1. You are viewing our forum as a guest. For full access please Register. WindowsBBS.com is completely free, paid for by advertisers and donations.

Active Problems removing malware June.exe

Discussion in 'Malware and Virus Removal Archive' started by carlosvj, 2009/06/03.

  1. 2009/06/03
    carlosvj

    carlosvj Inactive Thread Starter

    Joined:
    2009/06/03
    Messages:
    10
    Likes Received:
    0
    [Active] Problems removing malware June.exe

    Hi my computer have a malware JUNE.exe
    spybot is installed and doesn't detected
    I already use CA, AVG and Dr. Web antivirus
    Also tell me witch process are not essential so can speed up the machine

    This is the log file of HijackThis

    Any help will be appreciated

    Logfile of HijackThis v1.99.1
    Scan saved at 7:27:54, on 03/06/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
    C:\Archivos de programa\LogMeIn\x86\RaMaint.exe
    C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe
    C:\ARCHIV~1\AVG\AVG8\avgrsx.exe
    C:\ARCHIV~1\AVG\AVG8\avgnsx.exe
    C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe
    C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\Explorer.EXE
    C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe
    C:\ARCHIV~1\AVG\AVG8\avgtray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
    C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe
    C:\Archivos de programa\Messenger\msmsgs.exe
    C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
    C:\Archivos de programa\Hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.ve/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
    O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file)
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll (file missing)
    O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
    O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
    O2 - BHO: (no name) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - (no file)
    O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe "
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [Microsoft System Restorer] C:\SETUP\DATA\June.exe
    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
    O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
    O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll
    O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
    O23 - Service: CaCCProvSP - CA, Inc. - C:\Archivos de programa\CA\CA Internet Security Suite\ccprovsp.exe
    O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe
    O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
    O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\RaMaint.exe
    O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
     
    carlosvj,
    #1
  2. 2009/06/03
    Admin.

    Admin. Administrator Administrator Staff

    Joined:
    2001/12/30
    Messages:
    6,687
    Likes Received:
    107
    Hi,

    Read this post as indicated at the top of this forum & follow the instructions.
     
    Admin.,
    #2


  3. to hide this advert.

  4. 2009/06/04
    carlosvj

    carlosvj Inactive Thread Starter

    Joined:
    2009/06/03
    Messages:
    10
    Likes Received:
    0
    Here is it the 2 txt of dds

    Attach.txt

    UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
    IF REQUESTED, ZIP IT UP & ATTACH IT

    DDS (Ver_09-05-14.01)

    Microsoft Windows XP Professional
    Boot Device: \Device\HarddiskVolume1
    Install Date: 18/02/2009 9:32:55
    System Uptime: 06/04/2009 6:07:24 (1422 hours ago)

    Motherboard: Compaq | | 07E4h
    Processor: Intel(R) Pentium(R) 4 CPU 1.80GHz | XU1 PROCESSOR | 1794/400mhz

    ==== Disk Partitions =========================

    A: is Removable
    C: is FIXED (NTFS) - 76 GiB total, 69,811 GiB free.
    D: is CDROM ()
    E: is Removable
    F: is Removable
    G: is Removable
    Z: is NetworkDisk (NTFS) - 60 GiB total, 38,17 GiB free.

    ==== Disabled Device Manager Items =============

    ==== System Restore Points ===================

    No restore point in system.

