Welcome to MalwareRemoval.com,
What if we told you that you could get malware removal help from experts, and that it was 100% free? MalwareRemoval.com provides free support for people with infected computers. Our help, and the tools we use are always 100% free. No hidden catch. We simply enjoy helping others. You enjoy a clean, safe computer.

Malware Removal Instructions

Problem with virus Trojan.win32.patched.bb

MalwareRemoval.com provides free support for people with infected computers. Using plain language that anyone can understand, our community of volunteer experts will walk you through each step.

Re: Problem with virus Trojan.win32.patched.bb

Unread postby pepemarix » August 5th, 2008, 8:30 am

Hello Carolyne:

Sorry for my last operation, i didn't wait enough to generate combofix.log, now I have the correct one.

But, before this second combofix operation, I run malwarebyte again and this found 17 files infected. It's not the first time that malwarebyte find it, but always delete it sucessfully, but sometimes the same 17 files appear again.

In Qoobox folder had two log files: Add-Remove Programs.txt and ComboFix-quarantined-files.txt. so now I will show 4 log files.

1.- Combofix.txt
2.- Add-Remove Programs.txt
3.- ComboFix-quarantined-files.txt
4.- mbam-log-8-5-2008 (13-35-19).txt ( malwarebit log )

Thank you again for your patience and work.
Josemari

-------------------------------------------------------------------------------
1.- Combofix.txt

ComboFix 08-08-04.01 - JOSEMARI 2008-08-05 13:47:26.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.258 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\JOSEMARI\Escritorio\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Nobicyt.exe
.
---- Previous Run -------
.
C:\d.exe
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\Help\access.hlp
C:\WINDOWS\Help\chscxdyv.fy
C:\WINDOWS\Help\verifier.hlp
C:\WINDOWS\system32\afinding.exe
C:\WINDOWS\system32\comsa32.sys
C:\WINDOWS\system32\drivers\atmapi.sys
C:\WINDOWS\system32\drivers\lrj47.sys
C:\WINDOWS\system32\mdfg.odl
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\Nobicyt.exe
C:\WINDOWS\system32\nvrsul32.dll
C:\WINDOWS\system32\routing.exe
C:\WINDOWS\system32\sfmrr.r
C:\WINDOWS\system32\WServing.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AFINDING
-------\Legacy_lrj47
-------\Legacy_PERFMONS
-------\Legacy_ROUTING
-------\Legacy_WSERVING
-------\Service_AFinding
-------\Service_lrj47
-------\Service_perfmons
-------\Service_Routing
-------\Service_WServing
-------\Legacy_AFINDING
-------\Legacy_PERFMONS
-------\Legacy_ROUTING
-------\Legacy_WSERVING
-------\Service_lrj47
-------\Legacy_AFINDING
-------\Legacy_PERFMONS
-------\Legacy_ROUTING
-------\Legacy_WSERVING


(((((((((((((((((( Archivos creados desde 2008-07-05 - 2008-08-05 )))))))))))))))))))))))))))))))))
.

2008-08-04 00:08 . 2008-08-04 00:08 <DIR> d-------- C:\_OTMoveIt
2008-08-03 13:17 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-03 13:15 . 2008-08-03 13:17 <DIR> d-------- C:\Archivos de programa\Java
2008-08-03 13:15 . 2008-08-03 13:15 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Java
2008-08-01 16:39 . 2008-08-01 16:39 <DIR> d-------- C:\Deckard
2008-08-01 12:01 . 2008-08-01 12:03 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-08-01 11:44 . 2008-08-01 11:44 <DIR> d---s---- C:\Documents and Settings\LocalService\UserData
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-07-30 14:46 . 2001-08-17 20:12 19,017 --a------ C:\WINDOWS\system32\drivers\RTL8029.sys
2008-07-29 11:30 . 2008-07-29 12:31 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Any Video Converter
2008-07-29 11:30 . 2008-07-29 11:31 <DIR> d-------- C:\Archivos de programa\Any Video Converter
2008-07-27 16:14 . 2008-07-27 16:14 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-07-25 22:45 . 2008-07-25 22:45 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-07-25 21:55 . 2004-08-19 15:43 25,088 --a------ C:\WINDOWS\system32\winhdn32.dll
2008-07-25 21:22 . 2008-07-25 21:22 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Malwarebytes
2008-07-25 21:22 . 2008-07-25 21:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-07-25 21:22 . 2008-07-23 20:20 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-25 21:22 . 2008-07-23 20:20 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-25 21:17 . 2008-07-25 21:22 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Reciente
2008-07-25 17:23 . 2007-01-27 14:15 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> dr------- C:\Documents and Settings\Administrador\Men£ Inicio
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-07-25 17:23 . 2007-10-05 22:00 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-07-25 17:23 . 2008-07-25 17:23 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuraci¢n local
2008-07-25 17:23 . 2008-07-25 17:23 <DIR> d-------- C:\Documents and Settings\Administrador
2008-07-25 17:00 . 2004-08-19 15:43 25,088 --a------ C:\WINDOWS\system32\{7e853d72-626a-48ec-a868-ba8d5e23e045}
2008-07-25 16:48 . 2008-07-25 16:48 98,816 --a------ C:\WINDOWS\system32\fre.xc
2008-07-25 16:48 . 2008-07-25 16:48 29 --a------ C:\WINDOWS\system32\oiypefhr.tmp
2008-07-25 16:48 . 2008-07-25 16:48 2 --a------ C:\-1072858546
2008-07-25 16:48 . 2008-07-25 21:05 0 --a------ C:\WINDOWS\system32\drivers\4200a86b.sys
2008-07-24 11:04 . 2008-07-24 11:04 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Media Player Classic
2008-07-24 11:01 . 2008-07-24 11:44 <DIR> d-------- C:\Archivos de programa\AviSynth 2.5
2008-07-24 11:01 . 2008-07-24 11:01 <DIR> d-------- C:\Archivos de programa\AML Products
2008-07-19 18:48 . 2008-07-19 18:48 2,210 --a------ C:\WINDOWS\coolmp3.ini
2008-07-17 21:31 . 2008-07-17 21:31 <DIR> d-------- C:\Archivos de programa\Free PDF to Word Doc Converter
2008-07-08 18:48 . 2008-07-08 18:48 <DIR> d-------- C:\DVDVideoSoft
2008-07-08 14:33 . 2008-07-08 14:33 <DIR> d-------- C:\Archivos de programa\GeoVid
2008-07-08 14:12 . 2008-07-08 14:13 29 --a------ C:\WINDOWS\coolacm.ini
2008-07-08 13:13 . 2008-07-08 15:45 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Ulead Systems
2008-07-08 13:09 . 2008-07-08 13:09 <DIR> d-------- C:\SmartSound Software
2008-07-08 13:08 . 2008-07-08 16:47 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SmartSound Software Inc
2008-07-08 13:08 . 2008-07-08 13:08 <DIR> d-------- C:\Archivos de programa\SmartSound Software
2008-07-08 13:06 . 2008-07-08 13:06 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\InstallShield
2008-07-08 13:06 . 2008-07-08 13:06 <DIR> d-------- C:\Archivos de programa\Windows Media Components
2008-07-08 13:03 . 2008-07-08 13:03 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Ulead Systems
2008-07-08 13:02 . 2008-07-08 13:12 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Ulead Systems
2008-07-08 13:02 . 2008-07-08 13:02 <DIR> d-------- C:\Archivos de programa\Ulead Systems
2008-07-08 11:19 . 2003-10-03 16:28 45,056 --a------ C:\WINDOWS\system32\vusetup.dll
2008-07-08 11:19 . 2003-08-04 17:29 11,392 --a------ C:\WINDOWS\system32\drivers\vulfntr.sys
2008-07-08 11:19 . 2003-08-04 17:29 6,912 --a------ C:\WINDOWS\system32\drivers\vulfnth.sys

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-04 16:08 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-08-03 11:01 --------- d-----w C:\Archivos de programa\Google
2008-08-03 11:00 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-08-03 10:15 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-07-29 09:48 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\pdf995
2008-07-22 21:48 --------- d-----w C:\Archivos de programa\Cool2000
2008-07-21 14:38 --------- d-----w C:\Documents and Settings\JOSEMARI\Datos de programa\Canon
2008-07-08 16:48 --------- d-----w C:\Archivos de programa\DVDVideoSoft
2008-07-08 16:48 --------- d-----w C:\Archivos de programa\Archivos comunes\DVDVideoSoft
2008-07-08 11:02 --------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2008-07-04 14:34 --------- d-----w C:\Archivos de programa\Windows Live Safety Center
2008-06-23 14:51 --------- d-----w C:\Archivos de programa\Archivos comunes\xing shared
2008-06-23 14:50 --------- d-----w C:\Archivos de programa\Archivos comunes\Real
2008-06-11 15:19 --------- d-----w C:\Archivos de programa\CCleaner
2008-06-06 15:18 --------- d-----w C:\Archivos de programa\Enigma Software Group
2008-06-06 14:52 --------- d-----w C:\Archivos de programa\Microsoft AntiSpyware
2008-06-05 18:50 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal
2008-06-05 18:50 --------- d-----w C:\Archivos de programa\Kaspersky Lab
.
Code: Select all
<pre>
----a-w         2,129,920 2006-03-15 10:48:04  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Antonio Pérez sánchez - 2006 .exe
----a-w         1,077,248 2007-12-29 19:27:01  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Jorge A Rosa López - 2006 .exe
----a-w            69,632 2006-03-15 10:33:43  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Manuel Bello - 2006 .exe
</pre>



((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" [2005-06-08 14:44 196608]
"DrvMon.exe"="C:\WINDOWS\System32\DrvMon.exe" [2004-09-10 04:16 53248]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-29 19:09 68856]
"H/PC Connection Agent"="C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 23:18 1211176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"InCD"="C:\Archivos de programa\Ahead\InCD\InCD.exe" [2004-09-13 11:51 1450096]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2005-07-19 17:32 221184]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-02-21 04:01 28675]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-10-25 19:58 282624]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2008-06-23 16:49 185896]
"UVS10 Preload"="C:\Archivos de programa\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-05-17 14:23 36864]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22 86016]
"KAVPersonal50"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [2004-10-07 11:51 127079]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"SoundMan"="SOUNDMAN.EXE" [2002-03-21 04:23 46592 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:42 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xvid"= xvid.dll
"msacm.dvacm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^HP Digital Imaging Monitor.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^InterVideo WinCinema Manager.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HbTools]
C:\Archivos de programa\HbTools\Bin\4.8.2.0\HbtOEAddOn.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 23:12 49152 C:\Archivos de programa\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 15:24 458752 C:\Archivos de programa\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 15:14 217088 C:\Archivos de programa\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Archivos de programa\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemDoctor 2006 Free]
C:\Archivos de programa\SystemDoctor 2006 Free\sd2006.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\usdr6cw]
C:\Archivos de programa\SystemDoctor 2006 Free\usdr6cw.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WeatherOnTray]
C:\Archivos de programa\HbTools\Bin\4.8.2.0\HbtWeatherOnTray.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Xanadu]
--a------ 2002-08-14 17:26 819200 C:\Archivos de programa\Foreignword\Xanadu\Xanadu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2002-03-21 04:23 46592 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SPYWAREfighterRP"=3 (0x3)
"kavsvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"= C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\CS1.6 pod-Bot\\hl.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\CS1.6 pod-Bot\\hltv.exe"=
"C:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\HelpCtr.exe"=
"C:\\Archivos de programa\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2004-10-07 11:52]
S1 4200a86b;4200a86b;C:\WINDOWS\system32\drivers\4200a86b.sys [2008-07-25 21:05]
S1 lusbaudio;Micrófono USB de Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 23:05]
S2 mshlpkd;Microsoft File Mapping Service;C:\WINDOWS\system32\mshlp.exe [2004-08-19 15:43]
S3 pfsvgae;pfsvgae;C:\DOCUME~1\JOSEMARI\CONFIG~1\Temp\pfsvgae.sys []
S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 23:05]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []
S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{139f6f67-9b2c-11db-898d-00c0dff5cee3}]
\Shell\AutoRun\command - G:\loader.exe
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\JOSEMARI\Datos de programa\Mozilla\Firefox\Profiles\54kybzys.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://descargar.mp3.es/es/index.php?rv ... d=79919291


