekMessageW 77D19278 5 Bytes JMP 280046B0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] USER32.dll!CreateWindowExW 77D21AD5 5 Bytes JMP 28003CE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] USER32.dll!SetWindowRgn 77D21DE0 7 Bytes JMP 28005FD0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] USER32.dll!LoadIconW 77D22174 5 Bytes JMP 28006950 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] USER32.dll!LoadImageW 77D242A4 5 Bytes JMP 28006760 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] USER32.dll!CreateDialogParamW 77D3629F 5 Bytes JMP 28006110 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] USER32.dll!SetWindowPlacement 77D3FBEA 5 Bytes JMP 28005E90 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] USER32.dll!MessageBoxIndirectW 77D660B7 5 Bytes JMP 28006300 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] USER32.dll!TrackPopupMenuEx 77D6CAFE 5 Bytes JMP 28004F90 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] WS2_32.dll!send 719F428A 5 Bytes JMP 2800B440 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 2800B220 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] WS2_32.dll!recv 719F615A 5 Bytes JMP 2800B080 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 2800B620 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 2800B860 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] SHELL32.dll!Shell_NotifyIconW 7CA31BEA 5 Bytes JMP 28003430 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] ole32.dll!CoInitializeEx 774B42F3 5 Bytes JMP 28002270 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] ole32.dll!CoCreateInstance 774E6009 5 Bytes JMP 28002610 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] ole32.dll!CoRegisterClassObject 77501BFC 5 Bytes JMP 28002370 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] WININET.dll!HttpOpenRequestA 77AB2B29 5 Bytes JMP 28009F50 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] WININET.dll!InternetCloseHandle 77AB4DBC 5 Bytes JMP 2800A290 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] WININET.dll!HttpSendRequestA 77AB60D1 5 Bytes JMP 2800A1C0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3528] WININET.dll!InternetReadFile 77AB7C3F 5 Bytes JMP 2800A0E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs AVGIDSFilter.sys (IDS Application Activity Monitor Filter Driver./AVG Technologies )
AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device -> \Driver\atapi \Device\Harddisk0\DR0 8A48C618

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@LoadAppInit_DLLs 1

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----

Edited by elise025, 05 January 2010 - 04:07 AM.
Removed code tags


#5 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 60,831 posts
  • ONLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:12:12 AM

Posted 05 January 2010 - 04:11 AM

Hello Starseller,

First of all, maybe you observed I removed the code tags in your last post. I have bad eyesight and the code format is hard for me to read. I would appreciate it if you can just paste the logs and not using code or quote tags when posting them, thanks :(

BACKDOOR WARNING
------------------------------
One or more of the identified infections is known to use a backdoor.

This allows hackers to remotely control your computer, steal critical system information and download and execute files.

I would advice you to disconnect this PC from the Internet immediately. If you do any banking or other financial transactions on the PC or if it should contain any other sensitive information, please get to a known clean computer and change all passwords where applicable, and it would be wise to contact those same financial institutions to apprise them of your situation.

Though the infection has been identified and can be killed, because of it's backdoor functionality, your PC is very likely compromised and there is no way to be sure your computer can ever again be trusted. Many experts in the security community believe that once infected with this type of trojan, the best course of action would be a reformat and reinstall of the OS. Please read these for more information:

How Do I Handle Possible Identify Theft, Internet Fraud and CC Fraud?
When Should I Format, How Should I Reinstall

We can still clean this machine but I can't guarantee that it will be 100% secure afterwards. Let me know what you decide to do. If you decide to go through with the cleanup, please proceed with the following steps.


COMBOFIX
---------------
Please download ComboFix from one of these locations:Bleepingcomputer
ForoSpyware
  • Disable your AntiVirus and AntiSpyware applications, usually via a right click on the System Tray icon. They may otherwise interfere with our tools. (Click on this link to see a list of programs that should be disabled. The list is not all inclusive.)
  • Double click on Combofix.exe and follow the prompts.
  • As part of it's process, ComboFix will check to see if the Microsoft Windows Recovery Console is installed. With malware infections being as they are today, it's strongly recommended to have this pre-installed on your machine before doing any malware removal. It will allow you to boot up into a special recovery/repair mode that will allow us to more easily help you should your computer have a problem after an attempted removal of malware.
  • Follow the prompts to allow ComboFix to download and install the Microsoft Windows Recovery Console, and when prompted, agree to the End-User License Agreement to install the Microsoft Windows Recovery Console.
**Please note: If the Microsoft Windows Recovery Console is already installed, or if you are running Vista, ComboFix will continue it's malware removal procedures.

Posted Image


Once the Microsoft Windows Recovery Console is installed using ComboFix, you should see the following message:

Posted Image


Click on Yes, to continue scanning for malware.

When finished, it shall produce a log for you. Please include the C:\ComboFix.txt in your next reply.


In your next reply, please include the following:
  • Combofix.txt

regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft


#6 Starseller

Starseller
  • Topic Starter

  • Members
  • 28 posts
  • OFFLINE
  •  
  • Local time:05:12 PM

Posted 06 January 2010 - 07:51 PM

Hi madam, this is my result of combofix, tho i dont know if it completed because i was afk and when i came back the log already appeared.

ComboFix 10-01-04.01 - Star 2010-01-06 19:30:42.1.8 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.2.1036.18.3063.2381 [GMT -5:00]
Lancé depuis: c:\documents and settings\Star\Mes documents\Téléchargements\ROM\ComboFix.exe
AV: AVG Internet Security *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: AVG Firewall *enabled* {8decf618-9569-4340-b34a-d78d28969b66}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Star\Application Data\SystemProc
C:\install.exe
c:\program files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}
c:\program files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
c:\program files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul
c:\program files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
c:\windows\system32\sqlite3.dll

Une copie infectée de c:\windows\system32\DRIVERS\atapi.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty ate it :(
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-07 au 2010-01-07 ))))))))))))))))))))))))))))))))))))
.