    ==== Installed Programs ======================

    Actualización de seguridad para el Reproductor de Windows Media (KB952069)
    Actualización de seguridad para Windows XP (KB923561)
    Actualización de seguridad para Windows XP (KB938464-v2)
    Actualización de seguridad para Windows XP (KB946648)
    Actualización de seguridad para Windows XP (KB950760)
    Actualización de seguridad para Windows XP (KB950762)
    Actualización de seguridad para Windows XP (KB950974)
    Actualización de seguridad para Windows XP (KB951066)
    Actualización de seguridad para Windows XP (KB951376-v2)
    Actualización de seguridad para Windows XP (KB951698)
    Actualización de seguridad para Windows XP (KB951748)
    Actualización de seguridad para Windows XP (KB952004)
    Actualización de seguridad para Windows XP (KB952954)
    Actualización de seguridad para Windows XP (KB954459)
    Actualización de seguridad para Windows XP (KB954600)
    Actualización de seguridad para Windows XP (KB955069)
    Actualización de seguridad para Windows XP (KB956572)
    Actualización de seguridad para Windows XP (KB956802)
    Actualización de seguridad para Windows XP (KB956803)
    Actualización de seguridad para Windows XP (KB956841)
    Actualización de seguridad para Windows XP (KB957097)
    Actualización de seguridad para Windows XP (KB958215)
    Actualización de seguridad para Windows XP (KB958644)
    Actualización de seguridad para Windows XP (KB958687)
    Actualización de seguridad para Windows XP (KB958690)
    Actualización de seguridad para Windows XP (KB959426)
    Actualización de seguridad para Windows XP (KB960225)
    Actualización de seguridad para Windows XP (KB960714)
    Actualización de seguridad para Windows XP (KB960715)
    Actualización de seguridad para Windows XP (KB960803)
    Actualización de seguridad para Windows XP (KB961373)
    Actualización de seguridad para Windows XP (KB963027)
    Actualización para Windows XP (KB898461)
    Actualización para Windows XP (KB951978)
    Actualización para Windows XP (KB955839)
    Actualización para Windows XP (KB961503)
    Actualización para Windows XP (KB967715)
    Adobe Flash Player 10 ActiveX
    Adobe Reader 9 - Español
    AVG Free 8.5
    Belarc Advisor 7.2
    CA Anti-Virus
    CA Internet Security Suite
    Choice Guard
    Compresor WinRAR
    Galería fotográfica de Windows Live
    getPlus(R) for Adobe
    Google Toolbar for Internet Explorer
    Herramienta de carga de Windows Live
    Hijackthis 1.99.1
    Intel(R) Network Connections 13.1.33.0
    Junk Mail filter update
    LogMeIn
    LuboSGV-PC
    Messenger Plus! Live & Sponsor (CiD)
    Microsoft .NET Framework 2.0
    Microsoft Application Error Reporting
    Microsoft Office Access MUI (Spanish) 2007
    Microsoft Office Enterprise 2007
    Microsoft Office Excel MUI (Spanish) 2007
    Microsoft Office Groove MUI (Spanish) 2007
    Microsoft Office InfoPath MUI (Spanish) 2007
    Microsoft Office Live Add-in 1.3
    Microsoft Office OneNote MUI (Spanish) 2007
    Microsoft Office Outlook Connector
    Microsoft Office Outlook MUI (Spanish) 2007
    Microsoft Office PowerPoint MUI (Spanish) 2007
    Microsoft Office Proof (Basque) 2007
    Microsoft Office Proof (Catalan) 2007
    Microsoft Office Proof (English) 2007
    Microsoft Office Proof (French) 2007
    Microsoft Office Proof (Galician) 2007
    Microsoft Office Proof (Portuguese (Brazil)) 2007
    Microsoft Office Proof (Spanish) 2007
    Microsoft Office Proofing (Spanish) 2007
    Microsoft Office Publisher MUI (Spanish) 2007
    Microsoft Office Shared MUI (Spanish) 2007
    Microsoft Office Word MUI (Spanish) 2007
    Microsoft Search Enhancement Pack
    Microsoft Silverlight
    Microsoft Software Update for Web Folders (Spanish) 12
    Microsoft SQL Server 2005 Compact Edition [ENU]
    Microsoft Sync Framework Runtime Native v1.0 (x86)
    Microsoft Sync Framework Services Native v1.0 (x86)
    Microsoft Visual C++ 2005 Redistributable
    MSVCRT
    Revisión para Windows XP (KB952287)
    Satellite Forms Runtime for Palm
    Segoe UI
    SoundMAX
    Spybot - Search & Destroy
    WebFldrs XP
    Windows Live Call
    Windows Live Communications Platform
    Windows Live Essentials
    Windows Live Mail
    Windows Live Messenger
    Windows Live Protección Infantil
    Windows Live Sync
    Windows Live Toolbar
    Windows Live Writer

