Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

AVG says searchindexer and searchprotocolhost have Win32/Agent.CB


  • This topic is locked This topic is locked
29 replies to this topic

#1 basten

basten

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Local time:12:27 AM

Posted 17 June 2011 - 01:06 PM

Within a few days I had a Google redirect problem (returning blank Google pages or opening commercial pages on energy, mayonnaise, etc) on both my desktop and a laptop (only blank Google). On the desktop I ran many tools and software (in normal and safe mode), besides my resident paid version of McAfee (courtesy of my ISP). I also could confirm first hand that the online support people at McAfee don’t have a clue… Furthermore, I replaced hosts file, “reset” IE7, uninstalled Acrobat Reader and Java, etc.
On the desktop McAfee started to quarantine executable files of McAfee itself, Windows, Java, Intel Desktop Utilities, etc. and I started having a Google redirect problem. I am almost certain it happened clicking on a Google entry on an innocuous subject (turtles) with a “reasonable” URL. For several reasons I decided to reformat the hard drive, and then the same occurred on my wife’s laptop, XP with SP 3, Windows Firewall.
This time, after clicking on a Google entry on graphic cards, again with a “reasonable” URL, AVG free version 8.5 (granted: old version) instantly warned about Backdoor.Generic13.BKVZ, and I started having a Google redirect problem: instead of opening the requested site, it returned a new blank Google page. This gave me a better clue which type of tool to use, so I ran TDSS Killer and it found Rootkit.Win32.ZAccess.C in Windows/system32/drivers/ipnat.sys and cdfs.sys and apparently eliminated it after a few rounds. I also had Backdoor.Generic13.BWYB in Windows/assembly/GAC_MSIL/Desktop.ini which disappeared after uninstalling Adobe Photo Album Starter Edition 3.2. I also removed older versions of Acrobat Reader and Java and installed the most recent.
Now the Google redirect problem was gone (by the way, the same TDSS Killer recipe worked on the desktop; maybe there it was the only problem) and AVG scan resulted clean, but I wanted to have more certainty. Unlike my desktop, on this laptop I had no “battery” of tools and software available yet, so I downloaded and ran GMER. It did not show anything in red and issued no warnings, but McAfee Security Scan started spontaneously during the GMER run and indicated Artemis!461F1EFD78A4 in searchindexer.exe (in system32). I then ran MBAM and it found Backdoor.ZAccess (this one never found by TDSS Killer), in above mentioned Desktop.ini. It also found 2 Registry Keys with Trojan.Agent, 2 instances of Backdoor.IRCBot and 4 PUM’s. I ignored the PUM’s and it cleaned all else. Reran and all OK: only the ignored PUM’s.
I ran ATF-Cleaner, then I ran Hitman Pro 3.5 and it found several files infected, among which undeletable Windows files, which I couldn´t replace, because the OS disks are in possession of my wife’s employer. After that I removed AVG 8.5 and installed AVG Free 2011. This newer version found 10 instances of Win32/Agent.CB, which it can vault or delete, but not cure (the same ones as Hitman). Then I took ESET Online: found several, mostly the same with other Trojan name (Win32/Patched.HN Trojan, and others VBS/StartPage.NCM.Gen trojan), but I did only scan, not clean, as in my desktop experience it would not be able to clean anyway, only vault or delete.
I now have several non-OS but important exe files in the AVG vault and every 15 minutes or so (on opening new IE windows especially) get warning messages by AVG about searchindexer.exe and searchprotocolhost.exe infected with Win32/Agent.CB (like the vaulted files). I couldn’t run Kaspersky Online (probably because of vaulted files) and have not run HijackThis yet, because I’m not knowledgeable enough to act on it anyway. The laptop (and Google) at least function normally, besides the infection(s): no pop-up’s, etc.
I guess that at this point it seems likely I will have to run ComboFix, especially because it can cure and/or replace files, but don´t want to do that without assistance. Please be so kind to help me out, because I REALLY want to know what´s happening and what I can do to prevent this from happening in the future, besides your Guides, etc. I am aware this laptop was not well protected, but the desktop was and it still happened! (It is very rare I have virus/ Trojan problems.)
PLEASE INDICATE IF I SHOULD RESTORE THE IMPORTANT EXE FILES NOW VAULTED IN AVG 2011, AND IF YOU WOULD LIKE TO SEE THE REGISTRY KEYS IN THE MBAM HISTORY.
After determining the cause it will also be necessary to address whether my external hard drive and memory key are clean.
I guarantee I have followed sofar and will continue to follow your instructions exactly until this thing is solved.

.
DDS (Ver_2011-06-12.02) - NTFSx86
Internet Explorer: 8.0.6001.18702
Run by Irma at 11:09:45 on 2011-06-17
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.2038.1123 [GMT -5:00]
.
AV: AVG Anti-Virus Free Edition 2011 *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
============== Running Processes ===============
.
C:\ARCHIV~1\AVG\AVG10\avgchsvx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
C:\Archivos de programa\AVG\AVG10\avgwdsvc.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Archivos de programa\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Archivos de programa\AVG\AVG10\avgnsx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\DellTPad\Apoint.exe
C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\DellTPad\ApMsgFwd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\DellTPad\HidFind.exe
C:\Archivos de programa\DellTPad\Apntex.exe
C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe
C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe
C:\Archivos de programa\Mindjet\MindManager 8\MMReminderService.exe
C:\Archivos de programa\AVG\AVG10\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\Archivos de programa\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\ARCHIV~1\AVG\AVG10\avgrsx.exe
C:\Archivos de programa\AVG\AVG10\avgcsrvx.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://www.xoower.com/
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\archivos de programa\archivos comunes\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\archivos de programa\avg\avg10\avgssie.dll
BHO: CmjBrowserHelperObject Object: {6fe6a929-59d1-4763-91ad-29b61cffb35b} - c:\archivos de programa\mindjet\mindmanager 8\Mm8InternetExplorer.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\archivos de programa\google\google toolbar\GoogleToolbar_32.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\archivos de programa\google\googletoolbarnotifier\5.7.6406.1642\swg.dll
BHO: Java™ Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\archivos de programa\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\archivos de programa\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\archivos de programa\google\google toolbar\GoogleToolbar_32.dll
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [swg] "c:\archivos de programa\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRun: [Sony Ericsson PC Suite] "c:\archivos de programa\sony ericsson\sony ericsson pc suite\SEPCSuite.exe" /systray /nologon
uRun: [Skype] "c:\archivos de programa\skype\phone\Skype.exe" /nosplash /minimized
uRun: [Google Update] "c:\documents and settings\irma\configuración local\datos de programa\google\update\GoogleUpdate.exe" /c
mRun: [Apoint] c:\archivos de programa\delltpad\Apoint.exe
mRun: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [IntelZeroConfig] "c:\archivos de programa\intel\wireless\bin\ZCfgSvc.exe"
mRun: [IntelWireless] "c:\archivos de programa\intel\wireless\bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
mRun: [MMReminderService] c:\archivos de programa\mindjet\mindmanager 8\MMReminderService.exe
mRun: [QuickTime Task] "c:\archivos de programa\quicktime\qttask.exe" -atboottime
mRun: [SunJavaUpdateSched] "c:\archivos de programa\archivos comunes\java\java update\jusched.exe"
mRun: [AVG_TRAY] c:\archivos de programa\avg\avg10\avgtray.exe
mRun: [Adobe ARM] "c:\archivos de programa\archivos comunes\adobe\arm\1.0\AdobeARM.exe"
StartupFolder: c:\docume~1\alluse~1\menini~1\progra~1\inicio\mcafee~1.lnk - c:\archivos de programa\mcafee security scan\2.0.181\SSScheduler.exe
StartupFolder: c:\docume~1\alluse~1\menini~1\progra~1\inicio\window~1.lnk - c:\archivos de programa\windows desktop search\WindowsSearch.exe
IE: E&xportar a Microsoft Excel - c:\archiv~1\micros~2\office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\archivos de programa\google\google toolbar\component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\archivos de programa\messenger\msmsgs.exe
IE: {2F72393D-2472-4F82-B600-ED77F354B7FF} - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - c:\archivos de programa\mindjet\mindmanager 8\Mm8InternetExplorer.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\archiv~1\micros~2\office12\REFIEBAR.DLL
LSP: mswsock.dll
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242766413031
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos-beta/OnlineScanner.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
DPF: {CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.3.1/jinstall-1_3_1_15-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: DhcpNameServer = 10.3.77.6 10.3.1.221 10.3.1.100
TCP: Interfaces\{552AD622-64A4-4BE4-889E-8F86E47F0852} : DhcpNameServer = 10.3.77.6 10.3.1.221 10.3.1.100
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\archivos de programa\avg\avg10\avgpp.dll
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\archiv~1\archiv~1\skype\SKYPE4~1.DLL
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Windows Desktop Search Namespace Manager: {56f9679e-7826-4c84-81f3-532071a8bcc5} - c:\archivos de programa\windows desktop search\MSNLNamespaceMgr.dll
.
============= SERVICES / DRIVERS ===============
.
R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [2011-2-22 22992]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [2011-3-16 32592]
R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [2011-1-7 248656]
R1 Avgmfx86;AVG Mini-Filter Resident Anti-Virus Shield;c:\windows\system32\drivers\avgmfx86.sys [2011-3-1 34896]
R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [2011-4-5 297168]
R2 AVGIDSAgent;AVGIDSAgent;c:\archivos de programa\avg\avg10\identity protection\agent\bin\AVGIDSAgent.exe [2011-4-18 7398752]
R2 avgwd;WatchDog de AVG;c:\archivos de programa\avg\avg10\avgwdsvc.exe [2011-2-8 269520]
R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [2011-4-14 134480]
R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [2011-2-10 24144]
R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [2011-2-10 27216]
S2 gupdate1c9dccdaf02d698;Servicio de actualización de Google (gupdate1c9dccdaf02d698);c:\archivos de programa\google\update\GoogleUpdate.exe [2009-5-24 133104]
S2 olkvxv;nuwen;c:\windows\system32\svchost.exe -k netsvcs [2004-8-20 14336]
S3 gupdatem;Google Update Servicio (gupdatem);c:\archivos de programa\google\update\GoogleUpdate.exe [2009-5-24 133104]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\archivos de programa\mcafee security scan\2.0.181\McCHSvc.exe [2010-1-15 227232]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [2007-11-2 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [2010-2-14 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [2010-2-14 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [2010-2-14 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [2010-2-14 100008]
.
=============== Created Last 30 ================
.
.
==================== Find3M ====================
.
2011-06-12 00:41:44 63744 ----a-w- c:\windows\system32\drivers\cdfs.sys
2011-06-12 00:36:22 152832 ----a-w- c:\windows\system32\drivers\ipnat.sys
2011-05-18 15:03:59 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-02 15:32:15 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 16:19:43 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 16:05:05 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:05:04 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:05:04 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01:33 385024 ----a-w- c:\windows\system32\html.iec
2011-04-21 13:37:43 105472 ----a-w- c:\windows\system32\drivers\mup.sys
2011-04-15 02:28:42 134480 ----a-w- c:\windows\system32\drivers\AVGIDSDriver.sys
2011-04-05 05:59:56 297168 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2009-05-25 00:01:04 114260 ------w- c:\archivos de programa\install_PowerDVD9.1530(BDTrial)_DVD090319-02.exe
.
============= FINISH: 11:10:46.95 ===============

Attached Files



BC AdBot (Login to Remove)

 


#2 Blind Faith

Blind Faith

  • Malware Response Team
  • 4,101 posts
  • OFFLINE
  •  
  • Gender:Female
  • Local time:09:27 AM

Posted 26 June 2011 - 09:08 AM

Hello and welcome to Bleeping Computer :welcome:

We apologize for the delay in responding to your request for help. Here at Bleeping Computer we get overwhelmed at times, and we are trying our best to keep up. Please note that your topic was not intentionally overlooked. Our mission is to help everyone in need, but sometimes it takes just a little longer to get to every request for help. No one is ignored here.