2010-01-07 00:18 . 2010-01-07 00:21 -------- d-----w- C:\32788R22FWJFW
2010-01-05 05:44 . 2010-01-05 05:44 -------- d-----w- c:\documents and settings\Default User\Local Settings\Application Data\Microsoft Help
2010-01-04 17:01 . 2010-01-06 04:06 -------- d-----w- c:\program files\Microsoft Works
2010-01-04 17:00 . 2010-01-04 17:00 -------- d-----w- c:\program files\Microsoft.NET
2010-01-04 16:59 . 2010-01-04 16:59 -------- d-----w- c:\documents and settings\Star\Local Settings\Application Data\Microsoft Help
2010-01-04 16:59 . 2010-01-06 04:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-01-04 16:59 . 2010-01-04 16:59 -------- d-----r- C:\MSOCache
2009-12-26 23:19 . 2009-12-26 23:19 -------- d-----w- C:\Uninstall
2009-12-26 19:34 . 2008-03-21 18:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll
2009-12-23 14:55 . 2009-12-23 14:55 -------- d-----w- c:\windows\system32\{1361570A-7A05-4FE0-B657-E2B1D167B03D}
2009-12-19 18:21 . 2010-01-07 00:38 -------- d-----w- c:\program files\Fichiers communs\Akamai
2009-12-19 17:58 . 2009-12-19 18:11 -------- d-----w- c:\program files\KeyScrambler
2009-12-19 17:58 . 2009-10-04 21:33 115312 ----a-w- c:\windows\system32\drivers\keyscrambler.sys
2009-12-19 00:54 . 2009-12-19 00:54 -------- d-----w- c:\program files\BestGameEver
2009-12-17 04:48 . 2009-12-18 21:39 -------- d-----w- c:\program files\PokerStars
2009-12-16 11:56 . 2009-12-16 11:56 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData
2009-12-15 21:15 . 2009-12-19 17:29 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-12-15 16:30 . 2009-12-15 16:30 -------- d-----w- C:\VundoFix Backups
2009-12-15 03:07 . 2009-12-15 03:07 -------- d-----w- c:\documents and settings\All Users\Application Data\c5aee30
2009-12-14 23:50 . 2009-12-14 23:50 -------- d-----w- c:\program files\Eidos
2009-12-12 04:54 . 2009-12-12 04:54 -------- d-----w- c:\program files\SpeederXP
2009-12-11 23:59 . 2009-12-11 23:59 -------- d-----w- c:\windows\Sun
2009-12-11 23:59 . 2009-12-11 23:59 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-11 23:58 . 2009-12-11 23:58 -------- d-----w- c:\program files\Java
2009-12-11 09:37 . 2009-12-11 09:37 536576 ----a-w- c:\windows\system32\crash_report.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-07 00:11 . 2009-12-02 06:23 215104 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-01-06 23:09 . 2009-12-02 06:23 138576 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-01-06 23:08 . 2009-11-06 11:14 -------- d-----w- c:\program files\Steam
2010-01-06 22:27 . 2009-11-21 21:08 0 ----a-w- c:\documents and settings\Star\Local Settings\Application Data\prvlcl.dat
2010-01-06 18:23 . 2009-11-06 08:24 25320 ----a-w- c:\documents and settings\Star\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-01-06 01:17 . 2009-11-13 17:47 26 ----a-w- c:\windows\popcinfo.dat
2010-01-05 20:54 . 2009-11-06 11:11 95360 ----a-w- c:\windows\system32\drivers\atapi.sys
2010-01-05 16:38 . 2009-12-06 02:52 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{0D1E323F-9D1D-410B-9F3E-FBF24ECC2B05}
2010-01-04 16:56 . 2009-11-06 17:38 -------- d-----w- c:\documents and settings\Star\Application Data\uTorrent
2010-01-03 18:12 . 2009-11-07 18:50 -------- d-----w- c:\program files\World of Warcraft
2010-01-02 04:07 . 2009-11-17 07:20 -------- d-----w- c:\documents and settings\All Users\Application Data\avg9
2009-12-26 19:34 . 2009-12-26 19:34 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_xusb21_01007.Wdf
2009-12-26 19:34 . 2009-12-26 19:34 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-12-25 15:42 . 2009-12-25 15:42 2383872 ---h--w- c:\documents and settings\Star\Application Data\PeggleDeluxe\popcapgame1.exe
2009-12-25 15:42 . 2009-12-25 15:42 -------- d-----w- c:\documents and settings\Star\Application Data\PeggleDeluxe
2009-12-25 15:42 . 2009-12-23 14:55 -------- d-----w- c:\documents and settings\Star\Application Data\MyGames
2009-12-25 15:42 . 2009-12-24 14:13 166912 ----a-w- c:\documents and settings\Star\Application Data\GameNIR.exe
2009-12-25 15:42 . 2009-12-24 14:13 166912 ----a-w- c:\documents and settings\Star\Application Data\GameNIR.exe
2009-12-25 15:42 . 2009-12-23 14:55 27519488 ----a-w- c:\documents and settings\Star\Application Data\MyGames\SetupGame.dll
2009-12-23 21:19 . 2009-12-23 21:19 52224 ----a-w- c:\documents and settings\Star\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2009-12-23 21:19 . 2009-12-23 21:19 117760 ----a-w- c:\documents and settings\Star\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-12-23 21:19 . 2009-12-23 21:19 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-12-23 21:19 . 2009-12-23 21:19 -------- d-----w- c:\program files\SUPERAntiSpyware
2009-12-23 21:19 . 2009-12-23 21:19 -------- d-----w- c:\documents and settings\Star\Application Data\SUPERAntiSpyware.com
2009-12-23 21:18 . 2009-11-24 01:27 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2009-12-23 15:34 . 2009-12-23 15:34 -------- d-----w- c:\documents and settings\Star\Application Data\Malwarebytes
2009-12-23 15:34 . 2009-12-23 15:34 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-23 15:34 . 2009-12-23 15:34 -------- d-----w- c:\program files\MALWAREBYTES ANTI-MALWARE
2009-12-23 15:34 . 2009-12-23 15:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-22 13:11 . 2009-12-22 13:11 4043544 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgui.exe
2009-12-22 13:11 . 2009-12-22 13:11 3966744 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgcorex.dll
2009-12-19 17:52 . 2009-11-17 06:34 -------- d-----w- c:\program files\Windows Live Safety Center
2009-12-15 03:07 . 2009-12-15 03:07 360320 ----a-w- c:\windows\system32\drivers\TCPIP.SYS.ORIGINAL
2009-12-14 23:50 . 2009-11-06 08:38 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-12 06:28 . 2009-11-24 01:28 -------- d-----w- c:\program files\Ventrilo
2009-12-11 23:58 . 2009-12-11 23:58 152576 ----a-w- c:\documents and settings\Star\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-11 23:58 . 2009-12-11 23:58 79488 ----a-w- c:\documents and settings\Star\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-10 15:06 . 2009-12-23 15:03 2033432 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgtray.exe
2009-12-10 15:06 . 2009-12-22 13:11 3776280 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\setup.exe
2009-12-10 15:06 . 2009-12-22 13:11 2352920 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgresf.dll
2009-12-10 15:02 . 2004-08-10 12:00 80282 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-10 15:02 . 2004-08-10 12:00 501264 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-06 23:40 . 2009-11-23 00:39 -------- d-----w- c:\documents and settings\Star\Application Data\mIRC
2009-12-06 21:23 . 2009-12-06 21:23 -------- d-----w- c:\program files\Xvid
2009-12-06 21:15 . 2009-12-06 21:14 -------- d-----w- c:\program files\DivX
2009-12-06 21:14 . 2009-12-06 21:14 -------- d-----w- c:\program files\Fichiers communs\DivX Shared
2009-12-06 17:54 . 2009-11-23 00:39 -------- d-----w- c:\program files\mIRC
2009-12-06 02:52 . 2009-12-06 02:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Native Instruments
2009-12-06 02:52 . 2009-12-06 02:52 -------- d-----w- c:\program files\Native Instruments
2009-12-06 02:52 . 2009-12-06 02:52 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{D6072FCA-C57E-4A39-92CE-3ABE6C6D694B}
2009-12-06 02:52 . 2009-12-06 02:52 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{442B6EC3-77A0-4817-825F-67F47D7A2E54}
2009-12-06 02:52 . 2009-12-06 02:52 -------- d-----w- c:\program files\Fichiers communs\Native Instruments
2009-12-03 21:14 . 2009-12-23 15:34 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 21:13 . 2009-12-23 15:34 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-03 02:23 . 2009-12-25 15:42 329216 ----a-w- c:\documents and settings\Star\Application Data\PeggleDeluxe\PeggleDeluxe.exe
2009-12-03 02:18 . 2009-12-24 14:13 326656 ----a-w- c:\documents and settings\Star\Application Data\Luxor\Luxor.exe
2009-12-03 01:59 . 2009-12-23 15:01 329728 ----a-w- c:\documents and settings\Star\Application Data\Abundante\Abundante.exe
2009-12-02 18:45 . 2009-12-02 06:23 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-12-02 06:24 . 2009-12-02 06:23 22328 ----a-w- c:\documents and settings\Star\Application Data\PnkBstrK.sys
2009-12-02 06:24 . 2009-12-02 06:23 22328 ----a-w- c:\documents and settings\Star\Application Data\PnkBstrK.sys
2009-12-02 06:23 . 2009-12-02 06:23 674600 ----a-w- c:\windows\system32\pbsvc.exe
2009-12-01 15:48 . 2009-12-01 04:44 -------- d-----w- c:\program files\Zonline Client
2009-11-30 05:30 . 2009-11-30 04:02 -------- d-----w- c:\documents and settings\Star\Application Data\Winamp
2009-11-30 04:03 . 2009-11-30 04:02 -------- d-----w- c:\program files\Winamp
2009-11-30 01:19 . 2009-11-30 01:19 -------- d-----w- c:\program files\mIRC2
2009-11-30 01:14 . 2009-11-30 01:14 9804 ---ha-w- c:\windows\system32\mlfcache.dat
2009-11-29 23:23 . 2009-11-29 23:19 -------- d-----w- c:\program files\Macromedia
2009-11-29 23:20 . 2009-11-29 23:19 -------- d-----w- c:\program files\Fichiers communs\Macromedia
2009-11-29 21:57 . 2009-11-24 01:28 -------- d-----w- c:\documents and settings\Star\Application Data\Ventrilo
2009-11-29 20:30 . 2009-11-29 20:30 -------- d-----w- c:\program files\Realtek
2009-11-26 22:17 . 2009-11-26 22:16 -------- d-----w- c:\program files\SpeedFan
2009-11-21 07:08 . 2009-11-20 18:45 66720 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-11-19 19:12 . 2009-11-19 19:12 -------- d-----w- c:\program files\Realtek AC97
2009-11-19 08:10 . 2009-11-07 08:39 -------- d-----w- c:\documents and settings\Star\Application Data\Apple Computer
2009-11-17 07:21 . 2009-11-17 07:21 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2009-11-17 07:21 . 2009-11-17 07:21 360584 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2009-11-17 07:21 . 2009-11-17 07:21 25608 ----a-w- c:\windows\system32\drivers\AVGIDSxx.sys
2009-11-17 07:21 . 2009-11-17 07:21 161800 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
2009-11-17 07:20 . 2009-11-17 07:20 333192 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-11-17 07:20 . 2009-11-17 07:20 28424 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2009-11-17 07:20 . 2009-11-06 16:51 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2009-11-17 07:20 . 2009-11-17 07:20 50968 ----a-w- c:\windows\system32\avgfwdx.dll
2009-11-17 07:20 . 2009-11-17 07:20 30104 ----a-w- c:\windows\system32\drivers\avgfwdx.sys
2009-11-17 07:20 . 2009-11-17 07:20 -------- d-----w- c:\program files\AVG
2009-11-17 05:19 . 2009-11-17 05:19 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-11-15 16:51 . 2009-11-15 16:51 -------- d-----w- c:\program files\CCleaner
2009-11-14 19:22 . 2009-11-14 19:22 -------- d-----w- c:\documents and settings\Star\Application Data\LolClient.F24C99354F615F3BAB18AE7B93E3F9B9E8784FA6.1
2009-11-14 19:22 . 2009-11-14 18:51 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2009-11-14 19:22 . 2009-11-14 18:52 38208 ----a-w- c:\documents and settings\Star\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-11-14 19:22 . 2009-11-14 18:51 38208 ----a-w- c:\documents and settings\Default User\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-11-14 19:14 . 2009-11-14 19:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-11-14 19:04 . 2009-11-14 19:01 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-11-14 06:20 . 2009-11-14 06:20 -------- d-----w- c:\program files\Activision
2009-11-14 00:49 . 2009-12-06 21:14 120056 ------w- c:\windows\system32\pxcpyi64.exe
2009-11-14 00:49 . 2009-12-06 21:14 118520 ------w- c:\windows\system32\pxinsi64.exe
2009-11-14 00:47 . 2009-11-14 00:47 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll
.

