Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Help with my Log


  • Please log in to reply
6 replies to this topic

#1 chapatin

chapatin

  • Members
  • 8 posts
  • OFFLINE
  •  
  • Local time:12:39 PM

Posted 30 November 2004 - 02:47 PM

Here is it:

Logfile of HijackThis v1.98.2
Scan saved at 16:23:28, on 30/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Archivos de programa\Norton AntiVirus\navapsvc.exe
D:\Archivos de programa\Norton AntiVirus\SAVScan.exe
D:\WINDOWS\Explorer.EXE
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
D:\Archivos de programa\QuickTime\qttask.exe
D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
D:\Archivos de programa\Winamp\winampa.exe
D:\WINDOWS\System32\rundll32.exe
D:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe
D:\WINDOWS\System32\Software\software.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Archivos de programa\WinZip\WZQKPICK.EXE
D:\Archivos de programa\iMesh\Client\iMeshClient.exe
D:\WINDOWS\System32\devldr32.exe
D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
D:\Archivos de programa\ISTsvc\istsvc.exe
D:\Documents and Settings\Sergio\Internet Optimizer\optimize.exe
D:\Program Files\Internet Optimizer\actalert.exe
D:\Archivos de programa\180Solutions\sais.exe
D:\Archivos de programa\BullsEye Network\bin\bargains.exe
D:\Archivos de programa\Web_Rebates\WebRebates1.exe
D:\hijackthis\HijackThis.exe
D:\Archivos de programa\Web_Rebates\WebRebates0.exe
D:\Archivos de programa\Messenger\msmsgs.exe
D:\WINDOWS\gx9fzj83m9.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.ht...ount_id=1001547
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.ht...ount_id=1001547
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=1001547
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.ht...ount_id=1001547
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.portalmagic.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: - {3CAD21D1-5B46-4FA4-A194-0EE68FF7D468} - D:\WINDOWS\lbbho.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - D:\Archivos de programa\NewDotNet\newdotnet6_38.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - D:\WINDOWS\wsem302.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Archivos de programa\SideFind\sfbho.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: - {DDE2543F-5224-4D85-8441-16ADE230945F} - D:\WINDOWS\lbbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - D:\ARCHIV~1\YOURSI~1\ysb.dll
O4 - HKLM\..\Run: [ccApp] "D:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MSVersion] D:\WINDOWS\System32\iefeaturesversion.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] D:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 D:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [CnxDslTaskBar] "D:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [Software] D:\WINDOWS\System32\Software\software.exe
O4 - HKLM\..\Run: [IST Service] D:\Archivos de programa\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "D:\Documents and Settings\Sergio\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [sais] d:\archivos de programa\180solutions\sais.exe
O4 - HKLM\..\Run: [huzwnez] D:\WINDOWS\huzwnez.exe
O4 - HKLM\..\Run: [BullsEye Network] D:\Archivos de programa\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [Power Scan] D:\Archivos de programa\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [WebRebates0] D:\Archivos de programa\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "D:\DOCUME~1\Sergio\CONFIG~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - Startup: iMesh.lnk = D:\Archivos de programa\iMesh\Client\iMeshClient.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Archivos de programa\SideFind\sidefind.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.finefind.net
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2bleeped.biz
O15 - Trusted Zone: *.vse-moe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D} (PremiumInternacional Class) - http://www.accesoplugin.com/dialercab/PPre...ternacional.cab
O16 - DPF: {2CAB81F6-1CBB-49FD-809E-B2D37D0CFFED} - http://www.popmonster.com/control/src/iefeatures.ocx
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC128C27-7328-4632-A0DD-6D302E8E1152}: NameServer = 200.28.4.129 200.28.4.130

BC AdBot (Login to Remove)

 


#2 Daisuke

Daisuke

    Cleaner on Duty


  • Members
  • 5,575 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Romania
  • Local time:12:39 PM

Posted 01 December 2004 - 04:50 AM

Hi

Please Download LSPFix from: here. Use this program only if you can not connect to the Internet after removing New(Dot)Net.

Follow these steps to remove NewDotNet:
A. Go to Start -> Control Panel.
B. Uninstall NewDotNet (New.Net) from Add/Remove Programs

If there is no uninstall program listed then do the following:
Go to http://www.newdotnet.com/removal.html ; scroll down to Procedure 4 and follow the removal instructions.