    ==== Event Viewer Messages From Past Week ========

    28/05/2009 8:08:19, ERROR: DCOM [10005] - DCOM ha obtenido un error "%3" al intentar iniciar el servicio gusvc con argumentos " " para ejecutar el servidor: {89DAE4CD-9F17-4980-902A-99BA84A8F5C8}
    04/06/2009 6:08:58, ERROR: Service Control Manager [7001] - El servicio VET Message Service depende del servicio CAISafe, el cual no pudo iniciarse debido al siguiente error: No se puede iniciar el servicio, porque está deshabilitado o porque no tiene dispositivos habilitados asociados a él.
    03/06/2009 7:41:25, ERROR: Service Control Manager [7001] - El servicio VET Message Service depende del servicio CAISafe, el cual no pudo iniciarse debido al siguiente error: No se puede iniciar el servicio, porque está deshabilitado o porque no tiene dispositivos habilitados asociados a él.
    03/06/2009 7:34:30, ERROR: EventLog [6004] - Un paquete de controlador recibido de un subsistema de E/S no es válido. Los datos son el paquete.
    03/06/2009 7:34:29, ERROR: EventLog [6004] - Un paquete de controlador recibido de un subsistema de E/S no es válido. Los datos son el paquete.
    03/06/2009 7:34:29, ERROR: EventLog [6004] - Un paquete de controlador recibido de un subsistema de E/S no es válido. Los datos son el paquete.
    03/06/2009 7:33:41, ERROR: EventLog [6004] - Un paquete de controlador recibido de un subsistema de E/S no es válido. Los datos son el paquete.
    03/06/2009 7:33:40, ERROR: EventLog [6004] - Un paquete de controlador recibido de un subsistema de E/S no es válido. Los datos son el paquete.
    03/06/2009 7:33:40, ERROR: EventLog [6004] - Un paquete de controlador recibido de un subsistema de E/S no es válido. Los datos son el paquete.
    03/06/2009 7:16:55, ERROR: Service Control Manager [7001] - El servicio VET Message Service depende del servicio CAISafe, el cual no pudo iniciarse debido al siguiente error: No se puede iniciar el servicio, porque está deshabilitado o porque no tiene dispositivos habilitados asociados a él.
    03/06/2009 13:02:30, ERROR: Service Control Manager [7001] - El servicio VET Message Service depende del servicio CAISafe, el cual no pudo iniciarse debido al siguiente error: No se puede iniciar el servicio, porque está deshabilitado o porque no tiene dispositivos habilitados asociados a él.
    03/06/2009 10:47:57, ERROR: Service Control Manager [7001] - El servicio VET Message Service depende del servicio CAISafe, el cual no pudo iniciarse debido al siguiente error: No se puede iniciar el servicio, porque está deshabilitado o porque no tiene dispositivos habilitados asociados a él.
    02/06/2009 14:14:10, ERROR: EventLog [6004] - Un paquete de controlador recibido de un subsistema de E/S no es válido. Los datos son el paquete.
    02/06/2009 14:14:10, ERROR: EventLog [6004] - Un paquete de controlador recibido de un subsistema de E/S no es válido. Los datos son el paquete.

    ==== End Of File ===========================


    dds.txt


    DDS (Ver_09-05-14.01) - NTFSx86
    Run by antonio at 11:57:07,98 on 04/06/2009
    Internet Explorer: 6.0.2900.5512