------- Sigcheck -------

[7] 2004-08-19 21:09 . 535D54D2AF721A3497F058CAA2C63447 . 52736 . . [9.0.1.56] . . c:\windows\ServicePackFiles\i386\mspmsnsv.dll
[-] 2004-08-10 12:00 . B751CE6043B33A2EFEABB2D6BA83EC67 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 12:00 . B751CE6043B33A2EFEABB2D6BA83EC67 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-12-16 2002160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-05-20 98304]
"USB Storage Toolbox"="c:\program files\USBToolbox\Res.EXE" [2002-01-15 118784]
"TurboV"="c:\program files\ASUS\TurboV\TurboV.exe" [2009-05-25 5391872]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2009-05-25 6017024]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-05 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-29 141600]
"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2009-07-27 180224]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2009-12-23 2033432]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-11 149280]
"RTHDCPL"="RTHDCPL.EXE" [2009-04-03 17567744]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"crash_report"= {495FE683-6249-4A05-8D1A-8F7CD8DF5A6D} - c:\windows\system32\crash_report.dll [2009-12-11 536576]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 19:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-11-17 07:21 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2009-11-06 11:14 1217808 ----a-w- c:\program files\Steam\Steam.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Steam\\steamapps\\hawtkitten\\team fortress 2\\hl2.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Steam\\steamapps\\hawtkitten\\counter-strike source\\hl2.exe"=
"c:\\Program Files\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"c:\\Program Files\\Activision\\Prototype\\prototypef.exe"=
"c:\\Riot Games\\League of Legends\\air\\LolClient.exe"=
"c:\\Riot Games\\League of Legends\\game\\League of Legends.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgam.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Program Files\\Ventrilo\\Ventrilo.exe"=
"c:\\Program Files\\Steam\\steamapps\\common\\call of duty 4\\iw3sp.exe"=
"c:\\Program Files\\Steam\\steamapps\\common\\call of duty 4\\iw3mp.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Steam\\steamapps\\common\\left 4 dead 2\\left4dead2.exe"=
"c:\\Program Files\\Steam\\steamapps\\common\\torchlight\\Torchlight.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"8370:TCP"= 8370:TCP:League of Legends Launcher
"8370:UDP"= 8370:UDP:League of Legends Launcher
"8372:TCP"= 8372:TCP:League of Legends Launcher
"8372:UDP"= 8372:UDP:League of Legends Launcher
"6927:TCP"= 6927:TCP:League of Legends Launcher
"6927:UDP"= 6927:UDP:League of Legends Launcher
"6923:TCP"= 6923:TCP:League of Legends Launcher
"6923:UDP"= 6923:UDP:League of Legends Launcher
"6918:TCP"= 6918:TCP:League of Legends Launcher
"6918:UDP"= 6918:UDP:League of Legends Launcher

R0 AVGIDSErHrxpx;AVG9IDSErHr;c:\windows\system32\drivers\AVGIDSxx.sys [2009-11-17 25608]
R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [2009-11-17 161800]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-11-17 333192]
R1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-11-17 360584]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-12-16 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-12-16 74480]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [2004-08-10 14336]
R2 AsSysCtrlService;ASUS System Control Service;c:\program files\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe [2009-11-06 90112]
R2 avg9emc;AVG E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2009-11-17 906520]
R2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2009-11-17 285392]
R2 avgfws9;AVG Firewall;c:\program files\AVG\AVG9\avgfws9.exe [2009-11-17 2303680]
R2 AVGIDSAgent;AVG9IDSAgent;c:\program files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe [2009-11-17 5832712]
R2 DvmMDES;DeviceVM Meta Data Export Service;c:\asus.sys\config\DVMExportService.exe [2009-02-18 294912]
R3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [2009-11-17 30104]
R3 AVGIDSDriverxpx;AVG9IDSDriver;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSDriver.sys [2009-11-17 122376]
R3 AVGIDSFilterxpx;AVG9IDSFilter;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSFilter.sys [2009-11-17 30216]
R3 AVGIDSShimxpx;AVG9IDSShim;c:\program files\AVG\AVG9\Identity Protection\Agent\Driver\Platform_XP\AVGIDSShim.sys [2009-11-17 25736]
R3 KeyScrambler;KeyScrambler;c:\windows\system32\drivers\keyscrambler.sys [2009-12-19 115312]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-12-16 7408]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-11-29 1684736]
S3 Avgfwfd;AVG network filter service;c:\windows\system32\drivers\avgfwdx.sys [2009-11-17 30104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'

2009-12-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 17:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\Star\Application Data\Mozilla\Firefox\Profiles\9v0o5nd8.default\
FF - component: c:\documents and settings\Star\Application Data\Mozilla\Firefox\Profiles\9v0o5nd8.default\extensions\keyscrambler@qfx.software.corporation\components\KeyScramblerIE.dll
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-dimsntfy - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-06 19:40
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Program Files/Fichiers communs/Akamai/rswin_3629.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Program Files/Fichiers communs/Akamai/rswin_3629.dll"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1060)
c:\program files\SUPERAntiSpyware\SASWINLO.dll
c:\documents and settings\Star\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
c:\documents and settings\Star\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(5564)
c:\windows\system32\crash_report.dll
c:\program files\Bonjour\mdnsNSP.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\windows\eHome\ehRec.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\system32\spupdsvc.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\ehome\medctrro.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\eHome\ehmsas.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\windows\RTHDCPL.EXE
c:\program files\AVG\AVG9\Identity Protection\agent\bin\avgidsmonitor.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Heure de fin: 2010-01-06 19:45:55 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-07 00:45

Avant-CF: 247 111 053 312 octets libres
Après-CF: 247 364 706 304 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - DD970B8255C31D4DCD02EE068BBB36BE


Sorry for french inputs.

#7 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 60,831 posts
  • ONLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:12:12 AM

Posted 07 January 2010 - 04:52 AM

Hello Starseller,

SHOW HIDDEN FILES AND FOLDERS
-------------------------------------------------
Go to Start > My Computer
Go to Tools > Folder Options
Click on the View tab
Untick the following:
  • Hide extensions for known file types
  • Hide protected operating system files (Recommended)
You will get a message warning you about showing protected operating system files, click Yes
Make sure this option is selected:
  • Show hidden files and folders
Click Apply and then click OK


UPLOAD A FILE
--------------------
We need to check a file. Please click this link VirusTotal

When the page has finished loading, click the Choose file button and navigate to the following file and click Send file.

c:\windows\system32\crash_report.dll
c:\windows\system32\mspmsnsv.dll

If you get the message that the file has already been scanned before, please click Reanalyse file now.
Please post back the results of the scan in your next post.


In your next reply, please include the following:
  • Scan results of the uploaded file

regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft


#8 Starseller

Starseller
  • Topic Starter

  • Members
  • 28 posts
  • OFFLINE
  •  
  • Local time:05:12 PM

Posted 07 January 2010 - 09:34 AM

http://www.virustotal.com/fr/analisis/e976...68ed-1262099569

http://www.virustotal.com/fr/analisis/fced...bdcf-1262874812

both seems to be clean, CasPol.exe doesnt show up at start, tho, the whole booting (when it brings up the Welcome blue screen) take a long 1-2 minute. and i didnt got that before my virus infection it took a max 5-10 sec to load.

