Vundo Virus need help to remove, i have included as much info as possible

monterrey · 01-May-2008, 04:08 PM #1

Hello All!

I have windows XP as my operating system. My McAffe antivirus softare has regularly been detecting trojan vundo. Whenever i click on "Fix the problem", it prompts to restart and after i restart my computer, the viruses come back. After the first popup comes my computer runs very slow, this popups only come if I open IE.
I have been receiving popups from WinServiceCorps.Ltd about Malware Alarm, SpywareRemovalTool, Gaming sites, Dating sites but i haven't downloaded or clicked on any of these. I also get a lot of windows popups with bogus messages asking me to go to this sites and download a supposed fix for this, I have not gone to this either.
I have McAFee Security Center as antivirus installed.

I have tried to eliminate this Virus using Vundo Fix, with no succes, it detected 3 infected files, the i asked to remove the files, and when my pc restarted the virus where still there, just as it happened with mcafee.

I appreciate any help somebody can give to eliminate this problem.

Thanks!

Heres my HJT Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:58:04 p.m., on 01/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe
c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
C:\Archivos de programa\Intel\Wireless\Bin\ZcfgSvc.exe
c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe
C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
C:\ARCHIV~1\Intel\Wireless\Bin\1XConfig.exe
C:\Archivos de programa\McAfee\MSK\MskSrver.exe
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe
C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\dvd43\dvd43_tray.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
C:\Archivos de programa\Digital Line Detect\DLG.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\SiteAdvisor\SiteAdv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xmradio.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.la.dell.com/content/defa...=mx&l=es&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.la.dell.com/content/defa...=mx&l=es&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.alot.com/sidebar?pr=as...w.xmradio.com/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: ALOT eMusic Toolbar - {8260C2B8-E0D1-448a-B062-33D12D468BF0} - C:\Archivos de programa\alot\bin\alot.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\SiteAdv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DVDLauncher] "C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [dvd43] C:\Archivos de programa\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Archivos de programa\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [c4edd007] rundll32.exe "C:\WINDOWS\system32\tvjfjrak.dll",b
O4 - HKLM\..\Run: [BMc7dee39b] Rundll32.exe "C:\WINDOWS\system32\fnxrykpo.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [tunebite.exe] C:\Archivos de programa\tunebite\tunebite.exe -hidden
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Palm Registration.lnk = C:\Archivos de programa\Palm\register.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Archivos de programa\Palm\Hotsync.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {FAE28553-6D86-4EFB-ACA9-05A8ACEBDEE4} (Explorador de Fotos Rollpix v2.0) - http://ww1.fotobenavides.com/MisFoto...loradorv20.ocx
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: MBackMonitor - McAfee - C:\Archivos de programa\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Archivos de programa\McAfee\MSK\MskSrver.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 9487 bytes

**Cookiegal** · 04-May-2008, 06:57 PM #2

Hi and welcome to TSG,

Please download Malwarebytes Anti-Malware form Here or Here

Double Click mbam-setup.exe to install the application.

Make sure a checkmark is placed next to Update Malwarebytes' Anti-Malware and Launch Malwarebytes' Anti-Malware, then click Finish.
If an update is found, it will download and install the latest version.
Once the program has loaded, select "Perform Quick Scan", then click Scan.
The scan may take some time to finish,so please be patient.
When the scan is complete, click OK, then Show Results to view the results.
Make sure that everything is checked, and click Remove Selected.
When disinfection is completed, a log will open in Notepad and you may be prompted to Restart.(See Extra Note)
The log is automatically saved by MBAM and can be viewed by clicking the Logs tab in MBAM.
Copy and paste the entire report in your next reply along with a new HijackThis log please.

Extra Note:
If MBAM encounters a file that is difficult to remove,you will be presented with 1 of 2 prompts,click OK to either and let MBAM proceed with the disinfection process,if asked to restart the computer,please do so immediatly.

monterrey · 04-May-2008, 09:34 PM #3

Thank You for the answer, heres the result of the log that MBAM gave me. When I restarted, Windows showed me some errors with a .dll file.

Malwarebytes' Anti-Malware 1.11
Database version: 716

Scan type: Quick Scan
Objects scanned: 34953
Time elapsed: 15 minute(s), 48 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 3
Registry Keys Infected: 24
Registry Values Infected: 3
Registry Data Items Infected: 2
Folders Infected: 2
Files Infected: 14

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
C:\WINDOWS\system32\jkkIYpnK.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\uvjipnia.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\Archivos de programa\alot\bin\alot.dll (Adware.BHO) -> Unloaded module successfully.