    ============== Pseudo HJT Report ===============

    uStart Page = hxxp://www.google.co.ve/
    uSearch Page = hxxp://www.google.com
    uSearch Bar = hxxp://www.google.com/ie
    mDefault_Search_URL = hxxp://www.google.com/ie
    uSearchAssistant = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    mSearchAssistant = hxxp://www.google.com/ie
    BHO: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - No File
    BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\archivos de programa\avg\avg8\avgssie.dll
    BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\archivos de programa\spybot - search & destroy\SDHelper.dll
    BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
    BHO: Search Helper: {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\archivos de programa\microsoft\search enhancement pack\search helper\SearchHelper.dll
    BHO: {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - No File
    BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7} - No File
    BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No File
    BHO: {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - No File
    TB: &Windows Live Toolbar: {21fa44ef-376d-4d53-9b0f-8a89d3229068} - c:\archivos de programa\windows live\toolbar\wltcore.dll
    TB: &Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\archivos de programa\google\google toolbar\GoogleToolbar.dll
    uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
    uRun: [msnmsgr] "c:\archivos de programa\windows live\messenger\msnmsgr.exe" /background
    uRun: [MSMSGS] "c:\archivos de programa\messenger\msmsgs.exe" /background
    uRun: [SpybotSD TeaTimer] c:\archivos de programa\spybot - search & destroy\TeaTimer.exe
    mRun: [LogMeIn GUI] "c:\archivos de programa\logmein\x86\LogMeInSystray.exe "
    mRun: [AVG8_TRAY] c:\archiv~1\avg\avg8\avgtray.exe
    dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
    IE: E&xportar a Microsoft Excel - c:\archiv~1\micros~2\office12\EXCEL.EXE/3000
    IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
    IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\archivos de programa\messenger\msmsgs.exe
    IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\archivos de programa\windows live\writer\WriterBrowserExtension.dll
    IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\archiv~1\micros~2\office12\ONBttnIE.dll
    IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\archiv~1\micros~2\office12\REFIEBAR.DLL
    IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\archivos de programa\spybot - search & destroy\SDHelper.dll
    LSP: c:\windows\system32\VetRedir.dll
    DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - hxxp://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - hxxp://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
    DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
    Handler: belarc - {6318E0AB-2E93-11D1-B8ED-00608CC9A71F} - c:\archivos de programa\belarc\advisor\system\BAVoilaX.dll
    Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\archiv~1\micros~2\office12\GR99D3~1.DLL
    Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\archivos de programa\avg\avg8\avgpp.dll
    Notify: avgrsstarter - avgrsstx.dll
    Notify: LMIinit - LMIinit.dll
    SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\archiv~1\micros~2\office12\GRA8E1~1.DLL

    ============= SERVICES / DRIVERS ===============


    =============== Created Last 30 ================

    2009-06-02 14:23 <DIR> --dshr-- C:\SETUP
    2009-06-02 14:23 40,448 a------- c:\documents and settings\antonio\sdsdsd.exe
    2009-06-02 14:06 <DIR> --d----- c:\documents and settings\antonio\DoctorWeb
    2009-05-27 12:29 <DIR> --d-h--- C:\$AVG8.VAULT$
    2009-05-27 12:26 11,952 a------- c:\windows\system32\avgrsstx.dll
    2009-05-27 12:26 108,552 a------- c:\windows\system32\drivers\avgtdix.sys
    2009-05-27 12:25 325,896 a------- c:\windows\system32\drivers\avgldx86.sys
    2009-05-27 12:25 <DIR> --d----- c:\windows\system32\drivers\Avg
    2009-05-27 12:25 <DIR> --d----- c:\archivos de programa\AVG
    2009-05-27 12:25 <DIR> --d----- c:\docume~1\alluse~1\datosd~1\avg8
    2009-05-27 10:07 <DIR> --d----- c:\docume~1\alluse~1\datosd~1\Spybot - Search & Destroy
    2009-05-27 10:07 <DIR> --d----- c:\archivos de programa\Spybot - Search & Destroy
    2009-05-27 10:05 3,840 a------- c:\windows\system32\drivers\BANTExt.sys
    2009-05-27 10:05 <DIR> --d----- c:\archivos de programa\Belarc
    2009-05-19 06:37 <DIR> --d----- c:\windows\system32\wbem\Repository
    2009-05-05 13:38 118 a------- c:\windows\system32\MRT.INI