If you have since resolved the original problem you were having, we would appreciate you letting us know. If not please perform the following steps below so we can have a look at the current condition of your machine.

If you have not done so, include a clear description of the problems you're having, along with any steps you may have performed so far.

Upon completing the steps below another staff member will review your topic an do their best to resolve your issues.

If you have already posted a DDS log, please do so again, as your situation may have changed.
Use the 'Add Reply' and add the new log to this thread.

Thanks and again sorry for the delay.

We need to see some information about what is happening in your machine. Please perform the following scan:
  • Download DDS by sUBs from one of the following links. Save it to your desktop.
  • Double click on the DDS icon, allow it to run.
  • A small box will open, with an explaination about the tool. No input is needed, the scan is running.
  • Notepad will open with the results.
  • Follow the instructions that pop up for posting the results.
  • Close the program window, and delete the program from your desktop.
Please note: You may have to disable any script protection running if the scan fails to run. After downloading the tool, disconnect from the internet and disable all antivirus protection. Run the scan, enable your A/V and reconnect to the internet.

Information on A/V control HERE

We also need a new log from the GMER anti-rootkit scanner. Please first disable any CD emulation programs using the steps found in this topic:

Why we request you disable CD Emulation when receiving Malware Removal Advice

Then create another GMER log and post it as an attachment to the reply where you post your new DDS log. Instructions on how to properly create a GMER log can be found here:

How to create a GMER log




Elle
Can you hear it?It's all around!

Tomar ki manè acchè?
Yadi thakè, tahalè
Ki kshama kartè paro
?



If I haven't replied in 48 hours, please feel free to send me a PM.



Posted Image

#3 basten

basten
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Local time:12:27 AM

Posted 27 June 2011 - 07:23 PM

Thanks for your reaction. I really appreciate this help forum.

As you did not answer my questions (I got the "standard reply"), I will restore the exe files vaulted in AVG 2011 first.
WOULD YOU LIKE TO SEE THE REGISTRY KEYS IN THE MBAM HISTORY?

I don´t think anything has changed, but here are the fresh logs:

.
DDS (Ver_2011-06-23.01) - NTFSx86
Internet Explorer: 8.0.6001.18702
Run by Irma at 15:52:33 on 2011-06-27
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.2038.1264 [GMT -5:00]
.
AV: AVG Anti-Virus Free Edition 2011 *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
============== Running Processes ===============
.
C:\ARCHIV~1\AVG\AVG10\avgchsvx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
C:\Archivos de programa\AVG\AVG10\avgwdsvc.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\SearchIndexer.exe
C:\Archivos de programa\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\Archivos de programa\AVG\AVG10\avgnsx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\DellTPad\Apoint.exe
C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe
C:\Archivos de programa\Mindjet\MindManager 8\MMReminderService.exe
C:\Archivos de programa\DellTPad\ApMsgFwd.exe
C:\Archivos de programa\AVG\AVG10\avgtray.exe
C:\Archivos de programa\DellTPad\HidFind.exe
C:\Archivos de programa\DellTPad\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe
C:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\ARCHIV~1\AVG\AVG10\avgrsx.exe
C:\Archivos de programa\AVG\AVG10\avgcsrvx.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://www.xoower.com/
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\archivos de programa\archivos comunes\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\archivos de programa\avg\avg10\avgssie.dll
BHO: CmjBrowserHelperObject Object: {6fe6a929-59d1-4763-91ad-29b61cffb35b} - c:\archivos de programa\mindjet\mindmanager 8\Mm8InternetExplorer.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\archivos de programa\google\google toolbar\GoogleToolbar_32.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\archivos de programa\google\googletoolbarnotifier\5.7.6406.1642\swg.dll
BHO: Java™ Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\archivos de programa\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\archivos de programa\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\archivos de programa\google\google toolbar\GoogleToolbar_32.dll
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [swg] "c:\archivos de programa\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRun: [Sony Ericsson PC Suite] "c:\archivos de programa\sony ericsson\sony ericsson pc suite\SEPCSuite.exe" /systray /nologon
uRun: [Skype] "c:\archivos de programa\skype\phone\Skype.exe" /nosplash /minimized
uRun: [Google Update] "c:\documents and settings\irma\configuración local\datos de programa\google\update\GoogleUpdate.exe" /c
mRun: [Apoint] c:\archivos de programa\delltpad\Apoint.exe
mRun: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [IntelZeroConfig] "c:\archivos de programa\intel\wireless\bin\ZCfgSvc.exe"
mRun: [IntelWireless] "c:\archivos de programa\intel\wireless\bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
mRun: [MMReminderService] c:\archivos de programa\mindjet\mindmanager 8\MMReminderService.exe
mRun: [QuickTime Task] "c:\archivos de programa\quicktime\qttask.exe" -atboottime
mRun: [SunJavaUpdateSched] "c:\archivos de programa\archivos comunes\java\java update\jusched.exe"
mRun: [AVG_TRAY] c:\archivos de programa\avg\avg10\avgtray.exe
mRun: [Adobe ARM] "c:\archivos de programa\archivos comunes\adobe\arm\1.0\AdobeARM.exe"
StartupFolder: c:\docume~1\alluse~1\menini~1\progra~1\inicio\mcafee~1.lnk - c:\archivos de programa\mcafee security scan\2.0.181\SSScheduler.exe
StartupFolder: c:\docume~1\alluse~1\menini~1\progra~1\inicio\window~1.lnk - c:\archivos de programa\windows desktop search\WindowsSearch.exe
IE: E&xportar a Microsoft Excel - c:\archiv~1\micros~2\office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\archivos de programa\google\google toolbar\component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\archivos de programa\messenger\msmsgs.exe
IE: {2F72393D-2472-4F82-B600-ED77F354B7FF} - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - c:\archivos de programa\mindjet\mindmanager 8\Mm8InternetExplorer.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\archiv~1\micros~2\office12\REFIEBAR.DLL
LSP: mswsock.dll
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242766413031
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos-beta/OnlineScanner.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
DPF: {CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.3.1/jinstall-1_3_1_15-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: DhcpNameServer = 10.3.77.6 10.3.1.100 10.3.1.221
TCP: Interfaces\{552AD622-64A4-4BE4-889E-8F86E47F0852} : DhcpNameServer = 10.3.77.6 10.3.1.100 10.3.1.221
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\archivos de programa\avg\avg10\avgpp.dll
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\archiv~1\archiv~1\skype\SKYPE4~1.DLL
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Windows Desktop Search Namespace Manager: {56f9679e-7826-4c84-81f3-532071a8bcc5} - c:\archivos de programa\windows desktop search\MSNLNamespaceMgr.dll
.
============= SERVICES / DRIVERS ===============
.
R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [2011-2-22 22992]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [2011-3-16 32592]
R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [2011-1-7 248656]
R1 Avgmfx86;AVG Mini-Filter Resident Anti-Virus Shield;c:\windows\system32\drivers\avgmfx86.sys [2011-3-1 34896]
R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [2011-4-5 297168]
R2 AVGIDSAgent;AVGIDSAgent;c:\archivos de programa\avg\avg10\identity protection\agent\bin\AVGIDSAgent.exe [2011-4-18 7398752]
R2 avgwd;WatchDog de AVG;c:\archivos de programa\avg\avg10\avgwdsvc.exe [2011-2-8 269520]
R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [2011-4-14 134480]
R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [2011-2-10 24144]
R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [2011-2-10 27216]
S2 gupdate1c9dccdaf02d698;Servicio de actualización de Google (gupdate1c9dccdaf02d698);c:\archivos de programa\google\update\GoogleUpdate.exe [2009-5-24 133104]
S2 olkvxv;nuwen;c:\windows\system32\svchost.exe -k netsvcs [2004-8-20 14336]
S3 gupdatem;Google Update Servicio (gupdatem);c:\archivos de programa\google\update\GoogleUpdate.exe [2009-5-24 133104]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\archivos de programa\mcafee security scan\2.0.181\McCHSvc.exe [2010-1-15 227232]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [2007-11-2 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [2010-2-14 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [2010-2-14 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [2010-2-14 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [2010-2-14 100008]
.
=============== Created Last 30 ================
.
2011-06-16 07:29:32 -------- d-----w- c:\windows\SxsCaPendDel
2011-06-16 05:54:56 105472 -c----w- c:\windows\system32\dllcache\mup.sys
2011-06-14 16:05:32 -------- d-----w- c:\archivos de programa\ESET
2011-06-14 00:14:00 -------- d--h--w- C:\$AVG
2011-06-13 22:46:51 -------- d-----w- c:\documents and settings\irma\datos de programa\AVG10
2011-06-13 22:43:48 -------- d-----w- c:\windows\system32\drivers\AVG
2011-06-13 22:43:48 -------- d-----w- c:\documents and settings\all users\datos de programa\AVG10
2011-06-13 22:40:56 -------- d--h--w- c:\documents and settings\all users\datos de programa\Common Files
2011-06-13 22:26:14 -------- d-----w- c:\documents and settings\all users\datos de programa\MFAData
2011-06-13 21:08:48 17480 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2011-06-13 21:08:46 -------- d-----w- c:\archivos de programa\Hitman Pro 3.5
2011-06-13 21:04:27 -------- d-----w- c:\documents and settings\all users\datos de programa\Hitman Pro
2011-06-13 19:06:06 -------- d-----w- c:\documents and settings\irma\datos de programa\Malwarebytes
2011-06-13 19:05:51 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-13 19:05:50 -------- d-----w- c:\documents and settings\all users\datos de programa\Malwarebytes
2011-06-13 19:05:47 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-06-13 19:05:47 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2011-06-11 19:12:27 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-06-11 19:12:27 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-06-06 17:55:30 183696 ----a-w- c:\archivos de programa\internet explorer\plugins\nppdf32.dll
.
==================== Find3M ====================
.
2011-06-12 00:41:44 63744 ----a-w- c:\windows\system32\drivers\cdfs.sys
2011-06-12 00:36:22 152832 ----a-w- c:\windows\system32\drivers\ipnat.sys
2011-05-18 15:03:59 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-02 15:32:15 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 16:19:43 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 16:05:05 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:05:04 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:05:04 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01:33 385024 ----a-w- c:\windows\system32\html.iec
2011-04-21 13:37:43 105472 ----a-w- c:\windows\system32\drivers\mup.sys
2011-04-15 02:28:42 134480 ----a-w- c:\windows\system32\drivers\AVGIDSDriver.sys
2011-04-05 05:59:56 297168 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2009-05-25 00:01:04 114260 ------w- c:\archivos de programa\install_PowerDVD9.1530(BDTrial)_DVD090319-02.exe
.
============= FINISH: 15:52:47.28 ===============

Attached Files



#4 Blade81

Blade81

    Bleepin' Rocker


  • Malware Response Team
  • 6,465 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Finland
  • Local time:09:27 AM

Posted 07 July 2011 - 05:01 AM

Hi,

Sorry for a delayed reply. Please post fresh dds logs once more.

Microsoft Windows Insider MVP 2016-2017

Microsoft MVP Consumer Security 2008-2015
UNITE member since 2006
unite_blue.png

Provided malware removal related instructions are meant to be used in the correspondent user's case only. If you have similar symptoms create own topic instead of following instructions given to some other, please.


#5 basten

basten
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Local time:12:27 AM

Posted 08 July 2011 - 01:37 AM

Thanks for your reaction.

The computer has hardly been used, if at all, these last days. Is it still necessary to post new logs? Anyway, I will not be able to run them before Monday morning. Could you please indicate if I nevertheless must post new logs?

Thanks.

#6 Blade81

Blade81

    Bleepin' Rocker


  • Malware Response Team
  • 6,465 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Finland
  • Local time:09:27 AM

Posted 08 July 2011 - 12:14 PM

Hi,

If computer hasn't been online after logs above were taken then not necessary to provide fresh ones.


To make fixing possible AVG has to be temporarily uninstalled. It can be reinstalled later after we've finished (shall let you know then).


Please visit this webpage for download links, and instructions for running ComboFix tool:

http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Please ensure you read this guide carefully first.