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-05 13:52:40
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\ARCHIV~1\MICROS~4\rapimgr.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\fxssvc.exe
.
**************************************************************************
.
Tiempo completado: 2008-08-05 14:05:27 - machine was rebooted [JOSEMARI]
ComboFix-quarantined-files.txt 2008-08-05 12:05:06

Pre-Run: 1,727,795,200 bytes libres
Post-Run: 1,638,731,776 bytes libres

264 --- E O F --- 2008-08-04 20:18:26


---------------------------------------------------------------------------------------


2.- Add-Remove Programs.txt
--> C:\UNWISE.EXE C:\INSTALL.LOG
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) --> MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Photoshop 7.0 --> C:\WINDOWS\ISUN040A.EXE -f"C:\Archivos de programa\Adobe\Photoshop 7.0\Uninst.isu" -c"C:\Archivos de programa\Adobe\Photoshop 7.0\Uninst.dll"
Adobe Reader 8.1.2 - Español --> MsiExec.exe /I{AC76BA86-7AD7-1034-7B44-A81200000003}
Adobe Reader 8.1.2 Security Update 1 (KB403742) -->
Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Analizador y SDK de Microsoft XML --> MsiExec.exe /I{3E908702-AF35-4611-9518-955DA24B7E07}
AnvSoft Video to 3GP Converter 1.10 --> "C:\Archivos de programa\AnvSoft\Video to 3GP Converter\unins000.exe"
Any Video Converter 2.6.2 --> "C:\Archivos de programa\Any Video Converter\unins000.exe"
Asistente para la publicación en Web 1.53 de Microsoft --> RunDll32 ADVPACK.DLL,LaunchINFSection C:\WINDOWS\INF\wpie3x86.inf,WebPostUninstall
Avance AC'97 Audio --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
BenQ QVideo --> "C:\Archivos de programa\InstallShield Installation Information\{0B168FED-B9EC-4DA8-AC17-9A41F284640B}\setup.exe" REMOVEALL
CamStudio --> C:\Archivos de programa\CamStudio\uninstall.exe
CCleaner (remove only) --> "C:\Archivos de programa\CCleaner\uninst.exe"
Compresor WinRAR --> C:\Archivos de programa\WinRAR\uninstall.exe
Controlador de Logitech® Camera --> "C:\Archivos de programa\Archivos comunes\Logitech\QCDRV\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT
Cool Edit 2000 --> C:\Archivos de programa\Cool2000\ce2Kunin.exe
Counter Strike 1.6 - By PirocaHP.F!N4LShare --> C:\WINDOWS\unvise32.exe C:\CS1.6 pod-Bot\uninstal_cs.log
Counter Strike 1.6 - Pack 112 Mapas - By PirocaHP F!N4LShare --> C:\WINDOWS\unvise32.exe C:\CS1.6 pod-Bot\uninstal_map.log
CuteFTP 6 Professional --> C:\ARCHIV~1\ARCHIV~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{AB18B0BA-A08F-48B8-8D0E-AA9DDDCA22EA}
Enable S3 for USB Device --> C:\WINDOWS\IsUninst.exe -f"C:\Archivos de programa\Gigabyte\Enable S3 for USB Device\Uninst.isu"
Express Rip --> C:\Archivos de programa\NCH Swift Sound\ExpressRip\uninst.exe
FLV Player 1.3.3 --> "C:\Archivos de programa\FLVPlayer\uninstall.exe"
FPAdjust --> C:\WINDOWS\IsUninst.exe -f"C:\Archivos de programa\Flat Panel Adjust\Uninst.isu"
Free 3GP Video Converter version 2.4 --> "C:\Archivos de programa\DVDVideoSoft\Free 3GP Video Converter\unins000.exe"
Free PDF to Word Doc Converter v1.1 --> "C:\Archivos de programa\Free PDF to Word Doc Converter\unins000.exe"
Free Video to Mp3 Converter version 3.1 --> "C:\Archivos de programa\DVDVideoSoft\Free Video to Mp3 Converter\unins000.exe"
Google Earth --> MsiExec.exe /I{1E04F83B-2AB9-4301-9EF7-E86307F79C72}
Google Updater --> "C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe" -uninstall
HijackThis 1.99.1 --> C:\Documents and Settings\JOSEMARI\Escritorio\Nuevos Programas Bajados\HijackThis\HijackThis.exe /uninstall
HP Deskjet 3900 series --> C:\Archivos de programa\HP\Digital Imaging\{3819891A-030B-4a4e-98ED-B28A649E48AB}\setup\hpzscr01.exe -datfile hpfscr05.dat
HP Imaging Device Functions 5.0 --> C:\Archivos de programa\HP\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat
HP Software Update --> MsiExec.exe /X{15EE79F4-4ED1-4267-9B0F-351009325D7D}
HP Solution Center & Imaging Support Tools 5.0 --> C:\Archivos de programa\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
Java(TM) 6 Update 7 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Kaspersky Anti-Virus Personal --> "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\uninstall.exe"
Kaspersky Online Scanner --> C:\WINDOWS\system32\KASPER~1\KASPER~1\kavuninstall.exe
Malwarebytes' Anti-Malware --> "C:\Archivos de programa\Malwarebytes' Anti-Malware\unins002.exe"
Messenger Plus! Live --> "C:\Archivos de programa\Messenger Plus! Live\Uninstall.exe"
Microsoft ActiveSync 4.0 --> MsiExec.exe /I{B208806F-A231-4FA0-AB3F-5C1B8979223E}
Microsoft Data Access Components KB870669 --> C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf
Microsoft Office 2000 Premium --> MsiExec.exe /I{00000C0A-78E1-11D2-B60F-006097C998E7}
Microsoft Office Professional Edition 2003 --> MsiExec.exe /I{90110C0A-6000-11D3-8CFE-0150048383C9}
Mozilla Firefox (2.0.0.11) --> C:\Archivos de programa\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978) --> MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181) --> MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
Nero Suite --> C:\Archivos de programa\Archivos comunes\Ahead\Uninstall\setup.exe /uninstall
NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
OpenOffice.org 2.1 --> MsiExec.exe /I{9331086D-3C8C-4AC7-9557-CAA4C97B2519}
Pdf995 --> C:\Archivos de programa\pdf995\setup.exe uninstall
QuickTime --> MsiExec.exe /I{50D8FFDD-90CD-4859-841F-AA1961C7767A}
RealPlayer --> C:\Archivos de programa\Archivos comunes\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Rhapsody Player Engine --> MsiExec.exe /I{2DFF31F9-7893-4922-AF66-C9A1EB4EBB31}
RTLSetup --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{97AA0C55-AFAD-4126-B21C-F1318FB6DADA}\setup.exe" -l0x9 REMOVE
Sibelius Scorch (ActiveX Only) --> MsiExec.exe /I{C8E4455F-0F70-4DA2-A9F9-2D56C80E10AD}
SmartSound Quicktracks Plugin --> C:\ARCHIV~1\ARCHIV~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}
Software Logitech QuickCam --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{C43048A9-742C-4DAD-90D2-E3B53C9DB825}\setup.exe" -l0xa
Sun Java Runtime Environment and JMF --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{FFA98080-B0C6-11D5-91CB-005004F84FA1}\Setup.exe" -l0xa
Ulead VideoStudio 10 --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{E188D820-1218-4E28-8BCA-91134C3664C2}\Setup.exe" -l0x9
Uninstall 1.0.0.1 --> "C:\Archivos de programa\Archivos comunes\DVDVideoSoft\unins000.exe"
WavePad Uninstall --> C:\Archivos de programa\NCH Swift Sound\WavePad\uninst.exe
Windows Genuine Advantage Validation Tool (KB892130) -->
Windows Live Messenger --> MsiExec.exe /I{1692CC0E-8798-493A-9580-23555E21C14B}
Windows Live OneCare safety scanner --> RunDll32.exe "C:\Archivos de programa\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Xanadu --> C:\WINDOWS\unvise32.exe C:\Archivos de programa\Foreignword\Xanadu\uninstal.log
XviD MPEG-4 Codec --> "C:\Archivos de programa\XviD\UninstXviD.exe"

---------------------------------------------------------------------------------

3.- ComboFix-quarantined-files.txt


1998-09-04 07:09 119400 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\MDM.EXE.vir
2001-08-24 12:00 10428 --a------ C:\Qoobox\Quarantine\C\WINDOWS\Help\verifier.hlp.vir
2001-08-24 12:00 17610 --a------ C:\Qoobox\Quarantine\C\WINDOWS\Help\access.hlp.vir
2001-08-24 12:00 186880 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\Nobicyt.exe.vir
2001-08-24 12:00 6 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\comsa32.sys.vir
2007-04-02 16:28 185 --a------ C:\Qoobox\Quarantine\C\WINDOWS\Downloaded Program Files\SETUP.INF.vir
2008-07-25 16:48 118784 --a------ C:\Qoobox\Quarantine\C\WINDOWS\Help\chscxdyv.fy.vir
2008-07-25 16:48 133632 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\lrj47.sys.vir
2008-07-25 16:48 21504 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\mdfg.odl.vir
2008-07-25 16:48 233 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\atmapi.sys.vir
2008-07-25 16:48 64000 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\sfmrr.r.vir
2008-07-30 14:13 1234 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_lrj47.reg.dat
2008-07-30 14:13 1996 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_perfmons.reg.dat
2008-07-30 14:13 2054 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_Routing.reg.dat
2008-07-30 14:13 2064 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_AFinding.reg.dat
2008-07-30 14:13 2064 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_WServing.reg.dat
2008-07-30 22:44 22 --a------ C:\Qoobox\Quarantine\catchme2008-07-30_141414,09.zip
2008-08-05 12:45 202 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_lrj47.reg.dat
2008-08-05 13:49 162 --a------ C:\Qoobox\Quarantine\catchme.log
2008-08-05 13:49 798 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_ROUTING.reg.dat
2008-08-05 13:49 806 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_AFINDING.reg.dat
2008-08-05 13:49 806 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_PERFMONS.reg.dat
2008-08-05 13:49 806 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_WSERVING.reg.dat
2008-08-05 14:04 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2008-08-05 14:04 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2008-08-05 14:04 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat

----------------------------------------------------------------------------------------

4.- mbam-log-8-5-2008 (13-35-19).txt ( malwarebit log )

Malwarebytes' Anti-Malware 1.23
Versión de la Base de Datos: 992
Windows 5.1.2600 Service Pack 2

13:35:19 2008-08-05
mbam-log-8-5-2008 (13-35-19).txt

Tipo de examen : Examen Rápido
Objetos examinados: 37803
Tiempo transcurrido: 12 minute(s), 37 second(s)

Procesos en Memoria Infectados: 4
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 8
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 5

Procesos en Memoria Infectados:
C:\WINDOWS\system32\AFinding.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\WServing.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\routing.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\perfs.exe (Trojan.Downloader) -> Failed to unload process.

