You are here:
Computer Security & Viruses/follow up
Advertisement
Question
hi brian
here are the 2 log files you asked for. first the combofix one then the hijackthis one.... my system pops up messages saying my system has low security at the moment...please let me know what you think
thanks dipika
ComboFix 08-09-11.02 - Toshiba 2008-09-12 18:25:48.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.797 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\Toshiba\Escritorio\ComboFix.exe
[color=red][b]ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION! [/b][/color]
.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\DOCUME~1\Toshiba\CONFIG~1\Temp\tmp1.tmp
C:\Documents and Settings\Toshiba\Cookies\ikecixibu.ban
C:\Documents and Settings\Toshiba\Cookies\ofemiju.com
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\actskn43.ocx
C:\WINDOWS\system32\blphcavvj0er91.scr
C:\WINDOWS\system32\phcavvj0er91.bmp
C:\WINDOWS\system32\sysrest.sys
C:\WINDOWS\system32\sysrest32.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SYSREST.SYS
-------\Legacy_TCPSR
-------\Service_sysrest.sys
(((((((((((((((((( Archivos creados desde 2008-08-12 - 2008-09-12 )))))))))))))))))))))))))))))))))
.
2008-09-12 18:33 . 2008-09-12 18:33 100 --ahs---- C:\WINDOWS\klif.spi
2008-09-12 18:31 . 2008-09-12 18:31 203,776 --a------ C:\WINDOWS\system32\lphcavvj0er91.exe
2008-09-10 14:02 . 2008-09-10 14:02 206 --a------ C:\WINDOWS\system32\MRT.INI
2008-09-10 10:37 . 2008-09-10 10:37 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-09-10 10:08 . 2006-06-16 14:43 <DIR> d--h----- C:\Documents and Settings\Administrador\Reciente
2008-09-10 10:08 . 2006-06-16 14:00 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-09-10 10:08 . 2006-06-16 14:43 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2008-09-10 10:08 . 2006-06-16 14:43 <DIR> dr------- C:\Documents and Settings\Administrador\Men£ Inicio
2008-09-10 10:08 . 2006-06-16 14:43 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-09-10 10:08 . 2006-06-16 14:43 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2008-09-10 10:08 . 2006-06-16 14:43 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-09-10 10:08 . 2006-06-16 14:43 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-09-10 10:08 . 2006-06-16 14:43 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-09-10 10:08 . 2008-09-10 10:08 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuraci¢n local
2008-09-10 10:08 . 2008-09-10 10:08 <DIR> d-------- C:\Documents and Settings\Administrador
2008-09-10 10:01 . 2008-09-10 13:57 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-09-10 10:01 . 2008-09-10 10:04 <DIR> d-------- C:\Archivos de programa\Spybot - Search & Destroy
2008-09-09 12:20 . 2008-09-09 12:20 <DIR> d-------- C:\Documents and Settings\Toshiba\Datos de programa\Argentum
2008-09-09 12:20 . 2008-09-09 12:24 <DIR> d-------- C:\Archivos de programa\Argentum Backup
2008-09-08 19:49 . 2008-09-08 20:04 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-09-08 19:49 . 2008-09-08 19:49 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-09-08 19:48 . 2008-09-11 00:24 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab
2008-09-08 19:48 . 2008-09-08 19:48 <DIR> d-------- C:\Archivos de programa\Kaspersky Lab
2008-09-08 19:48 . 2008-09-12 18:21 2,146,848 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-08 19:48 . 2008-09-12 18:21 385,056 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-08 19:48 . 2008-09-12 18:21 17,852 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-08 19:48 . 2008-09-12 18:21 2,396 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-09-06 17:29 . 2008-09-11 19:14 2,971 --a------ C:\ads_err.dbf
2008-09-06 13:37 . 2008-09-06 13:37 <DIR> d-------- C:\quarantine
2008-09-05 13:51 . 2008-09-05 13:51 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-09-05 12:17 . 2008-09-05 12:17 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-09-05 08:37 . 2008-09-05 08:37 <DIR> d-------- C:\Documents and Settings\Toshiba\Datos de programa\Malwarebytes
