Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Antivirus Soft Infection


  • This topic is locked This topic is locked
22 replies to this topic

#1 waynacaz

waynacaz

  • Members
  • 11 posts
  • OFFLINE
  •  
  • Local time:11:26 PM

Posted 25 March 2010 - 10:33 AM

Hello,

A couple of days ago, I got infected with the Antivirus Soft malware and since have not been able to elminate the issue.

I have tried 'Bleeping Computer's' removal guide for this specific malware, but I believe my computer is still infected.

I cannot connect to the internet either through the ethernet cable or wirelessly. I have tried to modify the LAN setting option in IE to no avail.

Work-Up done so far:
Downloaded and run Malwarebytes
Downloaded and run ComboFix

Thanks for the help in advance.

BC AdBot (Login to Remove)

 


#2 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 61,207 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:06:26 AM

Posted 25 March 2010 - 02:10 PM

As no logs have been posted, I am shifting this topic from the specialized Malware Removal forum to the Am I Infected forum.

==>PLEASE DO NOT NOW POST LOGS<== unless a log is specifically requested.

Please describe the issues you are experiencing with your computer.

regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft


#3 waynacaz

waynacaz
  • Topic Starter

  • Members
  • 11 posts
  • OFFLINE
  •  
  • Local time:11:26 PM

Posted 26 March 2010 - 12:47 AM

Thank you for responding.

Once again, I think I'm still infected with the 'Antivirus Soft' malware after an unsuccessful removal following a guide for this specific malware from 'Bleeping Computer'.

Currently, I can't connect to the internet either through an Ethernet cable or wirelessly. I have tried to modify the LAN setting option in IE to no avail.

Work-Up done so far:
Downloaded and run Malwarebytes
Downloaded and run ComboFix
Downloaded and run CCleaner
Downloaded and run DrWebit
Downloaded and run SuperAnti Spyware

What happens with the computer:
Cannot perform system restore
Able to use Task Manager
Ipconfig /all in CMD => 'Internal Error', 'Cannot find host name'
'Windows Security Alert' icon found on right lower corner

I apologize for not attaching the logs such as DDS.txt, Attach.txt, and Ark.txt (GMER log), but I DO HAVE THEM now. Do you want to see them?

Thank you.

#4 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 61,207 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:06:26 AM

Posted 26 March 2010 - 05:07 AM

Yes, I think its a good idea to post these logs. Once you do so I will move this topic back to the Malware Removal forum and provide you with further steps.

Please post also the Combofix log (its located at c:\combofix.txt).

regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft


#5 waynacaz

waynacaz
  • Topic Starter

  • Members
  • 11 posts
  • OFFLINE
  •  
  • Local time:11:26 PM

Posted 26 March 2010 - 11:42 AM

DDS.txt:


DDS (Ver_10-03-17.01) - NTFSx86
Run by Christian A. Zegarra at 22:32:38.64 on 25/03/2010
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_16
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.992.458 [GMT -4:00]

AV: The Hacker Antivirus 6.2 *On-access scanning disabled* (Outdated) {34874241-C32D-4048-A95F-7E35CC7CB0F6}
AV: Eset NOD32 antivirus system 2.51 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Google\Update\1.2.183.23\GoogleCrashHandler.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\thcli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Nike+ Utility\Nike+ Utility.exe
C:\WINDOWS\system32\msfeedssync.exe
svchost.exe
C:\WINDOWS\system32\AppleTimeSrv.exe
C:\Archivos de programa\Spyware Doctor\BDT\BDTUpdateService.exe
svchost.exe
C:\WINDOWS\system32\svchost.exe -k hpdevmgmt
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\STacSV.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dumprep.exe
C:\WINDOWS\system32\dumprep.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dwwin.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqbam08.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Documents and Settings\Christian A. Zegarra\Escritorio\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.google.com
uSearchAssistant = hxxp://www.google.com
uURLSearchHooks: Yahoo! Toolbar: {ef99bd32-c1fb-11d2-892f-0090271d4f88} -
BHO: PC Tools Browser Guard BHO: {2a0f3d1b-0909-4ff4-b272-609cce6054e7} - c:\archivos de programa\spyware doctor\bdt\PCTBrowserDefender.dll
TB: {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No File
TB: &Windows Live Toolbar: {21fa44ef-376d-4d53-9b0f-8a89d3229068} - c:\archivos de programa\windows live\toolbar\wltcore.dll
TB: PC Tools Browser Guard: {472734ea-242a-422b-adf8-83d1e48cc825} - c:\archivos de programa\spyware doctor\bdt\PCTBrowserDefender.dll
TB: {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [The Hacker Monitor - Cliente] c:\windows\thcli.exe
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\docume~1\alluse~1\menini~1\progra~1\inicio\hpdigi~1.lnk - c:\archivos de programa\hp\digital imaging\bin\hpqtra08.exe
StartupFolder: c:\docume~1\alluse~1\menini~1\progra~1\inicio\nike_u~1.lnk - c:\archivos de programa\nike+ utility\Nike+ Utility.exe
IE: E&xport to Microsoft Excel - c:\archiv~1\micros~2\office12\EXCEL.EXE/3000
IE: E&xportar a Microsoft Excel - c:\archiv~1\micros~2\office11\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\archivos de programa\messenger\msmsgs.exe
IE: {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - {0B4350D1-055F-47A3-B112-5F2F2B0D6F08} - c:\archivos de programa\google\google gears\internet explorer\0.5.36.0\gears.dll
IE: {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\archiv~1\micros~3\INetRepl.dll
IE: {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\archiv~1\micros~3\INetRepl.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\archiv~1\micros~2\office11\REFIEBAR.DLL
IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - c:\archivos de programa\hp\digital imaging\smart web printing\hpswp_BHO.dll
Trusted Zone: kuaiche.com\software
DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - hxxp://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168828650666
DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} - hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
DPF: {C3C304ED-7599-4A9D-8AD3-2F8648AFBD1A} - hxxp://www.bacuslabs.com.njmstss.umdnj.edu/plugin/WEBSLIDE.EXE
DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab
DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} - hxxp://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\archiv~1\archiv~1\skype\SKYPE4~1.DLL
Notify: !SASWinLogon - c:\archivos de programa\superantispyware\SASWINLO.dll
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: SABShellExecuteHook Class: {5ae067d3-9afb-48e0-853a-ebb7f4a000da} - c:\archivos de programa\superantispyware\SASSEH.DLL

================= FIREFOX ===================

FF - ProfilePath -
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\
FF - HiddenExtension: Java Console: No Registry Reference - c:\archivos de programa\mozilla firefox 3.1 beta 1\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("ui.use_native_colors", true);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("svg.smil.enabled", false);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("browser.formfill.debug", false);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\all.js - pref("html5.enable", false);
c:\archivos de programa\mozilla firefox 3.1 beta 1\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\archivos de programa\mozilla firefox 3.1 beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

============= SERVICES / DRIVERS ===============

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-3-23 217032]
R1 SASDIFSV;SASDIFSV;c:\archivos de programa\superantispyware\sasdifsv.sys [2010-2-17 12872]
R1 SASKUTIL;SASKUTIL;c:\archivos de programa\superantispyware\SASKUTIL.SYS [2010-2-17 66632]
R2 AppleTimeSrv;Apple Time Service;c:\windows\system32\AppleTimeSrv.exe [2007-3-21 83536]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\archivos de programa\spyware doctor\bdt\BDTUpdateService.exe [2010-3-23 112592]
R2 KeyAgent;KeyAgent;c:\windows\system32\drivers\KeyAgent.sys [2007-1-14 6016]
R2 MacHALDriver;MacHALDriver;c:\windows\system32\drivers\MacHALDriver.sys [2007-5-9 3840]
R2 NOD32krn;NOD32 Kernel Service;c:\archivos de programa\eset\nod32krn.exe [2008-7-15 507904]
R2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [2010-3-24 52832]
R3 aapltctp;Apple Trackpad Filter;c:\windows\system32\drivers\aapltctp.sys [2006-10-19 4992]
R3 aapltp;Apple Trackpad Driver;c:\windows\system32\drivers\aapltp.sys [2006-10-19 35712]
R3 IRRemoteFlt;IR Remote Filter Driver;c:\windows\system32\drivers\IRFilter.sys [2007-5-9 10240]
R3 keymagic;USB Keyboard HID Filter;c:\windows\system32\drivers\KeyMagic.sys [2007-1-14 11904]
S2 gupdate1c9a76744b07a7a;Google Update Service (gupdate1c9a76744b07a7a);c:\archivos de programa\google\update\GoogleUpdate.exe [2009-3-17 133104]
S2 T_H_C_L_I;The Hacker Client;c:\windows\thcli.exe [2008-7-15 122880]
S3 BLUETOOTH_KICKER;Apple Bluetooth Driver;c:\windows\system32\drivers\BthKicker.sys [2006-8-25 6272]
S3 iSightUpdate;iSight Update Driver;c:\windows\system32\drivers\iSightUP.sys [2006-9-5 18304]
S3 SASENUM;SASENUM;c:\archivos de programa\superantispyware\SASENUM.SYS [2010-2-17 12872]
S3 sdAuxService;PC Tools Auxiliary Service;c:\archivos de programa\spyware doctor\pctsAuxs.exe [2010-3-23 366840]
S3 sdCoreService;PC Tools Security Service;c:\archivos de programa\spyware doctor\pctsSvc.exe [2010-3-23 1142224]
S3 StartupDiskDriver;StartupDiskDriver;c:\windows\system32\drivers\StartupDiskDriver.sys [2006-9-26 4736]

============== File Associations ===============

.txt=

=============== Created Last 30 ================

2010-03-26 02:31:19 0 ----a-w- c:\documents and settings\christian a. zegarra\defogger_reenable
2010-03-25 03:49:30 0 d-----w- c:\archivos de programa\CCleaner
2010-03-25 03:49:18 0 d-----w- c:\docume~1\christ~1.zeg\datosd~1\PC Tools
2010-03-25 03:49:18 0 d-----w- c:\docume~1\alluse~1\datosd~1\PC Tools
2010-03-25 03:49:16 0 d-----w- c:\windows\setup.pss
2010-03-25 03:49:15 0 d-----w- c:\docume~1\alluse~1\datosd~1\PrevxCSI
2010-03-25 03:49:09 0 d-----w- c:\docume~1\alluse~1\datosd~1\SUPERAntiSpyware.com
2010-03-25 03:49:08 0 d-----w- c:\archivos de programa\archivos comunes\Wise Installation Wizard
2010-03-25 01:53:56 0 d-----w- c:\documents and settings\christian a. zegarra\DoctorWeb
2010-03-24 09:05:10 0 d-sha-r- C:\cmdcons
2010-03-24 08:20:13 98816 ----a-w- c:\windows\sed.exe
2010-03-24 08:20:13 77312 ----a-w- c:\windows\MBR.exe
2010-03-24 08:20:13 261632 ----a-w- c:\windows\PEV.exe
2010-03-24 08:20:13 161792 ----a-w- c:\windows\SWREG.exe
2010-03-24 04:08:13 52832 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-03-24 04:07:52 55 ----a-w- c:\windows\wininit.ini
2010-03-24 02:16:32 0 d-----w- c:\docume~1\christ~1.zeg\datosd~1\SUPERAntiSpyware.com
2010-03-24 02:16:32 0 d-----w- c:\archivos de programa\SUPERAntiSpyware
2010-03-23 10:26:06 767952 ----a-w- c:\windows\BDTSupport.dll
2010-03-23 10:26:03 882 ----a-w- c:\windows\RegSDImport.xml
2010-03-23 10:26:02 879 ----a-w- c:\windows\RegISSImport.xml
2010-03-23 10:26:02 149456 ----a-w- c:\windows\SGDetectionTool.dll
2010-03-23 10:26:02 131 ----a-w- c:\windows\IDB.zip
2010-03-23 10:26:01 165840 ----a-w- c:\windows\PCTBDRes.dll
2010-03-23 10:26:01 1652688 ----a-w- c:\windows\PCTBDCore.dll
2010-03-23 10:26:01 1152444 ----a-w- c:\windows\UDB.zip
2010-03-23 10:25:42 7387 ----a-w- c:\windows\system32\drivers\pctgntdi.cat
2010-03-23 10:25:42 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2010-03-23 10:25:28 7383 ----a-w- c:\windows\system32\drivers\pctcore.cat
2010-03-23 10:25:27 88040 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2010-03-23 10:25:27 7412 ----a-w- c:\windows\system32\drivers\PCTAppEvent.cat
2010-03-23 10:25:27 217032 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2010-03-23 10:25:04 7383 ----a-w- c:\windows\system32\drivers\pctplsg.cat
2010-03-23 10:25:03 70408 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2010-03-23 10:24:26 0 d-----w- c:\archivos de programa\archivos comunes\PC Tools
2010-03-23 09:48:40 0 d-----w- c:\docume~1\christ~1.zeg\datosd~1\Malwarebytes
2010-03-23 09:48:35 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-23 09:48:33 0 d-----w- c:\docume~1\alluse~1\datosd~1\Malwarebytes
2010-03-23 09:48:32 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-23 09:48:30 0 d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2010-03-13 12:28:12 0 d-----w- C:\b06915107c16e9de18
2010-03-12 10:34:47 0 d-----w- C:\06bcc50e2cbbbd13934497edb56e29
2010-03-07 18:45:07 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-03-07 18:36:21 0 d-----r- c:\archivos de programa\Skype
2010-03-06 23:01:58 411368 ----a-w- c:\windows\system32\deploytk.dll

==================== Find3M ====================

2010-03-26 02:31:32 49292 ----a-w- c:\windows\system32\perfc00A.dat
2010-03-26 02:31:32 358904 ----a-w- c:\windows\system32\perfh00A.dat
2010-02-06 11:47:26 41736 ---ha-w- c:\windows\system32\mlfcache.dat