If you can not connect to the Internet after removing New(Dot)Net, please run the LSP-Fix program downloaded earlier, and click on the "Finish" button.

Please uninstall from Add]Remove Programs:
IST Bar
Power Scan
iMesh
iMesh ads support


Reboot and post a new log please.
Everyday is virus day. Do you know where your recovery CDs are ?
Did you create them yet ?

Posted Image

#3 chapatin

chapatin
  • Topic Starter

  • Members
  • 8 posts
  • OFFLINE
  •  
  • Local time:12:39 PM

Posted 05 December 2004 - 04:11 PM

el hijackthis.exeLogfile of HijackThis v1.98.2
Scan saved at 17:48:18, on 05/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Archivos de programa\Norton AntiVirus\navapsvc.exe
D:\Archivos de programa\Norton AntiVirus\SAVScan.exe
D:\WINDOWS\Explorer.EXE
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
D:\Archivos de programa\QuickTime\qttask.exe
D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
D:\Archivos de programa\Winamp\winampa.exe
D:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe
D:\WINDOWS\System32\Software\software.exe
D:\WINDOWS\jnxdi.exe
D:\WINDOWS\System32\devldr32.exe
D:\Archivos de programa\ISTsvc\istsvc.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
D:\Archivos de programa\WinZip\WZQKPICK.EXE
D:\Archivos de programa\Messenger\msmsgs.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\System32\wuauclt.exe
D:\ARCHIV~1\COMMON~1\tsa\tsm2.exe
D:\ARCHIV~1\COMMON~1\tsa\ts2.exe
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.ht...ount_id=1001547
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.ht...ount_id=1001547
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bettersearch.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bettersearch.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.ht...ount_id=1001547
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.portalmagic.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: - {3CAD21D1-5B46-4FA4-A194-0EE68FF7D468} - D:\WINDOWS\lbbho.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - D:\WINDOWS\wsem302.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: - {DDE2543F-5224-4D85-8441-16ADE230945F} - D:\WINDOWS\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "D:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MSVersion] D:\WINDOWS\System32\iefeaturesversion.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] D:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "D:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [Software] D:\WINDOWS\System32\Software\software.exe
O4 - HKLM\..\Run: [hmhyt] D:\WINDOWS\hmhyt.exe
O4 - HKLM\..\Run: [hEfQxr] D:\WINDOWS\jnxdi.exe
O4 - HKLM\..\Run: [hmhitwd] D:\WINDOWS\hmhitwd.exe
O4 - HKLM\..\Run: [IST Service] D:\Archivos de programa\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Tsa2] D:\ARCHIV~1\COMMON~1\tsa\tsm2.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://D:\Archivos de programa\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.finefind.net
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2bleeped.biz
O15 - Trusted Zone: *.vse-moe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: v3cab - http://searchmiracle.com/cab/2.cab
O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D} (PremiumInternacional Class) - http://www.accesoplugin.com/dialercab/PPre...ternacional.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4...006_regular.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC128C27-7328-4632-A0DD-6D302E8E1152}: NameServer = 200.28.4.129 200.28.4.130

#4 Daisuke

Daisuke

    Cleaner on Duty


  • Members
  • 5,575 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Romania
  • Local time:12:39 PM

Posted 05 December 2004 - 04:27 PM

Hi :thumbsup:

Download CWShredder: Download here. Don't use it yet.

Download Ad-aware SE 1.05: here
Install it. When you get the last screen, with the "Finish" button and 3 options, uncheck those three items.
Open AdAware and click the "Check for updates now" link. Close AdAware. Don't use it yet.

Download System Security Suite here:
System Security Suite Download & Tutorial. Unzip it to your desktop.
Install the program. Don't use it yet.


Please print or copy these instructions because you are not able to access the Internet in SafeMode.

Make sure you are set to show hidden files and folders:
A. On the Tools menu in Windows Explorer, click Folder Options.
B. Click the View tab.
C. Under Hidden files and folders, click Show hidden files and folders.
D. Uncheck Hide extensions for known filetypes and Hide protected operating system files.
How to see hidden files in Windows

REBOOT into SafeMode by tapping F8 key repeatedly at bootup: Starting your computer in Safe mode