    ==================== Find3M ====================

    2009-06-04 10:34 1,632 a------- c:\windows\system32\d3d8caps.dat
    2009-04-15 08:56 457,280 a------- c:\windows\system32\perfh00A.dat
    2009-04-15 08:56 78,086 a------- c:\windows\system32\perfc00A.dat
    2009-04-01 13:03 1,744 a------- c:\windows\system32\d3d9caps.dat

    ============= FINISH: 12:00:02,73 ===============
     
    carlosvj,
    #3
  5. 2009/06/04
    broni

    broni Moderator Malware Analyst

    Joined:
    2002/08/01
    Messages:
    21,701
    Likes Received:
    116
    Your HJT version is outdated, so while running scans listed below, make sure, you use current version (link listed below)...


    Print these instructions out.

    NOTE. If any of the programs listed below refuse to run, try renaming executive file to something else; for instance, rename hijackthis.exe to scanner.exe

    ***VERY IMPORTANT! Make sure, you update Superantispyware, and Malwarebytes before running the scans.***

    STEP 1. Download SUPERAntiSpyware Free for Home Users:
    http://www.superantispyware.com/

    * Double-click SUPERAntiSpyware.exe and use the default settings for installation.
    * An icon will be created on your desktop. Double-click that icon to launch the program.
    * If asked to update the program definitions, click "Yes ". If not, update the definitions before scanning by selecting "Check for Updates ". (If you encounter any problems while downloading the updates, manually download and unzip them from here: http://www.superantispyware.com/definitions.html.)
    * Close SUPERAntiSpyware.

    PHYSICALLY DISCONNECT FROM THE INTERNET

    Restart computer in Safe Mode.
    To enter Safe Mode, restart computer, and keep tapping F8 key, until menu appears; select Safe Mode; you'll see "Safe Mode" in all four corners of your screen

    * Open SUPERAntiSpyware.
    * Click Scan your Computer... button.
    * Click Scanning Preferences/Control Center... button.
    * Under General and Startup tab, make sure, Start SUPERAntiSpyware when Windows starts option is UN-checked.
    * Click the Scanning Control tab.
    * Under Scanner Options make sure the following are checked (leave all others unchecked):
    - Close browsers before scanning.
    - Terminate memory threats before quarantining.
    * Click the Close button to leave the control center screen.
    * On the left, make sure you check C:\Fixed Drive.
    * On the right, choose Perform Complete Scan.
    * Click Next to start the scan. Please be patient while it scans your computer.
    * After the scan is complete, a Scan Summary box will appear with potentially harmful items that were detected. Click OK.
    * Make sure everything has a checkmark next to it and click Next.
    * A notification will appear that Quarantine and Removal is Complete. Click OK and then click the Finish button to return to the main menu.
    * If asked if you want to reboot, click Yes.
    * To retrieve the removal information after reboot, launch SUPERAntispyware again.
    - Click Preferences, then click the Statistics/Logs tab.
    - Under Scanner Logs, double-click SUPERAntiSpyware Scan Log.
    - If there are several logs, click the current dated log and press View log. A text file will open in your default text editor.
    - Please copy and paste the Scan Log results in your next reply.
    * Click Close to exit the program.
    Post SUPERAntiSpyware log.

    RECONNECT TO THE INTERNET

    RESTART COMPUTER!

    STEP 2. Download Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam.php to your desktop.
    (Malwarebytes is free to use as a manual scanner. Payment is only required if you wish to have it run and update automatically which is not necessary for our purposes)

    * Double-click mbam-setup.exe and follow the prompts to install the program.
    * At the end, be sure a checkmark is placed next to Update Malwarebytes' Anti-Malware and Launch Malwarebytes' Anti-Malware, then click Finish.
    * If an update is found, it will download and install the latest version.
    * Once the program has loaded, select Perform full scan, then click Scan.
    * When the scan is complete, click OK, then Show Results to view the results.
    * Be sure that everything is checked, and click Remove Selected.
    * When completed, a log will open in Notepad.
    * Post the log back here.

    The log can also be found here:
    C:\Documents and Settings\Username\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-date.txt
    Or at C:\Program Files\Malwarebytes' Anti-Malware\Logs\log-date.txt

    RESTART COMPUTER!