2008-09-05 08:37 . 2008-09-05 08:37 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-09-05 08:37 . 2008-09-05 08:38 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-09-05 08:37 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-05 08:37 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-04 21:59 . 2008-09-04 21:59 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Lavasoft
2008-09-04 21:59 . 2008-09-04 21:59 <DIR> d-------- C:\Archivos de programa\Lavasoft
2008-09-04 20:46 . 2008-09-08 19:45 <DIR> d-a------ C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-09-04 19:40 . 2008-09-08 20:00 21,504 --a------ C:\WINDOWS\system32\zaizvcj32.dll
2008-09-04 19:10 . 2008-09-08 20:11 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\slefojaf
2008-09-04 19:10 . 2008-09-04 19:10 <DIR> d-------- C:\Archivos de programa\rjtjwzf
2008-09-04 18:54 . 2008-09-04 18:54 18,745 --a------ C:\Archivos de programa\Archivos comunes\umidifeq.bat
2008-09-04 18:54 . 2008-09-04 18:54 18,390 --a------ C:\WINDOWS\system32\rime.reg
2008-09-04 18:54 . 2008-09-04 18:54 17,652 --a------ C:\WINDOWS\system32\kolely.exe
2008-09-04 18:54 . 2008-09-04 18:54 16,703 --a------ C:\WINDOWS\system32\howi.ban
2008-09-04 18:54 . 2008-09-04 18:54 16,124 --a------ C:\Documents and Settings\Toshiba\Datos de programa\diti.pif
2008-09-04 18:54 . 2008-09-04 18:54 15,697 --a------ C:\WINDOWS\system32\fawodi.bat
2008-09-04 18:54 . 2008-09-04 18:54 15,320 --a------ C:\WINDOWS\waqeky.com
2008-09-04 18:54 . 2008-09-04 18:54 15,289 --a------ C:\WINDOWS\ozawih.inf
2008-09-04 18:54 . 2008-09-04 18:54 13,475 --a------ C:\WINDOWS\system32\faqixafyby._dl
2008-09-04 18:54 . 2008-09-04 18:54 11,721 --a------ C:\Archivos de programa\Archivos comunes\yfyxylane.vbs
2008-09-04 18:54 . 2008-09-04 18:54 11,571 --a------ C:\WINDOWS\vobuqoj.db
2008-09-04 18:54 . 2008-09-04 18:54 11,470 --a------ C:\Documents and Settings\Toshiba\Datos de programa\xucecaga.vbs
2008-09-04 18:54 . 2008-09-04 18:54 10,888 --a------ C:\Documents and Settings\All Users\Datos de programa\mufoxyguna.reg
2008-09-04 18:54 . 2008-09-04 18:54 10,700 --a------ C:\WINDOWS\xysirana.dll
2008-09-04 18:54 . 2008-09-04 18:54 10,551 --a------ C:\Documents and Settings\Toshiba\Datos de programa\ipysy.com
2008-09-04 18:53 . 2008-09-04 22:52 106,496 --a------ C:\WINDOWS\system32\14.tmp
2008-09-04 18:52 . 2008-09-08 20:07 21,504 --a------ C:\WINDOWS\system32\zaizvcj.dll
2008-08-31 13:22 . 2008-08-31 13:22 1,409 --a------ C:\WINDOWS\Upca.fot
2008-08-31 13:22 . 2008-08-31 13:22 1,409 --a------ C:\WINDOWS\Code39.fot
2008-08-31 13:22 . 2008-08-31 13:22 1,409 --a------ C:\WINDOWS\c128btt.fot
2008-08-31 13:17 . 2005-08-04 09:50 24,496 --a------ C:\WINDOWS\c128btt.ttf
2008-08-31 13:17 . 2005-08-04 09:17 17,056 --a------ C:\WINDOWS\Upca.ttf
2008-08-31 13:17 . 2005-08-04 09:50 7,280 --a------ C:\WINDOWS\Code39.ttf
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 16:34 --------- d-----w C:\Documents and Settings\Toshiba\Datos de programa\Skype
2008-09-12 16:33 --------- d-----w C:\Documents and Settings\Toshiba\Datos de programa\skypePM
2008-09-10 16:01 --------- d-----w C:\Archivos de programa\Archivos comunes\Symantec Shared
2008-09-10 16:00 --------- d-----w C:\Archivos de programa\Norton Security Scan
2008-09-04 19:58 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-07-29 18:21 218,376 ----a-w C:\WINDOWS\system32\klogon.dll
2008-07-29 18:20 24,774 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
2008-07-21 16:34 121,872 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-07-18 10:16 --------- d-----w C:\Documents and Settings\Toshiba\Datos de programa\Image Zone Express
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 248,320 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-04-09 16:32 32 ----a-w C:\Documents and Settings\All Users\Datos de programa\ezsid.dat
2008-03-26 17:56 5,635,045 ----a-w C:\Documents and Settings\Toshiba\inf320.exe
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Skype"="C:\Archivos de programa\Skype\Phone\Skype.exe" [2008-04-23 22058792]