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFinding (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Routing (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WServing (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\afinding (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wserving (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\routing (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\perfmons (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\perfmons (Trojan.Downloader) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\comsa32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AFinding.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WServing.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\routing.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\perfs.exe (Trojan.Downloader) -> Delete on reboot.

NOTE from Josemari: After reboot i didn't find perfs.exe, so i suppose it was deteled on reboot
pepemarix
Regular Member
 
Posts: 17
Joined: July 27th, 2008, 9:28 am
Advertisement
Register to Remove

Re: Problem with virus Trojan.win32.patched.bb

Unread postby Carolyn » August 5th, 2008, 7:41 pm

Hi Josemari,

This is a very stubborn infection we are dealing with. I need to review your logs slowly and meticulously. I have to identify every component of this bugger so that we can take them out all at once, otherwise those bad files that are being deleted by Kaspersky, MBAM, etc., will keep coming back.

Please do not run any tools unless I specifically ask that you do so. Be patient. We will beat this. ;)
User avatar
Carolyn
MRU Emeritus
MRU Emeritus
 
Posts: 4701
Joined: April 18th, 2007, 9:36 am
Location: Maine

Re: Problem with virus Trojan.win32.patched.bb

Unread postby Carolyn » August 5th, 2008, 10:05 pm

Please follow these instructions very carefully. Make sure you allow ComboFix to run to completion!

1. Close any open browsers.

2. Open notepad and copy/paste the text in the quotebox below into it:

Code: Select all
RenV::
----a-w         2,129,920 2006-03-15 10:48:04  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Antonio Pérez sánchez - 2006 .exe
----a-w         1,077,248 2007-12-29 19:27:01  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Jorge A Rosa López - 2006 .exe
----a-w            69,632 2006-03-15 10:33:43  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Manuel Bello - 2006 .exe

File::
C:\WINDOWS\system32\winhdn32.dll
C:\WINDOWS\system32\{7e853d72-626a-48ec-a868-ba8d5e23e045}
C:\WINDOWS\system32\fre.xc
C:\WINDOWS\system32\oiypefhr.tmp
C:\-1072858546
C:\WINDOWS\system32\drivers\4200a86b.sys
C:\d.exe
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\Help\access.hlp
C:\WINDOWS\Help\chscxdyv.fy
C:\WINDOWS\Help\verifier.hlp
C:\WINDOWS\system32\afinding.exe
C:\WINDOWS\system32\comsa32.sys
C:\WINDOWS\system32\drivers\atmapi.sys
C:\WINDOWS\system32\drivers\lrj47.sys
C:\WINDOWS\system32\mdfg.odl
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\Nobicyt.exe
C:\WINDOWS\system32\nvrsul32.dll
C:\WINDOWS\system32\routing.exe
C:\WINDOWS\system32\sfmrr.r
C:\WINDOWS\system32\WServing.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\mshlp.exe
C:\DOCUME~1\JOSEMARI\CONFIG~1\Temp\pfsvgae.sys 

Folder::
C:\Archivos de programa\HbTools
C:\Archivos de programa\SystemDoctor 2006 Free

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HbTools]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemDoctor 2006 Free]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\usdr6cw]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WeatherOnTray]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{139f6f67-9b2c-11db-898d-00c0dff5cee3}]

Driver::
4200a86b
mshlpkd
pfsvgae


Save this as CFScript.txt, in the same location as ComboFix.exe


Image

Refering to the picture above, drag CFScript into ComboFix.exe

When finished, it shall produce a log for you at "C:\ComboFix.txt"

Note:
Do not mouseclick combofix's window whilst it's running. That may cause it to stall



Please post the contents of C:\ComboFix.txt and a fresh HijackThis log.
User avatar
Carolyn
MRU Emeritus
MRU Emeritus
 
Posts: 4701
Joined: April 18th, 2007, 9:36 am
Location: Maine

Re: Problem with virus Trojan.win32.patched.bb

Unread postby pepemarix » August 6th, 2008, 10:44 am

Hello Carolyne:

Here you have the 2 logs that you ask me. I supossed that i have a strange problem. I will be patience but in 3 days I will go away to the north of Spain for holidays during 10-12 days, so , I would love to solve this problem before going away. Otherwise, I will continue with this post just when I come back.

Thank you.
Josemari


----------------------------------------------------------------------
1.- ComboFix.txt ( with the data and instructions that you gave me )

ComboFix 08-08-04.01 - JOSEMARI 2008-08-06 13:34:24.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.238 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\JOSEMARI\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\JOSEMARI\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSHLPKD
-------\Legacy_PFSVGAE
-------\Service_4200a86b
-------\Service_mshlpkd
-------\Service_pfsvgae


(((((((((((((((((( Archivos creados desde 2008-07-06 - 2008-08-06 )))))))))))))))))))))))))))))))))
.

2008-08-06 11:58 . <DIR> C:\WINDOWS\LastGood.Tmp
2008-08-05 14:05 . 2008-08-05 20:16 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuración local
2008-08-05 14:05 . 2008-08-05 20:16 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-08-05 14:05 . 2008-08-05 20:16 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-08-05 14:05 . 2008-08-05 20:16 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Configuración local
2008-08-05 14:05 . 2008-08-05 20:16 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2008-08-04 00:08 . 2008-08-04 00:08 <DIR> d-------- C:\_OTMoveIt
2008-08-03 13:17 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-03 13:15 . 2008-08-03 13:17 <DIR> d-------- C:\Archivos de programa\Java
2008-08-03 13:15 . 2008-08-03 13:15 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Java
2008-08-01 16:39 . 2008-08-01 16:39 <DIR> d-------- C:\Deckard
2008-08-01 12:01 . 2008-08-01 12:03 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-08-01 11:44 . 2008-08-01 11:44 <DIR> d---s---- C:\Documents and Settings\LocalService\UserData
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-07-30 14:46 . 2001-08-17 20:12 19,017 --a------ C:\WINDOWS\system32\drivers\RTL8029.sys
2008-07-29 11:30 . 2008-07-29 12:31 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Any Video Converter
2008-07-29 11:30 . 2008-07-29 11:31 <DIR> d-------- C:\Archivos de programa\Any Video Converter
2008-07-27 16:14 . 2008-07-27 16:14 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-07-25 22:45 . 2008-07-25 22:45 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-07-25 21:55 . 2004-08-19 15:43 25,088 --a------ C:\WINDOWS\system32\winhdn32.dll
2008-07-25 21:22 . 2008-07-25 21:22 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Malwarebytes
2008-07-25 21:22 . 2008-07-25 21:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-07-25 21:22 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-25 21:22 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-25 21:17 . 2008-08-05 14:45 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Reciente
2008-07-25 17:23 . 2007-01-27 14:15 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> dr------- C:\Documents and Settings\Administrador\Men£ Inicio
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-07-25 17:23 . 2007-10-05 22:00 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-07-25 17:23 . 2008-07-25 17:23 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuraci¢n local
2008-07-25 17:23 . 2008-08-05 14:05 <DIR> d-------- C:\Documents and Settings\Administrador
2008-07-25 17:00 . 2004-08-19 15:43 25,088 --a------ C:\WINDOWS\system32\{7e853d72-626a-48ec-a868-ba8d5e23e045}
2008-07-25 16:48 . 2008-07-25 16:48 98,816 --a------ C:\WINDOWS\system32\fre.xc
2008-07-25 16:48 . 2008-07-25 16:48 29 --a------ C:\WINDOWS\system32\oiypefhr.tmp
2008-07-25 16:48 . 2008-07-25 16:48 2 --a------ C:\-1072858546
2008-07-25 16:48 . 2008-07-25 21:05 0 --a------ C:\WINDOWS\system32\drivers\4200a86b.sys
2008-07-24 11:04 . 2008-07-24 11:04 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Media Player Classic
2008-07-24 11:01 . 2008-07-24 11:44 <DIR> d-------- C:\Archivos de programa\AviSynth 2.5
2008-07-24 11:01 . 2008-07-24 11:01 <DIR> d-------- C:\Archivos de programa\AML Products
2008-07-19 18:48 . 2008-07-19 18:48 2,210 --a------ C:\WINDOWS\coolmp3.ini
2008-07-17 21:31 . 2008-07-17 21:31 <DIR> d-------- C:\Archivos de programa\Free PDF to Word Doc Converter
2008-07-08 18:48 . 2008-07-08 18:48 <DIR> d-------- C:\DVDVideoSoft
2008-07-08 14:33 . 2008-07-08 14:33 <DIR> d-------- C:\Archivos de programa\GeoVid
2008-07-08 14:12 . 2008-07-08 14:13 29 --a------ C:\WINDOWS\coolacm.ini
2008-07-08 13:13 . 2008-07-08 15:45 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Ulead Systems
2008-07-08 13:09 . 2008-07-08 13:09 <DIR> d-------- C:\SmartSound Software
2008-07-08 13:08 . 2008-07-08 16:47 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SmartSound Software Inc
2008-07-08 13:08 . 2008-07-08 13:08 <DIR> d-------- C:\Archivos de programa\SmartSound Software
2008-07-08 13:06 . 2008-07-08 13:06 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\InstallShield
2008-07-08 13:06 . 2008-07-08 13:06 <DIR> d-------- C:\Archivos de programa\Windows Media Components
2008-07-08 13:03 . 2008-07-08 13:03 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Ulead Systems
2008-07-08 13:02 . 2008-07-08 13:12 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Ulead Systems
2008-07-08 13:02 . 2008-07-08 13:02 <DIR> d-------- C:\Archivos de programa\Ulead Systems
2008-07-08 11:19 . 2003-10-03 16:28 45,056 --a------ C:\WINDOWS\system32\vusetup.dll
2008-07-08 11:19 . 2003-08-04 17:29 11,392 --a------ C:\WINDOWS\system32\drivers\vulfntr.sys
2008-07-08 11:19 . 2003-08-04 17:29 6,912 --a------ C:\WINDOWS\system32\drivers\vulfnth.sys

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-05 17:11 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-08-03 11:01 --------- d-----w C:\Archivos de programa\Google
2008-08-03 11:00 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-08-03 10:15 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-07-29 09:48 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\pdf995
2008-07-22 21:48 --------- d-----w C:\Archivos de programa\Cool2000
2008-07-21 14:38 --------- d-----w C:\Documents and Settings\JOSEMARI\Datos de programa\Canon
2008-07-08 16:48 --------- d-----w C:\Archivos de programa\DVDVideoSoft
2008-07-08 16:48 --------- d-----w C:\Archivos de programa\Archivos comunes\DVDVideoSoft
2008-07-08 11:02 --------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2008-07-04 14:34 --------- d-----w C:\Archivos de programa\Windows Live Safety Center
2008-06-23 14:51 --------- d-----w C:\Archivos de programa\Archivos comunes\xing shared
2008-06-23 14:50 --------- d-----w C:\Archivos de programa\Archivos comunes\Real
2008-06-11 15:19 --------- d-----w C:\Archivos de programa\CCleaner
2008-06-06 15:18 --------- d-----w C:\Archivos de programa\Enigma Software Group
2008-06-06 14:52 --------- d-----w C:\Archivos de programa\Microsoft AntiSpyware
.
Code: Select all
<pre>
----a-w         2,129,920 2006-03-15 10:48:04  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Antonio Pérez sánchez - 2006 .exe
----a-w         1,077,248 2007-12-29 19:27:01  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Jorge A Rosa López - 2006 .exe
----a-w            69,632 2006-03-15 10:33:43  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Manuel Bello - 2006 .exe
</pre>