Edited by Starseller, 07 January 2010 - 09:36 AM.


#9 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 60,831 posts
  • ONLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:12:12 AM

Posted 07 January 2010 - 02:59 PM

Hello Starseller,

How are things running now, any problems left?

MALWAREBYTES ANTIMALWARE
-------------------------------------------
Please launch MBAM and update the program before performing a scan.
  • If an update is found, the program will automatically update itself. Press the OK button to close that box and continue.
  • If you encounter any problems while downloading the definition updates, manually download them from here and just double-click on mbam-rules.exe to install.
On the Scanner tab:
  • Make sure the "Perform Full Scan" option is selected.
  • Then click on the Scan button.
  • If asked to select the drives to scan, leave all the drives selected and click on the Start Scan button.
  • The scan will begin and "Scan in progress" will show at the top. It may take some time to complete so please be patient.
  • When the scan is finished, a message box will say "The scan completed successfully. Click 'Show Results' to display all objects found".
  • Click OK to close the message box and continue with the removal process.
Back at the main Scanner screen:
  • Click on the Show Results button to see a list of any malware that was found.
  • Make sure that everything is checked, and click Remove Selected.
  • When removal is completed, a log report will open in Notepad.
  • The log is automatically saved and can be viewed by clicking the Logs tab in MBAM.
  • Copy and paste the contents of that report in your next reply. Be sure to post the complete log to include the top portion which shows MBAM's database version and your operating system.
  • Exit MBAM when done.
Note: If MBAM encounters a file that is difficult to remove, you will be asked to reboot your computer so MBAM can proceed with the disinfection process. If asked to restart the computer, please do so immediately. Failure to reboot normally (not into safe mode) will prevent MBAM from removing all the malware.


In your next reply, please include the following:
  • MBAM log
  • Please rerun DDS and post me attach.txt (just paste it in the reply).

regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft


#10 Starseller

Starseller
  • Topic Starter

  • Members
  • 28 posts
  • OFFLINE
  •  
  • Local time:05:12 PM

Posted 07 January 2010 - 04:22 PM

Malwarebytes' Anti-Malware 1.43
Database version: 3509
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

2010-01-07 16:19:19
mbam-log-2010-01-07 (16-19-19).txt

Scan type: Full Scan (C:\|)
Objects scanned: 223163
Time elapsed: 45 minute(s), 49 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)



DDS (Ver_09-12-01.01) - NTFSx86
Run by Star at 16:21:08,73 on 2010-01-07
Internet Explorer: 6.0.2900.2180 BrowserJavaVersion: 1.6.0_17
Microsoft Windows XP Professionnel 5.1.2600.2.1252.2.1036.18.3063.1543 [GMT -5:00]

AV: AVG Internet Security *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: AVG Firewall *enabled* {8decf618-9569-4340-b34a-d78d28969b66}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe
svchost.exe
C:\WINDOWS\System32\svchost.exe -k Akamai
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\AVG\AVG9\avgfws9.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\ASUS.SYS\config\DVMExportService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\AVG\AVG9\avgam.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Program Files\AVG\AVG9\avgemc.exe
C:\WINDOWS\ehome\medctrro.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe -k HTTPFilter
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\USBToolbox\Res.EXE
C:\Program Files\ASUS\TurboV\TurboV.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AVG\AVG9\Identity Protection\agent\bin\avgidsmonitor.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Steam\Steam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceHelper.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\distnoted.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Star\Mes documents\Téléchargements\ROM\dds.scr

============== Pseudo HJT Report ===============

uInternet Settings,ProxyOverride = *.local
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\fichiers communs\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: KeyScramblerBHO Class: {2b9f5787-88a5-4945-90e7-c4b18563bc5e} - c:\program files\keyscrambler\KeyScramblerIE.dll
BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg9\avgssie.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot~1\SDHelper.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Java™ Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [SpybotSD TeaTimer] c:\program files\spybot - search & destroy\TeaTimer.exe
uRun: [SUPERAntiSpyware] c:\program files\superantispyware\SUPERAntiSpyware.exe
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [ehTray] c:\windows\ehome\ehtray.exe
mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [USB Storage Toolbox] c:\program files\usbtoolbox\Res.EXE
mRun: [TurboV] "c:\program files\asus\turbov\TurboV.exe"
mRun: [Six Engine] "c:\program files\asus\six engine\SixEngine.exe" -b
mRun: [QuickTime Task] "c:\program files\quicktime\qttask.exe" -atboottime
mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
mRun: [PWRISOVM.EXE] c:\program files\poweriso\PWRISOVM.EXE
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\program files\fichiers communs\adobe\arm\1.0\AdobeARM.exe"
mRun: [AVG9_TRAY] c:\progra~1\avg\avg9\avgtray.exe
mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"
mRun: [RTHDCPL] RTHDCPL.EXE
mRunOnce: [Malwarebytes' Anti-Malware] c:\program files\malwarebytes' anti-malware\mbamgui.exe /install /silent
IE: {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - c:\program files\pokerstars\PokerStarsUpdate.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - {B745F984-EF2E-40D6-A9AC-D8CED7230E61} - c:\program files\keyscrambler\KeyScramblerIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~4\office12\REFIEBAR.DLL
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\progra~1\spybot~1\SDHelper.dll
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1257525012203
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\program files\avg\avg9\avgpp.dll
Notify: !SASWinLogon - c:\program files\superantispyware\SASWINLO.dll
Notify: AtiExtEvent - Ati2evxx.dll
Notify: avgrsstarter - avgrsstx.dll
SSODL: crash_report - {495FE683-6249-4A05-8D1A-8F7CD8DF5A6D} - c:\windows\system32\crash_report.dll
SEH: SABShellExecuteHook Class: {5ae067d3-9afb-48e0-853a-ebb7f4a000da} - c:\program files\superantispyware\SASSEH.DLL

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\star\applic~1\mozilla\firefox\profiles\9v0o5nd8.default\
FF - component: c:\documents and settings\star\application data\mozilla\firefox\profiles\9v0o5nd8.default\extensions\keyscrambler@qfx.software.corporation\components\KeyScramblerIE.dll
FF - component: c:\program files\avg\avg9\firefox\components\avgssff.dll
FF - plugin: c:\program files\divx\divx plus web player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

============= SERVICES / DRIVERS ===============

R0 AVGIDSErHrxpx;AVG9IDSErHr;c:\windows\system32\drivers\AVGIDSxx.sys [2009-11-17 25608]
R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [2009-11-17 161800]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-11-17 333192]
R1 AvgMfx86;AVG On-access Scanner Minifilter Driver x86;c:\windows\system32\drivers\avgmfx86.sys [2009-11-17 28424]
R1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-11-17 360584]
R1 SASDIFSV;SASDIFSV;c:\program files\superantispyware\sasdifsv.sys [2009-12-16 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\superantispyware\SASKUTIL.SYS [2009-12-16 74480]
R2 Akamai;Akamai NetSession Interface;c:\windows\system32\svchost.exe -k Akamai [2004-8-10 14336]
R2 AsSysCtrlService;ASUS System Control Service;c:\program files\asus\assysctrlservice\1.00.02\AsSysCtrlService.exe [2009-11-6 90112]
R2 avg9emc;AVG E-mail Scanner;c:\program files\avg\avg9\avgemc.exe [2009-11-17 906520]
R2 avg9wd;AVG WatchDog;c:\program files\avg\avg9\avgwdsvc.exe [2009-11-17 285392]
R2 avgfws9;AVG Firewall;c:\program files\avg\avg9\avgfws9.exe [2009-11-17 2303680]
R2 AVGIDSAgent;AVG9IDSAgent;c:\program files\avg\avg9\identity protection\agent\bin\AVGIDSAgent.exe [2009-11-17 5832712]
R2 DvmMDES;DeviceVM Meta Data Export Service;c:\asus.sys\config\DVMExportService.exe [2009-2-18 294912]
R3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [2009-11-17 30104]
R3 AVGIDSDriverxpx;AVG9IDSDriver;c:\program files\avg\avg9\identity protection\agent\driver\platform_xp\AVGIDSDriver.sys [2009-11-17 122376]
R3 AVGIDSFilterxpx;AVG9IDSFilter;c:\program files\avg\avg9\identity protection\agent\driver\platform_xp\AVGIDSFilter.sys [2009-11-17 30216]
R3 AVGIDSShimxpx;AVG9IDSShim;c:\program files\avg\avg9\identity protection\agent\driver\platform_xp\AVGIDSShim.sys [2009-11-17 25736]
R3 KeyScrambler;KeyScrambler;c:\windows\system32\drivers\keyscrambler.sys [2009-12-19 115312]
R3 SASENUM;SASENUM;c:\program files\superantispyware\SASENUM.SYS [2009-12-16 7408]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-11-29 1684736]
S3 Avgfwfd;AVG network filter service;c:\windows\system32\drivers\avgfwdx.sys [2009-11-17 30104]