============= FINISH: 22:33:22.50 ===============




#6 waynacaz

waynacaz
  • Topic Starter

  • Members
  • 11 posts
  • OFFLINE
  •  
  • Local time:11:26 PM

Posted 26 March 2010 - 11:44 AM

Attach.txt:


UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_10-03-17.01)

Microsoft Windows XP Professional
Boot Device: \Device\HarddiskVolume2
Install Date: 14/01/2007 12:35:35 p.m.
System Uptime: 25/03/2010 10:25:41 p.m. (0 hours ago)

Motherboard: Apple Computer, Inc. | | Mac-F4208CC8
Processor: Genuine Intel® CPU 1500 @ 2.00GHz | U2E1 | 1997/166mhz
Processor: Genuine Intel® CPU 1500 @ 2.00GHz | U2E1 | 1997/166mhz

==== Disk Partitions =========================

C: is FIXED (NTFS) - 69 GiB total, 14.528 GiB free.
D: is CDROM ()
E: is Removable

==== Disabled Device Manager Items =============

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description:
Device ID: ACPI\APP0002\A
Manufacturer:
Name:
PNP Device ID: ACPI\APP0002\A
Service:

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description:
Device ID: ACPI\APP0001\4&38462492&0
Manufacturer:
Name:
PNP Device ID: ACPI\APP0001\4&38462492&0
Service:

==== System Restore Points ===================

RP556: 09/02/2010 09:12:57 a.m. - Punto de control del sistema
RP557: 09/02/2010 02:17:19 p.m. - Punto de control del sistema
RP558: 10/02/2010 02:55:38 p.m. - Punto de control del sistema
RP559: 10/02/2010 06:41:57 p.m. - Software Distribution Service 3.0
RP560: 11/02/2010 06:57:21 p.m. - Punto de control del sistema
RP561: 12/02/2010 07:16:43 p.m. - Punto de control del sistema
RP562: 13/02/2010 07:29:39 p.m. - Punto de control del sistema
RP563: 14/02/2010 08:23:03 p.m. - Punto de control del sistema
RP564: 15/02/2010 10:17:50 p.m. - Punto de control del sistema
RP565: 16/02/2010 11:17:33 p.m. - Punto de control del sistema
RP566: 17/02/2010 11:25:07 p.m. - Punto de control del sistema
RP567: 19/02/2010 07:08:52 a.m. - Punto de control del sistema
RP568: 20/02/2010 12:15:25 p.m. - Punto de control del sistema
RP569: 21/02/2010 12:26:16 p.m. - Punto de control del sistema
RP570: 22/02/2010 01:12:04 p.m. - Punto de control del sistema
RP571: 23/02/2010 01:23:36 p.m. - Punto de control del sistema
RP572: 24/02/2010 03:03:19 p.m. - Punto de control del sistema
RP573: 25/02/2010 06:06:41 a.m. - Software Distribution Service 3.0
RP574: 26/02/2010 08:47:00 a.m. - Punto de control del sistema
RP575: 27/02/2010 09:14:51 a.m. - Punto de control del sistema
RP576: 28/02/2010 09:19:14 a.m. - Punto de control del sistema
RP577: 01/03/2010 10:00:43 a.m. - Punto de control del sistema
RP578: 02/03/2010 10:53:18 a.m. - Punto de control del sistema
RP579: 03/03/2010 11:43:53 a.m. - Punto de control del sistema
RP580: 04/03/2010 12:10:39 p.m. - Punto de control del sistema
RP581: 05/03/2010 01:10:44 p.m. - Punto de control del sistema
RP582: 06/03/2010 01:38:26 p.m. - Punto de control del sistema
RP583: 06/03/2010 06:01:20 p.m. - Instalado Java™ 6 Update 16
RP584: 08/03/2010 08:40:48 a.m. - Punto de control del sistema
RP585: 09/03/2010 09:36:56 a.m. - Punto de control del sistema
RP586: 10/03/2010 06:54:49 a.m. - Removed Skype Toolbars
RP587: 11/03/2010 07:08:23 a.m. - Punto de control del sistema
RP588: 12/03/2010 05:33:54 a.m. - Software Distribution Service 3.0
RP589: 13/03/2010 07:27:59 a.m. - Software Distribution Service 3.0
RP590: 14/03/2010 08:46:22 a.m. - Punto de control del sistema
RP591: 15/03/2010 09:07:54 a.m. - Punto de control del sistema
RP592: 16/03/2010 09:13:45 a.m. - Punto de control del sistema
RP593: 17/03/2010 09:22:33 a.m. - Punto de control del sistema
RP594: 17/03/2010 07:18:03 p.m. - Software Distribution Service 3.0
RP595: 18/03/2010 09:58:48 p.m. - Punto de control del sistema
RP596: 19/03/2010 10:22:30 p.m. - Punto de control del sistema
RP597: 20/03/2010 11:34:43 p.m. - Punto de control del sistema
RP598: 22/03/2010 06:15:56 a.m. - Punto de control del sistema
RP599: 23/03/2010 07:09:54 a.m. - Punto de control del sistema
RP600: 23/03/2010 03:55:05 p.m. - Operación de restauración
RP601: 23/03/2010 04:16:52 p.m. - Operación de restauración
RP602: 23/03/2010 04:23:18 p.m. - Operación de restauración
RP603: 23/03/2010 04:46:24 p.m. - Operación de restauración
RP604: 23/03/2010 08:07:28 p.m. - Operación de restauración
RP605: 23/03/2010 08:38:14 p.m. - Operación de restauración
RP606: 23/03/2010 08:55:40 p.m. - Operación de restauración
RP607: 23/03/2010 09:33:49 p.m. - Configured TBS WMP Plug-in
RP608: 23/03/2010 10:16:29 p.m. - Installed SUPERAntiSpyware Free Edition
RP609: 23/03/2010 02:42:49 a.m. - Punto de control del sistema
RP610: 24/03/2010 11:45:22 p.m. - Operación de restauración