((((((((((((((((((((((((((((( snapshot@2008-08-05_14.04.27.15 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-05 11:49:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat
+ 2008-08-06 10:05:31 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat
- 2008-08-05 11:49:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Configuración local\Historial\History.IE5\index.dat
+ 2008-08-06 10:05:31 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Configuración local\Historial\History.IE5\index.dat
- 2008-08-05 11:49:37 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-08-06 10:05:31 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" [2005-06-08 14:44 196608]
"DrvMon.exe"="C:\WINDOWS\System32\DrvMon.exe" [2004-09-10 04:16 53248]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-29 19:09 68856]
"H/PC Connection Agent"="C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 23:18 1211176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"InCD"="C:\Archivos de programa\Ahead\InCD\InCD.exe" [2004-09-13 11:51 1450096]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2005-07-19 17:32 221184]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-02-21 04:01 28675]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-10-25 19:58 282624]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2008-06-23 16:49 185896]
"UVS10 Preload"="C:\Archivos de programa\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-05-17 14:23 36864]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22 86016]
"KAVPersonal50"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [2004-10-07 11:51 127079]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"SoundMan"="SOUNDMAN.EXE" [2002-03-21 04:23 46592 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:42 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xvid"= xvid.dll
"msacm.dvacm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^HP Digital Imaging Monitor.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^InterVideo WinCinema Manager.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 23:12 49152 C:\Archivos de programa\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 15:24 458752 C:\Archivos de programa\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 15:14 217088 C:\Archivos de programa\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Archivos de programa\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Xanadu]
--a------ 2002-08-14 17:26 819200 C:\Archivos de programa\Foreignword\Xanadu\Xanadu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SPYWAREfighterRP"=3 (0x3)
"kavsvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"= C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\CS1.6 pod-Bot\\hl.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\CS1.6 pod-Bot\\hltv.exe"=
"C:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\HelpCtr.exe"=
"C:\\Archivos de programa\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2004-10-07 11:52]
S1 lusbaudio;Micrófono USB de Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 23:05]
S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 23:05]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []
S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-06 13:39:44
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...


**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\ARCHIV~1\MICROS~4\rapimgr.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
.
**************************************************************************
.
Tiempo completado: 2008-08-06 13:51:38 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-06 11:50:14
ComboFix2.txt 2008-08-05 18:16:22
ComboFix3.txt 2008-08-05 12:05:29

Pre-Run: 1,906,872,320 bytes libres
Post-Run: 1,762,390,016 bytes libres

224 --- E O F --- 2008-08-05 22:52:18

--------------------------------------------------------------------

2.- A new HiJackthis.log

Logfile of HijackThis v1.99.1
Scan saved at 16:33:32, on 06/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\DrvMon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\ARCHIV~1\MICROS~4\rapimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\JOSEMARI\Escritorio\Nuevos Programas Bajados\HijackThis\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UVS10 Preload] C:\Archivos de programa\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MIF269~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra button: Xanadu - {5CC384BB-1326-11D5-F4AE-00C04923F885} - C:\Archivos de programa\Foreignword\Xanadu\XanaduLaunch.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MIF269~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/ka ... nicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0935060921
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/softwa ... Plugin.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
pepemarix
Regular Member
 
Posts: 17
Joined: July 27th, 2008, 9:28 am

Re: Problem with virus Trojan.win32.patched.bb

Unread postby Carolyn » August 6th, 2008, 11:37 am

Hello,

I think we are making progress.


Please run this CFScript
1. Close any open browsers.

2. Open notepad and copy/paste the text in the quotebox below into it:

Code: Select all
RenV::
<pre>
----a-w         2,129,920 2006-03-15 10:48:04  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Antonio Pérez sánchez - 2006 .exe
----a-w         1,077,248 2007-12-29 19:27:01  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Jorge A Rosa López - 2006 .exe
----a-w            69,632 2006-03-15 10:33:43  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Manuel Bello - 2006 .exe
</pre>

File::
C:\WINDOWS\system32\{7e853d72-626a-48ec-a868-ba8d5e23e045}
C:\WINDOWS\system32\fre.xc
C:\WINDOWS\system32\oiypefhr.tmp
C:\-1072858546
C:\WINDOWS\system32\drivers\4200a86b.sys


Save this as CFScript.txt, in the same location as ComboFix.exe


Image

Refering to the picture above, drag CFScript into ComboFix.exe

When finished, it shall produce a log for you at "C:\ComboFix.txt"

Note:
Do not mouseclick combofix's window whilst it's running. That may cause it to stall




Next,
Please go to Eset website to perform an online scan. Please use Internet Explorer as it uses ActiveX.

  1. Check (tick) this box: YES, I accept the Terms of Use.
  2. Click on the Start button next to it.
  3. When prompted to run ActiveX. click Yes.
  4. You will be asked to install an ActiveX. Click Install.
  5. Once installed, the scanner will be initialized.
  6. After the scanner is initialized, click Start.
  7. Uncheck (untick) Remove found threats box.
  8. Check (tick) Scan unwanted applications.
  9. Click on Scan.
  10. It will start scanning. Please be patient.
  11. Once the scan is done, you will find a log in C:\Program Files\esetonlinescanner\log.txt. Please post this log in your next reply.


Please post the following:
  1. The contents of ComboFix.txt
  2. The Eset log
  3. A fresh HijackThis log
  4. And a description of how your computer is behaving.
User avatar
Carolyn
MRU Emeritus
MRU Emeritus
 
Posts: 4701
Joined: April 18th, 2007, 9:36 am
Location: Maine

Re: Problem with virus Trojan.win32.patched.bb

Unread postby pepemarix » August 6th, 2008, 4:41 pm

Dear Carolyne:

Thank you again for your time:

Here you have the new combofix and hijackthis logs and the log from the Eset online

I was quite happy because Esetonline didn't find any virus after 1h of conection to internet any virus appeared but finally kaspersky detected 3 trojans:

- Trojan.win32.agent.zan in
C:\Archivos de programa\Archivos comunes\Real\GToolbar\GoogletoolbarInstaller.exe

- Trojan-downloader.win32.delf.llt in
C:\QooBox\Quarantine\C\WINDOWS\system32\novicyt.exe.vir

- Trojan-win32.DNSchanger.gtg in
c:\Windows\System32\atsxyzd.sys

I am really tired about this problem. I have been years and years with this PC without any virus or maybe one every many months that kaspersky deleted and now every day kaspersky detected differents trojans. Sometime are different another times are the sames that appear again, my god....do you think that will we really get it?

Thank you
Josemari

-------------------------------------------------------------------------------------

1.- New Combofix.txt

ComboFix 08-08-04.01 - JOSEMARI 2008-08-06 19:31:11.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.233 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\JOSEMARI\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\JOSEMARI\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración
.

(((((((((((((((((( Archivos creados desde 2008-07-06 - 2008-08-06 )))))))))))))))))))))))))))))))))
.

2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuraci¾n local
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuraci¾n local
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\Documents and Settings\LocalService\Configuraci¾n local
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Configuraci¾n local
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\Documents and Settings\Administrador\Configuraci¾n local
2008-08-04 00:08 . 2008-08-04 00:08 <DIR> d-------- C:\_OTMoveIt
2008-08-03 13:17 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-03 13:15 . 2008-08-03 13:17 <DIR> d-------- C:\Archivos de programa\Java
2008-08-03 13:15 . 2008-08-03 13:15 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Java
2008-08-01 16:39 . 2008-08-01 16:39 <DIR> d-------- C:\Deckard
2008-08-01 12:01 . 2008-08-01 12:03 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-08-01 11:44 . 2008-08-01 11:44 <DIR> d---s---- C:\Documents and Settings\LocalService\UserData
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-07-30 14:46 . 2001-08-17 20:12 19,017 --a------ C:\WINDOWS\system32\drivers\RTL8029.sys
2008-07-29 11:30 . 2008-07-29 12:31 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Any Video Converter
2008-07-29 11:30 . 2008-07-29 11:31 <DIR> d-------- C:\Archivos de programa\Any Video Converter
2008-07-27 16:14 . 2008-07-27 16:14 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-07-25 22:45 . 2008-07-25 22:45 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-07-25 21:55 . 2004-08-19 15:43 25,088 --a------ C:\WINDOWS\system32\winhdn32.dll
2008-07-25 21:22 . 2008-07-25 21:22 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Malwarebytes
2008-07-25 21:22 . 2008-07-25 21:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-07-25 21:22 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-25 21:22 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-25 21:17 . 2008-08-05 14:45 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Reciente
2008-07-25 17:23 . 2007-01-27 14:15 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> dr------- C:\Documents and Settings\Administrador\Menú Inicio
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-07-25 17:23 . 2007-10-05 22:00 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-07-25 17:23 . 2008-08-06 19:33 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuración local
2008-07-25 17:23 . 2008-08-05 14:05 <DIR> d-------- C:\Documents and Settings\Administrador
2008-07-25 17:00 . 2004-08-19 15:43 25,088 --a------ C:\WINDOWS\system32\{7e853d72-626a-48ec-a868-ba8d5e23e045}
2008-07-25 16:48 . 2008-07-25 16:48 98,816 --a------ C:\WINDOWS\system32\fre.xc
2008-07-25 16:48 . 2008-07-25 16:48 29 --a------ C:\WINDOWS\system32\oiypefhr.tmp
2008-07-25 16:48 . 2008-07-25 16:48 2 --a------ C:\-1072858546
2008-07-25 16:48 . 2008-07-25 21:05 0 --a------ C:\WINDOWS\system32\drivers\4200a86b.sys
2008-07-24 11:04 . 2008-07-24 11:04 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Media Player Classic
2008-07-24 11:01 . 2008-07-24 11:44 <DIR> d-------- C:\Archivos de programa\AviSynth 2.5
2008-07-24 11:01 . 2008-07-24 11:01 <DIR> d-------- C:\Archivos de programa\AML Products
2008-07-19 18:48 . 2008-07-19 18:48 2,210 --a------ C:\WINDOWS\coolmp3.ini
2008-07-17 21:31 . 2008-07-17 21:31 <DIR> d-------- C:\Archivos de programa\Free PDF to Word Doc Converter
2008-07-08 18:48 . 2008-07-08 18:48 <DIR> d-------- C:\DVDVideoSoft
2008-07-08 14:33 . 2008-07-08 14:33 <DIR> d-------- C:\Archivos de programa\GeoVid
2008-07-08 14:12 . 2008-07-08 14:13 29 --a------ C:\WINDOWS\coolacm.ini
2008-07-08 13:13 . 2008-07-08 15:45 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Ulead Systems
2008-07-08 13:09 . 2008-07-08 13:09 <DIR> d-------- C:\SmartSound Software
2008-07-08 13:08 . 2008-07-08 16:47 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SmartSound Software Inc
2008-07-08 13:08 . 2008-07-08 13:08 <DIR> d-------- C:\Archivos de programa\SmartSound Software
2008-07-08 13:06 . 2008-07-08 13:06 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\InstallShield
2008-07-08 13:06 . 2008-07-08 13:06 <DIR> d-------- C:\Archivos de programa\Windows Media Components
2008-07-08 13:03 . 2008-07-08 13:03 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Ulead Systems
2008-07-08 13:02 . 2008-07-08 13:12 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Ulead Systems
2008-07-08 13:02 . 2008-07-08 13:02 <DIR> d-------- C:\Archivos de programa\Ulead Systems
2008-07-08 11:19 . 2003-10-03 16:28 45,056 --a------ C:\WINDOWS\system32\vusetup.dll
2008-07-08 11:19 . 2003-08-04 17:29 11,392 --a------ C:\WINDOWS\system32\drivers\vulfntr.sys
2008-07-08 11:19 . 2003-08-04 17:29 6,912 --a------ C:\WINDOWS\system32\drivers\vulfnth.sys