=============== Created Last 30 ================

2010-01-07 00:22:27 0 d-sha-r- C:\cmdcons
2010-01-07 00:21:34 98816 ----a-w- c:\windows\sed.exe
2010-01-07 00:21:34 77312 ----a-w- c:\windows\MBR.exe
2010-01-07 00:21:34 261632 ----a-w- c:\windows\PEV.exe
2010-01-07 00:21:34 161792 ----a-w- c:\windows\SWREG.exe
2009-12-26 23:19:34 0 d-----w- C:\Uninstall
2009-12-26 19:34:58 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_xusb21_01007.Wdf
2009-12-26 19:34:57 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-12-26 19:34:45 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll
2009-12-25 15:42:05 0 d-----w- c:\docume~1\star\applic~1\PeggleDeluxe
2009-12-24 14:13:32 166912 ----a-w- c:\docume~1\star\applic~1\GameNIR.exe
2009-12-24 14:13:31 0 d-----w- c:\docume~1\star\applic~1\Luxor
2009-12-23 21:19:20 0 d-----w- c:\docume~1\alluse~1\applic~1\SUPERAntiSpyware.com
2009-12-23 21:19:07 0 d-----w- c:\program files\SUPERAntiSpyware
2009-12-23 21:19:07 0 d-----w- c:\docume~1\star\applic~1\SUPERAntiSpyware.com
2009-12-23 15:34:10 0 d-----w- c:\docume~1\star\applic~1\Malwarebytes
2009-12-23 15:34:08 0 d-----w- c:\program files\MALWAREBYTES ANTI-MALWARE
2009-12-23 15:34:05 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-23 15:34:04 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-23 15:34:04 0 d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-23 15:34:04 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes
2009-12-23 15:01:24 0 d-----w- c:\docume~1\star\applic~1\Abundante
2009-12-23 14:55:09 0 d-----w- c:\docume~1\star\applic~1\MyGames
2009-12-23 14:55:08 22 ----a-w- c:\windows\system32\crash_report.ini
2009-12-23 14:55:06 0 d-----w- c:\windows\system32\{1361570A-7A05-4FE0-B657-E2B1D167B03D}
2009-12-19 18:21:07 0 d-----w- c:\program files\fichiers communs\Akamai
2009-12-19 17:58:53 115312 ----a-w- c:\windows\system32\drivers\keyscrambler.sys
2009-12-19 17:58:53 0 d-----w- c:\program files\KeyScrambler
2009-12-19 00:54:59 0 d-----w- c:\program files\BestGameEver
2009-12-17 04:48:18 0 d-----w- c:\program files\PokerStars
2009-12-15 16:30:26 0 d-----w- C:\VundoFix Backups
2009-12-15 03:07:44 360320 ----a-w- c:\windows\system32\drivers\TCPIP.SYS.ORIGINAL
2009-12-15 03:07:00 0 d-----w- c:\docume~1\alluse~1\applic~1\c5aee30
2009-12-14 23:50:30 0 d-----w- c:\program files\Eidos
2009-12-12 04:54:35 0 d-----w- c:\program files\SpeederXP
2009-12-12 04:43:47 56 ----a-w- c:\windows\SpeederXP.INI
2009-12-11 23:59:12 73728 ----a-w- c:\windows\system32\javacpl.cpl
2009-12-11 23:59:12 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-11 09:37:56 536576 ----a-w- c:\windows\system32\crash_report.dll

==================== Find3M ====================

2010-01-07 18:26:12 215104 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-01-07 17:46:50 138576 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-01-05 20:54:57 95360 ------w- c:\windows\system32\drivers\atapi.sys
2009-12-10 15:02:01 80282 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-10 15:02:01 501264 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-02 18:45:41 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-12-02 06:24:45 22328 ----a-w- c:\docume~1\star\applic~1\PnkBstrK.sys
2009-12-02 06:23:05 674600 ----a-w- c:\windows\system32\pbsvc.exe
2009-11-30 01:14:55 9804 ---ha-w- c:\windows\system32\mlfcache.dat
2009-11-17 07:21:02 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2009-11-17 07:21:01 360584 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2009-11-17 07:21:01 25608 ----a-w- c:\windows\system32\drivers\AVGIDSxx.sys
2009-11-17 07:21:01 161800 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
2009-11-17 07:20:58 333192 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-11-17 07:20:26 50968 ----a-w- c:\windows\system32\avgfwdx.dll
2009-11-17 07:20:26 30104 ----a-w- c:\windows\system32\drivers\avgfwdx.sys
2009-11-14 00:49:00 120056 ------w- c:\windows\system32\pxcpyi64.exe
2009-11-14 00:49:00 118520 ------w- c:\windows\system32\pxinsi64.exe
2009-11-14 00:47:32 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-11-14 00:47:28 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47:28 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2009-11-14 00:47:28 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47:28 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2009-11-14 00:47:28 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2009-11-14 00:47:28 696320 ----a-w- c:\windows\system32\DivX.dll
2009-11-13 18:04:47 12400 ----a-w- c:\windows\system32\drivers\secdrv.sys
2009-11-06 17:25:04 6216032 ----a-w- C:\windowsupdateagent30-x86.exe
2009-11-06 08:09:37 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2009-10-29 05:20:44 672768 ------w- c:\windows\system32\wininet.dll
2009-10-21 06:03:11 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 06:03:10 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-13 10:52:18 267776 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:52:51 69632 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:52:51 113152 ----a-w- c:\windows\system32\rastls.dll
2006-06-24 19:48:54 32768 ----a-w- c:\windows\inf\UpdateUSB.exe

============= FINISH: 16:21:28,57 ===============

#11 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 60,831 posts
  • ONLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:12:12 AM

Posted 08 January 2010 - 03:14 AM

This is DDS.txt, I want to see attach.txt (this will be minimalized when DDS is run).

regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft


#12 Starseller

Starseller
  • Topic Starter

  • Members
  • 28 posts
  • OFFLINE
  •  
  • Local time:05:12 PM

Posted 08 January 2010 - 06:08 PM

Sorry here it is


UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_09-12-01.01)

Microsoft Windows XP Professionnel
Boot Device: \Device\HarddiskVolume1
Install Date: 2009-11-06 04:16:46
System Uptime: 2010-01-08 12:24:34 (6 hours ago)

Motherboard: ASUSTeK Computer INC. | | P6T SE
Processor: Processeur Intel Pentium III Xeon | LGA1366 | 2672/133mhz
Processor: Processeur Intel Pentium III Xeon | LGA1366 | 2672/133mhz
Processor: Processeur Intel Pentium III Xeon | LGA1366 | 2672/133mhz
Processor: Processeur Intel Pentium III Xeon | LGA1366 | 2672/133mhz
Processor: Processeur Intel Pentium III Xeon | LGA1366 | 2672/133mhz
Processor: Processeur Intel Pentium III Xeon | LGA1366 | 2672/133mhz
Processor: Processeur Intel Pentium III Xeon | LGA1366 | 2672/133mhz
Processor: Processeur Intel Pentium III Xeon | LGA1366 | 2672/133mhz

==== Disk Partitions =========================

C: is FIXED (NTFS) - 371 GiB total, 230,216 GiB free.
D: is FIXED (NTFS) - 95 GiB total, 94,584 GiB free.
E: is CDROM ()
F: is CDROM ()
G: is CDROM ()
I: is FIXED (NTFS) - 149 GiB total, 0,007 GiB free.