==== Installed Programs ======================

2009FredV2Step1
32 Bit HP CIO Components Installer
Acrobat.com
Actualización de seguridad para el Reproductor de Windows Media (KB911564)
Actualización de seguridad para el Reproductor de Windows Media 6.4 (KB925398)
Actualización de seguridad para Windows Internet Explorer 7 (KB938127)
Actualización de seguridad para Windows Internet Explorer 7 (KB942615)
Actualización de seguridad para Windows Internet Explorer 7 (KB944533)
Actualización de seguridad para Windows Internet Explorer 7 (KB950759)
Actualización de seguridad para Windows Internet Explorer 7 (KB953838)
Actualización de seguridad para Windows Internet Explorer 8 (KB969897)
Actualización de seguridad para Windows Internet Explorer 8 (KB971961)
Actualización de seguridad para Windows Internet Explorer 8 (KB972260)
Actualización de seguridad para Windows Internet Explorer 8 (KB974455)
Actualización de seguridad para Windows Internet Explorer 8 (KB976325)
Actualización de seguridad para Windows Internet Explorer 8 (KB978207)
Actualización de seguridad para Windows XP (KB893756)
Actualización de seguridad para Windows XP (KB896358)
Actualización de seguridad para Windows XP (KB896423)
Actualización de seguridad para Windows XP (KB896424)
Actualización de seguridad para Windows XP (KB896428)
Actualización de seguridad para Windows XP (KB899587)
Actualización de seguridad para Windows XP (KB899591)
Actualización de seguridad para Windows XP (KB900725)
Actualización de seguridad para Windows XP (KB901017)
Actualización de seguridad para Windows XP (KB901214)
Actualización de seguridad para Windows XP (KB902400)
Actualización de seguridad para Windows XP (KB904706)
Actualización de seguridad para Windows XP (KB905414)
Actualización de seguridad para Windows XP (KB905749)
Actualización de seguridad para Windows XP (KB908519)
Actualización de seguridad para Windows XP (KB911562)
Actualización de seguridad para Windows XP (KB911927)
Actualización de seguridad para Windows XP (KB912919)
Actualización de seguridad para Windows XP (KB913580)
Actualización de seguridad para Windows XP (KB914388)
Actualización de seguridad para Windows XP (KB914389)
Actualización de seguridad para Windows XP (KB917344)
Actualización de seguridad para Windows XP (KB917422)
Actualización de seguridad para Windows XP (KB917953)
Actualización de seguridad para Windows XP (KB918118)
Actualización de seguridad para Windows XP (KB918439)
Actualización de seguridad para Windows XP (KB919007)
Actualización de seguridad para Windows XP (KB920213)
Actualización de seguridad para Windows XP (KB920670)
Actualización de seguridad para Windows XP (KB920683)
Actualización de seguridad para Windows XP (KB920685)
Actualización de seguridad para Windows XP (KB921398)
Actualización de seguridad para Windows XP (KB921503)
Actualización de seguridad para Windows XP (KB922616)
Actualización de seguridad para Windows XP (KB922819)
Actualización de seguridad para Windows XP (KB923191)
Actualización de seguridad para Windows XP (KB923414)
Actualización de seguridad para Windows XP (KB923561)
Actualización de seguridad para Windows XP (KB923694)
Actualización de seguridad para Windows XP (KB923789)
Actualización de seguridad para Windows XP (KB923980)
Actualización de seguridad para Windows XP (KB924191)
Actualización de seguridad para Windows XP (KB924270)
Actualización de seguridad para Windows XP (KB924496)
Actualización de seguridad para Windows XP (KB924667)
Actualización de seguridad para Windows XP (KB925454)
Actualización de seguridad para Windows XP (KB925902)
Actualización de seguridad para Windows XP (KB926255)
Actualización de seguridad para Windows XP (KB926436)
Actualización de seguridad para Windows XP (KB927779)
Actualización de seguridad para Windows XP (KB927802)
Actualización de seguridad para Windows XP (KB928090)
Actualización de seguridad para Windows XP (KB928255)
Actualización de seguridad para Windows XP (KB928843)
Actualización de seguridad para Windows XP (KB929123)
Actualización de seguridad para Windows XP (KB929969)
Actualización de seguridad para Windows XP (KB930178)
Actualización de seguridad para Windows XP (KB931261)
Actualización de seguridad para Windows XP (KB931768)
Actualización de seguridad para Windows XP (KB931784)
Actualización de seguridad para Windows XP (KB932168)
Actualización de seguridad para Windows XP (KB933566)
Actualización de seguridad para Windows XP (KB933729)
Actualización de seguridad para Windows XP (KB935839)
Actualización de seguridad para Windows XP (KB935840)
Actualización de seguridad para Windows XP (KB936021)
Actualización de seguridad para Windows XP (KB937143)
Actualización de seguridad para Windows XP (KB937894)
Actualización de seguridad para Windows XP (KB938127)
Actualización de seguridad para Windows XP (KB938464)
Actualización de seguridad para Windows XP (KB938829)
Actualización de seguridad para Windows XP (KB939653)
Actualización de seguridad para Windows XP (KB941202)
Actualización de seguridad para Windows XP (KB941568)
Actualización de seguridad para Windows XP (KB941644)
Actualización de seguridad para Windows XP (KB941693)
Actualización de seguridad para Windows XP (KB943055)
Actualización de seguridad para Windows XP (KB943460)
Actualización de seguridad para Windows XP (KB943485)
Actualización de seguridad para Windows XP (KB944653)
Actualización de seguridad para Windows XP (KB945553)
Actualización de seguridad para Windows XP (KB946026)
Actualización de seguridad para Windows XP (KB946648)
Actualización de seguridad para Windows XP (KB948590)
Actualización de seguridad para Windows XP (KB948881)
Actualización de seguridad para Windows XP (KB950749)
Actualización de seguridad para Windows XP (KB950760)
Actualización de seguridad para Windows XP (KB950762)
Actualización de seguridad para Windows XP (KB950974)
Actualización de seguridad para Windows XP (KB951066)
Actualización de seguridad para Windows XP (KB951376-v2)
Actualización de seguridad para Windows XP (KB951376)
Actualización de seguridad para Windows XP (KB951698)
Actualización de seguridad para Windows XP (KB951748)
Actualización de seguridad para Windows XP (KB952004)
Actualización de seguridad para Windows XP (KB952954)
Actualización de seguridad para Windows XP (KB953839)
Actualización de seguridad para Windows XP (KB954211)
Actualización de seguridad para Windows XP (KB954600)
Actualización de seguridad para Windows XP (KB955069)
Actualización de seguridad para Windows XP (KB956391)
Actualización de seguridad para Windows XP (KB956572)
Actualización de seguridad para Windows XP (KB956802)
Actualización de seguridad para Windows XP (KB956803)
Actualización de seguridad para Windows XP (KB956841)
Actualización de seguridad para Windows XP (KB956844)
Actualización de seguridad para Windows XP (KB957095)
Actualización de seguridad para Windows XP (KB957097)
Actualización de seguridad para Windows XP (KB958470)
Actualización de seguridad para Windows XP (KB958644)
Actualización de seguridad para Windows XP (KB958687)
Actualización de seguridad para Windows XP (KB958690)
Actualización de seguridad para Windows XP (KB958869)
Actualización de seguridad para Windows XP (KB959426)
Actualización de seguridad para Windows XP (KB960225)
Actualización de seguridad para Windows XP (KB960715)
Actualización de seguridad para Windows XP (KB960803)
Actualización de seguridad para Windows XP (KB960859)
Actualización de seguridad para Windows XP (KB961371)
Actualización de seguridad para Windows XP (KB961373)
Actualización de seguridad para Windows XP (KB961501)
Actualización de seguridad para Windows XP (KB968537)
Actualización de seguridad para Windows XP (KB969059)
Actualización de seguridad para Windows XP (KB969898)
Actualización de seguridad para Windows XP (KB969947)
Actualización de seguridad para Windows XP (KB970238)
Actualización de seguridad para Windows XP (KB970430)
Actualización de seguridad para Windows XP (KB971032)
Actualización de seguridad para Windows XP (KB971468)
Actualización de seguridad para Windows XP (KB971486)
Actualización de seguridad para Windows XP (KB971557)
Actualización de seguridad para Windows XP (KB971633)
Actualización de seguridad para Windows XP (KB971657)
Actualización de seguridad para Windows XP (KB972270)
Actualización de seguridad para Windows XP (KB973346)
Actualización de seguridad para Windows XP (KB973354)
Actualización de seguridad para Windows XP (KB973507)
Actualización de seguridad para Windows XP (KB973525)
Actualización de seguridad para Windows XP (KB973869)
Actualización de seguridad para Windows XP (KB973904)
Actualización de seguridad para Windows XP (KB974112)
Actualización de seguridad para Windows XP (KB974318)
Actualización de seguridad para Windows XP (KB974392)
Actualización de seguridad para Windows XP (KB974571)
Actualización de seguridad para Windows XP (KB975025)
Actualización de seguridad para Windows XP (KB975467)
Actualización de seguridad para Windows XP (KB975560)
Actualización de seguridad para Windows XP (KB975561)
Actualización de seguridad para Windows XP (KB975713)
Actualización de seguridad para Windows XP (KB977165)
Actualización de seguridad para Windows XP (KB977914)
Actualización de seguridad para Windows XP (KB978037)
Actualización de seguridad para Windows XP (KB978251)
Actualización de seguridad para Windows XP (KB978262)
Actualización de seguridad para Windows XP (KB978706)
Actualización para Windows Internet Explorer 8 (KB976662)
Actualización para Windows Internet Explorer 8 (KB976749)
Actualización para Windows XP (KB894391)
Actualización para Windows XP (KB898461)
Actualización para Windows XP (KB900485)
Actualización para Windows XP (KB904942)
Actualización para Windows XP (KB908531)
Actualización para Windows XP (KB910437)
Actualización para Windows XP (KB911280)
Actualización para Windows XP (KB916595)
Actualización para Windows XP (KB920872)
Actualización para Windows XP (KB922582)
Actualización para Windows XP (KB925720)
Actualización para Windows XP (KB927891)
Actualización para Windows XP (KB929338)
Actualización para Windows XP (KB930916)
Actualización para Windows XP (KB931836)
Actualización para Windows XP (KB932823-v3)
Actualización para Windows XP (KB933360)
Actualización para Windows XP (KB936357)
Actualización para Windows XP (KB938828)
Actualización para Windows XP (KB942763)
Actualización para Windows XP (KB951072-v2)
Actualización para Windows XP (KB955759)
Actualización para Windows XP (KB955839)
Actualización para Windows XP (KB961503)
Actualización para Windows XP (KB967715)
Actualización para Windows XP (KB968389)
Actualización para Windows XP (KB971737)
Actualización para Windows XP (KB973687)
Actualización para Windows XP (KB973815)
Adobe AIR
Adobe Anchor Service CS3
Adobe Anchor Service CS4
Adobe Asset Services CS3
Adobe Bridge CS3
Adobe Bridge CS4
Adobe Bridge Start Meeting
Adobe Camera Raw 4.0
Adobe CMaps CS4
Adobe Color - Photoshop Specific CS4
Adobe Color Common Settings
Adobe Color EU Extra Settings
Adobe Color EU Recommended Settings CS4
Adobe Color JA Extra Settings CS4
Adobe Color NA Extra Settings CS4
Adobe Color NA Recommended Settings
Adobe Color Video Profiles CS CS4
Adobe CSI CS4
Adobe Default Language CS4
Adobe Device Central CS3
Adobe Device Central CS4
Adobe Drive CS4
Adobe ExtendScript Toolkit 2
Adobe ExtendScript Toolkit CS4
Adobe Extension Manager CS3
Adobe Extension Manager CS4
Adobe Fireworks CS3
Adobe Flash CS3
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Flash Video Encoder
Adobe Fonts All
Adobe Help Viewer CS3
Adobe Linguistics CS3
Adobe Linguistics CS4
Adobe Media Player
Adobe Output Module
Adobe PDF Library Files CS4
Adobe Photoshop CS4
Adobe Photoshop CS4 Support
Adobe Reader 9.3.1
Adobe Search for Help
Adobe Service Manager Extension
Adobe Setup
Adobe Type Support CS4
Adobe Update Manager CS3
Adobe Update Manager CS4
Adobe Version Cue CS3 Client
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS3
Adobe XMP Panels CS4
AdobeColorCommonSetCMYK
AdobeColorCommonSetRGB
Airfoil
AirPort
Apple Application Support
Apple Keyboard Support
Apple Mobile Device Support
Apple Software Update
Archimedes (PocketPC and Smartphone) v 10.0.11 by Skyscape
Ares 2.1.1
Bonjour
Browser Defender 2.0.6.15
BufferChm
C4400
C4400_Help
CCleaner
Compatibility Pack for the 2007 Office system
Compresor WinRAR
Connect
Copy
Destination Component
DeviceDiscovery
DiskAid 3.1
DivX Plus Web Player
DocProc
DocProcQFolder
DropBox
FileZilla Client 3.3.2
FRED
Google Earth
Google Gears
Google Update Helper
GPBaseService
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows XP (KB909394)
Hotfix for Windows XP (KB915800-v4)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB954550-v5)
HP Deskjet 6900 series
HP Imaging Device Functions 10.0
HP Photosmart C4400 All-In-One Driver Software 10.0 Rel .3
HP Photosmart Essential
HP Smart Web Printing
HP Solution Center 10.0
HP Update
HPProductAssistant
iClippy 2.6.0
imeem Uploader
Intel® Graphics Media Accelerator Driver
iTunes
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 3
Java™ 6 Update 16
Java™ 6 Update 2
Java™ 6 Update 3
Java™ 6 Update 5
Java™ SE Runtime Environment 6 Update 1
Junk Mail filter update
kuler
LimeWire PRO 4.11.1
LizardTech DjVu Control
Macintosh Drivers for Windows XP
Malwarebytes' Anti-Malware
MedAlert (WinCE & PocketPC) v 10.0.1 by Skyscape
MedAlert (WinCE & PocketPC) v 10.0.4 by Skyscape
MedStream (PocketPC and Smartphone) v 10.0.12 by Skyscape
MedStream 360° (PocketPC and Smartphone) v 10.0.5 by Skyscape
Mega Manager
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Security Update (KB953297)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - ESN
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - ESN
Microsoft .NET Framework 3.5 Language Pack SP1 - esn
Microsoft .NET Framework 3.5 SP1
Microsoft ActiveSync
Microsoft Application Error Reporting
Microsoft Choice Guard
Microsoft IntelliPoint 6.3
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.1
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft National Language Support Downlevel APIs
Microsoft Office FrontPage 2003
Microsoft Office Live Add-in 1.3
Microsoft Office Outlook Connector
Microsoft Office Professional Edition 2003
Microsoft Search Enhancement Pack
Microsoft Silverlight
Microsoft Software Update for Web Folders (English) 12
Microsoft Sync Framework Runtime Native v1.0 (x86)
Microsoft Sync Framework Services Native v1.0 (x86)
Microsoft User-Mode Driver Framework Feature Pack 1.0.0 (Pre-Release 5348)
Microsoft Visual C Runtime
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
MKSAP for Students 4
MobileMe Control Panel
Move Media Player
Moyea YouTube FLV Downloader version: 3.1.2.0
Mozilla Firefox (3.0.3)
Mozilla Firefox (3.6)
MSVCRT
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
MSXML 4.0 SP2 Parser and SDK
MSXML 6 Service Pack 2 (KB973686)
Nike+ Mini Screen Saver
Nike+ Utility
NOD32 antivirus system
NOD32 FiX v2.1
NVIDIA Drivers
OCR Software by I.R.I.S. 10.0
Octoshape add-in for Adobe Flash Player
PanoStandAlone
Paquete de idioma de Microsoft .NET Framework 3.5 SP1 - esn
PDF Settings CS4
Photoshop Camera Raw
PlayFLV
PowerDVD
PRS-500 USB driver
PS_AIO_03_C4400_ProductContext
PS_AIO_03_C4400_Software
PS_AIO_03_C4400_Software_Min
QuickTime
Reader Library by Sony
RealPlayer
Realtek High Definition Audio Driver
Reproductor de Windows Media 11
Revisión de Windows XP - KB873339
Revisión de Windows XP - KB885835
Revisión de Windows XP - KB885836
Revisión de Windows XP - KB886185
Revisión de Windows XP - KB887472
Revisión de Windows XP - KB888302
Revisión de Windows XP - KB890859
Revisión de Windows XP - KB891781
Revisión para Windows Internet Explorer 7 (KB947864)
Revisión para Windows XP (KB914440)
Revisión para Windows XP (KB935448)
Revisión para Windows XP (KB952287)
Revisión para Windows XP (KB961118)
Revisión para Windows XP (KB970653-v3)
Revisión para Windows XP (KB976098-v2)
Revisión para Windows XP (KB979306)
Safari
Scan
Segoe UI
SigmaTel Audio
Skype™ 4.2
SlideTray
SmartWebPrintingOC
SolutionCenter
Spyware Doctor 7.0
Staples EasyPrint MSI
Status
Studio 11
Suite Shared Configuration CS4
SUPERAntiSpyware Free Edition
Toolbox
TrayApp
TweetDeck
Unload
UnloadSupport
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update for Windows Internet Explorer 8 (KB968220)
Usmleworld Step1 QBank
Usmleworld Step1 QBank V2
Usmleworld Step2 QBank V2
Utilidad Configuración iPhone
VC80CRTRedist - 8.0.50727.4053
Viewpoint Media Player
Web Tide
WebFldrs XP
WebReg
WebSlide Net Viewer ActiveX Control
Windows 7 Upgrade Advisor
Windows Driver Package - Apple Computer, Inc. Bluetooth (11/28/2006 1.2.0.0)
Windows Driver Package - Apple Inc. (aapltctp) Mouse (02/26/2007 1.2.0.0013)
Windows Driver Package - Apple Inc. (aapltp) HIDClass (02/26/2007 1.2.0.0013)
Windows Driver Package - Apple Inc. (BLUETOOTH_KICKER) System (01/10/2007 1.2.0.3)
Windows Driver Package - Apple Inc. (KeyMagic) HIDClass (02/05/2007 1.2.0.10)
Windows Driver Package - Apple Inc. Apple Built-in iSight (01/16/2007 1.2.0.5)
Windows Driver Package - Apple Inc. Apple IR Remote (01/18/2007 1.2.0.5)
Windows Driver Package - Apple Inc. System (02/04/2007 1.0.0000.00)
Windows Driver Package - Atheros (AR5416) Net (12/13/2006 6.0.2.75)
Windows Driver Package - Broadcom (BCM43XX) Net (01/08/2007 4.80.75.0)
Windows Driver Package - Intel (E1000) Net (01/06/2006 8.6.17.0)
Windows Driver Package - Sony Corporation (PRSUSB) USB (08/08/2006 1.0.03.08080)
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 8
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Mail
Windows Live Messenger
Windows Live OneCare safety scanner
Windows Live Sign-in Assistant
Windows Live Toolbar
Windows Live Upload Tool
Windows Media Format 11 runtime
Windows Media Player 11
XML Paper Specification Shared Components Language Pack 1.0
Yahoo! Desktop Login
YouTube Uploader