    STEP 3. Download GMER: http://www.gmer.net/files.php, by clicking on Download EXE button.
    Alternative downloads:
    - http://majorgeeks.com/GMER_d5198.html
    - http://www.softpedia.com/get/Interne...ers/GMER.shtml
    Double click on downloaded .exe file, select Rootkit tab and click the Scan button.
    When scan is completed, click Save button, and save the results as gmer.log
    Warning ! Please, do not select the "Show all" checkbox during the scan.
    Post the log to your next reply.

    RESTART COMPUTER

    STEP 4. Download HijackThis:
    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
    by clicking on Download HijackThis Installer
    Install, and run it.
    Post HijackThis log.
    Do NOT attempt to "fix" anything!


    DO NOT make any other changes to your computer (like installing programs, using other cleaning tools, etc.), until it's officially declared clean!!!
     
    broni,
    #4
  6. 2009/06/05
    carlosvj

    carlosvj Inactive Thread Starter

    Joined:
    2009/06/03
    Messages:
    10
    Likes Received:
    0
    Super antiSpyware detect nothing

    Malware byte said this

    Malwarebytes' Anti-Malware 1.37
    Versión de la Base de Datos: 2230
    Windows 5.1.2600 Service Pack 3

    04/06/2009 03:56:26 p.m.
    mbam-log-2009-06-04 (15-56-14).txt

    Tipo de examen : Examen Rápido
    Objetos examinados: 93764
    Tiempo transcurrido: 6 minute(s), 59 second(s)

    Procesos en Memoria Infectados: 0
    Módulos en Memoria Infectados: 0
    Claves del Registro Infectadas: 0
    Valores del Registro Infectados: 1
    Elementos de Datos del Registro Infectados: 0
    Carpetas Infectadas: 0
    Ficheros Infectados: 0

    Procesos en Memoria Infectados:
    (No se han detectado elementos maliciosos)

    Módulos en Memoria Infectados:
    (No se han detectado elementos maliciosos)

    Claves del Registro Infectadas:
    (No se han detectado elementos maliciosos)

    Valores del Registro Infectados:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Services (Backdoor.Bot) -> No action taken.

    Elementos de Datos del Registro Infectados:
    (No se han detectado elementos maliciosos)

    Carpetas Infectadas:
    (No se han detectado elementos maliciosos)

    Ficheros Infectados:
    (No se han detectado elementos maliciosos)

    GMER the log is too long to post which option are necessary to analyze the problem (System, Section,IAT/EAT, Devices, Modules, Processes, Treads, Libraries, Services, Registry, Files)

    HJT ver 2.0.2

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 04:00:36 p.m., on 04/06/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16827)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
    C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
    C:\Archivos de programa\LogMeIn\x86\RaMaint.exe
    C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe
    C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe
    C:\ARCHIV~1\AVG\AVG8\avgrsx.exe
    C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
    C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe
    C:\Archivos de programa\CA\CA Internet Security Suite\cctray\cctray.exe
    C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
    C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
    C:\Archivos de programa\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
    C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
    C:\Archivos de programa\Palm\Hotsync.exe
    C:\WINDOWS\sched.exe
    C:\ARCHIV~1\AVG\AVG8\avgnsx.exe
    C:\Archivos de programa\CA\CA Internet Security Suite\ccprovsp.exe
    C:\Documents and Settings\José Léon\Escritorio\dr web antivirus.exe
    C:\DOCUME~1\JOSLON~1\CONFIG~1\Temp\RarSFX0\v97zd4.exe
    C:\DOCUME~1\JOSLON~1\CONFIG~1\Temp\RarSFX0\37b8s.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Documents and Settings\José Léon\Escritorio\q5eyvko5.exe
    C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metrotabaco.com.ve/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
    O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll
    O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Archivos de programa\Hewlett-Packard\Toolbox\hpbpsttp.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe "
    O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe "
    O4 - HKLM\..\Run: [Window Services] sched.exe
    O4 - HKLM\..\Run: [cctray] "C:\Archivos de programa\CA\CA Internet Security Suite\cctray\cctray.exe "
    O4 - HKLM\..\Run: [CAVRID] "C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe "
    O4 - HKLM\..\RunServices: [Window Services] sched.exe
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Window Services] sched.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
    O4 - HKUS\S-1-5-21-1177238915-179605362-1606980848-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LogMeInRemoteUser')
    O4 - HKUS\S-1-5-21-1177238915-179605362-1606980848-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Administrador')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: HotSync Manager.lnk = C:\Archivos de programa\Palm\Hotsync.exe
    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DTM-LEON
    O17 - HKLM\Software\..\Telephony: DomainName = DTM-LEON
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DTM-LEON
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = DTM-LEON
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
    O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
    O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
    O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe
    O23 - Service: CaCCProvSP - CA, Inc. - C:\Archivos de programa\CA\CA Internet Security Suite\ccprovsp.exe
    O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\RaMaint.exe
    O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe

    --
    End of file - 9298 bytes
     
    carlosvj,
    #5
  7. 2009/06/05
    broni

    broni Moderator Malware Analyst

    Joined:
    2002/08/01
    Messages:
    21,701
    Likes Received:
    116
    Malwarebytes log says "No action taken ", which means, you either didn't fix the issue, or you posted the log from BEFORE fixes.
    Please, post correct log, or re-run 'Bytes.
    Two other logs are missing.
     
    broni,
    #6
  8. 2009/06/05
    carlosvj

    carlosvj Inactive Thread Starter

    Joined:
    2009/06/03
    Messages:
    10
    Likes Received:
    0
    This is the after log of malware

    Malwarebytes' Anti-Malware 1.37
    Versión de la Base de Datos: 2230
    Windows 5.1.2600 Service Pack 3

    05/06/2009 01:46:15 p.m.
    mbam-log-2009-06-05 (13-46-15).txt

    Tipo de examen : Examen Rápido
    Objetos examinados: 93448
    Tiempo transcurrido: 4 minute(s), 0 second(s)

    Procesos en Memoria Infectados: 0
    Módulos en Memoria Infectados: 0
    Claves del Registro Infectadas: 0
    Valores del Registro Infectados: 0
    Elementos de Datos del Registro Infectados: 0
    Carpetas Infectadas: 0
    Ficheros Infectados: 0

    Procesos en Memoria Infectados:
    (No se han detectado elementos maliciosos)

    Módulos en Memoria Infectados:
    (No se han detectado elementos maliciosos)

    Claves del Registro Infectadas:
    (No se han detectado elementos maliciosos)

    Valores del Registro Infectados:
    (No se han detectado elementos maliciosos)

    Elementos de Datos del Registro Infectados:
    (No se han detectado elementos maliciosos)

    Carpetas Infectadas:
    (No se han detectado elementos maliciosos)

    Ficheros Infectados:
    (No se han detectado elementos maliciosos)
     
    carlosvj,
    #7
  9. 2009/06/11
    carlosvj

    carlosvj Inactive Thread Starter

    Joined:
    2009/06/03
    Messages:
    10
    Likes Received:
    0
    Hello, guys I still have the problem any other suggestion?

    I´d tried all the programs but still have the virus\troyan
     
    carlosvj,
    #8
  10. 2009/06/11
    broni

    broni Moderator Malware Analyst

    Joined:
    2002/08/01
    Messages:
    21,701
    Likes Received:
    116
    You never posted all logs, I asked for.
     
    broni,
    #9
  11. 2009/06/12
    carlosvj

    carlosvj Inactive Thread Starter

    Joined:
    2009/06/03
    Messages:
    10
    Likes Received:
    0
    here are the new logs

    SUPERAntiSpyware Scan Log
    http://www.superantispyware.com

    Generated 06/12/2009 at 11:27 AM

    Application Version : 4.26.1004

    Core Rules Database Version : 3936
    Trace Rules Database Version: 1879

    Scan type : Quick Scan
    Total Scan Time : 00:37:13

    Memory items scanned : 511
    Memory threats detected : 0
    Registry items scanned : 415
    Registry threats detected : 0
    File items scanned : 4859
    File threats detected : 6