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-05 17:11 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-08-03 11:01 --------- d-----w C:\Archivos de programa\Google
2008-08-03 11:00 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-08-03 10:15 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-07-29 09:48 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\pdf995
2008-07-22 21:48 --------- d-----w C:\Archivos de programa\Cool2000
2008-07-21 14:38 --------- d-----w C:\Documents and Settings\JOSEMARI\Datos de programa\Canon
2008-07-08 16:48 --------- d-----w C:\Archivos de programa\DVDVideoSoft
2008-07-08 16:48 --------- d-----w C:\Archivos de programa\Archivos comunes\DVDVideoSoft
2008-07-08 11:02 --------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2008-07-04 14:34 --------- d-----w C:\Archivos de programa\Windows Live Safety Center
2008-06-23 14:51 --------- d-----w C:\Archivos de programa\Archivos comunes\xing shared
2008-06-23 14:50 --------- d-----w C:\Archivos de programa\Archivos comunes\Real
2008-06-11 15:19 --------- d-----w C:\Archivos de programa\CCleaner
2008-06-06 15:18 --------- d-----w C:\Archivos de programa\Enigma Software Group
2008-06-06 14:52 --------- d-----w C:\Archivos de programa\Microsoft AntiSpyware
.
Code: Select all
<pre>
----a-w         2,129,920 2006-03-15 10:48:04  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Antonio Pérez sánchez - 2006 .exe
----a-w         1,077,248 2007-12-29 19:27:01  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Jorge A Rosa López - 2006 .exe
----a-w            69,632 2006-03-15 10:33:43  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Manuel Bello - 2006 .exe
</pre>



((((((((((((((((((((((((((((( snapshot@2008-08-05_14.04.27.15 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-05 11:49:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Configuración local\Historial\History.IE5\index.dat
+ 2008-08-06 12:02:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Configuración local\Historial\History.IE5\index.dat
- 2008-08-05 11:49:37 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-08-06 12:02:00 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" [2005-06-08 14:44 196608]
"DrvMon.exe"="C:\WINDOWS\System32\DrvMon.exe" [2004-09-10 04:16 53248]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-29 19:09 68856]
"H/PC Connection Agent"="C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 23:18 1211176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"InCD"="C:\Archivos de programa\Ahead\InCD\InCD.exe" [2004-09-13 11:51 1450096]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2005-07-19 17:32 221184]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-02-21 04:01 28675]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-10-25 19:58 282624]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2008-06-23 16:49 185896]
"UVS10 Preload"="C:\Archivos de programa\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-05-17 14:23 36864]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22 86016]
"KAVPersonal50"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [2004-10-07 11:51 127079]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"SoundMan"="SOUNDMAN.EXE" [2002-03-21 04:23 46592 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:42 15360]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Gamma Loader.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-15 21:24:15 110592]
Google Updater.lnk - C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe [2007-08-29 19:08:57 125624]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xvid"= xvid.dll
"msacm.dvacm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^HP Digital Imaging Monitor.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^InterVideo WinCinema Manager.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 23:12 49152 C:\Archivos de programa\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 15:24 458752 C:\Archivos de programa\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 15:14 217088 C:\Archivos de programa\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Archivos de programa\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Xanadu]
--a------ 2002-08-14 17:26 819200 C:\Archivos de programa\Foreignword\Xanadu\Xanadu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SPYWAREfighterRP"=3 (0x3)
"kavsvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"= C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\CS1.6 pod-Bot\\hl.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\CS1.6 pod-Bot\\hltv.exe"=
"C:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\HelpCtr.exe"=
"C:\\Archivos de programa\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2004-10-07 11:52]
S1 lusbaudio;Micrófono USB de Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 23:05]
S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 23:05]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []
S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-06 19:33:51
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
Tiempo completado: 2008-08-06 19:36:38
ComboFix-quarantined-files.txt 2008-08-06 17:35:55
ComboFix2.txt 2008-08-06 11:51:43
ComboFix3.txt 2008-08-05 18:16:22
ComboFix4.txt 2008-08-05 12:05:29

Pre-Run: 1,342,152,704 bytes libres
Post-Run: 1,336,254,464 bytes libres

205 --- E O F --- 2008-08-05 22:52:18

---------------------------------------------------------------------------------------

2.- New HiJackThis.log

Logfile of HijackThis v1.99.1
Scan saved at 22:25:06, on 06/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\DrvMon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\ARCHIV~1\MICROS~4\rapimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE
C:\Documents and Settings\JOSEMARI\Escritorio\Nuevos Programas Bajados\HijackThis\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UVS10 Preload] C:\Archivos de programa\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MIF269~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra button: Xanadu - {5CC384BB-1326-11D5-F4AE-00C04923F885} - C:\Archivos de programa\Foreignword\Xanadu\XanaduLaunch.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MIF269~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/ka ... nicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0935060921
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/softwa ... Plugin.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe



---------------------------------------------------------------------------------------

3.- EsetOnline.txt

# version=4
# OnlineScanner.ocx=1.0.0.635
# OnlineScannerDLLA.dll=1, 0, 0, 79
# OnlineScannerDLLW.dll=1, 0, 0, 78
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3333 (20080806)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=cebdfedc04758346aa4fad3071c4c3e3
# end=finished
# remove_checked=false
# unwanted_checked=true
# utc_time=2008-08-06 08:21:24
# local_time=2008-08-06 10:21:24 (+0100, Hora estándar romance)
# country="Spain"
# osver=5.1.2600 NT Service Pack 2
# scanned=380552
# found=0
# scan_time=9015
pepemarix
Regular Member
 
Posts: 17
Joined: July 27th, 2008, 9:28 am

Re: Problem with virus Trojan.win32.patched.bb

Unread postby Carolyn » August 6th, 2008, 5:32 pm

Hello,

Don't lose heart. We will beat this.

- Trojan.win32.agent.zan in
C:\Archivos de programa\Archivos comunes\Real\GToolbar\GoogletoolbarInstaller.exe << I think this one may be a false positive. The path/filename is legit. Is it still on your computer or did Kaspersky delete it?

- Trojan-downloader.win32.delf.llt in
C:\QooBox\Quarantine\C\WINDOWS\system32\novicyt.exe.vir << This one is in the ComboFix Quarantine folder, so don't worry about it.


Let me know if that first one is still on your computer. Relax... we are very close. I'm reviewing your logs.
User avatar
Carolyn
MRU Emeritus
MRU Emeritus
 
Posts: 4701
Joined: April 18th, 2007, 9:36 am
Location: Maine

Re: Problem with virus Trojan.win32.patched.bb

Unread postby Carolyn » August 6th, 2008, 5:59 pm

Please run this CFScript
1. Close any open browsers.

2. Open notepad and copy/paste the text in the quotebox below into it:

Code: Select all
RenV::
C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Antonio Pérez sánchez - 2006 .exe
C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Jorge A Rosa López - 2006 .exe
C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Manuel Bello - 2006 .exe

File::
C:\WINDOWS\system32\winhdn32.dll
C:\WINDOWS\system32\{7e853d72-626a-48ec-a868-ba8d5e23e045}
C:\WINDOWS\system32\fre.xc
C:\WINDOWS\system32\oiypefhr.tmp
C:\-1072858546
C:\WINDOWS\system32\drivers\4200a86b.sys


Save this as CFScript.txt, in the same location as ComboFix.exe


Image

Refering to the picture above, drag CFScript into ComboFix.exe

When finished, it shall produce a log for you at "C:\ComboFix.txt"

Note:
Do not mouseclick combofix's window whilst it's running. That may cause it to stall




Next,
Please go to Kaspersky website and perform an online antivirus scan.

  1. Read through the requirements and privacy statement and click on Accept button.
  2. It will start downloading and installing the scanner and virus definitions. You will be prompted to install an application from Kaspersky. Click Run.
  3. When the downloads have finished, click on Settings.
  4. Make sure these boxes are checked (ticked). If they are not, please tick them and click on the Save button:
      Spyware, Adware, Dialers, and other potentially dangerous programs
      Archives
      Mail databases
  5. Click on My Computer under Scan.
  6. Once the scan is complete, it will display the results. Click on View Scan Report.
  7. You will see a list of infected items there. Click on Save Report As....
  8. Save this report to a convenient place. Change the Files of type to Text file (.txt) before clicking on the Save button.
  9. Please post this log in your next reply.


One more step:
Rename HijackThis.exe to redbird.exe by doing the following;

  • Navigate here using Windows Explorer (windows button + E) or My Computer -> Local Disk C: ->
    C:\Documents and Settings\JOSEMARI\Escritorio\Nuevos Programas Bajados\HijackThis\HijackThis_1.99.1.exe
  • Right-click on the HijackThis_1.99.1.exe
  • Choose from the pull-down menu; "Rename"
  • And now Rename HijackThis_1.99.1.exe to redbird.exe
  • When you've renamed HijackThis, open HijackThis again.
  • Take a fresh HijackThis log (click Do a system scan and save a log file)
  • Post the fresh HijackThis log here.


Please post the following:
  1. The contents of ComboFix.txt
  2. The Kaspersky online scan log
  3. A fresh HijackThis log
  4. And a description of how your computer is behaving.
User avatar
Carolyn
MRU Emeritus
MRU Emeritus
 
Posts: 4701
Joined: April 18th, 2007, 9:36 am
Location: Maine

Re: Problem with virus Trojan.win32.patched.bb

Unread postby pepemarix » August 7th, 2008, 9:49 am

Hello Carolyne:

the file GoogletoolbarInstaller.exe was deteled by kaspersky and now it is not in my PC

Here you have the last 3 log files that you asked me.

kaspersky ONLINE found 1 virus:

C:\System Volume Information\_restore{18B14BB6-1F29-487E-A83C-8BDBD0D071DF}\RP40\A0115565.sys Infectados: Trojan.Win32.DNSChanger.gtg saltado

what must i do with this file?

But, at least, it was the first time, in the last weeks, that after 2 hours of conection my Kaspersky antivirus didn't detected any old or new virus.

So, thank you again because it seems get better.

Tomorrow I go away for holidays for 10-12 days so tonight (spanish hour) I will check again this post and i will be able to do my last task until my return. When i come back i will continue with this post if the problem is not solved yet.

A lot of kisses for you
Josemari

-----------------------------------------------------------------------------------


1.- Combofix.txt

ComboFix 08-08-04.01 - JOSEMARI 2008-08-07 13:30:18.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.263 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\JOSEMARI\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\JOSEMARI\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración
.

(((((((((((((((((( Archivos creados desde 2008-07-07 - 2008-08-07 )))))))))))))))))))))))))))))))))
.