==== Event Viewer Messages From Past Week ========

24/03/2010 09:45:04 p.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
24/03/2010 08:21:53 p.m., error: Service Control Manager [7026] - El controlador de inicialización siguiente no se cargó correctamente: IPSec Tcpip
24/03/2010 08:20:23 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
24/03/2010 08:17:42 p.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
24/03/2010 05:36:26 a.m., error: Service Control Manager [7026] - El controlador de inicialización siguiente no se cargó correctamente: IPSec Tcpip
24/03/2010 05:35:04 a.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
24/03/2010 05:32:43 a.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
24/03/2010 05:21:55 a.m., error: Service Control Manager [7023] - El servicio Examinador de equipos terminó con el error: Esta operación ha regresado debido a que el tiempo de espera ha caducado.
24/03/2010 05:18:41 a.m., error: DCOM [10005] - DCOM ha obtenido un error "%1084" al intentar iniciar el servicio StiSvc con argumentos "" para ejecutar el servidor: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
23/03/2010 08:07:17 p.m., error: Service Control Manager [7026] - El controlador de inicialización siguiente no se cargó correctamente: IPSec Tcpip
23/03/2010 08:05:56 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 08:03:39 p.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
23/03/2010 07:20:30 p.m., error: Service Control Manager [7023] - El servicio Examinador de equipos terminó con el error: Esta operación ha regresado debido a que el tiempo de espera ha caducado.
23/03/2010 07:16:56 p.m., error: Service Control Manager [7026] - El controlador de inicialización siguiente no se cargó correctamente: IPSec Tcpip
23/03/2010 07:15:35 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 07:12:54 p.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
23/03/2010 06:41:52 a.m., error: Service Control Manager [7023] - El servicio Examinador de equipos terminó con el error: Esta operación ha regresado debido a que el tiempo de espera ha caducado.
23/03/2010 06:38:13 a.m., error: Service Control Manager [7026] - El controlador de inicialización siguiente no se cargó correctamente: IPSec Tcpip
23/03/2010 06:36:51 a.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 06:34:33 a.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
23/03/2010 06:31:49 a.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
23/03/2010 06:19:16 a.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
23/03/2010 06:16:32 a.m., information: Windows File Protection [64002] - Se intentó remplazar el archivo en el archivo de sistema protegido c:\windows\system32\drivers\ipsec.sys. Se restauró este archivo a su versión original para mantener la estabilidad del sistema. La versión del archivo de sistema es 5.1.2600.2180
23/03/2010 05:25:58 a.m., error: LDMS [3023] - Error en el Servicio de administrador de discos lógicos mientras registraba las notificaciones de tratamiento del dispositivo en el dispositivo \\?\ide#cdrommatbleepa_dvd-r___uj-857_________________hbe4____#5&16eb404&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}. Error de Win32 : 2.
23/03/2010 05:02:30 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 04:50:26 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 04:49:51 p.m., error: Service Control Manager [7023] - El servicio Examinador de equipos terminó con el error: Esta operación ha regresado debido a que el tiempo de espera ha caducado.
23/03/2010 04:49:14 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 04:48:52 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 04:46:14 p.m., error: Service Control Manager [7026] - El controlador de inicialización siguiente no se cargó correctamente: IPSec Tcpip
23/03/2010 04:44:53 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 04:42:39 p.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
23/03/2010 04:33:38 p.m., error: Service Control Manager [7026] - El controlador de inicialización siguiente no se cargó correctamente: Fips intelppm IPSec Tcpip
23/03/2010 04:33:38 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 04:33:25 p.m., error: DCOM [10005] - DCOM ha obtenido un error "%1084" al intentar iniciar el servicio EventSystem con argumentos "" para ejecutar el servidor: {1BE1F766-5536-11D1-B726-00C04FB926AF}
23/03/2010 04:31:31 p.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
23/03/2010 04:26:44 p.m., error: Service Control Manager [7023] - El servicio Examinador de equipos terminó con el error: Esta operación ha regresado debido a que el tiempo de espera ha caducado.
23/03/2010 04:23:07 p.m., error: Service Control Manager [7026] - El controlador de inicialización siguiente no se cargó correctamente: IPSec Tcpip
23/03/2010 04:21:45 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 04:19:33 p.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
23/03/2010 04:16:41 p.m., error: Service Control Manager [7026] - El controlador de inicialización siguiente no se cargó correctamente: IPSec Tcpip
23/03/2010 04:16:41 p.m., error: Service Control Manager [7022] - El servicio HP CUE DeviceDiscovery Service permanece en inicio.
23/03/2010 04:15:19 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 04:15:19 p.m., error: Service Control Manager [7001] - El servicio Servicios IPSEC depende del servicio Controlador IPSEC, el cual no pudo iniciarse debido al siguiente error: Uno de los dispositivos vinculados al sistema no funciona.
23/03/2010 04:15:19 p.m., error: Service Control Manager [7001] - El servicio Servicio Bonjour depende del servicio Controlador de protocolo TCP/IP, el cual no pudo iniciarse debido al siguiente error: Uno de los dispositivos vinculados al sistema no funciona.
23/03/2010 04:15:19 p.m., error: Service Control Manager [7001] - El servicio Cliente DNS depende del servicio Controlador de protocolo TCP/IP, el cual no pudo iniciarse debido al siguiente error: Uno de los dispositivos vinculados al sistema no funciona.
23/03/2010 04:15:19 p.m., error: Service Control Manager [7001] - El servicio Cliente DHCP depende del servicio Controlador de protocolo TCP/IP, el cual no pudo iniciarse debido al siguiente error: Uno de los dispositivos vinculados al sistema no funciona.
23/03/2010 04:15:19 p.m., error: Service Control Manager [7001] - El servicio Apple Mobile Device depende del servicio Controlador de protocolo TCP/IP, el cual no pudo iniciarse debido al siguiente error: Uno de los dispositivos vinculados al sistema no funciona.
23/03/2010 04:13:08 p.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
23/03/2010 04:09:46 p.m., error: Service Control Manager [7001] - El servicio NLA (Network Location Awareness) depende del servicio Controlador de protocolo TCP/IP, el cual no pudo iniciarse debido al siguiente error: No se puede iniciar el servicio o grupo de dependencia.
23/03/2010 04:09:46 p.m., error: Service Control Manager [7001] - El servicio Controlador de protocolo TCP/IP depende del servicio Controlador IPSEC, el cual no pudo iniciarse debido al siguiente error: El sistema no puede hallar el archivo especificado.
23/03/2010 04:09:46 p.m., error: Service Control Manager [7000] - El servicio Controlador IPSEC no pudo iniciarse debido al siguiente error: El sistema no puede hallar el archivo especificado.
23/03/2010 04:09:01 p.m., error: Service Control Manager [7026] - El controlador de inicialización siguiente no se cargó correctamente: IPSec Tcpip
23/03/2010 04:07:38 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 04:05:24 p.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
23/03/2010 04:03:22 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 04:01:10 p.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
23/03/2010 03:54:04 p.m., error: Service Control Manager [7026] - El controlador de inicialización siguiente no se cargó correctamente: IPSec Tcpip
23/03/2010 03:52:42 p.m., error: Service Control Manager [7023] - El servicio Firewall de Windows/Conexión compartida a Internet (ICS) terminó con el error: El sistema no puede hallar el archivo especificado.
23/03/2010 03:50:30 p.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
23/03/2010 03:47:43 p.m., error: NetBT [4311] - La inicialización ha fracasado porque el controlador de dispositivo no pudo ser creado.
22/03/2010 05:12:13 a.m., error: LDMS [3023] - Error en el Servicio de administrador de discos lógicos mientras registraba las notificaciones de tratamiento del dispositivo en el dispositivo \\?\ide#cdrommatbleepa_dvd-r___uj-857_________________hbe4____#5&16eb404&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}. Error de Win32 : 2.
21/03/2010 07:10:25 a.m., error: LDMS [3023] - Error en el Servicio de administrador de discos lógicos mientras registraba las notificaciones de tratamiento del dispositivo en el dispositivo \\?\ide#cdrommatbleepa_dvd-r___uj-857_________________hbe4____#5&16eb404&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}. Error de Win32 : 2.
20/03/2010 10:23:46 p.m., error: LDMS [3023] - Error en el Servicio de administrador de discos lógicos mientras registraba las notificaciones de tratamiento del dispositivo en el dispositivo \\?\ide#cdrommatbleepa_dvd-r___uj-857_________________hbe4____#5&16eb404&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}. Error de Win32 : 2.
19/03/2010 08:17:53 a.m., error: LDMS [3023] - Error en el Servicio de administrador de discos lógicos mientras registraba las notificaciones de tratamiento del dispositivo en el dispositivo \\?\ide#cdrommatbleepa_dvd-r___uj-857_________________hbe4____#5&16eb404&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}. Error de Win32 : 2.
19/03/2010 07:37:59 a.m., error: LDMS [3023] - Error en el Servicio de administrador de discos lógicos mientras registraba las notificaciones de tratamiento del dispositivo en el dispositivo \\?\ide#cdrommatbleepa_dvd-r___uj-857_________________hbe4____#5&16eb404&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}. Error de Win32 : 2.

==== End Of File ===========================




ark.txt:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-26 05:00:48
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\CHRIST~1.ZEG\CONFIG~1\Temp\pxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwAssignProcessToJobObject [0xF76E7464]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateKey [0xF73B8E64]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0xF7398EEE]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0xF73990E0]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwCreateThread [0xF76E749E]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwDeleteKey [0xF76E7290]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwDeleteValueKey [0xF76E7302]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwOpenKey [0xF73B7B64]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwOpenProcess [0xF76E77B2]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwOpenThread [0xF76E768E]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwProtectVirtualMemory [0xF76E752A]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xF73B9D72]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwSetContextThread [0xF76E7426]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwSetValueKey [0xF76E738E]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwTerminateProcess [0xF76E78E6]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwTerminateThread [0xF76E75AE]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwWriteVirtualMemory [0xF76E75E6]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset )

Device \Driver\BTHUSB \Device\00000097 bthport.sys (Controlador de bus Bluetooth/Microsoft Corporation)
Device \Driver\BTHUSB \Device\00000099 bthport.sys (Controlador de bus Bluetooth/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat amon.sys (Amon monitor/Eset )

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0016cb28e610 (not active ControlSet)
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016cb28e610
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0016cb28e610 (not active ControlSet)
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xE2 0x63 0x26 0xF1 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x7A 0x45 0x05 0xFD ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x86 0x8C 0x21 0x01 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0x50 0x93 0xE5 0xAB ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0x31 0x77 0xE1 0xBA ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0xAA 0x52 0xC6 0x00 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xF8 0x31 0x0F 0xA9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x05 0x73 0x21 0xDD ...

---- EOF - GMER 1.0.15 ----

#7 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 61,207 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:06:26 AM

Posted 26 March 2010 - 02:13 PM

Hi, please post also the Combofix log.

I'm moving this topic to Malware Removal forum.

regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft


#8 waynacaz

waynacaz
  • Topic Starter

  • Members
  • 11 posts
  • OFFLINE
  •  
  • Local time:11:26 PM

Posted 26 March 2010 - 04:24 PM

ComboFix 10-03-23.03 - Christian A. Zegarra 24/03/2010 21:01:00.3.2 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.992.734 [GMT -4:00]
Running from: c:\documents and settings\Christian A. Zegarra\Escritorio\ComboFix.exe
Command switches used :: c:\documents and settings\Christian A. Zegarra\Escritorio\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU0.exe
AV: Eset NOD32 antivirus system 2.51 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
AV: The Hacker Antivirus 6.2 *On-access scanning disabled* (Outdated) {34874241-C32D-4048-A95F-7E35CC7CB0F6}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2010-02-25 to 2010-03-25 )))))))))))))))))))))))))))))))
.