Please continue as follows:

  • Close/disable all anti virus and anti malware programs so they do not interfere with the running of ComboFix, link
    Remember to re-enable them afterwards.

  • Click Yes to allow ComboFix to continue scanning for malware.

When the tool is finished, it will produce a report for you.

Please include the following reports for further review, and so we may continue cleansing the system:

C:\ComboFix.txt
New dds log.


A word of warning: Neither I nor sUBs are responsible for any damage you may have caused your machine by running ComboFix. This tool is not a toy and not for everyday use.

Microsoft Windows Insider MVP 2016-2017

Microsoft MVP Consumer Security 2008-2015
UNITE member since 2006
unite_blue.png

Provided malware removal related instructions are meant to be used in the correspondent user's case only. If you have similar symptoms create own topic instead of following instructions given to some other, please.


#7 basten

basten
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Local time:12:27 AM

Posted 13 July 2011 - 08:08 PM

Hi, here are the logs of ComboFix and fresh dds.
I had no problems running it. After running, the system only put, after asking me if I wanted it to be the default browser (I answered no), Internet Explorer (not just the shortcut) on my desktop!?? Can I delete this from the Desktop???

WOULD YOU LIKE TO SEE THE REGISTRY KEYS IN THE MBAM HISTORY, I referred to in earlier posts?
Just to remind: after determining the cause it will also be necessary to address whether my external hard drive and memory key are clean.


ComboFix 11-07-13.03 - Irma 13/07/2011 19:27:38.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.2038.1440 [GMT -5:00]
Running from: c:\documents and settings\Irma\Escritorio\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Irma\WINDOWS
C:\restore
c:\windows\ST6UNST.000
.
.
((((((((((((((((((((((((( Files Created from 2011-06-14 to 2011-07-14 )))))))))))))))))))))))))))))))
.
.
2011-06-27 20:51 . 2011-06-27 20:51 339968 ----a-w- c:\archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
2011-06-16 07:29 . 2011-06-16 10:28 -------- d-----w- c:\windows\SxsCaPendDel
2011-06-16 05:54 . 2011-04-21 13:37 105472 -c----w- c:\windows\system32\dllcache\mup.sys
2011-06-14 16:05 . 2011-06-14 16:05 -------- d-----w- c:\archivos de programa\ESET
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-13 22:08 . 2011-06-13 21:08 17480 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2011-06-12 00:41 . 2004-08-20 12:00 63744 ----a-w- c:\windows\system32\drivers\cdfs.sys
2011-06-12 00:36 . 2004-08-20 12:00 152832 ----a-w- c:\windows\system32\drivers\ipnat.sys
2011-06-11 19:12 . 2011-06-11 19:12 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-06-11 19:12 . 2011-06-11 19:12 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-06-06 11:35 . 2004-08-20 12:00 1859072 ----a-w- c:\windows\system32\win32k.sys
2011-05-29 14:11 . 2011-06-13 19:05 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 14:11 . 2011-06-13 19:05 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-18 15:03 . 2011-05-18 15:03 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-02 15:32 . 2009-05-19 18:45 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2004-08-20 12:00 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2004-08-20 12:00 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-26 11:07 . 2004-08-20 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-04-26 11:07 . 2004-08-20 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-04-25 16:05 . 2004-08-20 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:05 . 2004-08-20 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 2004-08-20 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2004-08-20 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2004-08-20 12:00 105472 ----a-w- c:\windows\system32\drivers\mup.sys
2009-05-25 00:01 . 2009-05-25 00:00 114260 ------w- c:\archivos de programa\install_PowerDVD9.1530(BDTrial)_DVD090319-02.exe
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-25 39408]
"Sony Ericsson PC Suite"="c:\archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448]
"Skype"="c:\archivos de programa\Skype\Phone\Skype.exe" [2011-01-26 15026056]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\archivos de programa\DellTPad\Apoint.exe" [2007-07-02 159744]
"SigmatelSysTrayApp"="c:\archivos de programa\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"IntelZeroConfig"="c:\archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"MMReminderService"="c:\archivos de programa\Mindjet\MindManager 8\MMReminderService.exe" [2008-11-14 37656]
"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" [2009-05-26 413696]
"SunJavaUpdateSched"="c:\archivos de programa\Archivos comunes\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Adobe ARM"="c:\archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AvgUninstallURL"="start http://www.avg.es/es.special-uninstallation-feedback-appf?lic=NFVZOVgtTlNWVkwtTzRCWlEtUUlNQ0wtUVREQ0gtNElKTUg&inst=NzctNjUzMTIzNDgzLUJBKzEtS1YzKzctVDEtVUNBTEwrMS1CQVI4RysxLVVDQUxMMisyLUZMKzgtRjhNMTFFKzEtVVBHKzIwMTEtRkwxMCsxLUxJQysyLUREVCsw&prod=90&ver=10.0.1390" [?]
.
c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
McAfee Security Scan Plus.lnk - c:\archivos de programa\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
Windows Search.lnk - c:\archivos de programa\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-25 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Archivos de programa\\SopCast\\adv\\SopAdver.exe"=
"c:\\Archivos de programa\\SopCast\\SopCast.exe"=
"c:\\Archivos de programa\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
"c:\\Archivos de programa\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Documents and Settings\\Irma\\Configuración local\\Datos de programa\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Documents and Settings\\Irma\\Configuración local\\Datos de programa\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Archivos de programa\\Adobe\\Reader 10.0\\Reader\\AcroRd32.exe"=
"c:\\Archivos de programa\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Archivos de programa\\Archivos comunes\\Adobe\\ARM\\1.0\\AdobeARM.exe"=
"c:\\Archivos de programa\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"=
"c:\\Documents and Settings\\Irma\\Escritorio\\TDSSKiller.exe"=
"c:\\Documents and Settings\\Irma\\Configuración local\\Datos de programa\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
.
S2 gupdate1c9dccdaf02d698;Servicio de actualización de Google (gupdate1c9dccdaf02d698);c:\archivos de programa\Google\Update\GoogleUpdate.exe [24/05/2009 07:13 p.m. 133104]
S2 olkvxv;nuwen;c:\windows\system32\svchost.exe -k netsvcs [20/08/2004 07:00 a.m. 14336]
S3 gupdatem;Google Update Servicio (gupdatem);c:\archivos de programa\Google\Update\GoogleUpdate.exe [24/05/2009 07:13 p.m. 133104]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\archivos de programa\McAfee Security Scan\2.0.181\McCHSvc.exe [15/01/2010 07:49 a.m. 227232]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [02/11/2007 11:47 a.m. 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [14/02/2010 10:39 p.m. 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [14/02/2010 10:39 p.m. 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [14/02/2010 10:39 p.m. 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [14/02/2010 10:39 p.m. 100008]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
olkvxv
.
Contents of the 'Scheduled Tasks' folder
.
2011-05-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 17:34]
.
2011-07-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-05-25 00:13]
.
2011-07-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-05-25 00:13]
.
2011-06-22 c:\windows\Tasks\Norton Security Scan for Irma.job
- c:\archivos de programa\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2010-01-09 22:45]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://www.xoower.com/
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
TCP: DhcpNameServer = 10.3.77.6 10.3.1.100 10.3.1.221
.
- - - - ORPHANS REMOVED - - - -
.
SafeBoot-20436197.sys
SafeBoot-26630700.sys
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-13 19:35
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(900)
c:\windows\system32\netprovcredman.dll
.
Completion time: 2011-07-13 19:36:57
ComboFix-quarantined-files.txt 2011-07-14 00:36
.
Pre-Run: 94,255,058,944 bytes libres
Post-Run: 95,087,091,712 bytes libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 67F83354233A87700202E491F0EB9FF3


DDS (Ver_2011-07-14.01) - NTFS_x86
Internet Explorer: 8.0.6001.18702
Run by Irma at 19:54:39 on 2011-07-13
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.2038.1364 [GMT -5:00]
.
.
============== Running Processes ================
.
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\DellTPad\Apoint.exe
C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe
C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe
C:\Archivos de programa\Mindjet\MindManager 8\MMReminderService.exe
C:\Archivos de programa\DellTPad\ApMsgFwd.exe
C:\Archivos de programa\DellTPad\HidFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\svchost.exe -k imgsvc
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://www.xoower.com/
BHO: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\archivos de programa\archivos comunes\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: CmjBrowserHelperObject Object: {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - c:\archivos de programa\mindjet\mindmanager 8\Mm8InternetExplorer.dll
BHO: Google Toolbar Helper: {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\google toolbar\GoogleToolbar_32.dll
BHO: Google Toolbar Notifier BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - c:\archivos de programa\google\googletoolbarnotifier\5.7.6406.1642\swg.dll
BHO: Java™ Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - c:\archivos de programa\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - c:\archivos de programa\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Google Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\archivos de programa\google\google toolbar\GoogleToolbar_32.dll
TB: Google Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\google toolbar\GoogleToolbar_32.dll
uRun: [swg] "c:\archivos de programa\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRun: [Sony Ericsson PC Suite] "c:\archivos de programa\sony ericsson\sony ericsson pc suite\SEPCSuite.exe" /systray /nologon
uRun: [Skype] "c:\archivos de programa\skype\phone\Skype.exe" /nosplash /minimized
mRun: [Apoint] c:\archivos de programa\delltpad\Apoint.exe
mRun: [SigmatelSysTrayApp] c:\archivos de programa\sigmatel\c-major audio\wdm\stsystra.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [IntelZeroConfig] "c:\archivos de programa\intel\wireless\bin\ZCfgSvc.exe"
mRun: [IntelWireless] "c:\archivos de programa\intel\wireless\bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
mRun: [MMReminderService] c:\archivos de programa\mindjet\mindmanager 8\MMReminderService.exe
mRun: [QuickTime Task] "c:\archivos de programa\quicktime\qttask.exe" -atboottime
mRun: [SunJavaUpdateSched] "c:\archivos de programa\archivos comunes\java\java update\jusched.exe"
mRun: [Adobe ARM] "c:\archivos de programa\archivos comunes\adobe\arm\1.0\AdobeARM.exe"
mRunOnce: [AvgUninstallURL] cmd.exe /c start http://www.avg.es/es.special-uninstallation-feedback-appf?lic=NFVZOVgtTlNWVkwtTzRCWlEtUUlNQ0wtUVREQ0gtNElKTUg"&"inst=NzctNjUzMTIzNDgzLUJBKzEtS1YzKzctVDEtVUNBTEwrMS1CQVI4RysxLVVDQUxMMisyLUZMKzgtRjhNMTFFKzEtVVBHKzIwMTEtRkwxMCsxLUxJQysyLUREVCsw"&"prod=90"&"ver=10.0.1390
StartupFolder: c:\docume~1\alluse~1\menini~1\progra~1\inicio\mcafee~1.lnk - c:\archivos de programa\mcafee security scan\2.0.181\SSScheduler.exe
StartupFolder: c:\docume~1\alluse~1\menini~1\progra~1\inicio\window~1.lnk - c:\archivos de programa\windows desktop search\WindowsSearch.exe
uPolicies-Explorer: NoDriveTypeAutoRun = dword:323
uPolicies-Explorer: NoDriveAutoRun = dword:67108863
uPolicies-Explorer: NoDrives = dword:0
mPolicies-Explorer: NoDriveAutoRun = dword:67108863
mPolicies-Explorer: NoDriveTypeAutoRun = dword:323
mPolicies-Explorer: NoDrives = dword:0
mPolicies-Windows\System: Allow-LogonScript-NetbiosDisabled = dword:1
mPolicies-Explorer: NoDriveTypeAutoRun = dword:323
mPolicies-Explorer: NoDriveAutoRun = dword:67108863
IE: E&xportar a Microsoft Excel - c:\archiv~1\micros~2\office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\archivos de programa\google\google toolbar\component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: {2F72393D-2472-4F82-B600-ED77F354B7FF} - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - c:\archivos de programa\mindjet\mindmanager 8\Mm8InternetExplorer.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503}
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\archivos de programa\messenger\msmsgs.exe
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242766413031
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos-beta/OnlineScanner.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
DPF: {CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.3.1/jinstall-1_3_1_15-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: NameServer = 10.3.77.6 10.3.1.100 10.3.1.221
TCP: Interfaces\{552AD622-64A4-4BE4-889E-8F86E47F0852} : DHCPNameServer = 10.3.77.6 10.3.1.100 10.3.1.221
Handler: ipp - <Clsid value has no data>
Handler: msdaipp - <Clsid value has no data>
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\archivos de programa\archivos comunes\skype\Skype4COM.dll
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Windows Desktop Search Namespace Manager - {56F9679E-7826-4C84-81F3-532071A8BCC5} - c:\archivos de programa\windows desktop search\MSNLNamespaceMgr.dll
mASetup: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "c:\archivos de programa\outlook express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
mASetup: {7790769C-0471-11d2-AF11-00C04FA35D02} - "c:\archivos de programa\outlook express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
IFEO: Your Image File Name Here without a path - ntsd -d
.
============= SERVICES / DRIVERS ===============
.
S2 gupdate1c9dccdaf02d698;Servicio de actualización de Google (gupdate1c9dccdaf02d698);c:\archivos de programa\google\update\GoogleUpdate.exe [2009-5-24 133104]
S2 olkvxv;nuwen;c:\windows\system32\svchost.exe -k netsvcs [2004-8-20 14336]
S3 gupdatem;Google Update Servicio (gupdatem);c:\archivos de programa\google\update\GoogleUpdate.exe [2009-5-24 133104]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\archivos de programa\mcafee security scan\2.0.181\McCHSvc.exe [2010-1-15 227232]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [2007-11-2 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [2010-2-14 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [2010-2-14 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [2010-2-14 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [2010-2-14 100008]
.
=============== Created Last 30 ================
.
2011-07-14 00:25:21 -------- d-sha-r- C:\cmdcons
2011-07-14 00:22:15 98816 ----a-w- c:\windows\sed.exe
2011-07-14 00:22:15 256000 ----a-w- c:\windows\PEV.exe
2011-07-14 00:22:15 208896 ----a-w- c:\windows\MBR.exe
2011-06-27 20:51:33 339968 ----a-w- c:\archivos de programa\archivos comunes\microsoft shared\vs7debug\mdm.exe
2011-06-16 07:29:32 -------- d-----w- c:\windows\SxsCaPendDel
2011-06-16 05:54:56 105472 -c----w- c:\windows\system32\dllcache\mup.sys
2011-06-14 16:05:32 -------- d-----w- c:\archivos de programa\ESET
.
==================== Find3M ====================
.
2011-06-13 22:08:30 17480 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2011-06-12 00:41:44 63744 ----a-w- c:\windows\system32\drivers\cdfs.sys
2011-06-12 00:36:22 152832 ----a-w- c:\windows\system32\drivers\ipnat.sys
2011-06-11 19:12:14 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-06-11 19:12:14 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-06-06 11:35:25 1859072 ----a-w- c:\windows\system32\win32k.sys
2011-05-29 14:11:30 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 14:11:20 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-18 15:03:59 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-02 15:32:15 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 17:25:05 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19:43 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-26 11:07:45 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-04-26 11:07:45 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-04-25 16:05:05 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:05:04 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:05:04 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01:33 385024 ----a-w- c:\windows\system32\html.iec
2011-04-21 13:37:43 105472 ----a-w- c:\windows\system32\drivers\mup.sys
2009-05-25 00:01:04 114260 ------w- c:\archivos de programa\install_PowerDVD9.1530(BDTrial)_DVD090319-02.exe
.
============= FINISH: 19:54:45.98 ===============