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brows er Helper Objects\{ad799cee-356a-437e-9fa1-6f1077d66512} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{ad799cee-356a-437e-9fa1-6f1077d66512} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{f50b3f5e-856e-4757-9bb1-b35d46ca7719} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brows er Helper Objects\{f50b3f5e-856e-4757-9bb1-b35d46ca7719} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\interface.interfaceobj (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\interface.interfaceobj.1 (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{58f07dd3-924d-4141-bc74-299f523a95f1} (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brows er Helper Objects\{58f07dd3-924d-4141-bc74-299f523a95f1} (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{b1317c08-617a-435d-a24f-a930f4540696} (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{fac55b9f-8f6a-4a41-ae16-36845d4679b2} (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{410dbb7c-38f2-47ca-a92c-c95571dcf8f1} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8260c2b8-e0d1-448a-b062-33d12d468bf0} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brows er Helper Objects\{8260c2b8-e0d1-448a-b062-33d12d468bf0} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a9da9685-0188-4032-8e78-a378ecf60ddb} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\pxwma.DLL (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell ExecuteHooks\{f50b3f5e-856e-4757-9bb1-b35d46ca7719} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{8260c2b8-e0d1-448a-b062-33d12d468bf0} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMc7dee39b (Trojan.Agent) -> Delete on reboot.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\jkkiypnk -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\jkkiypnk -> Quarantined and deleted successfully.

Folders Infected:
C:\Archivos de programa\alot (Adware.BHO) -> Delete on reboot.
C:\Archivos de programa\alot\bin (Adware.BHO) -> Delete on reboot.

Files Infected:
C:\WINDOWS\system32\eqaeovco.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ocvoeaqe.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jkkIYpnK.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\KnpYIkkj.ini (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\KnpYIkkj.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tvjfjrak.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karjfjvt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uvjipnia.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\ainpijvu.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ceyagtfm.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fnxrykpo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Archivos de programa\alot\alotUninst.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Archivos de programa\alot\bin\alot.dll (Adware.BHO) -> Delete on reboot.
C:\WINDOWS\system32\wkqgopqo.dll (Trojan.Agent) -> Delete on reboot.

**Cookiegal** · 05-May-2008, 10:05 AM #4

Please visit Combofix Guide & Instructions for instructions for downloading and running ComboFix:

Post the log from ComboFix when you've accomplished that along with a new HijackThis log.

Important notes regarding ComboFix:

ComboFix may reset a number of Internet Explorer's settings, including making it the default browser. This can easily be changed once we're finished.

ComboFix also prevents autorun of ALL CDs, floppies and USB devices to assist with malware removal & increase security. If this is an issue or makes it difficult for you, please let me know. This can be undone manually when we're finished.

monterrey · 09-May-2008, 08:53 PM #5

Thank you for the answer, here are the results of the logs

Thanks again for helping me. I would also like to know how to restore the autorun settings for cds and usb devices.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:43:58 p.m., on 09/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe
C:\Archivos de programa\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe
c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe
C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
C:\Archivos de programa\McAfee\MSK\MskSrver.exe
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\ARCHIV~1\Intel\Wireless\Bin\1XConfig.exe
c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe
C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\dvd43\dvd43_tray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
C:\Archivos de programa\Digital Line Detect\DLG.exe
C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xmradio.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\SiteAdv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\SiteAdv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DVDLauncher] "C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [dvd43] C:\Archivos de programa\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Archivos de programa\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [tunebite.exe] C:\Archivos de programa\tunebite\tunebite.exe -hidden
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Palm Registration.lnk = C:\Archivos de programa\Palm\register.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Archivos de programa\Palm\Hotsync.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {FAE28553-6D86-4EFB-ACA9-05A8ACEBDEE4} (Explorador de Fotos Rollpix v2.0) - http://ww1.fotobenavides.com/MisFoto...loradorv20.ocx
O20 - Winlogon Notify: opnlIbAs - opnlIbAs.dll (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Archivos de programa\McAfee\MSK\MskSrver.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 9862 bytes

ComboFix 08-05-08.1 - Ruben 2008-05-09 19:29:40.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.34.3082.18.126 [GMT -5:00]
Se ejecuta desde: C:\Documents and Settings\Ruben\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
* Resident AV is active