2010-03-25 00:54 . 2010-03-25 00:54 -------- d-----w- c:\windows\LastGood
2010-03-25 00:47 . 2010-03-25 00:47 -------- d-----w- c:\archivos de programa\CCleaner
2010-03-24 04:08 . 2010-03-24 04:08 52832 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-03-24 04:07 . 2010-03-24 04:08 -------- d-----w- c:\documents and settings\All Users\Datos de programa\PrevxCSI
2010-03-24 02:17 . 2010-03-24 02:17 52224 ----a-w- c:\documents and settings\Christian A. Zegarra\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-03-24 02:17 . 2010-03-24 02:17 117760 ----a-w- c:\documents and settings\Christian A. Zegarra\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-03-24 02:17 . 2010-03-24 02:17 -------- d-----w- c:\documents and settings\All Users\Datos de programa\SUPERAntiSpyware.com
2010-03-24 02:16 . 2010-03-24 02:16 -------- d-----w- c:\archivos de programa\SUPERAntiSpyware
2010-03-24 02:16 . 2010-03-24 02:16 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\SUPERAntiSpyware.com
2010-03-24 02:14 . 2010-03-24 02:14 -------- d-----w- c:\archivos de programa\Archivos comunes\Wise Installation Wizard
2010-03-23 10:26 . 2010-01-22 13:55 767952 ----a-w- c:\windows\BDTSupport.dll
2010-03-23 10:26 . 2010-01-22 13:56 149456 ----a-w- c:\windows\SGDetectionTool.dll
2010-03-23 10:26 . 2008-11-26 16:08 131 ----a-w- c:\windows\IDB.zip
2010-03-23 10:26 . 2010-01-22 13:56 165840 ----a-w- c:\windows\PCTBDRes.dll
2010-03-23 10:26 . 2010-01-22 13:56 1652688 ----a-w- c:\windows\PCTBDCore.dll
2010-03-23 10:26 . 2009-10-28 05:36 1152444 ----a-w- c:\windows\UDB.zip
2010-03-23 10:25 . 2010-02-05 13:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2010-03-23 10:25 . 2010-03-10 15:36 217032 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2010-03-23 10:25 . 2009-11-23 17:54 88040 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2010-03-23 10:25 . 2010-02-05 13:25 70408 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2010-03-23 10:24 . 2010-03-23 10:26 -------- d-----w- c:\archivos de programa\Archivos comunes\PC Tools
2010-03-23 10:24 . 2010-03-23 10:24 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\PC Tools
2010-03-23 10:24 . 2010-03-23 10:24 -------- d-----w- c:\documents and settings\All Users\Datos de programa\PC Tools
2010-03-23 09:48 . 2010-03-23 09:48 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Malwarebytes
2010-03-23 09:48 . 2010-01-07 20:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-23 09:48 . 2010-03-23 09:48 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2010-03-23 09:48 . 2010-01-07 20:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-23 09:48 . 2010-03-24 00:33 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2010-03-22 02:51 . 2010-03-22 02:51 319488 ----a-w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe
2010-03-13 12:28 . 2010-03-13 12:28 -------- d-----w- C:\b06915107c16e9de18
2010-03-12 10:34 . 2010-03-12 10:34 -------- d-----w- C:\06bcc50e2cbbbd13934497edb56e29
2010-03-07 18:45 . 2010-03-07 18:45 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-03-07 18:45 . 2010-03-09 10:33 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\skypePM
2010-03-07 18:37 . 2010-03-09 10:35 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Skype
2010-03-07 18:36 . 2010-03-07 18:36 -------- d-----w- c:\archivos de programa\Archivos comunes\Skype
2010-03-07 18:36 . 2010-03-10 11:54 -------- d-----r- c:\archivos de programa\Skype
2010-03-07 18:36 . 2010-03-07 18:36 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Skype
2010-03-06 23:01 . 2010-03-06 23:01 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-06 23:00 . 2010-03-06 23:00 152576 ----a-w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Sun\Java\jre1.6.0_16\lzma.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-25 00:40 . 2008-06-19 19:37 -------- d---a-w- c:\documents and settings\All Users\Datos de programa\TEMP
2010-03-25 00:24 . 2001-08-24 15:00 49292 ----a-w- c:\windows\system32\perfc00A.dat
2010-03-25 00:24 . 2001-08-24 15:00 358904 ----a-w- c:\windows\system32\perfh00A.dat
2010-03-25 00:22 . 2008-06-19 19:50 -------- d-----w- c:\archivos de programa\Spyware Doctor
2010-03-24 01:33 . 2007-11-08 00:43 -------- d-----w- c:\archivos de programa\Archivos comunes\Skyscape
2010-03-15 22:22 . 2009-02-21 05:55 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\FileZilla
2010-03-14 05:26 . 2009-02-21 05:54 -------- d-----w- c:\archivos de programa\FileZilla FTP Client
2010-03-09 04:36 . 2008-10-17 00:53 -------- d-----w- c:\archivos de programa\Mozilla Firefox 3.1 Beta 1
2010-03-06 23:01 . 2007-01-15 02:00 -------- d-----w- c:\archivos de programa\Java
2010-03-06 03:19 . 2009-03-18 01:17 -------- d-----w- c:\archivos de programa\Google
2010-02-18 21:22 . 2010-02-18 21:22 -------- d-----w- c:\archivos de programa\TweetDeck
2010-02-15 11:17 . 2009-01-27 03:20 -------- d-----w- c:\archivos de programa\Archivos comunes\Adobe AIR
2010-02-15 11:16 . 2010-01-17 00:12 38784 ----a-w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-02-15 11:16 . 2009-12-01 21:55 38784 ----a-w- c:\documents and settings\Default User\Datos de programa\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-02-06 11:47 . 2008-04-30 02:29 41736 ---ha-w- c:\windows\system32\mlfcache.dat
2010-02-03 22:53 . 2010-02-03 22:49 -------- d-----w- c:\archivos de programa\iTunes
2010-02-03 22:50 . 2010-02-03 22:50 -------- d-----w- c:\archivos de programa\iPod
2010-02-03 22:50 . 2007-07-06 00:06 -------- d-----w- c:\archivos de programa\Archivos comunes\Apple
2010-02-03 22:36 . 2007-05-02 15:50 -------- d-----w- c:\archivos de programa\QuickTime
2010-02-03 22:23 . 2010-02-03 22:23 72488 ----a-w- c:\documents and settings\All Users\Datos de programa\Apple Computer\Installer Cache\iTunes 9.0.3.15\SetupAdmin.exe
2010-01-18 16:46 . 2009-11-25 23:16 598 ----a-w- c:\windows\system32\secushr.dat
2010-01-14 10:55 . 2010-01-14 10:55 86016 ----a-w- c:\documents and settings\All Users\Datos de programa\NOS\Adobe_Downloads\arh.exe
2009-12-31 16:14 . 2004-08-04 04:14 352640 ----a-w- c:\windows\system32\drivers\srv.sys
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[7] 2008-06-20 . 2A5554FC5B1E04E131230E3CE035C3F9 . 360320 . . [5.1.2600.3394] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . 01D5EAAFF224415A7FF513E4C882BE30 . 360320 . . [5.1.2600.3394] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[-] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\4fcdf3a74fe834ce16dc12a720df5cc7\tcpip.sys
[-] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\c6accdcd02a08bf2b2edd97027272422\tcpip.sys
[-] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\c90143e38809b5ce94759a9bc8b1e3be\tcpip.sys
[7] 2007-10-30 . 90CAFF4B094573449A0872A0F919B178 . 360064 . . [5.1.2600.3244] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys
[7] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[7] 2006-04-20 . 1DBF125862891817F374F407626967F4 . 359808 . . [5.1.2600.2892] . . c:\windows\$NtUninstallKB941644$\tcpip.sys
[7] 2004-08-04 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB917953$\tcpip.sys
.
((((((((((((((((((((((((((((( SnapShot@2010-03-24_09.29.08 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-07 06:19 . 2007-11-07 06:19 54272 c:\windows\WinSxS\x86_Microsoft.VC90.OpenMP_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_ecc42bd1\vcomp90.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 62976 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90rus.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 46080 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90kor.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 46592 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90jpn.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 64512 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90ita.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 66048 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90fra.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 65024 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esp.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 65024 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esn.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 56832 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90enu.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 66560 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90deu.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 39936 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90cht.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 38912 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90chs.dll
+ 2008-07-29 10:07 . 2008-07-29 10:07 59904 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90u.dll
+ 2008-07-29 10:07 . 2008-07-29 10:07 59904 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90.dll
- 2001-08-24 15:00 . 2010-03-24 09:01 72306 c:\windows\system32\perfc009.dat
+ 2001-08-24 15:00 . 2010-03-25 00:24 72306 c:\windows\system32\perfc009.dat
+ 2008-07-29 12:05 . 2008-07-29 12:05 655872 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcr90.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 572928 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcp90.dll
+ 2008-07-29 07:54 . 2008-07-29 07:54 225280 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcm90.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 161784 c:\windows\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_d01483b2\atl90.dll
+ 2001-08-24 15:00 . 2010-03-25 00:24 444596 c:\windows\system32\perfh009.dat
- 2001-08-24 15:00 . 2010-03-24 09:01 444596 c:\windows\system32\perfh009.dat
+ 2010-03-25 00:54 . 2005-01-18 21:07 335872 c:\windows\LastGood\system32\MPIWIN32.DLL
+ 2010-03-23 10:24 . 2010-03-23 10:24 228352 c:\windows\Installer\eeacd.msi
+ 2008-07-29 12:05 . 2008-07-29 12:05 3783672 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90u.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 3768312 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"The Hacker Monitor - Cliente"="c:\windows\thcli.exe" [2006-03-02 122880]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
HP Digital Imaging Monitor.lnk - c:\archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Nike+ Utility.lnk - c:\archivos de programa\Nike+ Utility\Nike+ Utility.exe [2008-4-30 1228800]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 18:21 548352 ----a-w- c:\archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Men˙ Inicio^Programas^Inicio^IRUpdater.lnk]
path=c:\documents and settings\All Users\Men˙ Inicio\Programas\Inicio\IRUpdater.lnk
backup=c:\windows\pss\IRUpdater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AirPort Base Station Agent]
2009-02-27 16:39 753664 ----a-w- c:\archivos de programa\AirPort\APAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apple_KbdMgr]
2007-02-12 17:38 389120 ----a-w- c:\archivos de programa\Apple Keyboard Support\KbdMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2004-08-19 20:43 110592 ----a-w- c:\windows\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Brightness]
2007-03-22 02:45 226896 -c--a-w- c:\windows\system32\Brightness.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DropBoxUtility]
2007-12-02 22:26 258048 ----a-w- c:\archivos de programa\DropBox\DropBox\DropBox.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-11-13 18:39 1289000 ----a-w- c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2006-09-26 21:51 114688 -c--a-w- c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-10-15 01:17 49152 ----a-w- c:\archivos de programa\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IRW]
2007-03-22 00:12 106496 -c--a-w- c:\windows\system32\IRW.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray]
2010-03-09 13:40 1286608 ----a-w- c:\archivos de programa\Spyware Doctor\pctsTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-01-23 00:16 141608 ----a-w- c:\archivos de programa\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2006-09-26 21:51 94208 -c--a-w- c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-11 04:08 417792 ----a-w- c:\archivos de programa\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
c:\archivos de programa\Spybot - Search & Destroy\TeaTimer.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-02-22 09:25 144784 ----a-w- c:\archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ThreatFire]
c:\archivos de programa\ThreatFire\TFTray.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Archivos de programa\\LimeWire\\LimeWire.exe"=
"c:\\Archivos de programa\\Windows Media Player\\wmplayer.exe"=
"c:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"c:\\Archivos de programa\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Archivos de programa\\Airfoil\\Airfoil.exe"=
"c:\\Archivos de programa\\Ares\\Ares.exe"=
"c:\archivos de programa\Microsoft ActiveSync\rapimgr.exe"= c:\archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe"= c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\DropBox\\DropBox\\DropBox.exe"=
"c:\\WINDOWS\\thcli.exe"=
"c:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Archivos de programa\\AirPort\\APAgent.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\Mozilla Firefox 3.1 Beta 1\\firefox.exe"=
"$INSTDIR\\FlvDetector.exe"= c:\\Archivos de programa\\FlashGet Network\\FlashGet 3\\FlvDetector.exe
"c:\\Archivos de programa\\Archivos comunes\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Archivos de programa\\iTunes\\iTunes.exe"=
"c:\\Archivos de programa\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:UDP"= 5353:UDP:Bonjour
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [23/03/2010 06:25 a.m. 217032]
S1 SASDIFSV;SASDIFSV;c:\archivos de programa\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 10:25 a.m. 12872]
S1 SASKUTIL;SASKUTIL;c:\archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS [17/02/2010 10:15 a.m. 66632]
S2 AppleTimeSrv;Apple Time Service;c:\windows\system32\AppleTimeSrv.exe [21/03/2007 10:43 p.m. 83536]
S2 Browser Defender Update Service;Browser Defender Update Service;c:\archivos de programa\Spyware Doctor\BDT\BDTUpdateService.exe [23/03/2010 06:26 a.m. 112592]
S2 gupdate1c9a76744b07a7a;Google Update Service (gupdate1c9a76744b07a7a);c:\archivos de programa\Google\Update\GoogleUpdate.exe [17/03/2009 09:17 p.m. 133104]
S2 KeyAgent;KeyAgent;c:\windows\system32\drivers\KeyAgent.sys [14/01/2007 09:10 p.m. 6016]
S2 MacHALDriver;MacHALDriver;c:\windows\system32\drivers\MacHALDriver.sys [09/05/2007 08:18 p.m. 3840]
S2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [24/03/2010 12:08 a.m. 52832]
S2 T_H_C_L_I;The Hacker Client;c:\windows\thcli.exe [15/07/2008 04:14 p.m. 122880]
S3 aapltctp;Apple Trackpad Filter;c:\windows\system32\drivers\aapltctp.sys [19/10/2006 12:15 p.m. 4992]
S3 aapltp;Apple Trackpad Driver;c:\windows\system32\drivers\aapltp.sys [19/10/2006 12:15 p.m. 35712]
S3 BLUETOOTH_KICKER;Apple Bluetooth Driver;c:\windows\system32\drivers\BthKicker.sys [25/08/2006 12:45 a.m. 6272]
S3 IRRemoteFlt;IR Remote Filter Driver;c:\windows\system32\drivers\IRFilter.sys [09/05/2007 08:16 p.m. 10240]
S3 iSightUpdate;iSight Update Driver;c:\windows\system32\drivers\iSightUP.sys [05/09/2006 03:08 p.m. 18304]
S3 keymagic;USB Keyboard HID Filter;c:\windows\system32\drivers\KeyMagic.sys [14/01/2007 09:10 p.m. 11904]
S3 SASENUM;SASENUM;c:\archivos de programa\SUPERAntiSpyware\SASENUM.SYS [17/02/2010 10:15 a.m. 12872]
S3 sdAuxService;PC Tools Auxiliary Service;c:\archivos de programa\Spyware Doctor\pctsAuxs.exe [23/03/2010 06:24 a.m. 366840]
S3 StartupDiskDriver;StartupDiskDriver;c:\windows\system32\drivers\StartupDiskDriver.sys [26/09/2006 06:20 p.m. 4736]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contents of the 'Scheduled Tasks' folder

2010-03-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 17:34]

2010-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-03-18 01:17]

2010-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-03-18 01:17]

2009-01-12 c:\windows\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job
- c:\archivos de programa\Microsoft IntelliPoint\ipoint.exe [2008-06-10 17:56]

2010-03-25 c:\windows\Tasks\User_Feed_Synchronization-{581F0517-1ECD-4418-A612-11490CA32433}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 08:31]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uSearchAssistant = hxxp://www.google.com
IE: E&xport to Microsoft Excel - c:\archiv~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\archivos de programa\Archivos comunes\PC Tools\Lsp\PCTLsp.dll
Trusted Zone: kuaiche.com\software
DPF: {C3C304ED-7599-4A9D-8AD3-2F8648AFBD1A} - hxxp://www.bacuslabs.com.njmstss.umdnj.edu/plugin/WEBSLIDE.EXE
FF - ProfilePath -
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("ui.use_native_colors", true);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("svg.smil.enabled", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.debug", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("html5.enable", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
.
------- File Associations -------
.
.txt=
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-Google Update - c:\documents and settings\Christian A. Zegarra\ConfiguraciÛn local\Datos de programa\Google\Update\1.0.103.0\GoogleUpdate.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-24 21:08
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ÿïÄ|ˇˇˇˇïÄ|˘ï9~*]
"A0C0110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"A0C0710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(384)
c:\archivos de programa\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\WININET.dll
c:\archivos de programa\Archivos comunes\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(1116)
c:\windows\system32\WININET.dll
c:\archiv~1\WINDOW~2\wmpband.dll
c:\archivos de programa\Archivos comunes\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
Completion time: 2010-03-24 21:10:19
ComboFix-quarantined-files.txt 2010-03-25 01:10
ComboFix2.txt 2010-03-23 10:52
ComboFix3.txt 2010-03-24 09:30
ComboFix4.txt 2010-03-23 04:33

Pre-Run: 15,942,717,440 bytes libres
Post-Run: 15,901,736,960 bytes libres

- - End Of File - - 27B677D9F2E0526CFE514044D787E1A5

#9 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 61,207 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:06:26 AM