.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-07-14.01)
.
Microsoft Windows XP Professional
Boot Device: \Device\HarddiskVolume1
Install Date: 19/05/2009 01:54:04 p.m.
System Uptime: 13/07/2011 07:10:18 p.m. (0 hours ago)
.
Motherboard: Dell Inc. | | 0DT492
Processor: Intel® Core™2 Duo CPU T7300 @ 2.00GHz | Microprocessor | 1177/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 112 GiB total, 88.583 GiB free.
D: is CDROM ()
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
RP141: 04/04/2011 10:00:33 a.m. - Punto de control del sistema
RP142: 05/04/2011 06:38:32 p.m. - Punto de control del sistema
RP143: 03/05/2011 02:17:37 p.m. - Software Distribution Service 3.0
RP144: 18/05/2011 10:04:53 a.m. - Avg8 Update
RP145: 18/05/2011 10:12:31 a.m. - Software Distribution Service 3.0
RP146: 19/05/2011 11:17:59 a.m. - Punto de control del sistema
RP147: 28/05/2011 11:21:12 a.m. - Punto de control del sistema
RP148: 31/05/2011 07:26:11 p.m. - Punto de control del sistema
RP149: 01/06/2011 09:13:53 p.m. - Punto de control del sistema
RP150: 05/06/2011 10:54:14 p.m. - Punto de control del sistema
RP151: 07/06/2011 07:46:55 p.m. - Punto de control del sistema
RP152: 09/06/2011 09:27:40 a.m. - Punto de control del sistema
RP153: 10/06/2011 09:34:56 a.m. - Punto de control del sistema
RP154: 11/06/2011 01:00:22 p.m. - Instalado Java™ 6 Update 26
RP155: 11/06/2011 01:40:32 p.m. - Quitado Java™ 6 Update 14
RP156: 11/06/2011 01:42:01 p.m. - Quitado Java™ 6 Update 7
RP157: 11/06/2011 01:54:15 p.m. - Quitado Adobe® Photoshop® Album Starter Edition 3.2
RP158: 11/06/2011 01:55:13 p.m. - Removed Adobe Reader 9.1 - Español.
RP159: 11/06/2011 02:05:53 p.m. - Installed Adobe Reader X (10.0.1) - Español.
RP160: 11/06/2011 02:12:05 p.m. - Instalado Java™ 6 Update 26
RP161: 13/06/2011 11:25:18 a.m. - Punto de control del sistema
RP162: 13/06/2011 05:24:43 p.m. - Removed AVG Free 8.5
RP163: 13/06/2011 05:25:55 p.m. - Installed AVG Free 8.5
RP164: 13/06/2011 05:40:07 p.m. - Installed Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
RP165: 13/06/2011 05:40:18 p.m. - AVG 2011 instalado
RP166: 13/06/2011 05:43:35 p.m. - AVG 2011 instalado
RP167: 14/06/2011 06:06:16 p.m. - Punto de control del sistema
RP168: 15/06/2011 07:50:05 p.m. - Punto de control del sistema
RP169: 16/06/2011 02:27:28 a.m. - Software Distribution Service 3.0
RP170: 17/06/2011 12:22:43 p.m. - Punto de control del sistema
RP171: 18/06/2011 12:55:32 p.m. - Punto de control del sistema
RP172: 20/06/2011 04:16:33 p.m. - Punto de control del sistema
RP173: 21/06/2011 09:02:08 a.m. - Software Distribution Service 3.0
RP174: 25/06/2011 10:33:04 p.m. - Punto de control del sistema
RP175: 27/06/2011 04:37:24 p.m. - Punto de control del sistema
RP176: 30/06/2011 10:00:38 p.m. - Punto de control del sistema
RP177: 30/06/2011 10:31:07 p.m. - Software Distribution Service 3.0
RP178: 12/07/2011 09:15:27 p.m. - Software Distribution Service 3.0
RP179: 13/07/2011 07:07:17 p.m. - AVG 2011 eliminado
RP180: 13/07/2011 07:08:41 p.m. - AVG 2011 eliminado
.
==== Installed Programs ======================
.
Actualización crítica para el Reproductor de Windows Media 11 (KB959772)
Actualización de seguridad para el Reproductor de Windows Media (KB2378111)
Actualización de seguridad para el Reproductor de Windows Media (KB952069)
Actualización de seguridad para el Reproductor de Windows Media (KB954155)
Actualización de seguridad para el Reproductor de Windows Media (KB968816)
Actualización de seguridad para el Reproductor de Windows Media (KB973540)
Actualización de seguridad para el Reproductor de Windows Media (KB975558)
Actualización de seguridad para el Reproductor de Windows Media (KB978695)
Actualización de seguridad para el Reproductor de Windows Media 11 (KB936782)
Actualización de seguridad para el Reproductor de Windows Media 11 (KB954154)
Actualización de seguridad para Windows Internet Explorer 8 (KB2183461)
Actualización de seguridad para Windows Internet Explorer 8 (KB2360131)
Actualización de seguridad para Windows Internet Explorer 8 (KB2416400)
Actualización de seguridad para Windows Internet Explorer 8 (KB2482017)
Actualización de seguridad para Windows Internet Explorer 8 (KB2497640)
Actualización de seguridad para Windows Internet Explorer 8 (KB2510531)
Actualización de seguridad para Windows Internet Explorer 8 (KB2530548)
Actualización de seguridad para Windows Internet Explorer 8 (KB2544521)
Actualización de seguridad para Windows Internet Explorer 8 (KB969897)
Actualización de seguridad para Windows Internet Explorer 8 (KB971961)
Actualización de seguridad para Windows Internet Explorer 8 (KB972260)
Actualización de seguridad para Windows Internet Explorer 8 (KB974455)
Actualización de seguridad para Windows Internet Explorer 8 (KB976325)
Actualización de seguridad para Windows Internet Explorer 8 (KB978207)
Actualización de seguridad para Windows Internet Explorer 8 (KB981332)
Actualización de seguridad para Windows Internet Explorer 8 (KB982381)
Actualización de seguridad para Windows XP (KB2079403)
Actualización de seguridad para Windows XP (KB2115168)
Actualización de seguridad para Windows XP (KB2121546)
Actualización de seguridad para Windows XP (KB2160329)
Actualización de seguridad para Windows XP (KB2229593)
Actualización de seguridad para Windows XP (KB2259922)
Actualización de seguridad para Windows XP (KB2279986)
Actualización de seguridad para Windows XP (KB2286198)
Actualización de seguridad para Windows XP (KB2296011)
Actualización de seguridad para Windows XP (KB2296199)
Actualización de seguridad para Windows XP (KB2347290)
Actualización de seguridad para Windows XP (KB2360937)
Actualización de seguridad para Windows XP (KB2387149)
Actualización de seguridad para Windows XP (KB2393802)
Actualización de seguridad para Windows XP (KB2412687)
Actualización de seguridad para Windows XP (KB2419632)
Actualización de seguridad para Windows XP (KB2423089)
Actualización de seguridad para Windows XP (KB2436673)
Actualización de seguridad para Windows XP (KB2440591)
Actualización de seguridad para Windows XP (KB2443105)
Actualización de seguridad para Windows XP (KB2476490)
Actualización de seguridad para Windows XP (KB2476687)
Actualización de seguridad para Windows XP (KB2478960)
Actualización de seguridad para Windows XP (KB2478971)
Actualización de seguridad para Windows XP (KB2479628)
Actualización de seguridad para Windows XP (KB2479943)
Actualización de seguridad para Windows XP (KB2481109)
Actualización de seguridad para Windows XP (KB2483185)
Actualización de seguridad para Windows XP (KB2485376)
Actualización de seguridad para Windows XP (KB2485663)
Actualización de seguridad para Windows XP (KB2503658)
Actualización de seguridad para Windows XP (KB2503665)
Actualización de seguridad para Windows XP (KB2506212)
Actualización de seguridad para Windows XP (KB2506223)
Actualización de seguridad para Windows XP (KB2507618)
Actualización de seguridad para Windows XP (KB2507938)
Actualización de seguridad para Windows XP (KB2508272)
Actualización de seguridad para Windows XP (KB2508429)
Actualización de seguridad para Windows XP (KB2509553)
Actualización de seguridad para Windows XP (KB2511455)
Actualización de seguridad para Windows XP (KB2524375)
Actualización de seguridad para Windows XP (KB2535512)
Actualización de seguridad para Windows XP (KB2536276)
Actualización de seguridad para Windows XP (KB2544893)
Actualización de seguridad para Windows XP (KB2555917)
Actualización de seguridad para Windows XP (KB923561)
Actualización de seguridad para Windows XP (KB923789)
Actualización de seguridad para Windows XP (KB938464-v2)
Actualización de seguridad para Windows XP (KB941569)
Actualización de seguridad para Windows XP (KB946648)
Actualización de seguridad para Windows XP (KB950760)
Actualización de seguridad para Windows XP (KB950762)
Actualización de seguridad para Windows XP (KB950974)
Actualización de seguridad para Windows XP (KB951066)
Actualización de seguridad para Windows XP (KB951376-v2)
Actualización de seguridad para Windows XP (KB951748)
Actualización de seguridad para Windows XP (KB952004)
Actualización de seguridad para Windows XP (KB952954)
Actualización de seguridad para Windows XP (KB954459)
Actualización de seguridad para Windows XP (KB954600)
Actualización de seguridad para Windows XP (KB955069)
Actualización de seguridad para Windows XP (KB956572)
Actualización de seguridad para Windows XP (KB956744)
Actualización de seguridad para Windows XP (KB956802)
Actualización de seguridad para Windows XP (KB956803)
Actualización de seguridad para Windows XP (KB956844)
Actualización de seguridad para Windows XP (KB957097)
Actualización de seguridad para Windows XP (KB958644)
Actualización de seguridad para Windows XP (KB958687)
Actualización de seguridad para Windows XP (KB958690)
Actualización de seguridad para Windows XP (KB958869)
Actualización de seguridad para Windows XP (KB959426)
Actualización de seguridad para Windows XP (KB960225)
Actualización de seguridad para Windows XP (KB960715)
Actualización de seguridad para Windows XP (KB960803)
Actualización de seguridad para Windows XP (KB960859)
Actualización de seguridad para Windows XP (KB961371)
Actualización de seguridad para Windows XP (KB961373)
Actualización de seguridad para Windows XP (KB961501)