Run HijackThis!, press Scan, and put a check mark next to all these:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.ht...ount_id=1001547
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.ht...ount_id=1001547
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bettersearch.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bettersearch.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.ht...ount_id=1001547
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.portalmagic.cl/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: - {3CAD21D1-5B46-4FA4-A194-0EE68FF7D468} - D:\WINDOWS\lbbho.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - D:\WINDOWS\wsem302.dll
O2 - BHO: - {DDE2543F-5224-4D85-8441-16ADE230945F} - D:\WINDOWS\lbbho.dll
O4 - HKLM\..\Run: [Software] D:\WINDOWS\System32\Software\software.exe
O4 - HKLM\..\Run: [hmhyt] D:\WINDOWS\hmhyt.exe
O4 - HKLM\..\Run: [hEfQxr] D:\WINDOWS\jnxdi.exe
O4 - HKLM\..\Run: [hmhitwd] D:\WINDOWS\hmhitwd.exe
O4 - HKLM\..\Run: [IST Service] D:\Archivos de programa\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [Tsa2] D:\ARCHIV~1\COMMON~1\tsa\tsm2.exe

O8 - Extra context menu item: Web Rebates - file://D:\Archivos de programa\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.finefind.net
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2bleeped.biz
O15 - Trusted Zone: *.vse-moe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com

O16 - DPF: v3cab - http://searchmiracle.com/cab/2.cab
O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D} (PremiumInternacional Class) - http://www.accesoplugin.com/dialercab/PPre...ternacional.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4...006_regular.cab


Close all other windows and browsers, and press the Fix Checked button.

Search for these files and delete them if found:
D:\WINDOWS\lbbho.dll <-- this file
D:\WINDOWS\wsem302.dll <-- this file
D:\WINDOWS\lbbho.dll <-- this file
D:\WINDOWS\hmhyt.exe <-- this file
D:\WINDOWS\jnxdi.exe <-- this file
D:\WINDOWS\hmhitwd.exe <-- this file

Delete these folders:
D:\WINDOWS\System32\Software\ <-- this folder
D:\Archivos de programa\ISTsvc\ <-- this folder
D:\Archivos de programa\Common files\tsa\ <-- this folder
D:\Archivos de programa\Web_Rebates\ <-- this folder

Empty the Recycle Bin.

Make sure all browser windows are closed and run cwshredder.exe to start the program and click on the FIX button (not the "Scan only" button) and let it scan your computer.

Run AdAware, press the "Start" button, uncheck "Scan for negligible risk entries", select "Perform full system scan" and press "Next". Let AdAware remove anything it finds.

With all windows and browsers closed.
Clean out temporary and Temporary Internet Files.
A. Open System Security Suite.
B. In the Items to Clear tab thick:
- Internet Explorer (left pane): Cookies & Temporary files
- My Computer (right pane): Temporary files & Recycle Bin
Press the Clear Selected Items button.
Close the program.

REBOOT normally.

Run HijackThis! again and post a new log please.
Everyday is virus day. Do you know where your recovery CDs are ?
Did you create them yet ?

Posted Image

#5 chapatin

chapatin
  • Topic Starter

  • Members
  • 8 posts
  • OFFLINE
  •  
  • Local time:12:39 PM

Posted 07 December 2004 - 09:02 PM

Logfile of HijackThis v1.98.2
Scan saved at 22:59:40, on 07/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Archivos de programa\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\Explorer.EXE
D:\Archivos de programa\Norton AntiVirus\SAVScan.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
D:\Archivos de programa\QuickTime\qttask.exe
D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
D:\Archivos de programa\Winamp\winampa.exe
D:\WINDOWS\System32\devldr32.exe
D:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
D:\Archivos de programa\WinZip\WZQKPICK.EXE
D:\Archivos de programa\Messenger\msmsgs.exe
D:\WINDOWS\System32\wuauclt.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "D:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MSVersion] D:\WINDOWS\System32\iefeaturesversion.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] D:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "D:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE

#6 chapatin

chapatin
  • Topic Starter

  • Members
  • 8 posts
  • OFFLINE
  •  
  • Local time:12:39 PM

Posted 08 December 2004 - 11:29 AM

what I have to do now?

#7 Daisuke

Daisuke

    Cleaner on Duty


  • Members
  • 5,575 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Romania
  • Local time:12:39 PM

Posted 08 December 2004 - 12:37 PM

Log looks clean...great job ! :thumbsup:

Now that you are clean, please follow these simple steps in order to keep your computer clean and secure:

How did I get infected?, With steps so it does not happen again!

Glad I was able to help.
Everyday is virus day. Do you know where your recovery CDs are ?
Did you create them yet ?

Posted Image




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users