Posted 27 March 2010 - 04:44 AM

Please post me also the log you will find at c:\qoobox\combofix4.txt

regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft


#10 waynacaz

waynacaz
  • Topic Starter

  • Members
  • 11 posts
  • OFFLINE
  •  
  • Local time:11:26 PM

Posted 27 March 2010 - 06:08 AM

ComboFix 10-03-23.03 - Christian A. Zegarra 24/03/2010 4:22.1.2 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.992.768 [GMT -4:00]
Running from: c:\documents and settings\Christian A. Zegarra\Escritorio\ComboFix.exe
AV: Eset NOD32 antivirus system 2.51 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
AV: The Hacker Antivirus 6.2 *On-access scanning disabled* (Outdated) {34874241-C32D-4048-A95F-7E35CC7CB0F6}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\archivos de programa\FlashGet Network
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\Appsetting.cfg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\1.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\1.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\2.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\3.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\btn1.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\btn2.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\cig.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\cig1.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\client_1644431G8.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\client_2544432.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\client_4090637.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\client_44848_1.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\client_icon01.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\client_icon03.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\client_icon04.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\client_KeHuDuanZiYuanZhongXinTuiJianTuMoBan_2.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\client_KeHuDuanZiYuanZhongXinTuiJianTuMoBan_3.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\client_logo.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\client_WuBiaoTi-2.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\client_WuBiaoTi-6.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\dian.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\directui_new_1263808128.zip
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\down.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\game.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\game.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\game1.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\gameall.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\gametop.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\ico01.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\ico02.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\line.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\movie.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\movie1.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\new_rescenter.txt
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\newgame.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\newmovie.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\p1.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\p2.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\p3.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\p4.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\p5.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\p6.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\p7.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\p8.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\pic_bg.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\preview.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\reom.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\reom.jpg1
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\rescenter.txt
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\soft.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\soft_zhan.jpg
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\directui\tab.gif
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\FlashGet3db.bak
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\FlashGet3db.db
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\stat\advertisement\domain_url_list_en.zip
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\stat\advertisement\port.ini
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\stat\skinpreview\preview_blue.png
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\stat\skinpreview\preview_classic.png
c:\archivos de programa\FlashGet Network\FlashGet 3\dat\stat\skinpreview\preview_white.png
c:\archivos de programa\FlashGet Network\FlashGet 3\P2PCfg.ini
c:\archivos de programa\FlashGet Network\FlashGet 3\pup.dat
c:\documents and settings\Christian A. Zegarra\Datos de programa\BITS
c:\documents and settings\Christian A. Zegarra\Datos de programa\BITS\BITS.ini
c:\documents and settings\Christian A. Zegarra\Datos de programa\BITS\DHTTable.dat
c:\documents and settings\Christian A. Zegarra\Datos de programa\BITS\pl.dat
c:\documents and settings\Christian A. Zegarra\Datos de programa\BITS\ProxyList.ini
c:\documents and settings\Christian A. Zegarra\Datos de programa\BITS\UPnP.ini
c:\documents and settings\Christian A. Zegarra\Datos de programa\FlashGetBHO
c:\documents and settings\Christian A. Zegarra\Datos de programa\FlashGetBHO\FlashGetBHO3.dll
c:\documents and settings\Christian A. Zegarra\Datos de programa\FlashGetBHO\FlashGetHook.dll
c:\documents and settings\Christian A. Zegarra\Datos de programa\FlashGetBHO\GetAllUrl.htm
c:\documents and settings\Christian A. Zegarra\Datos de programa\FlashGetBHO\GetUrl.htm
c:\windows\g32.txt
c:\windows\system\oeminfo.ini
c:\windows\system32\secustat.dat
c:\windows\system32\tmp.reg

.
((((((((((((((((((((((((( Files Created from 2010-02-23 to 2010-03-23 )))))))))))))))))))))))))))))))
.

2010-03-24 04:08 . 2010-03-24 04:08 52832 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-03-24 04:07 . 2010-03-24 04:08 -------- d-----w- c:\documents and settings\All Users\Datos de programa\PrevxCSI
2010-03-24 02:17 . 2010-03-24 02:17 52224 ----a-w- c:\documents and settings\Christian A. Zegarra\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-03-24 02:17 . 2010-03-24 02:17 117760 ----a-w- c:\documents and settings\Christian A. Zegarra\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-03-24 02:17 . 2010-03-24 02:17 -------- d-----w- c:\documents and settings\All Users\Datos de programa\SUPERAntiSpyware.com
2010-03-24 02:16 . 2010-03-24 02:16 -------- d-----w- c:\archivos de programa\SUPERAntiSpyware
2010-03-24 02:16 . 2010-03-24 02:16 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\SUPERAntiSpyware.com
2010-03-24 02:14 . 2010-03-24 02:14 -------- d-----w- c:\archivos de programa\Archivos comunes\Wise Installation Wizard
2010-03-23 09:48 . 2010-03-23 09:48 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Malwarebytes
2010-03-23 09:48 . 2010-01-07 20:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-23 09:48 . 2010-03-23 09:48 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2010-03-23 09:48 . 2010-01-07 20:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-23 09:48 . 2010-03-24 00:33 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2010-03-22 02:51 . 2010-03-22 02:51 319488 ----a-w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe
2010-03-13 12:28 . 2010-03-13 12:28 -------- d-----w- C:\b06915107c16e9de18
2010-03-12 10:34 . 2010-03-12 10:34 -------- d-----w- C:\06bcc50e2cbbbd13934497edb56e29
2010-03-07 18:45 . 2010-03-07 18:45 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-03-07 18:45 . 2010-03-09 10:33 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\skypePM
2010-03-07 18:37 . 2010-03-09 10:35 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Skype
2010-03-07 18:36 . 2010-03-07 18:36 -------- d-----w- c:\archivos de programa\Archivos comunes\Skype
2010-03-07 18:36 . 2010-03-10 11:54 -------- d-----r- c:\archivos de programa\Skype
2010-03-07 18:36 . 2010-03-07 18:36 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Skype
2010-03-06 23:01 . 2010-03-06 23:01 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-06 23:00 . 2010-03-06 23:00 152576 ----a-w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Sun\Java\jre1.6.0_16\lzma.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-24 04:08 . 2008-06-19 19:37 -------- d---a-w- c:\documents and settings\All Users\Datos de programa\TEMP
2010-03-24 04:06 . 2001-08-24 15:00 49292 ----a-w- c:\windows\system32\perfc00A.dat
2010-03-24 04:06 . 2001-08-24 15:00 358904 ----a-w- c:\windows\system32\perfh00A.dat
2010-03-24 01:33 . 2007-11-08 00:43 -------- d-----w- c:\archivos de programa\Archivos comunes\Skyscape
2010-03-15 22:22 . 2009-02-21 05:55 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\FileZilla
2010-03-14 05:26 . 2009-02-21 05:54 -------- d-----w- c:\archivos de programa\FileZilla FTP Client
2010-03-09 04:36 . 2008-10-17 00:53 -------- d-----w- c:\archivos de programa\Mozilla Firefox 3.1 Beta 1
2010-03-06 23:01 . 2007-01-15 02:00 -------- d-----w- c:\archivos de programa\Java
2010-03-06 03:19 . 2009-03-18 01:17 -------- d-----w- c:\archivos de programa\Google
2010-02-18 21:22 . 2010-02-18 21:22 -------- d-----w- c:\archivos de programa\TweetDeck
2010-02-15 11:17 . 2009-01-27 03:20 -------- d-----w- c:\archivos de programa\Archivos comunes\Adobe AIR
2010-02-15 11:16 . 2010-01-17 00:12 38784 ----a-w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-02-15 11:16 . 2009-12-01 21:55 38784 ----a-w- c:\documents and settings\Default User\Datos de programa\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-02-06 11:47 . 2008-04-30 02:29 41736 ---ha-w- c:\windows\system32\mlfcache.dat
2010-02-03 22:53 . 2010-02-03 22:49 -------- d-----w- c:\archivos de programa\iTunes
2010-02-03 22:50 . 2010-02-03 22:50 -------- d-----w- c:\archivos de programa\iPod
2010-02-03 22:50 . 2007-07-06 00:06 -------- d-----w- c:\archivos de programa\Archivos comunes\Apple
2010-02-03 22:36 . 2007-05-02 15:50 -------- d-----w- c:\archivos de programa\QuickTime
2010-02-03 22:23 . 2010-02-03 22:23 72488 ----a-w- c:\documents and settings\All Users\Datos de programa\Apple Computer\Installer Cache\iTunes 9.0.3.15\SetupAdmin.exe
2010-01-18 16:46 . 2009-11-25 23:16 598 ----a-w- c:\windows\system32\secushr.dat
2010-01-14 10:55 . 2010-01-14 10:55 86016 ----a-w- c:\documents and settings\All Users\Datos de programa\NOS\Adobe_Downloads\arh.exe
2009-12-31 16:14 . 2004-08-04 04:14 352640 ----a-w- c:\windows\system32\drivers\srv.sys
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[7] 2008-06-20 . 2A5554FC5B1E04E131230E3CE035C3F9 . 360320 . . [5.1.2600.3394] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . 01D5EAAFF224415A7FF513E4C882BE30 . 360320 . . [5.1.2600.3394] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[-] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\4fcdf3a74fe834ce16dc12a720df5cc7\tcpip.sys
[-] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\c6accdcd02a08bf2b2edd97027272422\tcpip.sys
[-] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\c90143e38809b5ce94759a9bc8b1e3be\tcpip.sys
[7] 2007-10-30 . 90CAFF4B094573449A0872A0F919B178 . 360064 . . [5.1.2600.3244] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys
[7] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[7] 2006-04-20 . 1DBF125862891817F374F407626967F4 . 359808 . . [5.1.2600.2892] . . c:\windows\$NtUninstallKB941644$\tcpip.sys
[7] 2004-08-04 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB917953$\tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-02-18 2012912]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
HP Digital Imaging Monitor.lnk - c:\archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Nike+ Utility.lnk - c:\archivos de programa\Nike+ Utility\Nike+ Utility.exe [2008-4-30 1228800]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 18:21 548352 ----a-w- c:\archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Men˙ Inicio^Programas^Inicio^ActualizaciÛn de PER Antivirus.lnk]
path=c:\documents and settings\All Users\Men˙ Inicio\Programas\Inicio\ActualizaciÛn de PER Antivirus.lnk
backup=c:\windows\pss\ActualizaciÛn de PER Antivirus.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Men˙ Inicio^Programas^Inicio^IRUpdater.lnk]
path=c:\documents and settings\All Users\Men˙ Inicio\Programas\Inicio\IRUpdater.lnk
backup=c:\windows\pss\IRUpdater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Men˙ Inicio^Programas^Inicio^Post-itÆ Software Notes Lite.lnk]
path=c:\documents and settings\All Users\Men˙ Inicio\Programas\Inicio\Post-itÆ Software Notes Lite.lnk
backup=c:\windows\pss\Post-itÆ Software Notes Lite.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AirPort Base Station Agent]
2009-02-27 16:39 753664 ----a-w- c:\archivos de programa\AirPort\APAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apple_KbdMgr]
2007-02-12 17:38 389120 ----a-w- c:\archivos de programa\Apple Keyboard Support\KbdMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2004-08-19 20:43 110592 ----a-w- c:\windows\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Brightness]
2007-03-22 02:45 226896 -c--a-w- c:\windows\system32\Brightness.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DropBoxUtility]
2007-12-02 22:26 258048 ----a-w- c:\archivos de programa\DropBox\DropBox\DropBox.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-11-13 18:39 1289000 ----a-w- c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2006-09-26 21:51 114688 -c--a-w- c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-10-15 01:17 49152 ----a-w- c:\archivos de programa\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2006-09-26 21:51 98304 -c--a-w- c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IRW]
2007-03-22 00:12 106496 -c--a-w- c:\windows\system32\IRW.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-01-23 00:16 141608 ----a-w- c:\archivos de programa\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2006-09-26 21:51 94208 -c--a-w- c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-11 04:08 417792 ----a-w- c:\archivos de programa\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-02-22 09:25 144784 ----a-w- c:\archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Archivos de programa\\LimeWire\\LimeWire.exe"=
"c:\\Archivos de programa\\Windows Media Player\\wmplayer.exe"=
"c:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"c:\\Archivos de programa\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Archivos de programa\\Airfoil\\Airfoil.exe"=
"c:\\Archivos de programa\\Ares\\Ares.exe"=
"c:\archivos de programa\Microsoft ActiveSync\rapimgr.exe"= c:\archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe"= c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\DropBox\\DropBox\\DropBox.exe"=
"c:\\WINDOWS\\thcli.exe"=
"c:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Archivos de programa\\AirPort\\APAgent.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\Mozilla Firefox 3.1 Beta 1\\firefox.exe"=
"$INSTDIR\\FlvDetector.exe"= c:\\Archivos de programa\\FlashGet Network\\FlashGet 3\\FlvDetector.exe
"c:\\Archivos de programa\\Archivos comunes\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Archivos de programa\\iTunes\\iTunes.exe"=
"c:\\Archivos de programa\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:UDP"= 5353:UDP:Bonjour
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"5353:TCP"= 5353:TCP:Adobe CSI CS4

S1 SASDIFSV;SASDIFSV;c:\archivos de programa\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 10:25 a.m. 12872]
S1 SASKUTIL;SASKUTIL;c:\archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS [17/02/2010 10:15 a.m. 66632]
S2 AppleTimeSrv;Apple Time Service;c:\windows\system32\AppleTimeSrv.exe [21/03/2007 10:43 p.m. 83536]
S2 gupdate1c9a76744b07a7a;Google Update Service (gupdate1c9a76744b07a7a);c:\archivos de programa\Google\Update\GoogleUpdate.exe [17/03/2009 09:17 p.m. 133104]
S2 KeyAgent;KeyAgent;c:\windows\system32\drivers\KeyAgent.sys [14/01/2007 09:10 p.m. 6016]
S2 MacHALDriver;MacHALDriver;c:\windows\system32\drivers\MacHALDriver.sys [09/05/2007 08:18 p.m. 3840]
S2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [24/03/2010 12:08 a.m. 52832]
S2 T_H_C_L_I;The Hacker Client;c:\windows\thcli.exe [15/07/2008 04:14 p.m. 122880]
S3 aapltctp;Apple Trackpad Filter;c:\windows\system32\drivers\aapltctp.sys [19/10/2006 12:15 p.m. 4992]
S3 aapltp;Apple Trackpad Driver;c:\windows\system32\drivers\aapltp.sys [19/10/2006 12:15 p.m. 35712]
S3 BLUETOOTH_KICKER;Apple Bluetooth Driver;c:\windows\system32\drivers\BthKicker.sys [25/08/2006 12:45 a.m. 6272]
S3 IRRemoteFlt;IR Remote Filter Driver;c:\windows\system32\drivers\IRFilter.sys [09/05/2007 08:16 p.m. 10240]
S3 iSightUpdate;iSight Update Driver;c:\windows\system32\drivers\iSightUP.sys [05/09/2006 03:08 p.m. 18304]
S3 keymagic;USB Keyboard HID Filter;c:\windows\system32\drivers\KeyMagic.sys [14/01/2007 09:10 p.m. 11904]
S3 SASENUM;SASENUM;c:\archivos de programa\SUPERAntiSpyware\SASENUM.SYS [17/02/2010 10:15 a.m. 12872]
S3 StartupDiskDriver;StartupDiskDriver;c:\windows\system32\drivers\StartupDiskDriver.sys [26/09/2006 06:20 p.m. 4736]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contents of the 'Scheduled Tasks' folder