Actualización de seguridad para Windows XP (KB963027)
Actualización de seguridad para Windows XP (KB968537)
Actualización de seguridad para Windows XP (KB969059)
Actualización de seguridad para Windows XP (KB969898)
Actualización de seguridad para Windows XP (KB969947)
Actualización de seguridad para Windows XP (KB970238)
Actualización de seguridad para Windows XP (KB970430)
Actualización de seguridad para Windows XP (KB971468)
Actualización de seguridad para Windows XP (KB971486)
Actualización de seguridad para Windows XP (KB971557)
Actualización de seguridad para Windows XP (KB971633)
Actualización de seguridad para Windows XP (KB971657)
Actualización de seguridad para Windows XP (KB972270)
Actualización de seguridad para Windows XP (KB973346)
Actualización de seguridad para Windows XP (KB973354)
Actualización de seguridad para Windows XP (KB973507)
Actualización de seguridad para Windows XP (KB973525)
Actualización de seguridad para Windows XP (KB973869)
Actualización de seguridad para Windows XP (KB973904)
Actualización de seguridad para Windows XP (KB974112)
Actualización de seguridad para Windows XP (KB974318)
Actualización de seguridad para Windows XP (KB974392)
Actualización de seguridad para Windows XP (KB974571)
Actualización de seguridad para Windows XP (KB975025)
Actualización de seguridad para Windows XP (KB975467)
Actualización de seguridad para Windows XP (KB975560)
Actualización de seguridad para Windows XP (KB975561)
Actualización de seguridad para Windows XP (KB975562)
Actualización de seguridad para Windows XP (KB975713)
Actualización de seguridad para Windows XP (KB977165)
Actualización de seguridad para Windows XP (KB977816)
Actualización de seguridad para Windows XP (KB977914)
Actualización de seguridad para Windows XP (KB978037)
Actualización de seguridad para Windows XP (KB978251)
Actualización de seguridad para Windows XP (KB978262)
Actualización de seguridad para Windows XP (KB978338)
Actualización de seguridad para Windows XP (KB978542)
Actualización de seguridad para Windows XP (KB978601)
Actualización de seguridad para Windows XP (KB978706)
Actualización de seguridad para Windows XP (KB979309)
Actualización de seguridad para Windows XP (KB979482)
Actualización de seguridad para Windows XP (KB979559)
Actualización de seguridad para Windows XP (KB979683)
Actualización de seguridad para Windows XP (KB979687)
Actualización de seguridad para Windows XP (KB980195)
Actualización de seguridad para Windows XP (KB980218)
Actualización de seguridad para Windows XP (KB980232)
Actualización de seguridad para Windows XP (KB980436)
Actualización de seguridad para Windows XP (KB981322)
Actualización de seguridad para Windows XP (KB981852)
Actualización de seguridad para Windows XP (KB981957)
Actualización de seguridad para Windows XP (KB981997)
Actualización de seguridad para Windows XP (KB982132)
Actualización de seguridad para Windows XP (KB982214)
Actualización de seguridad para Windows XP (KB982665)
Actualización de seguridad para Windows XP (KB982802)
Actualización de Windows XP (KB943729)
Actualización para Windows Internet Explorer 8 (KB969497)
Actualización para Windows Internet Explorer 8 (KB976662)
Actualización para Windows Internet Explorer 8 (KB976749)
Actualización para Windows Internet Explorer 8 (KB980182)
Actualización para Windows XP (KB2141007)
Actualización para Windows XP (KB2345886)
Actualización para Windows XP (KB2467659)
Actualización para Windows XP (KB2541763)
Actualización para Windows XP (KB951978)
Actualización para Windows XP (KB955759)
Actualización para Windows XP (KB955839)
Actualización para Windows XP (KB967715)
Actualización para Windows XP (KB968389)
Actualización para Windows XP (KB971029)
Actualización para Windows XP (KB971737)
Actualización para Windows XP (KB973687)
Actualización para Windows XP (KB973815)
Adobe Flash Player 10 ActiveX
Adobe Reader X (10.1.0) - Español
Adobe Shockwave Player 11.5
Apple Software Update
Avanquest update
Broadcom Gigabit Integrated Controller
Compresor WinRAR
Conexant HDA D330 MDC V.92 Modem
DeclaraSAT versión 2010
Dell Touchpad
Diversidad
ESET Online Scanner v3
Google Chrome
Google Earth
Google Talk Plugin
Google Toolbar for Internet Explorer
Google Update Helper
Google Updater
High Definition Audio Driver Package - KB835221
Hitman Pro 3.5
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows XP (KB915800-v4)
Hotfix for Windows XP (KB954550-v5)
Intel® Graphics Media Accelerator Driver
Intel® PROSet/Wireless Software
Java 2 Runtime Environment Standard Edition v1.3.1_15
Java Auto Updater
Java™ 6 Update 26
Malwarebytes' Anti-Malware versión 1.51.0.1200
McAfee Security Scan Plus
mCore
mDriver
mDrWiFi
mHlpDell
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Security Update (KB2416447)
Microsoft .NET Framework 1.1 Security Update (KB979906)
Microsoft .NET Framework 1.1 Spanish Language Pack
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - ESN
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - ESN
Microsoft .NET Framework 3.5 Language Pack SP1 - esn
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Excel MUI (Spanish) 2007
Microsoft Office Outlook MUI (Spanish) 2007
Microsoft Office PowerPoint MUI (Spanish) 2007
Microsoft Office Project 2007 Service Pack 1 (SP1)
Microsoft Office Project 2007 Service Pack 2 (SP2)
Microsoft Office Project MUI (Spanish) 2007
Microsoft Office Project Professional 2007
Microsoft Office Proof (Basque) 2007
Microsoft Office Proof (Catalan) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (Galician) 2007
Microsoft Office Proof (Portuguese (Brazil)) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (Spanish) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Shared MUI (Spanish) 2007
Microsoft Office Standard 2007
Microsoft Office Word MUI (Spanish) 2007
Microsoft Software Update for Web Folders (Spanish) 12
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Mindjet MindManager 8
mIWA
mLogView
mMHouse
mPfMgr
mPfWiz
mProSafe
mSCfg
mSSO
MSXML 6.0 Parser
mWlsSafe
mWMI
mZConfig
Norton Security Scan
OGA Notifier 2.0.0048.0
Paquete de controladores de Windows - Ricoh Company (rimsptsk) hdc (11/14/2006 6.00.01.04)
Paquete de idioma de Microsoft .NET Framework 3.5 SP1 - esn
Paquete de proveedor base de servicios de cifrado para tarjetas inteligentes de Microsoft
PDF-XChange 3
QuickTime
Reproductor de Windows Media 11
Revisión para el Reproductor de Windows Media 11 (KB939683)
Revisión para Windows XP (KB2158563)
Revisión para Windows XP (KB2443685)
Revisión para Windows XP (KB952287)
Revisión para Windows XP (KB961118)
Revisión para Windows XP (KB970653-v3)
Revisión para Windows XP (KB976098-v2)
Revisión para Windows XP (KB979306)
Revisión para Windows XP (KB981793)
Security Update for 2007 Microsoft Office System (KB2288621)
Security Update for 2007 Microsoft Office System (KB2288931)
Security Update for 2007 Microsoft Office System (KB2345043)
Security Update for 2007 Microsoft Office System (KB2509488)
Security Update for 2007 Microsoft Office System (KB969559)
Security Update for 2007 Microsoft Office System (KB976321)
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2416473)
Security Update for Microsoft Office 2007 System (KB2541012)
Security Update for Microsoft Office Excel 2007 (KB2541007)
Security Update for Microsoft Office InfoPath 2007 (KB979441)
Security Update for Microsoft Office PowerPoint 2007 (KB2535818)
Security Update for Microsoft Office PowerPoint Viewer 2007 (KB2464623)
Security Update for Microsoft Office system 2007 (972581)
Security Update for Microsoft Office system 2007 (KB974234)
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)
Security Update for Microsoft Office Word 2007 (KB2344993)
Security Update for Windows Search 4 - KB963093
SigmaTel Audio
Skype™ 5.1
Sony Ericsson PC Suite 3.204.00
SopCast 3.2.4
Tell me More Kids Special Program
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update for Microsoft Office 2007 System (KB2539530)
Update for Microsoft Office Outlook 2007 (KB2509470)
Update for Outlook 2007 Junk Email Filter (KB2553975)
VLC media player 1.0.1
WebFldrs XP
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
Windows PowerShell™ 1.0
Windows Search 4.0
Windows XP Service Pack 3
XML Paper Specification Shared Components Language Pack 1.0
.
==== Event Viewer Messages From Past Week ========
.
13/07/2011 07:10:52 p.m., ERROR: Service Control Manager [7023] - El servicio nuwen terminó con el error: No se puede encontrar el módulo especificado.
13/07/2011 03:58:09 p.m., ERROR: Service Control Manager [7023] - El servicio nuwen terminó con el error: No se puede encontrar el módulo especificado.
12/07/2011 09:21:07 p.m., ERROR: Service Control Manager [7023] - El servicio nuwen terminó con el error: No se puede encontrar el módulo especificado.
12/07/2011 08:11:49 p.m., ERROR: Service Control Manager [7023] - El servicio nuwen terminó con el error: No se puede encontrar el módulo especificado.
08/07/2011 07:20:26 a.m., ERROR: Service Control Manager [7023] - El servicio nuwen terminó con el error: No se puede encontrar el módulo especificado.
07/07/2011 06:26:22 a.m., ERROR: Service Control Manager [7023] - El servicio nuwen terminó con el error: No se puede encontrar el módulo especificado.
.
==== End Of File ===========================