2008-08-06 19:42 . 2008-08-06 19:49 <DIR> d-------- C:\Archivos de programa\EsetOnlineScanner
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuraci¾n local
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuraci¾n local
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\Documents and Settings\LocalService\Configuraci¾n local
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Configuraci¾n local
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\Documents and Settings\Administrador\Configuraci¾n local
2008-08-04 00:08 . 2008-08-04 00:08 <DIR> d-------- C:\_OTMoveIt
2008-08-03 13:17 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-03 13:15 . 2008-08-03 13:17 <DIR> d-------- C:\Archivos de programa\Java
2008-08-03 13:15 . 2008-08-03 13:15 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Java
2008-08-01 16:39 . 2008-08-01 16:39 <DIR> d-------- C:\Deckard
2008-08-01 12:01 . 2008-08-01 12:03 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-08-01 11:44 . 2008-08-01 11:44 <DIR> d---s---- C:\Documents and Settings\LocalService\UserData
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-07-30 14:46 . 2001-08-17 20:12 19,017 --a------ C:\WINDOWS\system32\drivers\RTL8029.sys
2008-07-29 11:30 . 2008-07-29 12:31 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Any Video Converter
2008-07-29 11:30 . 2008-07-29 11:31 <DIR> d-------- C:\Archivos de programa\Any Video Converter
2008-07-27 16:14 . 2008-07-27 16:14 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-07-25 22:45 . 2008-07-25 22:45 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-07-25 21:55 . 2004-08-19 15:43 25,088 --a------ C:\WINDOWS\system32\winhdn32.dll
2008-07-25 21:22 . 2008-07-25 21:22 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Malwarebytes
2008-07-25 21:22 . 2008-07-25 21:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-07-25 21:22 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-25 21:22 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-25 21:17 . 2008-08-05 14:45 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Reciente
2008-07-25 17:23 . 2007-01-27 14:15 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> dr------- C:\Documents and Settings\Administrador\Menú Inicio
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-07-25 17:23 . 2007-10-05 22:00 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-07-25 17:23 . 2008-08-07 13:32 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuración local
2008-07-25 17:23 . 2008-08-05 14:05 <DIR> d-------- C:\Documents and Settings\Administrador
2008-07-25 17:00 . 2004-08-19 15:43 25,088 --a------ C:\WINDOWS\system32\{7e853d72-626a-48ec-a868-ba8d5e23e045}
2008-07-25 16:48 . 2008-07-25 16:48 98,816 --a------ C:\WINDOWS\system32\fre.xc
2008-07-25 16:48 . 2008-07-25 16:48 29 --a------ C:\WINDOWS\system32\oiypefhr.tmp
2008-07-25 16:48 . 2008-07-25 16:48 2 --a------ C:\-1072858546
2008-07-25 16:48 . 2008-07-25 21:05 0 --a------ C:\WINDOWS\system32\drivers\4200a86b.sys
2008-07-24 11:04 . 2008-07-24 11:04 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Media Player Classic
2008-07-24 11:01 . 2008-07-24 11:44 <DIR> d-------- C:\Archivos de programa\AviSynth 2.5
2008-07-24 11:01 . 2008-07-24 11:01 <DIR> d-------- C:\Archivos de programa\AML Products
2008-07-19 18:48 . 2008-07-19 18:48 2,210 --a------ C:\WINDOWS\coolmp3.ini
2008-07-17 21:31 . 2008-07-17 21:31 <DIR> d-------- C:\Archivos de programa\Free PDF to Word Doc Converter
2008-07-08 18:48 . 2008-07-08 18:48 <DIR> d-------- C:\DVDVideoSoft
2008-07-08 14:33 . 2008-07-08 14:33 <DIR> d-------- C:\Archivos de programa\GeoVid
2008-07-08 14:12 . 2008-07-08 14:13 29 --a------ C:\WINDOWS\coolacm.ini
2008-07-08 13:13 . 2008-07-08 15:45 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Ulead Systems
2008-07-08 13:09 . 2008-07-08 13:09 <DIR> d-------- C:\SmartSound Software
2008-07-08 13:08 . 2008-07-08 16:47 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SmartSound Software Inc
2008-07-08 13:08 . 2008-07-08 13:08 <DIR> d-------- C:\Archivos de programa\SmartSound Software
2008-07-08 13:06 . 2008-07-08 13:06 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\InstallShield
2008-07-08 13:06 . 2008-07-08 13:06 <DIR> d-------- C:\Archivos de programa\Windows Media Components
2008-07-08 13:03 . 2008-07-08 13:03 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Ulead Systems
2008-07-08 13:02 . 2008-07-08 13:12 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Ulead Systems
2008-07-08 13:02 . 2008-07-08 13:02 <DIR> d-------- C:\Archivos de programa\Ulead Systems
2008-07-08 11:19 . 2003-10-03 16:28 45,056 --a------ C:\WINDOWS\system32\vusetup.dll
2008-07-08 11:19 . 2003-08-04 17:29 11,392 --a------ C:\WINDOWS\system32\drivers\vulfntr.sys
2008-07-08 11:19 . 2003-08-04 17:29 6,912 --a------ C:\WINDOWS\system32\drivers\vulfnth.sys

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-06 18:11 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-08-03 11:01 --------- d-----w C:\Archivos de programa\Google
2008-08-03 11:00 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-08-03 10:15 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-07-29 09:48 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\pdf995
2008-07-22 21:48 --------- d-----w C:\Archivos de programa\Cool2000
2008-07-21 14:38 --------- d-----w C:\Documents and Settings\JOSEMARI\Datos de programa\Canon
2008-07-08 16:48 --------- d-----w C:\Archivos de programa\DVDVideoSoft
2008-07-08 16:48 --------- d-----w C:\Archivos de programa\Archivos comunes\DVDVideoSoft
2008-07-08 11:02 --------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2008-07-04 14:34 --------- d-----w C:\Archivos de programa\Windows Live Safety Center
2008-06-23 14:51 --------- d-----w C:\Archivos de programa\Archivos comunes\xing shared
2008-06-23 14:50 --------- d-----w C:\Archivos de programa\Archivos comunes\Real
2008-06-11 15:19 --------- d-----w C:\Archivos de programa\CCleaner
.
Code: Select all
<pre>
----a-w         2,129,920 2006-03-15 10:48:04  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Antonio Pérez sánchez - 2006 .exe
----a-w         1,077,248 2007-12-29 19:27:01  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Jorge A Rosa López - 2006 .exe
----a-w            69,632 2006-03-15 10:33:43  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Manuel Bello - 2006 .exe
</pre>



((((((((((((((((((((((((((((( snapshot@2008-08-05_14.04.27.15 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-05 11:49:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Configuración local\Historial\History.IE5\index.dat
+ 2008-08-06 12:02:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Configuración local\Historial\History.IE5\index.dat
- 2008-08-05 11:49:37 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-08-06 12:02:00 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-07-27 12:49:02 196,683 ----a-w C:\WINDOWS\system32\lnod32apiA.dll
+ 2007-07-27 12:49:02 225,355 ----a-w C:\WINDOWS\system32\lnod32apiW.dll
+ 2005-12-05 17:25:22 139,264 ----a-w C:\WINDOWS\system32\lnod32umc.dll
+ 2005-12-05 10:37:10 106,496 ----a-w C:\WINDOWS\system32\lnod32upd.dll
+ 2008-02-11 07:39:26 253,952 ----a-w C:\WINDOWS\system32\OnlineScannerDLLA.dll
+ 2008-02-11 07:39:18 237,568 ----a-w C:\WINDOWS\system32\OnlineScannerDLLW.dll
+ 2008-02-08 11:53:46 110,592 ----a-w C:\WINDOWS\system32\OnlineScannerLang.dll
+ 2008-02-05 06:48:04 77,824 ----a-w C:\WINDOWS\system32\OnlineScannerUninstaller.exe
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" [2005-06-08 14:44 196608]
"DrvMon.exe"="C:\WINDOWS\System32\DrvMon.exe" [2004-09-10 04:16 53248]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-29 19:09 68856]
"H/PC Connection Agent"="C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 23:18 1211176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"InCD"="C:\Archivos de programa\Ahead\InCD\InCD.exe" [2004-09-13 11:51 1450096]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2005-07-19 17:32 221184]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-02-21 04:01 28675]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-10-25 19:58 282624]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2008-06-23 16:49 185896]
"UVS10 Preload"="C:\Archivos de programa\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-05-17 14:23 36864]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22 86016]
"KAVPersonal50"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [2004-10-07 11:51 127079]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"SoundMan"="SOUNDMAN.EXE" [2002-03-21 04:23 46592 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:42 15360]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Gamma Loader.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-15 21:24:15 110592]
Google Updater.lnk - C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe [2007-08-29 19:08:57 125624]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xvid"= xvid.dll
"msacm.dvacm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^HP Digital Imaging Monitor.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^InterVideo WinCinema Manager.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 23:12 49152 C:\Archivos de programa\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 15:24 458752 C:\Archivos de programa\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 15:14 217088 C:\Archivos de programa\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Archivos de programa\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Xanadu]
--a------ 2002-08-14 17:26 819200 C:\Archivos de programa\Foreignword\Xanadu\Xanadu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SPYWAREfighterRP"=3 (0x3)
"kavsvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"= C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\CS1.6 pod-Bot\\hl.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\CS1.6 pod-Bot\\hltv.exe"=
"C:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\HelpCtr.exe"=
"C:\\Archivos de programa\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2004-10-07 11:52]
S1 lusbaudio;Micrófono USB de Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 23:05]
S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 23:05]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []
S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-07 13:33:06
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
Tiempo completado: 2008-08-07 13:35:50
ComboFix-quarantined-files.txt 2008-08-07 11:35:34
ComboFix2.txt 2008-08-06 17:36:39
ComboFix3.txt 2008-08-06 11:51:43
ComboFix4.txt 2008-08-05 18:16:22
ComboFix5.txt 2008-08-07 11:29:34

Pre-Run: 534,429,696 bytes libres
Post-Run: 524,816,384 bytes libres

214 --- E O F --- 2008-08-06 20:44:17


--------------------------------------------------------------------------------------

2.- Kaspersky online

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
jueves, 07 de agosto de 2008 15:29:49
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 7/08/2008
Registros en la base antivirus: 1066322
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\

Estadísticas:
Número de objeros analizados: 98327
Virus encontrados: 1
Objetos infectados: 1 / 0
Objetos sospechosos: 0
Duración del análisis: 01:46:02

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0000 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0001 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0100 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0101 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0200 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0201 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0300 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0301 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.reph Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.repi Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.rept Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.i0000 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.i0001 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.i0100 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.i0101 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.i0200 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.i0201 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.reph Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.repi Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.rept Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\JOSEMARI\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\JOSEMARI\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\JOSEMARI\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\JOSEMARI\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\JOSEMARI\Configuración local\Historial\History.IE5\MSHist012008080720080808\index.dat Object is locked saltado
C:\Documents and Settings\JOSEMARI\Configuración local\temp\WCESLog.log Object is locked saltado
C:\Documents and Settings\JOSEMARI\Configuración local\temp\~DF6352.tmp Object is locked saltado
C:\Documents and Settings\JOSEMARI\Configuración local\temp\~DF6A5D.tmp Object is locked saltado
C:\Documents and Settings\JOSEMARI\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\JOSEMARI\Datos de programa\$_hpcst$.hpc Object is locked saltado
C:\Documents and Settings\JOSEMARI\Datos de programa\Microsoft\Plantillas\Normal.dot Object is locked saltado
C:\Documents and Settings\JOSEMARI\Escritorio\Next.doc Object is locked saltado
C:\Documents and Settings\JOSEMARI\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\JOSEMARI\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{18B14BB6-1F29-487E-A83C-8BDBD0D071DF}\RP40\A0115565.sys Infectados: Trojan.Win32.DNSChanger.gtg saltado
C:\System Volume Information\_restore{18B14BB6-1F29-487E-A83C-8BDBD0D071DF}\RP42\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
D:\System Volume Information\_restore{18B14BB6-1F29-487E-A83C-8BDBD0D071DF}\RP42\change.log Object is locked saltado

Análisis completado.