2010-03-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 17:34]

2010-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-03-18 01:17]

2010-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-03-18 01:17]

2009-01-12 c:\windows\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job
- c:\archivos de programa\Microsoft IntelliPoint\ipoint.exe [2008-06-10 17:56]

2010-03-24 c:\windows\Tasks\User_Feed_Synchronization-{581F0517-1ECD-4418-A612-11490CA32433}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 08:31]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uSearchAssistant = hxxp://www.google.com
IE: E&xport to Microsoft Excel - c:\archiv~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: kuaiche.com\software
DPF: {C3C304ED-7599-4A9D-8AD3-2F8648AFBD1A} - hxxp://www.bacuslabs.com.njmstss.umdnj.edu/plugin/WEBSLIDE.EXE
FF - ProfilePath -
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("ui.use_native_colors", true);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("svg.smil.enabled", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.debug", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("html5.enable", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
.
------- File Associations -------
.
.txt=
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-Google Update - c:\documents and settings\Christian A. Zegarra\ConfiguraciÛn local\Datos de programa\Google\Update\1.0.103.0\GoogleUpdate.exe
HKCU-Run-jfnfbetk - c:\documents and settings\Christian A. Zegarra\ConfiguraciÛn local\Datos de programa\bmgacd\hlccsftav.exe
MSConfigStartUp-Adobe Reader Speed Launcher - c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-ISTray - c:\archivos de programa\Spyware Doctor\pctsTray.exe
MSConfigStartUp-PAV - c:\archiv~1\PERSYS~1\Perav\PAV.EXE
MSConfigStartUp-SpybotSD TeaTimer - c:\archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-ThreatFire - c:\archivos de programa\ThreatFire\TFTray.exe
AddRemove-HijackThis - c:\documents and settings\Christian A. Zegarra\Escritorio\HijackThis.exe



**************************************************************************
scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files:

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ÿïÄ|ˇˇˇˇïÄ|˘ï9~*]
"A0C0110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"A0C0710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(372)
c:\archivos de programa\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\WININET.dll
c:\archivos de programa\Archivos comunes\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
Completion time: 2010-03-23 00:33:03
ComboFix-quarantined-files.txt 2010-03-23 04:33

Pre-Run: 2,043,101,184 bytes libres
Post-Run: 14,914,473,984 bytes libres

- - End Of File - - 3A8C9A538670E9B016DD7CB14DC06E5B

#11 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 61,207 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:06:26 AM

Posted 27 March 2010 - 06:42 AM

Hello again,

P2P WARNING
-------------------
Going over your logs I noticed that you have Ares and Limewire installed.
  • Avoid gaming sites, pirated software, cracking tools, keygens, and peer-to-peer (P2P) file sharing programs.
  • They are a security risk which can make your computer susceptible to a smörgåsbord of malware infections, remote attacks, exposure of personal information, and identity theft. Many malicious worms and Trojans spread across P2P file sharing networks, gaming and underground sites.
  • Users visiting such pages may see innocuous-looking banner ads containing code which can trigger pop-up ads and malicious Flash ads that install viruses, Trojans and spyware. Ads are a target for hackers because they offer a stealthy way to distribute malware to a wide range of Internet users.
  • The best way to reduce the risk of infection is to avoid these types of web sites and not use any P2P applications.
It is pretty much certain that if you continue to use P2P programs, you will get infected again.
I would recommend that you uninstall Ares and Limewire, however that choice is up to you. If you choose to remove these programs, you can do so via Start > Control Panel > Add/Remove Programs.

If you wish to keep it, please do not use it until your computer is cleaned.


Download the tools needed to a flash drive or other removable media, and transfer them to the infected computer.

***************************************************

Download ComboFix from one of these locations (delete any old copies):

Link 1
Link 2


**Note: It is important that it is saved directly to your desktop**

--------------------------------------------------------------------

With malware infections being as they are today, it's strongly recommended to have the Windows Recovery Console pre-installed on your machine before doing any malware removal.

The Windows Recovery Console will allow you to boot up into a special recovery (repair) mode. This allows us to more easily help you should your computer have a problem after an attempted removal of malware. It is a simple procedure that will only take a few moments of your time.


Go to Microsoft's website => http://support.microsoft.com/kb/310994

Scroll down to Step 1, and select the download that's appropriate for your Operating System. Download the file & save it as it's originally named.

Note: If you have SP3, use the SP2 package.


---------------------------------------------------------------------

Transfer all files you just downloaded, to the desktop of the infected computer.

--------------------------------------------------------------------


Disable your AntiVirus and AntiSpyware applications, usually via a right click on the System Tray icon. They may otherwise interfere with our tools



  • Drag the setup package onto ComboFix.exe and drop it.

  • Follow the prompts to start ComboFix and when prompted, agree to the End-User License Agreement to install the Microsoft Recovery Console.





  • At the next prompt, click 'No' in order to exit.


CF-SCRIPT
-------------
We need to execute a CF-script.
  • Close any open browsers.
  • Close/disable all anti virus and anti malware programs so they do not interfere with the running of ComboFix.
  • Click Start > Run and in the box that opens type notepad and press enter. Copy/paste the text in the codebox below into it:
CODE
SecCenter::
{34874241-C32D-4048-A95F-7E35CC7CB0F6}

FCopy::
c:\windows\system32\dllcache\tcpip.sys | c:\windows\system32\drivers\tcpip.sys

DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:5555

Driver::
T_H_C_L_I

Save this as CFScript.txt, in the same location as ComboFix.exe



Refering to the picture above, drag CFScript into ComboFix.exe

When finished, it shall produce a log for you at C:\ComboFix.txt which I will require in your next reply.


regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft


#12 waynacaz

waynacaz
  • Topic Starter

  • Members
  • 11 posts
  • OFFLINE
  •  
  • Local time:11:26 PM

Posted 27 March 2010 - 10:25 AM

Nota Bene:

1) Boot Partition cannot be enumerated correctly after dragging the Windows Recovery Console to the ComboFix.exe icon.

2) I'm running Windows XP Pro in a MacBook via Boot Camp.

3) I do have the Windows Recovery Console installed in this computer.

Thank you.

ComboFix 10-03-26.02 - Christian A. Zegarra 27/03/2010 10:58:30.6.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.992.567 [GMT -4:00]
Running from: c:\documents and settings\Christian A. Zegarra\Escritorio\ComboFix.exe
Command switches used :: c:\documents and settings\Christian A. Zegarra\Escritorio\CFScript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
--------------- FCopy ---------------

c:\windows\system32\dllcache\tcpip.sys --> c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_T_H_C_L_I
-------\Service_T_H_C_L_I


((((((((((((((((((((((((( Files Created from 2010-02-27 to 2010-03-27 )))))))))))))))))))))))))))))))
.

2010-03-25 03:49 . 2010-03-25 03:49 -------- d-----w- c:\archivos de programa\CCleaner
2010-03-25 03:49 . 2010-03-25 03:49 -------- d-----w- c:\documents and settings\All Users\Datos de programa\PrevxCSI
2010-03-25 03:49 . 2010-03-25 03:49 -------- d-----w- c:\documents and settings\All Users\Datos de programa\SUPERAntiSpyware.com
2010-03-25 01:53 . 2010-03-25 03:04 -------- d-----w- c:\documents and settings\Christian A. Zegarra\DoctorWeb
2010-03-24 04:08 . 2010-03-24 04:08 52832 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-03-24 02:16 . 2010-03-27 14:19 -------- d-----w- c:\archivos de programa\SUPERAntiSpyware
2010-03-23 09:48 . 2010-03-23 09:48 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Malwarebytes
2010-03-23 09:48 . 2010-01-07 20:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-23 09:48 . 2010-03-23 09:48 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2010-03-23 09:48 . 2010-01-07 20:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-23 09:48 . 2010-03-24 00:33 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2010-03-22 02:51 . 2010-03-22 02:51 319488 ----a-w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe
2010-03-13 12:28 . 2010-03-13 12:28 -------- d-----w- C:\b06915107c16e9de18
2010-03-12 10:34 . 2010-03-12 10:34 -------- d-----w- C:\06bcc50e2cbbbd13934497edb56e29
2010-03-07 18:45 . 2010-03-07 18:45 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-03-07 18:45 . 2010-03-09 10:33 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\skypePM
2010-03-07 18:37 . 2010-03-09 10:35 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Skype
2010-03-07 18:36 . 2010-03-07 18:36 -------- d-----w- c:\archivos de programa\Archivos comunes\Skype
2010-03-07 18:36 . 2010-03-10 11:54 -------- d-----r- c:\archivos de programa\Skype
2010-03-07 18:36 . 2010-03-07 18:36 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Skype
2010-03-06 23:01 . 2010-03-06 23:01 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-06 23:00 . 2010-03-06 23:00 152576 ----a-w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Sun\Java\jre1.6.0_16\lzma.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-27 14:21 . 2008-07-15 19:46 -------- d-----w- c:\archivos de programa\Eset
2010-03-27 14:17 . 2008-06-19 19:37 -------- d---a-w- c:\documents and settings\All Users\Datos de programa\TEMP
2010-03-26 02:33 . 2001-08-24 15:00 49292 ----a-w- c:\windows\system32\perfc00A.dat
2010-03-26 02:33 . 2001-08-24 15:00 358904 ----a-w- c:\windows\system32\perfh00A.dat
2010-03-25 03:49 . 2007-11-08 00:43 -------- d-----w- c:\archivos de programa\Archivos comunes\Skyscape
2010-03-25 03:49 . 2007-01-15 01:10 -------- d--h--w- c:\archivos de programa\InstallShield Installation Information
2010-03-15 22:22 . 2009-02-21 05:55 -------- d-----w- c:\documents and settings\Christian A. Zegarra\Datos de programa\FileZilla
2010-03-14 05:26 . 2009-02-21 05:54 -------- d-----w- c:\archivos de programa\FileZilla FTP Client
2010-03-09 04:36 . 2008-10-17 00:53 -------- d-----w- c:\archivos de programa\Mozilla Firefox 3.1 Beta 1
2010-03-06 23:01 . 2007-01-15 02:00 -------- d-----w- c:\archivos de programa\Java
2010-03-06 03:19 . 2009-03-18 01:17 -------- d-----w- c:\archivos de programa\Google
2010-02-18 21:22 . 2010-02-18 21:22 -------- d-----w- c:\archivos de programa\TweetDeck
2010-02-15 11:17 . 2009-01-27 03:20 -------- d-----w- c:\archivos de programa\Archivos comunes\Adobe AIR
2010-02-15 11:16 . 2010-01-17 00:12 38784 ----a-w- c:\documents and settings\Christian A. Zegarra\Datos de programa\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-02-15 11:16 . 2009-12-01 21:55 38784 ----a-w- c:\documents and settings\Default User\Datos de programa\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-02-06 11:47 . 2008-04-30 02:29 41736 ---ha-w- c:\windows\system32\mlfcache.dat
2010-02-03 22:53 . 2010-02-03 22:49 -------- d-----w- c:\archivos de programa\iTunes
2010-02-03 22:50 . 2010-02-03 22:50 -------- d-----w- c:\archivos de programa\iPod
2010-02-03 22:50 . 2007-07-06 00:06 -------- d-----w- c:\archivos de programa\Archivos comunes\Apple
2010-02-03 22:36 . 2007-05-02 15:50 -------- d-----w- c:\archivos de programa\QuickTime
2010-02-03 22:23 . 2010-02-03 22:23 72488 ----a-w- c:\documents and settings\All Users\Datos de programa\Apple Computer\Installer Cache\iTunes 9.0.3.15\SetupAdmin.exe
2010-01-18 16:46 . 2009-11-25 23:16 598 ----a-w- c:\windows\system32\secushr.dat
2010-01-14 10:55 . 2010-01-14 10:55 86016 ----a-w- c:\documents and settings\All Users\Datos de programa\NOS\Adobe_Downloads\arh.exe
2009-12-31 16:14 . 2004-08-04 04:14 352640 ----a-w- c:\windows\system32\drivers\srv.sys
.