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\agtkegqm.dll
C:\WINDOWS\system32\blcgykbw.dll
C:\WINDOWS\system32\eutwjcbe.ini
C:\WINDOWS\system32\frwmccsv.ini
C:\WINDOWS\system32\ggadlxiy.ini
C:\WINDOWS\system32\iyvwqola.dll
C:\WINDOWS\system32\jkkIYpnK.dll
C:\WINDOWS\system32\KnpYIkkj.ini
C:\WINDOWS\system32\lekhyjkr.dll
C:\WINDOWS\system32\njwaxtgv.dll
C:\WINDOWS\system32\pgvmalqt.dll
C:\WINDOWS\system32\tgsupvwa.dll
C:\WINDOWS\system32\uvjipnia.dll
C:\WINDOWS\system32\vpogjcyn.dll
C:\WINDOWS\system32\wkqgopqo.dll
C:\WINDOWS\system32\yyiihlqf.ini

.
(((((((((((((((((( Archivos creados desde 2008-04-10 - 2008-05-10 )))))))))))))))))))))))))))))))))
.

2008-05-06 20:10 . 2008-03-01 07:58 6,066,176 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-05-06 20:10 . 2007-04-17 04:32 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-05-06 20:10 . 2007-03-08 00:10 1,040,384 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-05-06 20:10 . 2008-03-01 07:58 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-05-06 20:10 . 2008-03-01 07:58 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-05-06 20:10 . 2008-03-01 07:58 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-05-06 20:10 . 2008-03-01 07:58 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll
2008-05-06 20:10 . 2008-03-01 07:58 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-05-06 20:10 . 2008-02-22 05:00 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-05-06 20:08 . 2008-05-06 20:11 <DIR> d-------- C:\WINDOWS\system32\es-es
2008-05-04 22:55 . 2008-05-04 22:55 <DIR> d-------- C:\Documents and Settings\Ruben\Datos de programa\McAfee
2008-05-04 20:04 . 2008-05-04 20:04 <DIR> d-------- C:\Documents and Settings\Ruben\Datos de programa\Malwarebytes
2008-05-04 20:04 . 2008-05-04 20:04 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-05-04 20:04 . 2008-05-04 20:04 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-05-01 14:57 . 2008-05-01 14:57 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-04-29 19:25 . 2008-04-29 19:47 <DIR> d-------- C:\VundoFix Backups
2008-04-24 23:56 . 2008-05-04 11:37 109,738 --a------ C:\WINDOWS\BMc7dee39b.xml
2008-04-23 21:22 . 2007-03-07 18:51 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-04-23 21:21 . 2008-04-23 21:33 <DIR> d-------- C:\Documents and Settings\Ruben\Datos de programa\Winamp
2008-04-23 21:21 . 2008-04-23 21:24 <DIR> d-------- C:\Archivos de programa\Winamp
2008-04-23 21:19 . 2008-04-23 21:19 <DIR> d-------- C:\Documents and Settings\Ruben\Datos de programa\vlc
2008-04-23 20:58 . 2008-04-23 21:48 <DIR> d-------- C:\Archivos de programa\VideoLAN
2008-04-23 15:32 . 2008-04-23 15:32 268 --ah----- C:\sqmdata19.sqm
2008-04-23 15:32 . 2008-04-23 15:32 244 --ah----- C:\sqmnoopt19.sqm
2008-04-19 13:02 . 2008-05-09 19:37 13,424 --a------ C:\WINDOWS\system32\Config.MPF
2008-04-19 12:15 . 2008-05-05 19:20 <DIR> d-------- C:\Documents and Settings\Ruben\Datos de programa\SiteAdvisor
2008-04-19 12:15 . 2008-04-20 03:41 <DIR> d-------- C:\Archivos de programa\SiteAdvisor
2008-04-19 12:14 . 2006-03-03 11:07 143,360 --a------ C:\WINDOWS\system32\dunzip32.dll
2008-04-19 12:11 . 2007-11-22 06:44 201,320 --a------ C:\WINDOWS\system32\drivers\mfehidk.sys
2008-04-19 12:11 . 2007-07-13 06:20 113,952 --a------ C:\WINDOWS\system32\drivers\Mpfp.sys
2008-04-19 12:11 . 2007-11-22 06:44 79,304 --a------ C:\WINDOWS\system32\drivers\mfeavfk.sys
2008-04-19 12:11 . 2007-12-02 12:51 40,488 --a------ C:\WINDOWS\system32\drivers\mfesmfk.sys
2008-04-19 12:11 . 2007-11-22 06:44 35,240 --a------ C:\WINDOWS\system32\drivers\mfebopk.sys
2008-04-19 12:11 . 2007-11-22 06:44 33,832 --a------ C:\WINDOWS\system32\drivers\mferkdk.sys
2008-04-19 12:09 . 2008-04-19 12:10 <DIR> d-------- C:\Archivos de programa\McAfee.com
2008-04-19 12:09 . 2008-05-09 19:19 <DIR> d-------- C:\Archivos de programa\McAfee
2008-04-19 12:09 . 2008-04-25 14:05 <DIR> d-------- C:\Archivos de programa\Archivos comunes\McAfee
2008-04-19 12:05 . 2008-05-04 22:55 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\McAfee