---------------------------------------------------------------------------------------


3.- Hikackthis (redbird )

Logfile of HijackThis v1.99.1
Scan saved at 15:36:33, on 07/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\DrvMon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\ARCHIV~1\MICROS~4\rapimgr.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\JOSEMARI\Escritorio\Nuevos Programas Bajados\HijackThis\redbird.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UVS10 Preload] C:\Archivos de programa\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MIF269~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra button: Xanadu - {5CC384BB-1326-11D5-F4AE-00C04923F885} - C:\Archivos de programa\Foreignword\Xanadu\XanaduLaunch.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MIF269~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/ka ... nicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0935060921
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/softwa ... Plugin.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
pepemarix
Regular Member
 
Posts: 17
Joined: July 27th, 2008, 9:28 am

Re: Problem with virus Trojan.win32.patched.bb

Unread postby Carolyn » August 7th, 2008, 1:02 pm

Hello,

There is a new version of ComboFix available. Please delete the version that you have on your computer.
Note: I want you to simply delete ComboFix.exe - do not use the uninstall switch

Download ComboFix
  • Download this file from one of the three below listed places :
    For information regarding this download, please visit this webpage:
    http://www.bleepingcomputer.com/combofix/how-to-use-combofix

    Link1
    Link2
    Link3

    **Note: It is important that it is saved directly to your desktop**

  • Very Important! Temporarily disable your anti-virus, script blocking and any anti-malware real-time protection before performing a scan. They can interfere with ComboFix or remove some of its embedded files which may cause "unpredictable results".


    Custom CFScript
    1. Close any open browsers.

    2. Open notepad and copy/paste the text in the quotebox below into it:

    Code: Select all
    KILLALL::
    
    File::
    C:\WINDOWS\system32\winhdn32.dll
    C:\WINDOWS\system32\{7e853d72-626a-48ec-a868-ba8d5e23e045}
    C:\WINDOWS\system32\fre.xc
    C:\WINDOWS\system32\oiypefhr.tmp
    C:\-1072858546
    C:\WINDOWS\system32\drivers\4200a86b.sys
    
    Driver::
    SetupNTGLM7X
    


    Save this as CFScript.txt, in the same location as ComboFix.exe


    Image

    Refering to the picture above, drag CFScript into ComboFix.exe

    When finished, it shall produce a log for you at "C:\ComboFix.txt"

    Note:
    Do not mouseclick combofix's window whilst it's running. That may cause it to stall




    Upload file for scanning
    I'd like you to check a file for malware.
    C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Manuel Bello - 2006 .exe

    • Copy/Paste the path/file in the quote box into the white Upload a file box.
    • Click Send/Submit, and the file will upload to VirusTotal/Jotti, where it will be scanned by several anti-virus programmes.
    • After a while, a window will open, with details of what the scans found.
    • Save the complete results in a Notepad/Word document on your desktop.
    • Copy/Paste those results in your next reply.

    Please post the following:
      The ComboFix log
    • The VirusTotal results
    • A fresh HijackThis log
User avatar
Carolyn
MRU Emeritus
MRU Emeritus
 
Posts: 4701
Joined: April 18th, 2007, 9:36 am
Location: Maine

Re: Problem with virus Trojan.win32.patched.bb

Unread postby pepemarix » August 7th, 2008, 6:20 pm

Dear Carolyne:

Here you have the 3 log that you asked me:

I'll see you in 12 days after my holidays, I hope that the post will not be close for no answer.

Thank you
Josemari

--------------------------------------------------------------------------------------

1.- ComboFix ( new version )

ComboFix 08-08-07.01 - JOSEMARI 2008-08-07 23:51:34.8 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.268 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\JOSEMARI\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\JOSEMARI\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

FILE ::
C:\-1072858546
C:\WINDOWS\system32\{7e853d72-626a-48ec-a868-ba8d5e23e045}
C:\WINDOWS\system32\drivers\4200a86b.sys
C:\WINDOWS\system32\fre.xc
C:\WINDOWS\system32\oiypefhr.tmp
C:\WINDOWS\system32\winhdn32.dll
.
/wow section - STAGE 45
pv: No matching processes found
El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.
El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.
El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.

/wow section - STAGE 46
El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.
El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.
El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.


(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\-1072858546
C:\WINDOWS\system32\{7e853d72-626a-48ec-a868-ba8d5e23e045}
C:\WINDOWS\system32\drivers\4200a86b.sys
C:\WINDOWS\system32\fre.xc
C:\WINDOWS\system32\oiypefhr.tmp
C:\WINDOWS\system32\winhdn32.dll

.
(((((((((((((((((( Archivos creados desde 2008-07-07 - 2008-08-07 )))))))))))))))))))))))))))))))))
.

2008-08-07 23:41 . <DIR> C:\WINDOWS\LastGood.Tmp
2008-08-06 19:42 . 2008-08-06 19:49 <DIR> d-------- C:\Archivos de programa\EsetOnlineScanner
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuración local
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Configuración local
2008-08-05 14:05 . 2008-08-06 13:51 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2008-08-04 00:08 . 2008-08-04 00:08 <DIR> d-------- C:\_OTMoveIt
2008-08-03 13:17 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-03 13:15 . 2008-08-03 13:17 <DIR> d-------- C:\Archivos de programa\Java
2008-08-03 13:15 . 2008-08-03 13:15 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Java
2008-08-01 16:39 . 2008-08-01 16:39 <DIR> d-------- C:\Deckard
2008-08-01 12:01 . 2008-08-01 12:03 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-08-01 11:44 . 2008-08-01 11:44 <DIR> d---s---- C:\Documents and Settings\LocalService\UserData
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-07-30 14:46 . 2001-08-17 20:12 19,017 --a------ C:\WINDOWS\system32\drivers\RTL8029.sys
2008-07-29 11:30 . 2008-07-29 12:31 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Any Video Converter
2008-07-29 11:30 . 2008-07-29 11:31 <DIR> d-------- C:\Archivos de programa\Any Video Converter
2008-07-27 16:14 . 2008-07-27 16:14 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-07-25 22:45 . 2008-07-25 22:45 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-07-25 21:22 . 2008-07-25 21:22 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Malwarebytes
2008-07-25 21:22 . 2008-07-25 21:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-07-25 21:22 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-25 21:22 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-25 21:17 . 2008-08-05 14:45 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Reciente
2008-07-25 17:23 . 2007-01-27 14:15 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> dr------- C:\Documents and Settings\Administrador\Men£ Inicio
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-07-25 17:23 . 2007-10-05 22:00 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-07-25 17:23 . 2008-08-07 13:35 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuraci¢n local
2008-07-25 17:23 . 2008-08-05 14:05 <DIR> d-------- C:\Documents and Settings\Administrador
2008-07-24 11:04 . 2008-07-24 11:04 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Media Player Classic
2008-07-24 11:01 . 2008-07-24 11:44 <DIR> d-------- C:\Archivos de programa\AviSynth 2.5
2008-07-24 11:01 . 2008-07-24 11:01 <DIR> d-------- C:\Archivos de programa\AML Products
2008-07-19 18:48 . 2008-07-19 18:48 2,210 --a------ C:\WINDOWS\coolmp3.ini
2008-07-17 21:31 . 2008-07-17 21:31 <DIR> d-------- C:\Archivos de programa\Free PDF to Word Doc Converter
2008-07-08 18:48 . 2008-07-08 18:48 <DIR> d-------- C:\DVDVideoSoft
2008-07-08 14:33 . 2008-07-08 14:33 <DIR> d-------- C:\Archivos de programa\GeoVid
2008-07-08 14:12 . 2008-07-08 14:13 29 --a------ C:\WINDOWS\coolacm.ini
2008-07-08 13:13 . 2008-07-08 15:45 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Ulead Systems
2008-07-08 13:09 . 2008-07-08 13:09 <DIR> d-------- C:\SmartSound Software
2008-07-08 13:08 . 2008-07-08 16:47 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SmartSound Software Inc
2008-07-08 13:08 . 2008-07-08 13:08 <DIR> d-------- C:\Archivos de programa\SmartSound Software
2008-07-08 13:06 . 2008-07-08 13:06 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\InstallShield
2008-07-08 13:06 . 2008-07-08 13:06 <DIR> d-------- C:\Archivos de programa\Windows Media Components
2008-07-08 13:03 . 2008-07-08 13:03 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Ulead Systems
2008-07-08 13:02 . 2008-07-08 13:12 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Ulead Systems
2008-07-08 13:02 . 2008-07-08 13:02 <DIR> d-------- C:\Archivos de programa\Ulead Systems
2008-07-08 11:19 . 2003-10-03 16:28 45,056 --a------ C:\WINDOWS\system32\vusetup.dll
2008-07-08 11:19 . 2003-08-04 17:29 11,392 --a------ C:\WINDOWS\system32\drivers\vulfntr.sys
2008-07-08 11:19 . 2003-08-04 17:29 6,912 --a------ C:\WINDOWS\system32\drivers\vulfnth.sys

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-07 21:45 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-08-03 11:01 --------- d-----w C:\Archivos de programa\Google
2008-08-03 11:00 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-08-03 10:15 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-07-29 09:48 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\pdf995
2008-07-22 21:48 --------- d-----w C:\Archivos de programa\Cool2000
2008-07-21 14:38 --------- d-----w C:\Documents and Settings\JOSEMARI\Datos de programa\Canon
2008-07-08 16:48 --------- d-----w C:\Archivos de programa\DVDVideoSoft
2008-07-08 16:48 --------- d-----w C:\Archivos de programa\Archivos comunes\DVDVideoSoft
2008-07-08 11:02 --------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2008-07-04 14:34 --------- d-----w C:\Archivos de programa\Windows Live Safety Center
2008-06-23 14:51 --------- d-----w C:\Archivos de programa\Archivos comunes\xing shared
2008-06-23 14:50 --------- d-----w C:\Archivos de programa\Archivos comunes\Real
2008-06-11 15:19 --------- d-----w C:\Archivos de programa\CCleaner
.
Code: Select all
<pre>
----a-w         2,129,920 2006-03-15 10:48:04  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Antonio Pérez sánchez - 2006 .exe
----a-w         1,077,248 2007-12-29 19:27:01  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Jorge A Rosa López - 2006 .exe
----a-w            69,632 2006-03-15 10:33:43  C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Manuel Bello - 2006 .exe
</pre>



((((((((((((((((((((((((((((( snapshot@2008-08-05_14.04.27.15 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-05 11:49:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Configuración local\Historial\History.IE5\index.dat
+ 2008-08-06 12:02:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Configuración local\Historial\History.IE5\index.dat
- 2008-08-05 11:49:37 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-08-06 12:02:00 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-07-27 12:49:02 196,683 ----a-w C:\WINDOWS\system32\lnod32apiA.dll
+ 2007-07-27 12:49:02 225,355 ----a-w C:\WINDOWS\system32\lnod32apiW.dll
+ 2005-12-05 17:25:22 139,264 ----a-w C:\WINDOWS\system32\lnod32umc.dll
+ 2005-12-05 10:37:10 106,496 ----a-w C:\WINDOWS\system32\lnod32upd.dll
+ 2008-02-11 07:39:26 253,952 ----a-w C:\WINDOWS\system32\OnlineScannerDLLA.dll
+ 2008-02-11 07:39:18 237,568 ----a-w C:\WINDOWS\system32\OnlineScannerDLLW.dll
+ 2008-02-08 11:53:46 110,592 ----a-w C:\WINDOWS\system32\OnlineScannerLang.dll
+ 2008-02-05 06:48:04 77,824 ----a-w C:\WINDOWS\system32\OnlineScannerUninstaller.exe
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" [2005-06-08 14:44 196608]
"DrvMon.exe"="C:\WINDOWS\System32\DrvMon.exe" [2004-09-10 04:16 53248]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-29 19:09 68856]
"H/PC Connection Agent"="C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 23:18 1211176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"InCD"="C:\Archivos de programa\Ahead\InCD\InCD.exe" [2004-09-13 11:51 1450096]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2005-07-19 17:32 221184]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-02-21 04:01 28675]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-10-25 19:58 282624]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2008-06-23 16:49 185896]
"UVS10 Preload"="C:\Archivos de programa\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-05-17 14:23 36864]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22 86016]
"KAVPersonal50"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [2004-10-07 11:51 127079]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"SoundMan"="SOUNDMAN.EXE" [2002-03-21 04:23 46592 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:42 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xvid"= xvid.dll
"msacm.dvacm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^HP Digital Imaging Monitor.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^InterVideo WinCinema Manager.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 23:12 49152 C:\Archivos de programa\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 15:24 458752 C:\Archivos de programa\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 15:14 217088 C:\Archivos de programa\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Archivos de programa\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Xanadu]
--a------ 2002-08-14 17:26 819200 C:\Archivos de programa\Foreignword\Xanadu\Xanadu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SPYWAREfighterRP"=3 (0x3)
"kavsvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"= C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\CS1.6 pod-Bot\\hl.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\CS1.6 pod-Bot\\hltv.exe"=
"C:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\HelpCtr.exe"=
"C:\\Archivos de programa\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2004-10-07 11:52]
S1 lusbaudio;Micrófono USB de Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 23:05]
S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 23:05]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []
S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-07 23:59:19
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\ARCHIV~1\MICROS~4\rapimgr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Tiempo completado: 2008-08-08 0:12:10 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-07 22:11:05
ComboFix2.txt 2008-08-07 11:35:51
ComboFix3.txt 2008-08-06 17:36:39
ComboFix4.txt 2008-08-06 11:51:43
ComboFix5.txt 2008-08-07 21:50:40