((((((((((((((((((((((((((((( SnapShot@2010-03-24_09.29.08 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-07 06:19 . 2007-11-07 06:19 54272 c:\windows\WinSxS\x86_Microsoft.VC90.OpenMP_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_ecc42bd1\vcomp90.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 62976 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90rus.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 46080 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90kor.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 46592 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90jpn.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 64512 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90ita.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 66048 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90fra.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 65024 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esp.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 65024 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esn.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 56832 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90enu.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 66560 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90deu.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 39936 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90cht.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 38912 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90chs.dll
+ 2008-07-29 10:07 . 2008-07-29 10:07 59904 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90u.dll
+ 2008-07-29 10:07 . 2008-07-29 10:07 59904 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90.dll
- 2001-08-24 15:00 . 2010-03-24 09:01 72306 c:\windows\system32\perfc009.dat
+ 2001-08-24 15:00 . 2010-03-26 02:33 72306 c:\windows\system32\perfc009.dat
- 2007-01-15 01:01 . 2007-01-15 01:01 32768 c:\windows\system32\config\systemprofile\ConfiguraciÛn local\Historial\History.IE5\index.dat
+ 2007-01-15 01:01 . 2010-03-25 03:29 32768 c:\windows\system32\config\systemprofile\ConfiguraciÛn local\Historial\History.IE5\index.dat
+ 2007-01-15 01:01 . 2010-03-25 03:29 32768 c:\windows\system32\config\systemprofile\ConfiguraciÛn local\Archivos temporales de Internet\Content.IE5\index.dat
- 2007-01-15 01:01 . 2007-01-15 01:01 32768 c:\windows\system32\config\systemprofile\ConfiguraciÛn local\Archivos temporales de Internet\Content.IE5\index.dat
+ 2008-07-29 12:05 . 2008-07-29 12:05 655872 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcr90.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 572928 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcp90.dll
+ 2008-07-29 07:54 . 2008-07-29 07:54 225280 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcm90.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 161784 c:\windows\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_d01483b2\atl90.dll
- 2001-08-24 15:00 . 2010-03-24 09:01 444596 c:\windows\system32\perfh009.dat
+ 2001-08-24 15:00 . 2010-03-26 02:33 444596 c:\windows\system32\perfh009.dat
+ 2010-03-23 10:24 . 2010-03-23 10:24 228352 c:\windows\Installer\eeacd.msi
+ 2008-07-29 12:05 . 2008-07-29 12:05 3783672 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90u.dll
+ 2008-07-29 12:05 . 2008-07-29 12:05 3768312 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90.dll
+ 2007-03-03 23:50 . 2010-03-25 03:49 6935976 c:\windows\system32\Restore\rstrlog.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"The Hacker Monitor - Cliente"="c:\windows\thcli.exe" [2006-03-02 122880]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
HP Digital Imaging Monitor.lnk - c:\archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Nike+ Utility.lnk - c:\archivos de programa\Nike+ Utility\Nike+ Utility.exe [2008-4-30 1228800]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Men˙ Inicio^Programas^Inicio^IRUpdater.lnk]
path=c:\documents and settings\All Users\Men˙ Inicio\Programas\Inicio\IRUpdater.lnk
backup=c:\windows\pss\IRUpdater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AirPort Base Station Agent]
2009-02-27 16:39 753664 ----a-w- c:\archivos de programa\AirPort\APAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apple_KbdMgr]
2007-02-12 17:38 389120 ----a-w- c:\archivos de programa\Apple Keyboard Support\KbdMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2004-08-19 20:43 110592 ----a-w- c:\windows\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Brightness]
2007-03-22 02:45 226896 -c--a-w- c:\windows\system32\Brightness.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DropBoxUtility]
2007-12-02 22:26 258048 ----a-w- c:\archivos de programa\DropBox\DropBox\DropBox.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-11-13 18:39 1289000 ----a-w- c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2006-09-26 21:51 114688 -c--a-w- c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-10-15 01:17 49152 ----a-w- c:\archivos de programa\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IRW]
2007-03-22 00:12 106496 -c--a-w- c:\windows\system32\IRW.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray]
c:\archivos de programa\Spyware Doctor\pctsTray.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-01-23 00:16 141608 ----a-w- c:\archivos de programa\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2006-09-26 21:51 94208 -c--a-w- c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-11 04:08 417792 ----a-w- c:\archivos de programa\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
c:\archivos de programa\Spybot - Search & Destroy\TeaTimer.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-02-22 09:25 144784 ----a-w- c:\archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ThreatFire]
c:\archivos de programa\ThreatFire\TFTray.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Archivos de programa\\LimeWire\\LimeWire.exe"=
"c:\\Archivos de programa\\Windows Media Player\\wmplayer.exe"=
"c:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"c:\\Archivos de programa\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Archivos de programa\\Airfoil\\Airfoil.exe"=
"c:\\Archivos de programa\\Ares\\Ares.exe"=
"c:\archivos de programa\Microsoft ActiveSync\rapimgr.exe"= c:\archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe"= c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\DropBox\\DropBox\\DropBox.exe"=
"c:\\WINDOWS\\thcli.exe"=
"c:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Archivos de programa\\AirPort\\APAgent.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\Mozilla Firefox 3.1 Beta 1\\firefox.exe"=
"$INSTDIR\\FlvDetector.exe"= c:\\Archivos de programa\\FlashGet Network\\FlashGet 3\\FlvDetector.exe
"c:\\Archivos de programa\\Archivos comunes\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Archivos de programa\\iTunes\\iTunes.exe"=
"c:\\Archivos de programa\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:UDP"= 5353:UDP:Bonjour
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R2 AppleTimeSrv;Apple Time Service;c:\windows\system32\AppleTimeSrv.exe [21/03/2007 10:43 p.m. 83536]
R2 KeyAgent;KeyAgent;c:\windows\system32\drivers\KeyAgent.sys [14/01/2007 09:10 p.m. 6016]
R2 MacHALDriver;MacHALDriver;c:\windows\system32\drivers\MacHALDriver.sys [09/05/2007 08:18 p.m. 3840]
R2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [24/03/2010 12:08 a.m. 52832]
R3 aapltctp;Apple Trackpad Filter;c:\windows\system32\drivers\aapltctp.sys [19/10/2006 12:15 p.m. 4992]
R3 aapltp;Apple Trackpad Driver;c:\windows\system32\drivers\aapltp.sys [19/10/2006 12:15 p.m. 35712]
R3 IRRemoteFlt;IR Remote Filter Driver;c:\windows\system32\drivers\IRFilter.sys [09/05/2007 08:16 p.m. 10240]
R3 keymagic;USB Keyboard HID Filter;c:\windows\system32\drivers\KeyMagic.sys [14/01/2007 09:10 p.m. 11904]
S2 gupdate1c9a76744b07a7a;Google Update Service (gupdate1c9a76744b07a7a);c:\archivos de programa\Google\Update\GoogleUpdate.exe [17/03/2009 09:17 p.m. 133104]
S2 T_H_C_L_I;The Hacker Client;c:\windows\thcli.exe [15/07/2008 04:14 p.m. 122880]
S3 BLUETOOTH_KICKER;Apple Bluetooth Driver;c:\windows\system32\drivers\BthKicker.sys [25/08/2006 12:45 a.m. 6272]
S3 iSightUpdate;iSight Update Driver;c:\windows\system32\drivers\iSightUP.sys [05/09/2006 03:08 p.m. 18304]
S3 StartupDiskDriver;StartupDiskDriver;c:\windows\system32\drivers\StartupDiskDriver.sys [26/09/2006 06:20 p.m. 4736]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contents of the 'Scheduled Tasks' folder

2010-03-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 17:34]

2010-03-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-03-18 01:17]

2010-03-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-03-18 01:17]

2009-01-12 c:\windows\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job
- c:\archivos de programa\Microsoft IntelliPoint\ipoint.exe [2008-06-10 17:56]

2010-03-27 c:\windows\Tasks\User_Feed_Synchronization-{581F0517-1ECD-4418-A612-11490CA32433}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 08:31]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
uSearchAssistant = hxxp://www.google.com
IE: E&xport to Microsoft Excel - c:\archiv~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: kuaiche.com\software
DPF: {C3C304ED-7599-4A9D-8AD3-2F8648AFBD1A} - hxxp://www.bacuslabs.com.njmstss.umdnj.edu/plugin/WEBSLIDE.EXE
FF - ProfilePath -
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("ui.use_native_colors", true);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("svg.smil.enabled", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.debug", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("html5.enable", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\archivos de programa\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-27 11:12
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ÿïÄ|ˇˇˇˇïÄ|˘ï9~*]
"A0C0110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"A0C0710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(396)
c:\archivos de programa\Archivos comunes\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(2240)
c:\windows\system32\WININET.dll
c:\archiv~1\WINDOW~2\wmpband.dll
c:\archivos de programa\Archivos comunes\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Google\Update\1.2.183.23\GoogleCrashHandler.exe
c:\archivos de programa\Java\jre6\bin\jqs.exe
c:\archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\STacSV.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
c:\archivos de programa\HP\Digital Imaging\bin\hpqbam08.exe
c:\archivos de programa\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Completion time: 2010-03-27 11:14:32 - machine was rebooted
ComboFix-quarantined-files.txt 2010-03-27 15:14
ComboFix2.txt 2010-03-27 14:12
ComboFix3.txt 2010-03-25 01:10
ComboFix4.txt 2010-03-23 10:52
ComboFix5.txt 2010-03-27 14:31

Pre-Run: 15,499,714,560 bytes libres
Post-Run: 15,460,139,008 bytes libres

- - End Of File - - DA2E51D33BC21557CB3F07B7DEE6EEF4

#13 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 61,207 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:06:26 AM

Posted 27 March 2010 - 10:41 AM

Hello, please let me know how things are running now.

UPDATE JAVA
------------------
Your Java is out of date. Older versions have vulnerabilities that malicious sites can use to exploit and infect your system. Please follow these steps to remove older version Java components and update:
  • Download the latest version of Java Runtime Environment (JRE) Version 6 and save it to your desktop.
  • Look for "Java Runtime Environment (JRE)" JRE 6 Update 18.
  • Click the Download button to the right.
  • Select your Platform: "Windows".
  • Select your Language: "Multi-language".
  • Read the License Agreement, and then check the box that says: "Accept License Agreement".
  • Click Continue and the page will refresh.
  • Under Required Files, check the box for Windows Offline Installation, click the link below it and save the file to your desktop.
  • Close any programs you may have running - especially your web browser.
Go to Start > Settings > Control Panel, double-click on Add/Remove Programs and remove all older versions of Java.
  • Check (highlight) any item with Java Runtime Environment (JRE or J2SE) in the name.
  • Click the Remove or Change/Remove button and follow the onscreen instructions for the Java uninstaller.
  • Repeat as many times as necessary to remove each Java versions.
  • Reboot your computer once all Java components are removed.
  • Then from your desktop double-click on jre-6u18-windows-i586.exe to install the newest version.
-- If using Windows Vista and the installer refuses to launch due to insufficient user permissions, then Run As Administrator.
-- If you choose to update via the Java applet in Control Panel, uncheck the option to install the Toolbar unless you want it.
-- The uninstaller incorporated in this release removes previous Updates 10 and above, but does not remove older versions, so they still need to be removed manually.


Note: The Java Quick Starter (JQS.exe) adds a service to improve the initial startup time of Java applets and applications. To disable the JQS service if you don't want to use it, go to Start > Control Panel > Java > Advanced > Miscellaneous and uncheck the box for Java Quick Starter. Click Ok and reboot your computer.


MALWAREBYTES ANTIMALWARE
-------------------------------------------
Please launch MBAM and update the program before performing a scan.
  • If an update is found, the program will automatically update itself. Press the OK button to close that box and continue.
  • If you encounter any problems while downloading the definition updates, manually download them from here and just double-click on mbam-rules.exe to install.
On the Scanner tab:
  • Make sure the "Perform Full Scan" option is selected.
  • Then click on the Scan button.
  • If asked to select the drives to scan, leave all the drives selected and click on the Start Scan button.
  • The scan will begin and "Scan in progress" will show at the top. It may take some time to complete so please be patient.
  • When the scan is finished, a message box will say "The scan completed successfully. Click 'Show Results' to display all objects found".
  • Click OK to close the message box and continue with the removal process.
Back at the main Scanner screen:
  • Click on the Show Results button to see a list of any malware that was found.
  • Make sure that everything is checked, and click Remove Selected.
  • When removal is completed, a log report will open in Notepad.
  • The log is automatically saved and can be viewed by clicking the Logs tab in MBAM.
  • Copy and paste the contents of that report in your next reply. Be sure to post the complete log to include the top portion which shows MBAM's database version and your operating system.
  • Exit MBAM when done.
Note: If MBAM encounters a file that is difficult to remove, you will be asked to reboot your computer so MBAM can proceed with the disinfection process. If asked to restart the computer, please do so immediately. Failure to reboot normally (not into safe mode) will prevent MBAM from removing all the malware.


regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft


#14 waynacaz

waynacaz
  • Topic Starter

  • Members
  • 11 posts
  • OFFLINE
  •  
  • Local time:11:26 PM

Posted 27 March 2010 - 02:27 PM

Hi,

I did everything that was recommended to get my computer working normally again. So far, however, this has not been possible. I still cannot connect to the internet (currently I'm using my Mac) and when entered 'Ipconfig /all' in CMD, there is an 'Internal Error' and 'Host name not recognized'. When I click on the lower right icon of the wireless connection to see its properties, there are no IP or DNS configurations or any other type of configurations present. I still see the 'Windows Security Alert' icon on the lower right corner. Following is the log from the MBAM:

Malwarebytes' Anti-Malware 1.44
Database version: 3913
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

27/03/2010 07:05:39 p.m.
mbam-log-2010-03-27 (19-05-39).txt

Scan type: Full Scan (C:\|)
Objects scanned: 283734
Time elapsed: 1 hour(s), 31 minute(s), 49 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\System Volume Information\_restore{AABE14CF-2542-450D-969A-F695AC8E972D}\RP608\A0243975.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

What do you presume is wrong with the TCP/IP or, simply asked, why I cannot connect to the internet and get rid off the security alert icon?

Thank you so far for the help.

#15 Elise

Elise

    Bleepin' Blonde


  • Malware Study Hall Admin
  • 61,207 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Romania
  • Local time:06:26 AM

Posted 27 March 2010 - 02:36 PM

Please let me know a bit more in detail how you are connected to the internet (wired, wireless, cable modem, ...).

Also, did you check your connection is set to automatically obtain IP address and DNS address?

regards, Elise


"Now faith is the substance of things hoped for, the evidence of things not seen."

 

Follow BleepingComputer on: Facebook | Twitter | Google+ | lockerdome

 

Malware analyst @ Emsisoft





0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users