==== Disabled Device Manager Items =============

Class GUID:
Description: Audio Device on High Definition Audio Bus
Device ID: HDAUDIO\FUNC_01&VEN_1002&DEV_AA01&SUBSYS_00AA0100&REV_1001\5&683C0B4&1&0001
Manufacturer:
Name: Audio Device on High Definition Audio Bus
PNP Device ID: HDAUDIO\FUNC_01&VEN_1002&DEV_AA01&SUBSYS_00AA0100&REV_1001\5&683C0B4&1&0001
Service:

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Carte réseau 1394
Device ID: V1394\NIC1394\1F9C84F1E8C00
Manufacturer: Microsoft
Name: Carte réseau 1394
PNP Device ID: V1394\NIC1394\1F9C84F1E8C00
Service: NIC1394

==== System Restore Points ===================

RP47: 2010-01-06 13:21:16 - Software Distribution Service 3.0
RP48: 2010-01-07 00:15:42 - Software Distribution Service 3.0
RP49: 2010-01-08 01:24:30 - Point de vérification système
RP50: 2010-01-08 03:00:14 - Software Distribution Service 3.0
RP51: 2010-01-08 04:51:20 - Software Distribution Service 3.0

==== Installed Programs ======================

AAC Decoder
Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.2 - Français
Aion
Akamai NetSession Interface
Anno 1404
Apple Application Support
Apple Mobile Device Support
Apple Software Update
Assistant de connexion Windows Live
ATI - Utilitaire de désinstallation du logiciel
ATI AVIVO Codecs
ATI Catalyst Control Center
ATI Display Driver
ATI Problem Report Wizard
µTorrent
Audiosurf
AutoUpdate
AVG 9.0
Bonjour
Call of Duty 4: Modern Warfare
Catalyst Control Center - Branding
Catalyst Control Center Core Implementation
Catalyst Control Center Graphics Full Existing
Catalyst Control Center Graphics Full New
Catalyst Control Center Graphics Light
Catalyst Control Center Graphics Previews Common
Catalyst Control Center HydraVision Full
Catalyst Control Center Localization All
ccc-core-preinstall
ccc-core-static
ccc-utility
CCC Help Chinese Standard
CCC Help Chinese Traditional
CCC Help Czech
CCC Help Danish
CCC Help Dutch
CCC Help English
CCC Help Finnish
CCC Help French
CCC Help German
CCC Help Greek
CCC Help Hungarian
CCC Help Italian
CCC Help Japanese
CCC Help Korean
CCC Help Norwegian
CCC Help Polish
CCC Help Portuguese
CCC Help Russian
CCC Help Spanish
CCC Help Swedish
CCC Help Thai
CCC Help Turkish
CCleaner
Commandos 3 - Destination Berlin
Correctif pour Windows XP (KB935448)
Correctif pour Windows XP (KB942288-v3)
Correctif pour Windows XP (KB952287)
Correctif pour Windows XP (KB961118)
Correctif pour Windows XP (KB970653-v3)
Correctif pour Windows XP (KB976098-v2)
Curse Client
D-Link AirPlus G Wireless LAN Adapter
D-Link VGA Webcam
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Plus Web Player
DivX Version Checker
EPU-6 Engine
Express Gate
FPAdjust
H.264 Decoder
High Definition Audio Driver Package - KB888111
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows XP (KB954550-v5)
HydraVision
Installation Windows Live
iTunes
Java™ 6 Update 17
KeyScrambler
League of Legends
Left 4 Dead 2
Les Sims™ 3
Macromedia Dreamweaver 8
Macromedia Extension Manager
Macromedia Flash 8
Macromedia Flash 8 Video Encoder
Malwarebytes' Anti-Malware
Messenger Plus! Live
Microsoft .NET Framework 1.0 Hotfix (KB953295)
Microsoft .NET Framework 2.0 Language Pack - FRA
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Application Error Reporting
Microsoft Choice Guard
Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (English) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Shared MUI (English) 2007
Microsoft Office Shared Setup Metadata MUI (English) 2007
Microsoft Office Word 2007
Microsoft Office Word MUI (English) 2007
Microsoft Software Update for Web Folders (English) 12
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft WSE 3.0 Runtime
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)
Mise à jour de sécurité pour Lecteur Windows Media (KB954155)
Mise à jour de sécurité pour Lecteur Windows Media (KB968816)
Mise à jour de sécurité pour Lecteur Windows Media (KB973540)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB971961)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB974455)
Mise à jour de sécurité pour Windows XP (KB923561)
Mise à jour de sécurité pour Windows XP (KB923789)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB946648)
Mise à jour de sécurité pour Windows XP (KB950762)
Mise à jour de sécurité pour Windows XP (KB950974)
Mise à jour de sécurité pour Windows XP (KB951066)
Mise à jour de sécurité pour Windows XP (KB951376-v2)
Mise à jour de sécurité pour Windows XP (KB951748)
Mise à jour de sécurité pour Windows XP (KB952004)
Mise à jour de sécurité pour Windows XP (KB952954)
Mise à jour de sécurité pour Windows XP (KB954459)
Mise à jour de sécurité pour Windows XP (KB955069)
Mise à jour de sécurité pour Windows XP (KB956572)
Mise à jour de sécurité pour Windows XP (KB956744)
Mise à jour de sécurité pour Windows XP (KB956802)
Mise à jour de sécurité pour Windows XP (KB956803)
Mise à jour de sécurité pour Windows XP (KB956844)
Mise à jour de sécurité pour Windows XP (KB957097)
Mise à jour de sécurité pour Windows XP (KB958644)
Mise à jour de sécurité pour Windows XP (KB958687)
Mise à jour de sécurité pour Windows XP (KB958869)
Mise à jour de sécurité pour Windows XP (KB959426)
Mise à jour de sécurité pour Windows XP (KB960225)
Mise à jour de sécurité pour Windows XP (KB960803)
Mise à jour de sécurité pour Windows XP (KB960859)
Mise à jour de sécurité pour Windows XP (KB961371-v2)
Mise à jour de sécurité pour Windows XP (KB961501)
Mise à jour de sécurité pour Windows XP (KB968537)
Mise à jour de sécurité pour Windows XP (KB969059)
Mise à jour de sécurité pour Windows XP (KB969947)
Mise à jour de sécurité pour Windows XP (KB970238)
Mise à jour de sécurité pour Windows XP (KB970430)
Mise à jour de sécurité pour Windows XP (KB971032)
Mise à jour de sécurité pour Windows XP (KB971486)
Mise à jour de sécurité pour Windows XP (KB971557)
Mise à jour de sécurité pour Windows XP (KB971633)
Mise à jour de sécurité pour Windows XP (KB971657)
Mise à jour de sécurité pour Windows XP (KB971961)
Mise à jour de sécurité pour Windows XP (KB973354)
Mise à jour de sécurité pour Windows XP (KB973507)
Mise à jour de sécurité pour Windows XP (KB973525)
Mise à jour de sécurité pour Windows XP (KB973869)
Mise à jour de sécurité pour Windows XP (KB973904)
Mise à jour de sécurité pour Windows XP (KB974112)
Mise à jour de sécurité pour Windows XP (KB974318)
Mise à jour de sécurité pour Windows XP (KB974392)
Mise à jour de sécurité pour Windows XP (KB974455)
Mise à jour de sécurité pour Windows XP (KB974571)
Mise à jour de sécurité pour Windows XP (KB975025)
Mise à jour de sécurité pour Windows XP (KB975467)
Mise à jour de sécurité pour Windows XP (KB976325)
Mise à jour pour Microsoft Windows (KB971513)
Mise à jour pour Windows Internet Explorer 8 (KB975364)
Mise à jour pour Windows Internet Explorer 8 (KB976749)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB925720)
Mise à jour pour Windows XP (KB932823-v3)
Mise à jour pour Windows XP (KB943729)
Mise à jour pour Windows XP (KB951978)
Mise à jour pour Windows XP (KB961503)
Mise à jour pour Windows XP (KB967715)
Mise à jour pour Windows XP (KB968389)
Mise à jour pour Windows XP (KB971737)
Mise à jour pour Windows XP (KB973815)
Mise à jour pour Windows XP (KB976749)
MKV Splitter
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA
Mozilla Firefox (3.5.7)
MSVCRT
Native Instruments Audio 8 DJ Driver
Native Instruments Service Center
Native Instruments Traktor
NCsoft Launcher
Outil de téléchargement Windows Live
PokerStars
PowerISO
Prototype™
PunkBuster Services
QuickTime
Realtek AC'97 Audio
Realtek High Definition Audio Driver
Security Update for 2007 Microsoft Office System (KB969559)
Security Update for 2007 Microsoft Office System (KB973704)
Security Update for Microsoft Office system 2007 (972581)
Security Update for Microsoft Office system 2007 (KB974234)
Security Update for Microsoft Office Word 2007 (KB969604)
Segoe UI
SimCity 4 Deluxe
SpeederXP v2.62
SpeedFan (remove only)
SPORE™
Spybot - Search & Destroy
Steam
SUPERAntiSpyware Professional
Torchlight
TurboV
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update for Microsoft Office InfoPath 2007 (KB976416)
USB Mass Storage Toolbox
VC80CRTRedist - 8.0.50727.4053
Ventrilo Client
WebFldrs XP
Winamp
Windows Genuine Advantage Validation Tool (KB892130)
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Installer Clean Up
Windows Internet Explorer 8
Windows Live Call
Windows Live Communications Platform
Windows Live Messenger
Windows Live OneCare safety scanner
Windows Media Player Firefox Plugin
WinRAR archiver
Xvid 1.2.2 final uninstall