Pre-Run: 1,100,218,368 bytes libres
Post-Run: 970,141,696 bytes libres

244 --- E O F --- 2008-08-07 14:37:53

------------------------------------------------------------------------------------

2.- Virus total scan

Análisis del archivo Manuel_Bello_-_2006_.exe recibido el 07.08.2008 23:44:54 (CET)
Estado actual: análisis terminado
Resultado: 0/36 (0%)
Compactar Imprimir resultados
Email:

Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.8.8.0 2008.08.07 -
AntiVir 7.8.1.19 2008.08.07 -
Authentium 5.1.0.4 2008.08.07 -
Avast 4.8.1195.0 2008.08.07 -
AVG 8.0.0.156 2008.08.07 -
BitDefender 7.2 2008.08.07 -
CAT-QuickHeal 9.50 2008.08.07 -
ClamAV 0.93.1 2008.08.07 -
DrWeb 4.44.0.09170 2008.08.07 -
eSafe 7.0.17.0 2008.08.07 -
eTrust-Vet 31.6.6018 2008.08.07 -
Ewido 4.0 2008.08.07 -
F-Prot 4.4.4.56 2008.08.07 -
F-Secure 7.60.13501.0 2008.08.07 -
Fortinet 3.14.0.0 2008.08.07 -
GData 2.0.7306.1023 2008.08.07 -
Ikarus T3.1.1.34.0 2008.08.07 -
K7AntiVirus 7.10.407 2008.08.07 -
Kaspersky 7.0.0.125 2008.08.07 -
McAfee 5356 2008.08.07 -
Microsoft 1.3807 2008.08.07 -
NOD32v2 3338 2008.08.07 -
Norman 5.80.02 2008.08.06 -
Panda 9.0.0.4 2008.08.07 -
PCTools 4.4.2.0 2008.08.07 -
Prevx1 V2 2008.08.07 -
Rising 20.56.32.00 2008.08.07 -
Sophos 4.32.0 2008.08.07 -
Sunbelt 3.1.1537.1 2008.08.07 -
Symantec 10 2008.08.07 -
TheHacker 6.2.96.393 2008.08.04 -
TrendMicro 8.700.0.1004 2008.08.07 -
VBA32 3.12.8.3 2008.08.07 -
ViRobot 2008.8.7.1328 2008.08.07 -
VirusBuster 4.5.11.0 2008.08.07 -
Webwasher-Gateway 6.6.2 2008.08.07 -
Información adicional
Tamano archivo: 69632 bytes
MD5...: 5b989df9f6e94f68d0938a35b67af745
SHA1..: efbf48b9be96de065aedc3ed87d5ce7dbf8f90aa
SHA256: c3c517d51644ee90aa0a02ba5a0aeb1ddf52e96b0da830858240caebf6796891
SHA512: b979b3c2af0b2b079508b3ff39f584b62311add2892d147dad2ff71b1f8004cba9618b944c453a7ba2c081ea769f6e589851171b9adeba8704a1da3d52b00f37
PEiD..: -
PEInfo: PE Structure information( base data )entrypointaddress.: 0x40126ctimedatestamp.....: 0x4417ed87 (Wed Mar 15 10:33:43 2006)machinetype.......: 0x14c (I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5.text 0x1000 0xdf78 0xe000 6.93 e6ea4ef4ef5fb9db09a126c411faabf4.data 0xf000 0xa28 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110.rsrc 0x10000 0x8e0 0x1000 1.95 88a86c69e5abe6b9dce69ea15fc66adf( 1 imports ) > MSVBVM60.DLL: __vbaStrI2, _CIcos, _adj_fptan, _adj_fdiv_m64, __vbaFreeObjList, _adj_fprem1, __vbaStrCat, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaObjSet, _adj_fdiv_m16i, _adj_fdivr_m16i, _CIsin, __vbaChkstk, EVENT_SINK_AddRef, _adj_fpatan, __vbaStrR8, EVENT_SINK_Release, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, _adj_fprem, _adj_fdivr_m64, __vbaFPException, _CIlog, __vbaErrorOverflow, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, _CIatan, __vbaStrMove, _allmul, _CItan, _CIexp, __vbaFreeObj, __vbaFreeStr( 0 exports )
IMPORTANTE: VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, quien no garantiza la disponibilidad y continuidad de funcionamiento de éste. Pese a que el índice de detección ofrecido por el análisis simultáneo de múltiples motores antivirus es muy superior al de un sólo producto, los resultados NO garantizan la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.


------------------------------------------------------------------------------

3.- New Hijackthis Log

Logfile of HijackThis v1.99.1
Scan saved at 00:15:44, on 08/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\DrvMon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\ARCHIV~1\MICROS~4\rapimgr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\JOSEMARI\Escritorio\Nuevos Programas Bajados\HijackThis\redbird.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UVS10 Preload] C:\Archivos de programa\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MIF269~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra button: Xanadu - {5CC384BB-1326-11D5-F4AE-00C04923F885} - C:\Archivos de programa\Foreignword\Xanadu\XanaduLaunch.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MIF269~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/ka ... nicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0935060921
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/softwa ... Plugin.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
pepemarix
Regular Member
 
Posts: 17
Joined: July 27th, 2008, 9:28 am

Re: Problem with virus Trojan.win32.patched.bb

Unread postby Carolyn » August 7th, 2008, 6:44 pm

Enjoy your holiday! When you return, please post a fresh HijackThis log and a description of how your computer is behaving.


Note to Admin/Moderators: This user will be on holiday for the next 12 days. Please do not close this topic. :)
User avatar
Carolyn
MRU Emeritus
MRU Emeritus
 
Posts: 4701
Joined: April 18th, 2007, 9:36 am
Location: Maine

Re: Problem with virus Trojan.win32.patched.bb

Unread postby pepemarix » August 17th, 2008, 11:53 am

Hello again Carolyne:

I am in home after a wonderfull holidays along the north cost of Spain. Here you have the last hijack log. I just switch on my PC, so I can't tell you yet if my compuer has a normal behavior.
I will observe it and i will send you a report in 2 o 3 days.

Thank you very much.

Josemari

---------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:52:39, on 17/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\DrvMon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\ARCHIV~1\MICROS~4\rapimgr.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UVS10 Preload] C:\Archivos de programa\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MIF269~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra button: Xanadu - {5CC384BB-1326-11D5-F4AE-00C04923F885} - C:\Archivos de programa\Foreignword\Xanadu\XanaduLaunch.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MIF269~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/ka ... nicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0935060921
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/softwa ... Plugin.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 7899 bytes
pepemarix
Regular Member
 
Posts: 17
Joined: July 27th, 2008, 9:28 am

Re: Problem with virus Trojan.win32.patched.bb

Unread postby Carolyn » August 18th, 2008, 7:19 pm

Welcome back! I'm glad you enjoyed your holiday.

When you have time, please run an online scan:

Please go to Kaspersky website and perform an online antivirus scan.

  1. Read through the requirements and privacy statement and click on Accept button.
  2. It will start downloading and installing the scanner and virus definitions. You will be prompted to install an application from Kaspersky. Click Run.
  3. When the downloads have finished, click on Settings.
  4. Make sure these boxes are checked (ticked). If they are not, please tick them and click on the Save button:
      Spyware, Adware, Dialers, and other potentially dangerous programs
      Archives
      Mail databases
  5. Click on My Computer under Scan.
  6. Once the scan is complete, it will display the results. Click on View Scan Report.
  7. You will see a list of infected items there. Click on Save Report As....
  8. Save this report to a convenient place. Change the Files of type to Text file (.txt) before clicking on the Save button.
  9. Please post this log in your next reply.

Please post the Kaspersky log along with a fresh HijackThis log and a description of how your computer is behaving.
User avatar
Carolyn
MRU Emeritus
MRU Emeritus
 
Posts: 4701
Joined: April 18th, 2007, 9:36 am
Location: Maine

Re: Problem with virus Trojan.win32.patched.bb

Unread postby pepemarix » August 19th, 2008, 2:27 pm

Hi carolyne:

Here you have the last kaspersky online report. It didn't find any virus. At least. My computer was 2 o 3 days online and my antivirus didn't find any virus and everything works properly.

The only thing strange is that since 2 weeks ago and the problem still go on, my PC can't install the windows updates packs. My computer detect the new updates and download it but when I try to install them, simply showa litte windows saying " the updates didn't install in your computer" and don't give me any extra information or cause.

Anyway, the main problems was solved and you don't know how gratefull I am. Thank you very very very much carolyne. Any thing what i could do for you, please tell me.

Kisses
Josemari

---------------------------------------------------------------------------------

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
martes, 19 de agosto de 2008 20:03:12
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 19/08/2008
Registros en la base antivirus: 1110809
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\

Estadísticas:
Número de objeros analizados: 99055
Virus encontrados: 0
Objetos infectados: 0 / 0
Objetos sospechosos: 0
Duración del análisis: 01:44:36

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0000 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0001 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0100 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0101 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0200 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0201 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0300 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.i0301 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.reph Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.repi Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Quarantine\QMng.rept Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.i0000 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.i0001 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.i0100 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.i0101 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.i0200 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.i0201 Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.reph Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.repi Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Reports\RptMng.rept Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\JOSEMARI\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\JOSEMARI\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\JOSEMARI\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\JOSEMARI\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\JOSEMARI\Configuración local\temp\WCESLog.log Object is locked saltado
C:\Documents and Settings\JOSEMARI\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\JOSEMARI\Datos de programa\$_hpcst$.hpc Object is locked saltado
C:\Documents and Settings\JOSEMARI\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\JOSEMARI\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{18B14BB6-1F29-487E-A83C-8BDBD0D071DF}\RP55\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.
pepemarix
Regular Member
 
Posts: 17
Joined: July 27th, 2008, 9:28 am
Advertisement
Register to Remove

PreviousNext

  • Similar Topics
    Replies
    Views
    Last post

Return to Infected? Virus, malware, adware, ransomware, oh my!



Who is online

Users browsing this forum: No registered users and 292 guests

Contact us:

Advertisements do not imply our endorsement of that product or service. Register to remove all ads. The forum is run by volunteers who donate their time and expertise. We make every attempt to ensure that the help and advice posted is accurate and will not cause harm to your computer. However, we do not guarantee that they are accurate and they are to be used at your own risk. All trademarks are the property of their respective owners.

Member site: UNITE Against Malware