#8 Blade81

Blade81

    Bleepin' Rocker


  • Malware Response Team
  • 6,465 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Finland
  • Local time:09:27 AM

Posted 14 July 2011 - 05:28 AM

Hi,

After running, the system only put, after asking me if I wanted it to be the default browser (I answered no), Internet Explorer (not just the shortcut) on my desktop!?? Can I delete this from the Desktop???

Let the IE thing be. It's normal that it gets placed there.

WOULD YOU LIKE TO SEE THE REGISTRY KEYS IN THE MBAM HISTORY, I referred to in earlier posts?

Please post MBAM report from that run.


Open notepad and copy/paste the text in the quotebox below into it:

Driver::
olkvxv
NetSvc::
olkvxv


Save this as
CFScript

A word of warning: Neither I nor sUBs are responsible for any damage you may have caused your machine. This tool is not a toy and not for everyday use.

Posted Image

Close all browser windows and refering to the picture above, drag CFScript into ComboFix.exe
Then post the resultant log.


Uninstall this old Java version:
Java 2 Runtime Environment Standard Edition v1.3.1_15


* Go here to run an online scanner from ESET.
  • Note: You will need to use Internet explorer for this scan
  • Tick the box next to YES, I accept the Terms of Use.
  • Click Start
  • When asked, allow the activex control to install
  • Click Start
  • Make sure that the option Remove found threats is UNchecked.
  • Click Scan
  • Wait for the scan to finish.


Post back its report, a fresh dds.txt log and above mentioned ComboFix resultant log.

Microsoft Windows Insider MVP 2016-2017

Microsoft MVP Consumer Security 2008-2015
UNITE member since 2006
unite_blue.png

Provided malware removal related instructions are meant to be used in the correspondent user's case only. If you have similar symptoms create own topic instead of following instructions given to some other, please.


#9 basten

basten
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Local time:12:27 AM

Posted 14 July 2011 - 11:01 PM

Thanks for your fast response!

I uninstalled the old Java Runtime version and ran the programs in the same order. By the way, Windows Firewall is not mentioned in the instructions for Combofix; I deactivated temporarily anyway. Is this necessary or does it not interfere with Combofix?


First the, old, MBAM report, where I ignored the PUM's:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Versión de la Base de Datos: 6849

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/06/2011 03:05:11 p.m.
mbam-log-2011-06-13 (15-05-11).txt

Tipos de Análisis: Análisis Completo (C:\|D:\|)
Objetos examinados: 206507
Tiempo transcurrido: 48 minuto(s), 10 segundo(s)

Procesos en Memoria Infectados: 0
Módulos de Memoria Infectados: 0
Claves del Registro Infectadas: 2
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 4
Carpetas Infectadas: 1
Archivos Infectados: 2

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos de Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Carpetas Infectadas:
c:\RESTORE\s-1-5-21-1482476501-1644491937-682003330-1013 (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Archivos Infectados:
c:\WINDOWS\assembly\GAC_MSIL\Desktop.ini (Backdoor.ZAccess) -> Quarantined and deleted successfully.
c:\RESTORE\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Backdoor.IRCBot) -> Quarantined and deleted successfully.



Next, the Combofix log:

ComboFix 11-07-14.05 - Irma 14/07/2011 21:11:58.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.2038.1421 [GMT -5:00]
Running from: c:\documents and settings\Irma\Escritorio\ComboFix.exe
Command switches used :: c:\documents and settings\Irma\Escritorio\CFScript.txt
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_OLKVXV
-------\Service_olkvxv
.
.
((((((((((((((((((((((((( Files Created from 2011-06-15 to 2011-07-15 )))))))))))))))))))))))))))))))
.
.
2011-06-27 20:51 . 2011-06-27 20:51 339968 ----a-w- c:\archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
2011-06-16 07:29 . 2011-06-16 10:28 -------- d-----w- c:\windows\SxsCaPendDel
2011-06-16 05:54 . 2011-04-21 13:37 105472 -c----w- c:\windows\system32\dllcache\mup.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-13 22:08 . 2011-06-13 21:08 17480 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2011-06-12 00:41 . 2004-08-20 12:00 63744 ----a-w- c:\windows\system32\drivers\cdfs.sys
2011-06-12 00:36 . 2004-08-20 12:00 152832 ----a-w- c:\windows\system32\drivers\ipnat.sys
2011-06-11 19:12 . 2011-06-11 19:12 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-06-11 19:12 . 2011-06-11 19:12 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-06-06 11:35 . 2004-08-20 12:00 1859072 ----a-w- c:\windows\system32\win32k.sys
2011-05-29 14:11 . 2011-06-13 19:05 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 14:11 . 2011-06-13 19:05 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-18 15:03 . 2011-05-18 15:03 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-02 15:32 . 2009-05-19 18:45 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2004-08-20 12:00 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2004-08-20 12:00 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-26 11:07 . 2004-08-20 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-04-26 11:07 . 2004-08-20 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-04-25 16:05 . 2004-08-20 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:05 . 2004-08-20 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 2004-08-20 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2004-08-20 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2004-08-20 12:00 105472 ----a-w- c:\windows\system32\drivers\mup.sys
2009-05-25 00:01 . 2009-05-25 00:00 114260 ------w- c:\archivos de programa\install_PowerDVD9.1530(BDTrial)_DVD090319-02.exe
.
.
((((((((((((((((((((((((((((( SnapShot@2011-07-14_00.35.22 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-07-15 02:17 . 2011-07-15 02:17 16384 c:\windows\Temp\Perflib_Perfdata_7e0.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-25 39408]
"Sony Ericsson PC Suite"="c:\archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448]
"Skype"="c:\archivos de programa\Skype\Phone\Skype.exe" [2011-01-26 15026056]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\archivos de programa\DellTPad\Apoint.exe" [2007-07-02 159744]
"SigmatelSysTrayApp"="c:\archivos de programa\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"IntelZeroConfig"="c:\archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"MMReminderService"="c:\archivos de programa\Mindjet\MindManager 8\MMReminderService.exe" [2008-11-14 37656]
"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" [2009-05-26 413696]
"SunJavaUpdateSched"="c:\archivos de programa\Archivos comunes\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Adobe ARM"="c:\archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AvgUninstallURL"="start http://www.avg.es/es.special-uninstallation-feedback-appf?lic=NFVZOVgtTlNWVkwtTzRCWlEtUUlNQ0wtUVREQ0gtNElKTUg&inst=NzctNjUzMTIzNDgzLUJBKzEtS1YzKzctVDEtVUNBTEwrMS1CQVI4RysxLVVDQUxMMisyLUZMKzgtRjhNMTFFKzEtVVBHKzIwMTEtRkwxMCsxLUxJQysyLUREVCsw&prod=90&ver=10.0.1390" [?]
.
c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
McAfee Security Scan Plus.lnk - c:\archivos de programa\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
Windows Search.lnk - c:\archivos de programa\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-25 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Archivos de programa\\SopCast\\adv\\SopAdver.exe"=
"c:\\Archivos de programa\\SopCast\\SopCast.exe"=
"c:\\Archivos de programa\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
"c:\\Archivos de programa\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Documents and Settings\\Irma\\Configuración local\\Datos de programa\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Documents and Settings\\Irma\\Configuración local\\Datos de programa\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Archivos de programa\\Adobe\\Reader 10.0\\Reader\\AcroRd32.exe"=
"c:\\Archivos de programa\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Archivos de programa\\Archivos comunes\\Adobe\\ARM\\1.0\\AdobeARM.exe"=
"c:\\Archivos de programa\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"=
"c:\\Documents and Settings\\Irma\\Escritorio\\TDSSKiller.exe"=
"c:\\Documents and Settings\\Irma\\Configuración local\\Datos de programa\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
.
S2 gupdate1c9dccdaf02d698;Servicio de actualización de Google (gupdate1c9dccdaf02d698);c:\archivos de programa\Google\Update\GoogleUpdate.exe [24/05/2009 07:13 p.m. 133104]
S3 gupdatem;Google Update Servicio (gupdatem);c:\archivos de programa\Google\Update\GoogleUpdate.exe [24/05/2009 07:13 p.m. 133104]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\archivos de programa\McAfee Security Scan\2.0.181\McCHSvc.exe [15/01/2010 07:49 a.m. 227232]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [02/11/2007 11:47 a.m. 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [14/02/2010 10:39 p.m. 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [14/02/2010 10:39 p.m. 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [14/02/2010 10:39 p.m. 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [14/02/2010 10:39 p.m. 100008]
.
Contents of the 'Scheduled Tasks' folder
.
2011-05-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 17:34]
.
2011-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-05-25 00:13]
.
2011-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-05-25 00:13]
.
2011-06-22 c:\windows\Tasks\Norton Security Scan for Irma.job
- c:\archivos de programa\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2010-01-09 22:45]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://www.xoower.com/
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
TCP: DhcpNameServer = 10.3.77.6 10.3.1.100 10.3.1.221
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-14 21:26
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(896)
c:\windows\system32\netprovcredman.dll
.
- - - - - - - > 'explorer.exe'(1572)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Java\jre6\bin\jqs.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\archivos de programa\DellTPad\ApMsgFwd.exe
c:\archivos de programa\DellTPad\Apntex.exe
c:\archivos de programa\DellTPad\HidFind.exe
.
**************************************************************************
.
Completion time: 2011-07-14 21:29:15 - machine was rebooted
ComboFix-quarantined-files.txt 2011-07-15 02:29
ComboFix2.txt 2011-07-14 00:36
.
Pre-Run: 95,057,149,952 bytes libres
Post-Run: 94,967,078,912 bytes libres
.
- - End Of File - - B0F11506CB869ED4D853D5B1BA0D7F8F



Now ESET:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=75f6aa1abfe5074389e21d02276af729
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-15 03:29:57
# local_time=2011-07-14 10:29:57 (-0600, Hora de verano central (México))
# country="Mexico"
# lang=9
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1024 16777215 100 0 66943650 66943650 0 0
# compatibility_mode=8192 67108863 100 0 1708729 1708729 0 0
# scanned=51115
# found=11
# cleaned=0
# scan_time=2750
C:\Archivos de programa\install_PowerDVD9.1530(BDTrial)_DVD090319-02.exe VBS/StartPage.NCM.Gen trojan (unable to clean) 00000000000000000000000000000000 I
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Archivos de programa\SigmaTel\C-Major Audio\DellXPM_5515v131\WDM\STacSV.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{F0558589-3326-4ACD-9862-45785FE8416F}\RP155\A0060156.rbf Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\searchindexer.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\searchprotocolhost.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
${Memory} Win32/Patched.HN trojan 00000000000000000000000000000000 I



And finally, dds:

DDS (Ver_2011-07-14.01) - NTFS_x86
Internet Explorer: 8.0.6001.18702
Run by Irma at 22:37:40 on 2011-07-14
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.2038.1369 [GMT -5:00]
.
.
============== Running Processes ================
.
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\DellTPad\Apoint.exe
C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe
C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\Mindjet\MindManager 8\MMReminderService.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\DellTPad\ApMsgFwd.exe
C:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\DellTPad\Apntex.exe
C:\Archivos de programa\DellTPad\HidFind.exe
C:\Archivos de programa\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\svchost.exe -k DcomLaunch
C:\WINDOWS\system32\svchost.exe -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\svchost.exe -k imgsvc
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://www.xoower.com/
BHO: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\archivos de programa\archivos comunes\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: CmjBrowserHelperObject Object: {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - c:\archivos de programa\mindjet\mindmanager 8\Mm8InternetExplorer.dll
BHO: Google Toolbar Helper: {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\google toolbar\GoogleToolbar_32.dll
BHO: Google Toolbar Notifier BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - c:\archivos de programa\google\googletoolbarnotifier\5.7.6406.1642\swg.dll
BHO: Java™ Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - c:\archivos de programa\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - c:\archivos de programa\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Google Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\archivos de programa\google\google toolbar\GoogleToolbar_32.dll
TB: Google Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\google toolbar\GoogleToolbar_32.dll
uRun: [swg] "c:\archivos de programa\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRun: [Sony Ericsson PC Suite] "c:\archivos de programa\sony ericsson\sony ericsson pc suite\SEPCSuite.exe" /systray /nologon
uRun: [Skype] "c:\archivos de programa\skype\phone\Skype.exe" /nosplash /minimized
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [Apoint] c:\archivos de programa\delltpad\Apoint.exe
mRun: [SigmatelSysTrayApp] c:\archivos de programa\sigmatel\c-major audio\wdm\stsystra.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [IntelZeroConfig] "c:\archivos de programa\intel\wireless\bin\ZCfgSvc.exe"
mRun: [IntelWireless] "c:\archivos de programa\intel\wireless\bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
mRun: [MMReminderService] c:\archivos de programa\mindjet\mindmanager 8\MMReminderService.exe
mRun: [QuickTime Task] "c:\archivos de programa\quicktime\qttask.exe" -atboottime
mRun: [SunJavaUpdateSched] "c:\archivos de programa\archivos comunes\java\java update\jusched.exe"
mRun: [Adobe ARM] "c:\archivos de programa\archivos comunes\adobe\arm\1.0\AdobeARM.exe"
mRunOnce: [AvgUninstallURL] cmd.exe /c start http://www.avg.es/es.special-uninstallation-feedback-appf?lic=NFVZOVgtTlNWVkwtTzRCWlEtUUlNQ0wtUVREQ0gtNElKTUg"&"inst=NzctNjUzMTIzNDgzLUJBKzEtS1YzKzctVDEtVUNBTEwrMS1CQVI4RysxLVVDQUxMMisyLUZMKzgtRjhNMTFFKzEtVVBHKzIwMTEtRkwxMCsxLUxJQysyLUREVCsw"&"prod=90"&"ver=10.0.1390
StartupFolder: c:\docume~1\alluse~1\menini~1\progra~1\inicio\mcafee~1.lnk - c:\archivos de programa\mcafee security scan\2.0.181\SSScheduler.exe
StartupFolder: c:\docume~1\alluse~1\menini~1\progra~1\inicio\window~1.lnk - c:\archivos de programa\windows desktop search\WindowsSearch.exe
uPolicies-Explorer: NoDriveTypeAutoRun = dword:323
uPolicies-Explorer: NoDriveAutoRun = dword:67108863
uPolicies-Explorer: NoDrives = dword:0
mPolicies-Explorer: NoDriveAutoRun = dword:67108863
mPolicies-Explorer: NoDriveTypeAutoRun = dword:323
mPolicies-Explorer: NoDrives = dword:0
mPolicies-Windows\System: Allow-LogonScript-NetbiosDisabled = dword:1
mPolicies-Explorer: NoDriveTypeAutoRun = dword:323
mPolicies-Explorer: NoDriveAutoRun = dword:67108863
IE: E&xportar a Microsoft Excel - c:\archiv~1\micros~2\office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\archivos de programa\google\google toolbar\component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: {2F72393D-2472-4F82-B600-ED77F354B7FF} - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - c:\archivos de programa\mindjet\mindmanager 8\Mm8InternetExplorer.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503}
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\archivos de programa\messenger\msmsgs.exe
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242766413031
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: NameServer = 10.3.77.6 10.3.1.100 10.3.1.221
TCP: Interfaces\{552AD622-64A4-4BE4-889E-8F86E47F0852} : DHCPNameServer = 10.3.77.6 10.3.1.100 10.3.1.221
Handler: ipp - <Clsid value has no data>
Handler: msdaipp - <Clsid value has no data>
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\archivos de programa\archivos comunes\skype\Skype4COM.dll
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Windows Desktop Search Namespace Manager - {56F9679E-7826-4C84-81F3-532071A8BCC5} - c:\archivos de programa\windows desktop search\MSNLNamespaceMgr.dll
mASetup: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "c:\archivos de programa\outlook express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
mASetup: {7790769C-0471-11d2-AF11-00C04FA35D02} - "c:\archivos de programa\outlook express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
IFEO: Your Image File Name Here without a path - ntsd -d
.
============= SERVICES / DRIVERS ===============
.
S2 gupdate1c9dccdaf02d698;Servicio de actualización de Google (gupdate1c9dccdaf02d698);c:\archivos de programa\google\update\GoogleUpdate.exe [2009-5-24 133104]
S3 gupdatem;Google Update Servicio (gupdatem);c:\archivos de programa\google\update\GoogleUpdate.exe [2009-5-24 133104]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\archivos de programa\mcafee security scan\2.0.181\McCHSvc.exe [2010-1-15 227232]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [2007-11-2 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [2010-2-14 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [2010-2-14 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [2010-2-14 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [2010-2-14 100008]
.
=============== Created Last 30 ================
.
2011-07-14 00:25:21 -------- d-sha-r- C:\cmdcons
2011-07-14 00:22:15 98816 ----a-w- c:\windows\sed.exe
2011-07-14 00:22:15 256000 ----a-w- c:\windows\PEV.exe
2011-07-14 00:22:15 208896 ----a-w- c:\windows\MBR.exe
2011-06-27 20:51:33 339968 ----a-w- c:\archivos de programa\archivos comunes\microsoft shared\vs7debug\mdm.exe
2011-06-16 07:29:32 -------- d-----w- c:\windows\SxsCaPendDel
2011-06-16 05:54:56 105472 -c----w- c:\windows\system32\dllcache\mup.sys
.
==================== Find3M ====================
.
2011-06-13 22:08:30 17480 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2011-06-12 00:41:44 63744 ----a-w- c:\windows\system32\drivers\cdfs.sys
2011-06-12 00:36:22 152832 ----a-w- c:\windows\system32\drivers\ipnat.sys
2011-06-11 19:12:14 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-06-11 19:12:14 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-06-06 11:35:25 1859072 ----a-w- c:\windows\system32\win32k.sys
2011-05-29 14:11:30 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 14:11:20 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-18 15:03:59 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-02 15:32:15 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 17:25:05 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19:43 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-26 11:07:45 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-04-26 11:07:45 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-04-25 16:05:05 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:05:04 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:05:04 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01:33 385024 ----a-w- c:\windows\system32\html.iec
2011-04-21 13:37:43 105472 ----a-w- c:\windows\system32\drivers\mup.sys
2009-05-25 00:01:04 114260 ------w- c:\archivos de programa\install_PowerDVD9.1530(BDTrial)_DVD090319-02.exe
.
============= FINISH: 22:38:02.46 ===============

Thanks a lot!!

#10 Blade81

Blade81

    Bleepin' Rocker


  • Malware Response Team
  • 6,465 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Finland
  • Local time:09:27 AM

Posted 15 July 2011 - 03:50 AM

Hi,

By the way, Windows Firewall is not mentioned in the instructions for Combofix; I deactivated temporarily anyway. Is this necessary or does it not interfere with Combofix?

Windows Firewall won't interfere with ComboFix and can be left enabled.

Upload these files to http://www.virustotal.com (choose to reanalyse if prompted) and post back links to the results:
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\searchindexer.exe
C:\WINDOWS\system32\searchprotocolhost.exe

Microsoft Windows Insider MVP 2016-2017

Microsoft MVP Consumer Security 2008-2015
UNITE member since 2006
unite_blue.png

Provided malware removal related instructions are meant to be used in the correspondent user's case only. If you have similar symptoms create own topic instead of following instructions given to some other, please.


#11 basten

basten
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Local time:12:27 AM

Posted 15 July 2011 - 09:33 PM

Hi, here are the results:

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
http://www.virustotal.com/file-scan/report.html?id=d46a1d0c333eb14fb0d4a73f16aee0aceab6d0dbe348d7c793a188d1cb64193a-1310779978

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
http://www.virustotal.com/file-scan/report.html?id=a4e30ce37ce2112009a42eaef5c03284040fd3d0baec4a62d61858719ad46fd7-1310780391

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
http://www.virustotal.com/file-scan/report.html?id=36b79c3e75bfb1468ba21d18e7b981fedd4351878e1c957b7670ac88b9ff9303-1310780542

C:\WINDOWS\system32\searchindexer.exe
("File already submitted"; Reanalyse)
http://www.virustotal.com/file-scan/report.html?id=362a3cf207f761533b7d9210ce6d08d327fd44720aa3bbc7f38ac715850f5003-1310780768

C:\WINDOWS\system32\searchprotocolhost.exe
("File already submitted"; Reanalyse)
http://www.virustotal.com/file-scan/report.html?id=7a672c467ef8ee1947fc9c99932288722b66628b81d91df191f4732dde98a44f-1310780665


Additionally I submitted, because an instance of this file came up in Hitman Pro (which I deleted, because the original was in its proper location):
wuauclt.exe
It came out clean.

The files you asked me to submit, plus the following ones detected by ESET (which I'm sure you did not request, because the result would be the same)
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe Win32/Patched.HN trojan
C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe Win32/Patched.HN trojan
C:\Archivos de programa\SigmaTel\C-Major Audio\DellXPM_5515v131\WDM\STacSV.exe Win32/Patched.HN trojan
had also shown up in Hitman Pro (except possibly searchindexer and searchprotocolhost) in a run before I started this thread.

Thank a lot again!!!

#12 Blade81

Blade81

    Bleepin' Rocker


  • Malware Response Team
  • 6,465 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Finland
  • Local time:09:27 AM

Posted 16 July 2011 - 01:14 AM

Hi,

Let's see if there's anything that can be done.

Delete C:\Archivos de programa\install_PowerDVD9.1530(BDTrial)_DVD090319-02.exe file.



Download and Run SystemLook

Please download SystemLook from one of the links below and save it to your Desktop.
Download Mirror #1
Download Mirror #2

  • Double-click SystemLook.exe to run it.
  • Copy the content of the following codebox into the main textfield:
    :filefind
    mdm.exe
    EvtEng.exe
    RegSrvc.exe
    S24EvMon.exe
    WLKeeper.exe
    STacSV.exe
    searchindexer.exe
    searchprotocolhost.exe
    
  • Click the Look button to start the scan.
  • When finished, a notepad window will open with the results of the scan. Please post this log in your next reply.
Note: The log can also be found on your Desktop entitled SystemLook.txt

Microsoft Windows Insider MVP 2016-2017

Microsoft MVP Consumer Security 2008-2015
UNITE member since 2006
unite_blue.png

Provided malware removal related instructions are meant to be used in the correspondent user's case only. If you have similar symptoms create own topic instead of following instructions given to some other, please.


#13 basten

basten
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Local time:12:27 AM

Posted 17 July 2011 - 01:33 PM

Hi again.

I deleted the file and post the SystemLook log.

I have an additional question: is it safe (and recommendable) to uninstall all versions of Microsoft .NET Framework prior to the currently last version of 3.5 SP1? (They may pose a security risk?)
And the same question for Microsoft C++? I have:
2005 ATL Update kb..... (etc.)
2005 Redistributable
2008 Redistributable -x86 9.0.30729.4148
2008 Redistributable -x86 9.0.30729.6161


SystemLook 04.09.10 by jpshortstuff
Log created at 13:00 on 17/07/2011 by Irma
Administrator - Elevation successful

========== filefind ==========

Searching for "mdm.exe"
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe --a---- 339968 bytes [20:51 27/06/2011] [20:51 27/06/2011] 421988D8C2A6D6CC8B23E670F4CCC946

Searching for "EvtEng.exe"
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe --a---- 794624 bytes [20:51 27/06/2011] [20:51 27/06/2011] 70DEFAE65E29FFF065B7EB83604FB56A

Searching for "RegSrvc.exe"
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe --a---- 487424 bytes [20:51 27/06/2011] [20:51 27/06/2011] 2F5BF64CEC1D3BA9D23D64AA8EEE0918

Searching for "S24EvMon.exe"
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe --a---- 1187840 bytes [20:51 27/06/2011] [20:51 27/06/2011] B630364A9FE7CD8E169F6388A5C18AC5

Searching for "WLKeeper.exe"
C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe --a---- 356352 bytes [20:51 27/06/2011] [20:51 27/06/2011] 0D0FCCA6F93DCA81D60A0883AA596A85

Searching for "STacSV.exe"
C:\Archivos de programa\SigmaTel\C-Major Audio\DellXPM_5515v131\WDM\STacSV.exe --a---- 94208 bytes [20:51 27/06/2011] [20:51 27/06/2011] 3EBD7F8781A6BBDAAEF6CF22E6E2F67E
C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\stacsv.exe ------- 94208 bytes [20:37 19/05/2009] [15:23 10/05/2007] 6F855B5625A47F3AC731A262FDC379A6
C:\DELL\drivers\R171789\WDM\stacsv.exe ------- 94208 bytes [20:36 19/05/2009] [15:23 10/05/2007] 6F855B5625A47F3AC731A262FDC379A6
C:\WINDOWS\system32\stacsv.exe --a---- 94208 bytes [20:37 19/05/2009] [15:23 10/05/2007] 6F855B5625A47F3AC731A262FDC379A6

Searching for "searchindexer.exe"
C:\WINDOWS\system32\searchindexer.exe ------- 441856 bytes [03:18 27/05/2008] [03:18 27/05/2008] 461F1EFD78A4A32E1216FB4DD2C3F02F

Searching for "searchprotocolhost.exe"
C:\WINDOWS\system32\searchprotocolhost.exe ------- 186880 bytes [03:18 27/05/2008] [03:18 27/05/2008] 0F7D1BC421095BECFE44432441948CC4

-= EOF =-


Thanks a lot again! Hopefully it can be cleaned.