==== Event Viewer Messages From Past Week ========

2010-01-08 12:25:35, error: Service Control Manager [7000] - Le service Gestionnaire de téléchargement n'a pas pu démarrer en raison de l'erreur : Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus.
2010-01-08 04:51:34, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB956844).
2010-01-08 04:51:32, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour pour Windows XP (KB973687).
2010-01-08 04:51:30, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Jscript 5.6 pour Windows XP (KB971961).
2010-01-08 04:51:28, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f4 : Mise à jour de sécurité pour Windows XP (KB973768).
2010-01-08 04:51:27, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB958470).
2010-01-08 04:51:25, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB955069).
2010-01-08 04:51:23, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB944338).
2010-01-08 03:00:51, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour pour Windows XP (KB973687).
2010-01-08 03:00:51, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB956844).
2010-01-08 03:00:37, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f4 : Mise à jour de sécurité pour Windows XP (KB973768).
2010-01-08 03:00:37, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB958470).
2010-01-08 03:00:37, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Jscript 5.6 pour Windows XP (KB971961).
2010-01-08 03:00:30, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB944338).
2010-01-08 03:00:30, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB955069).
2010-01-07 09:23:24, error: Service Control Manager [7000] - Le service Gestionnaire de téléchargement n'a pas pu démarrer en raison de l'erreur : Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus.
2010-01-07 00:16:00, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB956844).
2010-01-07 00:15:57, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour pour Windows XP (KB973687).
2010-01-07 00:15:55, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Jscript 5.6 pour Windows XP (KB971961).
2010-01-07 00:15:53, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f4 : Mise à jour de sécurité pour Windows XP (KB973768).
2010-01-07 00:15:52, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB958470).
2010-01-07 00:15:50, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB955069).
2010-01-07 00:15:46, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB944338).
2010-01-06 19:38:23, error: Service Control Manager [7000] - Le service Gestionnaire de téléchargement n'a pas pu démarrer en raison de l'erreur : Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus.
2010-01-06 19:30:40, error: Service Control Manager [7034] - Le service ASUS System Control Service s'est terminé de façon inattendue pour la 1ème fois.
2010-01-06 19:29:55, error: Service Control Manager [7000] - Le service Gestionnaire de téléchargement n'a pas pu démarrer en raison de l'erreur : Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus.
2010-01-06 19:27:16, error: Service Control Manager [7034] - Le service ASUS System Control Service s'est terminé de façon inattendue pour la 1ème fois.
2010-01-06 19:21:07, error: Service Control Manager [7034] - Le service AVG E-mail Scanner s'est terminé de façon inattendue pour la 2ème fois.
2010-01-06 19:20:50, error: Service Control Manager [7034] - Le service AVG E-mail Scanner s'est terminé de façon inattendue pour la 1ème fois.
2010-01-06 13:21:41, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour pour Windows XP (KB973687).
2010-01-06 13:21:41, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB956844).
2010-01-06 13:21:30, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f4 : Mise à jour de sécurité pour Windows XP (KB973768).
2010-01-06 13:21:30, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB958470).
2010-01-06 13:21:30, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Jscript 5.6 pour Windows XP (KB971961).
2010-01-06 13:21:24, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB944338).
2010-01-06 13:21:24, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB955069).
2010-01-06 13:19:31, error: Service Control Manager [7000] - Le service Gestionnaire de téléchargement n'a pas pu démarrer en raison de l'erreur : Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus.
2010-01-06 13:19:14, error: Ftdisk [49] - Échec de la configuration du fichier d'échange pour le vidage sur incident. Assurez-vous qu'un fichier d'échange est présent sur la partition d'amorçage et qu'il est suffisamment grand pour contenir toute la mémoire physique.
2010-01-06 13:19:14, error: Ftdisk [45] - Le système n'a pas pu charger le pilote du fichier de vidage sur incident.
2010-01-05 23:08:21, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB956844).
2010-01-05 23:08:18, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour pour Windows XP (KB973687).
2010-01-05 23:04:45, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Jscript 5.6 pour Windows XP (KB971961).
2010-01-05 23:04:43, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f4 : Mise à jour de sécurité pour Windows XP (KB973768).
2010-01-05 23:04:32, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB958470).
2010-01-05 23:04:27, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB955069).
2010-01-05 23:04:24, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB944338).
2010-01-05 11:12:34, error: sr [1] - Le filtre de restauration du système à rencontré l'erreur inattendue '0xC000007F' pendant le traitement du fichier 'desktop.ini' sur le volume 'HarddiskVolume3'. Ceci a entraîné l'arrêt de la surveillance du volume.
2010-01-05 09:48:31, error: Service Control Manager [7000] - Le service Gestionnaire de téléchargement n'a pas pu démarrer en raison de l'erreur : Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus.
2010-01-05 09:48:13, error: Ftdisk [49] - Échec de la configuration du fichier d'échange pour le vidage sur incident. Assurez-vous qu'un fichier d'échange est présent sur la partition d'amorçage et qu'il est suffisamment grand pour contenir toute la mémoire physique.
2010-01-05 09:48:13, error: Ftdisk [45] - Le système n'a pas pu charger le pilote du fichier de vidage sur incident.
2010-01-05 00:44:59, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB956844).
2010-01-05 00:44:50, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour pour Windows XP (KB973687).
2010-01-05 00:42:46, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Jscript 5.6 pour Windows XP (KB971961).
2010-01-05 00:42:43, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f4 : Mise à jour de sécurité pour Windows XP (KB973768).
2010-01-05 00:42:34, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB958470).
2010-01-05 00:42:31, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB955069).
2010-01-05 00:42:28, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB944338).
2010-01-04 20:49:20, error: Service Control Manager [7000] - Le service Gestionnaire de téléchargement n'a pas pu démarrer en raison de l'erreur : Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus.
2010-01-04 20:48:51, error: Ftdisk [49] - Échec de la configuration du fichier d'échange pour le vidage sur incident. Assurez-vous qu'un fichier d'échange est présent sur la partition d'amorçage et qu'il est suffisamment grand pour contenir toute la mémoire physique.
2010-01-04 20:48:51, error: Ftdisk [45] - Le système n'a pas pu charger le pilote du fichier de vidage sur incident.
2010-01-04 20:48:49, error: Dhcp [1002] - Le bail de l'adresse IP 192.168.0.101 pour la carte réseau dont l'adresse réseau est 00119517ECC9 a été refusé par le serveur DHCP 192.168.0.1 (celui-ci a envoyé un message DHCPNACK).
2010-01-04 20:03:36, error: Service Control Manager [7011] - Délai (30000 millisecondes) d'attente pour une réponse du service avg9wd à une transaction.
2010-01-04 20:03:06, error: Service Control Manager [7011] - Délai (30000 millisecondes) d'attente pour une réponse du service avg9wd à une transaction.
2010-01-04 18:36:36, error: Service Control Manager [7034] - Le service AVG E-mail Scanner s'est terminé de façon inattendue pour la 1ème fois.
2010-01-04 10:10:16, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour pour Windows XP (KB973687).
2010-01-04 10:10:16, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB956844).
2010-01-04 10:10:06, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f4 : Mise à jour de sécurité pour Windows XP (KB973768).
2010-01-04 10:10:06, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB958470).
2010-01-04 10:10:06, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Jscript 5.6 pour Windows XP (KB971961).
2010-01-04 10:10:01, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB944338).
2010-01-04 10:10:01, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB955069).
2010-01-04 10:08:00, error: Service Control Manager [7000] - Le service Gestionnaire de téléchargement n'a pas pu démarrer en raison de l'erreur : Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus.
2010-01-04 10:07:44, error: Ftdisk [49] - Échec de la configuration du fichier d'échange pour le vidage sur incident. Assurez-vous qu'un fichier d'échange est présent sur la partition d'amorçage et qu'il est suffisamment grand pour contenir toute la mémoire physique.
2010-01-04 10:07:44, error: Ftdisk [45] - Le système n'a pas pu charger le pilote du fichier de vidage sur incident.
2010-01-04 10:06:00, error: Service Control Manager [7000] - Le service Gestionnaire de téléchargement n'a pas pu démarrer en raison de l'erreur : Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus.
2010-01-04 10:05:43, error: Ftdisk [49] - Échec de la configuration du fichier d'échange pour le vidage sur incident. Assurez-vous qu'un fichier d'échange est présent sur la partition d'amorçage et qu'il est suffisamment grand pour contenir toute la mémoire physique.
2010-01-04 10:05:43, error: Ftdisk [45] - Le système n'a pas pu charger le pilote du fichier de vidage sur incident.
2010-01-03 22:32:52, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB956844).
2010-01-03 22:32:49, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour pour Windows XP (KB973687).
2010-01-03 22:32:46, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Jscript 5.6 pour Windows XP (KB971961).
2010-01-03 22:32:44, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f4 : Mise à jour de sécurité pour Windows XP (KB973768).
2010-01-03 22:32:43, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB958470).
2010-01-03 22:32:40, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB955069).
2010-01-03 22:32:37, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB944338).
2010-01-03 11:47:49, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour pour Windows XP (KB973687).
2010-01-03 11:47:49, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB956844).
2010-01-03 11:47:42, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f4 : Mise à jour de sécurité pour Windows XP (KB973768).
2010-01-03 11:47:42, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB958470).
2010-01-03 11:47:42, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Jscript 5.6 pour Windows XP (KB971961).
2010-01-03 11:47:35, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB944338).
2010-01-03 11:47:35, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB955069).
2010-01-03 11:46:10, error: Service Control Manager [7000] - Le service Gestionnaire de téléchargement n'a pas pu démarrer en raison de l'erreur : Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus.
2010-01-03 11:45:38, error: Ftdisk [49] - Échec de la configuration du fichier d'échange pour le vidage sur incident. Assurez-vous qu'un fichier d'échange est présent sur la partition d'amorçage et qu'il est suffisamment grand pour contenir toute la mémoire physique.
2010-01-03 11:45:38, error: Ftdisk [45] - Le système n'a pas pu charger le pilote du fichier de vidage sur incident.
2010-01-03 11:43:52, error: Service Control Manager [7000] - Le service Gestionnaire de téléchargement n'a pas pu démarrer en raison de l'erreur : Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus.
2010-01-03 11:43:31, error: Ftdisk [49] - Échec de la configuration du fichier d'échange pour le vidage sur incident. Assurez-vous qu'un fichier d'échange est présent sur la partition d'amorçage et qu'il est suffisamment grand pour contenir toute la mémoire physique.
2010-01-03 11:43:31, error: Ftdisk [45] - Le système n'a pas pu charger le pilote du fichier de vidage sur incident.
2010-01-03 02:41:37, error: ati2mtag [52250] - CPLIB :: OPM - Failed the HFS
2010-01-02 03:00:52, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour pour Windows XP (KB973687).
2010-01-02 03:00:52, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB956844).
2010-01-02 03:00:41, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f4 : Mise à jour de sécurité pour Windows XP (KB973768).
2010-01-02 03:00:41, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB958470).
2010-01-02 03:00:41, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Jscript 5.6 pour Windows XP (KB971961).
2010-01-02 03:00:35, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB944338).
2010-01-02 03:00:35, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB955069).
2010-01-01 23:07:35, error: Ftdisk [49] - Échec de la configuration du fichier d'échange pour le vidage sur incident. Assurez-vous qu'un fichier d'échange est présent sur la partition d'amorçage et qu'il est suffisamment grand pour contenir toute la mémoire physique.
2010-01-01 23:07:35, error: Ftdisk [45] - Le système n'a pas pu charger le pilote du fichier de vidage sur incident.
2010-01-01 22:42:49, error: Service Control Manager [7000] - Le service Gestionnaire de téléchargement n'a pas pu démarrer en raison de l'erreur : Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus.
2010-01-01 22:42:33, error: Ftdisk [49] - Échec de la configuration du fichier d'échange pour le vidage sur incident. Assurez-vous qu'un fichier d'échange est présent sur la partition d'amorçage et qu'il est suffisamment grand pour contenir toute la mémoire physique.
2010-01-01 22:42:33, error: Ftdisk [45] - Le système n'a pas pu charger le pilote du fichier de vidage sur incident.
2010-01-01 11:44:38, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB956844).
2010-01-01 11:44:35, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour pour Windows XP (KB973687).
2010-01-01 11:44:32, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Jscript 5.6 pour Windows XP (KB971961).
2010-01-01 11:44:30, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f4 : Mise à jour de sécurité pour Windows XP (KB973768).
2010-01-01 11:44:29, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB958470).
2010-01-01 11:44:26, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB955069).
2010-01-01 11:44:24, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB944338).
2010-01-01 09:19:24, error: Service Control Manager [7000] - Le service Gestionnaire de téléchargement n'a pas pu démarrer en raison de l'erreur : Le compte spécifié pour ce service est différent du compte spécifié pour d'autres services s'exécutant dans le même processus.
2010-01-01 09:19:02, error: Ftdisk [49] - Échec de la configuration du fichier d'échange pour le vidage sur incident. Assurez-vous qu'un fichier d'échange est présent sur la partition d'amorçage et qu'il est suffisamment grand pour contenir toute la mémoire physique.
2010-01-01 09:19:02, error: Ftdisk [45] - Le système n'a pas pu charger le pilote du fichier de vidage sur incident.
2010-01-01 00:52:59, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB956844).
2010-01-01 00:52:56, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour pour Windows XP (KB973687).
2010-01-01 00:52:54, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Jscript 5.6 pour Windows XP (KB971961).
2010-01-01 00:52:51, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f4 : Mise à jour de sécurité pour Windows XP (KB973768).
2010-01-01 00:52:51, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB958470).
2010-01-01 00:52:48, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0ed : Mise à jour de sécurité pour Windows XP (KB955069).
2010-01-01 00:52:44, error: Windows Update Agent [20] - Échec de l'installation : l'installation de la mise à jour suivante a échoué avec l'erreur 0x8007f0f1 : Mise à jour de sécurité pour Windows XP (KB944338).