    Adware.Tracking Cookie
    C:\Documents and Settings\José Léon\Cookies\josé_léon@serving-sys[2].txt
    C:\Documents and Settings\José Léon\Cookies\josé_léon@doubleclick[1].txt
    C:\Documents and Settings\José Léon\Cookies\josé_léon@atdmt[2].txt
    C:\Documents and Settings\José Léon\Cookies\josé_léon@bs.serving-sys[2].txt
    C:\Documents and Settings\José Léon\Cookies\josé_léon@insightexpressai[2].txt


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:46:54 a.m., on 12/06/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16827)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
    C:\Archivos de programa\LogMeIn\x86\RaMaint.exe
    C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe
    C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe
    C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
    C:\WINDOWS\Explorer.EXE
    C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe
    C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
    C:\Archivos de programa\CA\CA Internet Security Suite\cctray\cctray.exe
    C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
    C:\Archivos de programa\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
    C:\WINDOWS\sched.exe
    C:\Archivos de programa\CA\CA Internet Security Suite\ccprovsp.exe
    C:\Archivos de programa\Palm\Hotsync.exe
    C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
    C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe
    C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metrotabaco.com.ve/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll (file missing)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
    O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll
    O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Archivos de programa\Hewlett-Packard\Toolbox\hpbpsttp.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe "
    O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe "
    O4 - HKLM\..\Run: [Window Services] sched.exe
    O4 - HKLM\..\Run: [cctray] "C:\Archivos de programa\CA\CA Internet Security Suite\cctray\cctray.exe "
    O4 - HKLM\..\Run: [CAVRID] "C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe "
    O4 - HKLM\..\RunServices: [Window Services] sched.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Window Services] sched.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: HotSync Manager.lnk = C:\Archivos de programa\Palm\Hotsync.exe
    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DTM-LEON
    O17 - HKLM\Software\..\Telephony: DomainName = DTM-LEON
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DTM-LEON
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = DTM-LEON
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
    O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe
    O23 - Service: CaCCProvSP - CA, Inc. - C:\Archivos de programa\CA\CA Internet Security Suite\ccprovsp.exe
    O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\RaMaint.exe
    O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe

    --
    End of file - 8465 bytes



    Malwarebytes' Anti-Malware 1.37
    Versión de la Base de Datos: 2266
    Windows 5.1.2600 Service Pack 3

    12/06/2009 10:41:48 a.m.
    mbam-log-2009-06-12 (10-41-48).txt

    Tipo de examen : Examen Rápido
    Objetos examinados: 95164
    Tiempo transcurrido: 4 minute(s), 41 second(s)

    Procesos en Memoria Infectados: 0
    Módulos en Memoria Infectados: 0
    Claves del Registro Infectadas: 0
    Valores del Registro Infectados: 0
    Elementos de Datos del Registro Infectados: 0
    Carpetas Infectadas: 0
    Ficheros Infectados: 0

    Procesos en Memoria Infectados:
    (No se han detectado elementos maliciosos)

    Módulos en Memoria Infectados:
    (No se han detectado elementos maliciosos)

    Claves del Registro Infectadas:
    (No se han detectado elementos maliciosos)

    Valores del Registro Infectados:
    (No se han detectado elementos maliciosos)

    Elementos de Datos del Registro Infectados:
    (No se han detectado elementos maliciosos)

    Carpetas Infectadas:
    (No se han detectado elementos maliciosos)

    Ficheros Infectados:
    (No se han detectado elementos maliciosos)
     
    carlosvj,
    #10
  12. 2009/06/12
    broni

    broni Moderator Malware Analyst

    Joined:
    2002/08/01
    Messages:
    21,701
    Likes Received:
    116
    I still want to see GMER log.
    If it's too long, split it into more than one post.
     
    broni,
    #11

Share This Page

  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Accept Learn More...