#14 Blade81

Blade81

    Bleepin' Rocker


  • Malware Response Team
  • 6,465 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Finland
  • Local time:09:27 AM

Posted 18 July 2011 - 01:32 AM

Hi,

I have an additional question: is it safe (and recommendable) to uninstall all versions of Microsoft .NET Framework prior to the currently last version of 3.5 SP1? (They may pose a security risk?)
And the same question for Microsoft C++?

You don't have to uninstall any older versions by yourself. Vulnerable .NET will be updated when you install available updates for it but don't do that yet.


Uninstall these via add/remove programs:
Intel® PROSet/Wireless Software
windows desktop search



Run ComboFix with the following cfscript.txt contents:
File::
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
FCopy::
C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\stacsv.exe|C:\Archivos de programa\SigmaTel\C-Major Audio\DellXPM_5515v131\WDM\STacSV.exe

Post back ComboFix log and then run ESET scanner again. Post back its findings too.

Microsoft Windows Insider MVP 2016-2017

Microsoft MVP Consumer Security 2008-2015
UNITE member since 2006
unite_blue.png

Provided malware removal related instructions are meant to be used in the correspondent user's case only. If you have similar symptoms create own topic instead of following instructions given to some other, please.


#15 basten

basten
  • Topic Starter

  • Members
  • 15 posts
  • OFFLINE
  •  
  • Local time:12:27 AM

Posted 18 July 2011 - 07:55 PM

Hi again.

I uninstalled both programs.
PLEASE INDICATE WHEN I CAN DOWNLOAD AND REINSTALL Intel® PROSet/Wireless Software (from Intel site).
I always use wireless Internet connection at this laptop and, obviously, now can't.
(I didn't do so yet, as viruses often tend to attack the same exe files again after reinstalling them.)

Question 2: when I run Combofix it normally asks if I want to upgrade. So when I run it WITH A CFSCRIPT, it has to restart after upgrading. Does it respect the Cfscript instructions which I originally gave it?? (Sofar I have interrupted the program to restart with CFscript just to be sure it takes it into account.)


Combofix:

ComboFix 11-07-18.04 - Irma 18/07/2011 18:30:43.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.2038.1444 [GMT -5:00]
Running from: c:\documents and settings\Irma\Escritorio\ComboFix.exe
Command switches used :: c:\documents and settings\Irma\Escritorio\Cfscript.txt
.
FILE ::
"c:\archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe"
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
.
.
--------------- FCopy ---------------
.
c:\archivos de programa\SigmaTel\C-Major Audio\WDM\stacsv.exe --> c:\archivos de programa\SigmaTel\C-Major Audio\DellXPM_5515v131\WDM\STacSV.exe
.
((((((((((((((((((((((((( Files Created from 2011-06-18 to 2011-07-18 )))))))))))))))))))))))))))))))
.
.
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-13 22:08 . 2011-06-13 21:08 17480 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2011-06-12 00:41 . 2004-08-20 12:00 63744 ----a-w- c:\windows\system32\drivers\cdfs.sys
2011-06-12 00:36 . 2004-08-20 12:00 152832 ----a-w- c:\windows\system32\drivers\ipnat.sys
2011-06-11 19:12 . 2011-06-11 19:12 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-06-11 19:12 . 2011-06-11 19:12 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-06-06 11:35 . 2004-08-20 12:00 1859072 ----a-w- c:\windows\system32\win32k.sys
2011-05-29 14:11 . 2011-06-13 19:05 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 14:11 . 2011-06-13 19:05 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-18 15:03 . 2011-05-18 15:03 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-02 15:32 . 2009-05-19 18:45 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2004-08-20 12:00 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2004-08-20 12:00 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-26 11:07 . 2004-08-20 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-04-26 11:07 . 2004-08-20 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-04-25 16:05 . 2004-08-20 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:05 . 2004-08-20 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 2004-08-20 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2004-08-20 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2004-08-20 12:00 105472 ----a-w- c:\windows\system32\drivers\mup.sys
.
.
((((((((((((((((((((((((((((( SnapShot@2011-07-14_00.35.22 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-07-18 19:24 . 2011-07-18 19:24 16384 c:\windows\Temp\Perflib_Perfdata_5d8.dat
+ 2004-08-20 12:00 . 2011-07-18 19:10 92426 c:\windows\system32\perfc00A.dat
+ 2004-08-20 12:00 . 2011-07-18 19:10 72684 c:\windows\system32\perfc009.dat
+ 2004-08-20 12:00 . 2011-07-18 19:10 509298 c:\windows\system32\perfh00A.dat
+ 2004-08-20 12:00 . 2011-07-18 19:10 444808 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-25 39408]
"Sony Ericsson PC Suite"="c:\archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448]
"Skype"="c:\archivos de programa\Skype\Phone\Skype.exe" [2011-01-26 15026056]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\archivos de programa\DellTPad\Apoint.exe" [2007-07-02 159744]
"SigmatelSysTrayApp"="c:\archivos de programa\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"MMReminderService"="c:\archivos de programa\Mindjet\MindManager 8\MMReminderService.exe" [2008-11-14 37656]
"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" [2009-05-26 413696]
"SunJavaUpdateSched"="c:\archivos de programa\Archivos comunes\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Adobe ARM"="c:\archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AvgUninstallURL"="start http://www.avg.es/es.special-uninstallation-feedback-appf?lic=NFVZOVgtTlNWVkwtTzRCWlEtUUlNQ0wtUVREQ0gtNElKTUg&inst=NzctNjUzMTIzNDgzLUJBKzEtS1YzKzctVDEtVUNBTEwrMS1CQVI4RysxLVVDQUxMMisyLUZMKzgtRjhNMTFFKzEtVVBHKzIwMTEtRkwxMCsxLUxJQysyLUREVCsw&prod=90&ver=10.0.1390" [?]
.
c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
McAfee Security Scan Plus.lnk - c:\archivos de programa\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Archivos de programa\\SopCast\\adv\\SopAdver.exe"=
"c:\\Archivos de programa\\SopCast\\SopCast.exe"=
"c:\\Archivos de programa\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
"c:\\Archivos de programa\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Documents and Settings\\Irma\\Configuración local\\Datos de programa\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Documents and Settings\\Irma\\Configuración local\\Datos de programa\\Google\\Chrome\\Application\\chrome.exe"=
"c:\\Archivos de programa\\Adobe\\Reader 10.0\\Reader\\AcroRd32.exe"=
"c:\\Archivos de programa\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Archivos de programa\\Archivos comunes\\Adobe\\ARM\\1.0\\AdobeARM.exe"=
"c:\\Archivos de programa\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"=
"c:\\Documents and Settings\\Irma\\Escritorio\\TDSSKiller.exe"=
"c:\\Documents and Settings\\Irma\\Configuración local\\Datos de programa\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
.
S2 gupdate1c9dccdaf02d698;Servicio de actualización de Google (gupdate1c9dccdaf02d698);c:\archivos de programa\Google\Update\GoogleUpdate.exe [24/05/2009 07:13 p.m. 133104]
S3 gupdatem;Google Update Servicio (gupdatem);c:\archivos de programa\Google\Update\GoogleUpdate.exe [24/05/2009 07:13 p.m. 133104]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\archivos de programa\McAfee Security Scan\2.0.181\McCHSvc.exe [15/01/2010 07:49 a.m. 227232]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [02/11/2007 11:47 a.m. 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [14/02/2010 10:39 p.m. 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [14/02/2010 10:39 p.m. 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [14/02/2010 10:39 p.m. 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [14/02/2010 10:39 p.m. 100008]
.
Contents of the 'Scheduled Tasks' folder
.
2011-05-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 17:34]
.
2011-07-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-05-25 00:13]
.
2011-07-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-05-25 00:13]
.
2011-06-22 c:\windows\Tasks\Norton Security Scan for Irma.job
- c:\archivos de programa\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2010-01-09 22:45]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://www.xoower.com/
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
TCP: DhcpNameServer = 10.3.77.6 10.3.1.100 10.3.1.221
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-18 18:35
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
Completion time: 2011-07-18 18:36:41
ComboFix-quarantined-files.txt 2011-07-18 23:36
ComboFix2.txt 2011-07-15 02:29
ComboFix3.txt 2011-07-14 00:36
.
Pre-Run: 95,155,412,992 bytes libres
Post-Run: 95,149,133,824 bytes libres
.
- - End Of File - - 09CDCF2947BBDF323D1F944E0D776387



ESET:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=75f6aa1abfe5074389e21d02276af729
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-15 03:29:57
# local_time=2011-07-14 10:29:57 (-0600, Hora de verano central (México))
# country="Mexico"
# lang=9
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1024 16777215 100 0 66943650 66943650 0 0
# compatibility_mode=8192 67108863 100 0 1708729 1708729 0 0
# scanned=51115
# found=11
# cleaned=0
# scan_time=2750
C:\Archivos de programa\install_PowerDVD9.1530(BDTrial)_DVD090319-02.exe VBS/StartPage.NCM.Gen trojan (unable to clean) 00000000000000000000000000000000 I
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Archivos de programa\SigmaTel\C-Major Audio\DellXPM_5515v131\WDM\STacSV.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{F0558589-3326-4ACD-9862-45785FE8416F}\RP155\A0060156.rbf Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\searchindexer.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\searchprotocolhost.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
${Memory} Win32/Patched.HN trojan 00000000000000000000000000000000 I
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=75f6aa1abfe5074389e21d02276af729
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-19 12:30:03
# local_time=2011-07-18 07:30:03 (-0600, Hora de verano central (México))
# country="Mexico"
# lang=9
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1024 16777215 100 0 67278514 67278514 0 0
# compatibility_mode=8192 67108863 100 0 2043593 2043593 0 0
# scanned=50779
# found=12
# cleaned=0
# scan_time=2687
C:\Qoobox\Quarantine\C\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe.vir Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Qoobox\Quarantine\C\Archivos de programa\SigmaTel\C-Major Audio\DellXPM_5515v131\WDM\STacSV.exe.vir Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{F0558589-3326-4ACD-9862-45785FE8416F}\RP155\A0060156.rbf Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{F0558589-3326-4ACD-9862-45785FE8416F}\RP182\A0064519.exe VBS/StartPage.NCM.Gen trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{F0558589-3326-4ACD-9862-45785FE8416F}\RP182\A0064532.rbf Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{F0558589-3326-4ACD-9862-45785FE8416F}\RP182\A0064563.rbf Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{F0558589-3326-4ACD-9862-45785FE8416F}\RP182\A0064569.rbf Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{F0558589-3326-4ACD-9862-45785FE8416F}\RP182\A0064573.rbf Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{F0558589-3326-4ACD-9862-45785FE8416F}\RP182\A0064707.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{F0558589-3326-4ACD-9862-45785FE8416F}\RP182\A0064708.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{F0558589-3326-4ACD-9862-45785FE8416F}\RP183\A0064933.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{F0558589-3326-4ACD-9862-45785FE8416F}\RP183\A0064939.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I

Thanks again!




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users