==== End Of File ===========================

#13 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 60,831 posts
  • ONLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:12:12 AM

Posted 09 January 2010 - 03:56 AM

Hello Starseller,

P2P WARNING
-------------------
Going over your logs I noticed that you have uTorrent installed.
  • Avoid gaming sites, pirated software, cracking tools, keygens, and peer-to-peer (P2P) file sharing programs.
  • They are a security risk which can make your computer susceptible to a smörgåsbord of malware infections, remote attacks, exposure of personal information, and identity theft. Many malicious worms and Trojans spread across P2P file sharing networks, gaming and underground sites.
  • Users visiting such pages may see innocuous-looking banner ads containing code which can trigger pop-up ads and malicious Flash ads that install viruses, Trojans and spyware. Ads are a target for hackers because they offer a stealthy way to distribute malware to a wide range of Internet users.
  • The best way to reduce the risk of infection is to avoid these types of web sites and not use any P2P applications.
It is pretty much certain that if you continue to use P2P programs, you will get infected again.
I would recommend that you uninstall uTorrent, however that choice is up to you. If you choose to remove these programs, you can do so via Start > Control Panel > Add/Remove Programs.

If you wish to keep it, please do not use it until your computer is cleaned.


Your log shows you have some problems with Windows Updates.
  • Please download Dial-A-Fix from one of the following mirrors:
  • Extract the zip file to your desktop.
  • Double click Dial-a-Fix.exe to start the program. Note - you might see an error message regarding Internet Explorer. Just ignore this and continue.
  • Place a check mark in front of Fix windows updates.
  • Click on go
  • Exit/Close Dial-A-Fix
ESET ONLINE SCANNER
----------------------------
I'd like us to scan your machine with ESET OnlineScan
  • Hold down Control and click on the following link to open ESET OnlineScan in a new window.
    ESET OnlineScan
  • Click the Posted Image button.
  • For alternate browsers only: (Microsoft Internet Explorer users can skip these steps)
    • Click on Posted Image to download the ESET Smart Installer. Save it to your desktop.
    • Double click on the Posted Image icon on your desktop.
  • Check Posted Image
  • Click the Posted Image button.
  • Accept any security warnings from your browser.
  • Check Posted Image
  • Push the Start button.
  • ESET will then download updates for itself, install itself, and begin scanning your computer. Please be patient as this can take some time.
  • When the scan completes, push Posted Image
  • Push Posted Image, and save the file to your desktop using a unique name, such as ESETScan. Include the contents of this report in your next reply.
    Note - when ESET doesn't find any threats, no report will be created.
  • Push the Posted Image button.
  • Push Posted Image
In your next reply, please include the following:
  • ESET online scan results

regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft


#14 Starseller

Starseller
  • Topic Starter

  • Members
  • 28 posts
  • OFFLINE
  •  
  • Local time:05:12 PM

Posted 09 January 2010 - 01:32 PM

C:\Documents and Settings\Star\Mes documents\Downloads\The_Sims_3-Razor1911\rzr-sim3.iso probably a variant of Win32/Hupigon trojan deleted - quarantined
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\atapi.sys.vir Win32/Olmarik.RF virus deleted - quarantined

restored the iso file, but I can delete it if needed, i dont think a .ISO can execute itself to harm my computer, if yes, just tell me? :(

#15 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 60,831 posts
  • ONLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:12:12 AM

Posted 09 January 2010 - 01:41 PM

Its not a good idea to keep that iso file. Once the file is mounted, the malware can spread whenever and whereever it likes, its a risk to keep this on your computer!

Do you have any problems left?

regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft





0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users