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-05 03:16 --------- d-----w C:\Documents and Settings\Ruben\Datos de programa\BitTorrent
2008-05-05 01:23 --------- d-----w C:\Archivos de programa\alot
2008-05-05 01:03 --------- d-----w C:\Documents and Settings\Ruben\Datos de programa\alot
2008-04-19 18:08 --------- d-----w C:\Archivos de programa\Symantec
2008-04-19 18:08 --------- d-----w C:\Archivos de programa\Archivos comunes\Symantec Shared
2008-04-19 18:03 --------- d-----w C:\Archivos de programa\Norton SystemWorks
2008-04-19 17:43 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Symantec
2008-04-19 17:43 --------- d-----w C:\Archivos de programa\Palm
2008-04-19 17:42 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-04-19 17:42 --------- d-----w C:\Archivos de programa\Xtreme Desktop
2008-04-04 01:23 --------- d-----w C:\Documents and Settings\Ruben\Datos de programa\dvdcss
2008-03-27 19:49 --------- d-----w C:\Archivos de programa\LegalSounds
2008-03-12 01:21 --------- d-----w C:\Archivos de programa\Java
2007-08-15 18:23 92,064 ----a-w C:\Documents and Settings\Ruben\mqdmmdm.sys
2007-08-15 18:23 9,232 ----a-w C:\Documents and Settings\Ruben\mqdmmdfl.sys
2007-08-15 18:23 79,328 ----a-w C:\Documents and Settings\Ruben\mqdmserd.sys
2007-08-15 18:23 66,656 ----a-w C:\Documents and Settings\Ruben\mqdmbus.sys
2007-08-15 18:23 6,208 ----a-w C:\Documents and Settings\Ruben\mqdmcmnt.sys
2007-08-15 18:23 5,936 ----a-w C:\Documents and Settings\Ruben\mqdmwhnt.sys
2007-08-15 18:23 4,048 ----a-w C:\Documents and Settings\Ruben\mqdmcr.sys
2007-08-15 18:23 25,600 ----a-w C:\Documents and Settings\Ruben\usbsermptxp.sys
2007-08-15 18:23 22,768 ----a-w C:\Documents and Settings\Ruben\usbsermpt.sys
2007-05-16 00:09 235 ----a-w C:\Archivos de programa\2K76IE6F.bat
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 12:00 15360]
"MsnMsgr"="C:\Archivos de programa\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"tunebite.exe"="C:\Archivos de programa\tunebite\tunebite.exe" [ ]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-27 20:28 68856]
"updateMgr"="C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"SynTPLpr"="C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe" [2004-05-14 00:23 98304]
"SynTPEnh"="C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe" [2004-05-14 14:35 536576]
"IntelWireless"="C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 14:59 385024]
"DVDLauncher"="C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 16:19 53248]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-12-06 01:05 127035]
"ISUSPM Startup"="C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50 221184]
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50 81920]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 09:35 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 09:32 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 09:36 114688]
"dvd43"="C:\Archivos de programa\dvd43\dvd43_tray.exe" [2006-05-22 13:26 694272]
"CloneDVDElbyDelay"="C:\Archivos de programa\Elaborate Bytes\CloneDVD\ElbyCheck.exe" [2002-11-02 01:33 45056]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-11-15 00:43 286720]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2007-11-15 14:11 267048]
"mcagent_exe"="C:\Archivos de programa\McAfee.com\Agent\mcagent.exe" [2007-11-01 19:12 582992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 12:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Archivos de programa\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 16:08 110592 C:\Archivos de programa\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnlIbAs]
opnlIbAs.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Auth orizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\myTunes Redux\\mDNSResponder.exe"=
"C:\\StubInstaller.exe"=
"C:\\Archivos de programa\\LimeWire\\LimeWire.exe"=
"C:\\Archivos de programa\\Java\\j2re1.4.2_03\\bin\\javaw.exe"=
"C:\\Archivos de programa\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\BitTorrent\\bittorrent.exe"=
"C:\\Archivos de programa\\Archivos comunes\\McAfee\\MNA\\McNASvc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Glob allyOpenPorts\List]
"5279:TCP"= 5279:TCP:remote
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 tifm;tifm;C:\WINDOWS\system32\drivers\tifm.sys [2004-05-21 19:18]
S2 portD;CMS PortIO Service;C:\WINDOWS\system32\DRIVERS\portd2k.sys []
S3 CH341SER;CH341SER;C:\WINDOWS\system32\Drivers\CH341SER.SYS [2006-06-05 01:00]
S3 genmcmnUSB;USB Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gflmouhid.sys []

.
Contenido de carpeta 'Tareas Programadas'
"2008-04-19 17:10:44 C:\WINDOWS\Tasks\McDefragTask.job"
- C:\WINDOWS\system32\defrag.exe
"2008-04-19 17:10:42 C:\WINDOWS\Tasks\McQcTask.job"
- c:\archivos de programa\mcafee\mqc\QcConsol.exe.4158 0#c:\archivos de programa\mcafee\mqc
"2008-05-10 00:37:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Archivos de programa\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-09 19:37:14
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\Archivos de programa\Intel\Wireless\Bin\WLKEEPER.exe
C:\Archivos de programa\Intel\Wireless\Bin\ZCfgSvc.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe
C:\Archivos de programa\Archivos comunes\McAfee\MNA\McNASvc.exe
C:\ARCHIV~1\ARCHIV~1\McAfee\McProxy\McProxy.exe
C:\ARCHIV~1\McAfee\VIRUSS~1\Mcshield.exe
C:\Archivos de programa\McAfee\MPF\MpfSrv.exe
C:\Archivos de programa\McAfee\MSK\msksrver.exe
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
C:\Archivos de programa\Digital Line Detect\DLG.exe
C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
.
**************************************************************************
.
Tiempo completado: 2008-05-09 19:42:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-10 00:41:55

15 dirs 13,023,711,232 bytes libres
18 dirs 13,669,097,472 bytes libres

204 --- E O F --- 2008-05-07 01:13:12

**Cookiegal** · 10-May-2008, 12:24 PM #6

Do you recognize this directory and know what it's for?

C:\WINDOWS\system32\es-es

Alos, please navigate to this file, right-click on it and select "edit" and then copy and paste the contents here please:

C:\Archivos de programa\2K76IE6F.bat

monterrey · 11-May-2008, 02:52 PM #7

Hi, here is the info

I do not recognize this file, C:\WINDOWS\system32\es-es

This is what this file C:\Archivos de programa\2K76IE6F.bat, has inside:
:try
del "C:\Archivos de programa\Anyplace Control\Uninstall.exe"
if exist "C:\Archivos de programa\Anyplace Control\Uninstall.exe" goto try
rd "C:\Archivos de programa\Anyplace Control"
del "C:\Archivos de programa\2K76IE6F.bat"

Thank You for helping

**Cookiegal** · 12-May-2008, 07:32 PM #8

Do you recognize that program Anyplace Control? It's a program that allows others to remote into your computer. These programs can have legitimate uses.

monterrey · 12-May-2008, 08:38 PM #9

I do not recognize it

**Cookiegal** · 13-May-2008, 11:29 AM **#10**

Open Notepad and copy and paste the text in the code box below into it:

Code:

File::
C:\Archivos de programa\2K76IE6F.bat

Folder::
C:\Archivos de programa\Anyplace Control

DirLook::
C:\WINDOWS\system32\es-es

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnlIbAs]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Archivos de programa\\Internet Explorer\\IEXPLORE.EXE"=-

Save the file to your desktop and name it CFScript.txt

Then drag the CFScript.txt into the ComboFix.exe as shown in the screenshot below.

This will start ComboFix again. It may ask to reboot. Post the contents of Combofix.txt in your next reply together with a new HijackThis log.

Search
Search in:
Show Threads Show Posts
Advanced Search

Currently Active Users Viewing This Thread: 1 (0 members and 1 guests)