"LogitechSoftwareUpdate"="C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 15360]
"SpybotSD TeaTimer"="C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"THotkey"="C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 352256]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 118784]
"hcenter"="C:\Archivos de programa\Support.com\bin\tgcmd.exe" [2004-07-07 1916928]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="C:\Archivos de programa\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="C:\Archivos de programa\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-06-29 286720]
"AVP"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"MRT"="C:\WINDOWS\system32\MRT.exe" [2008-08-26 16208504]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 C:\WINDOWS\system32\bthprops.cpl]
"RTHDCPL"="RTHDCPL.EXE" [2006-12-19 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 15360]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"= 1 (0x1)
"NoDispScrSavPage"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"stradm"= {4A98CA41-47E2-AFEB-24BD-099A14506C50} - C:\Archivos de programa\rjtjwzf\stradm.dll [2008-09-04 110592]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\zaizvcj]
2008-09-08 20:07 21504 C:\WINDOWS\system32\zaizvcj.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= c:\archiv~1\codecp~1\divx3\divxc32.dll
"vidc.DIV4"= c:\archiv~1\codecp~1\divx412\divx.dll
"vidc.DIVX"= c:\archiv~1\codecp~1\divx511\divx.dll
"vidc.xvid"= c:\archiv~1\codecp~1\xvid\xvid.dll
"vidc.fvfw"= c:\archiv~1\codecp~1\ffvfw\ffvfw.dll
"msacm.avis"= c:\archiv~1\codecp~1\ffvfw\ffvfw.dll
"vidc.MPG4"= c:\archiv~1\codecp~1\mpeg4\mpg4c32.dll
"vidc.MP42"= c:\archiv~1\codecp~1\mpeg4\mpg4c32.dll
"vidc.MP43"= c:\archiv~1\codecp~1\mpeg4\mpg4c32.dll
"VIDC.MJPG"= c:\archiv~1\codecp~1\picvideo\pvmjpg21.dll
"VIDC.PIMJ"= c:\archiv~1\codecp~1\picvideo\pvljpg20.dll
"VIDC.PVW2"= c:\archiv~1\codecp~1\picvideo\pvwv220.dll
"VIDC.SJPG"= c:\archiv~1\codecp~1\pmmjpeg\pmmjpeg.dll
"vidc.MJPX"= c:\archiv~1\codecp~1\m3jpegv3\m3jpeg32.dll
"vidc.dmb1"= c:\archiv~1\codecp~1\m3jpegv3\m3jpeg32.dll
"VIDC.HFYU"= c:\archiv~1\codecp~1\huffyuv\huffyuv.dll
"VIDC.ZLIB"= c:\archiv~1\codecp~1\lcljp\avizlib.dll
"VIDC.MSZH"= c:\archiv~1\codecp~1\lcljp\avimszh.dll
"vidc.MVW1"= c:\archiv~1\codecp~1\aware\icmw_32.dll
"vidc.dvmc"= c:\archiv~1\codecp~1\mcdv\mcdvd_32.dll
"vidc.VP31"= c:\archiv~1\codecp~1\on2vp3\vp31vfw.dll
"vidc.VP60"= c:\archiv~1\codecp~1\on2vp6\vp6vfw.dll
"vidc.VP61"= c:\archiv~1\codecp~1\on2vp6\vp6vfw.dll
"vidc.3IV2"= c:\archiv~1\codecp~1\3ivx\3ivxvf~1.dll
"vidc.I263"= c:\archiv~1\codecp~1\i263\i263_32.drv
"msacm.imc"= c:\archiv~1\codecp~1\i263\imc32.acm
"VIDC.YMPG"= c:\archiv~1\codecp~1\ympeg\ympgcdc.dll
"msacm.ympgacm"= c:\archiv~1\codecp~1\ympeg\ympgacm.acm
"VIDC.WMV3"= c:\archiv~1\codecp~1\wm9\wmv9vcm.dll
"msacm.lameacm"= c:\archiv~1\codecp~1\mp3lame\lameacm.acm
"msacm.atrac3"= c:\archiv~1\codecp~1\atrac3\atrac3.acm
"msacm.qmpeg"= c:\archiv~1\codecp~1\qmpeg\qmpeg.acm
"msacm.uleaddv"= c:\archiv~1\codecp~1\uleaddv\dvacm.acm
"msacm.vorbis"= c:\archiv~1\codecp~1\vorbis\vorbis.acm
"msacm.divxa32"= c:\archiv~1\codecp~1\wma\divxa32.acm
"msacm.msaudio2"= c:\archiv~1\codecp~1\wma\msaud32h.acm
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Dls86.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Telefonica\\KitAIM\\AimExDll.exe"=
"C:\\Archivos de programa\\Support.com\\bin\\tgcmd.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Archivos de programa\\eMule\\emule.exe"=
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype1.exe"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
S0 Dls86;Dls86;C:\WINDOWS\system32\Drivers\Dls86.sys [ ]
S1 e7d58ba;e7d58ba;C:\WINDOWS\system32\drivers\e7d58ba.sys [ ]
S3 OracleOraHome92ClientCache;OracleOraHome92ClientCache;C:\oracle\ora92\BIN\ONRSD.EXE [2002-04-26 242328]
.
Contenido de carpeta 'Tareas Programadas'
.
- - - - ORPHANS REMOVED - - - -
HKCU-RunOnce-gi1976194239 - C:\DOCUME~1\Toshiba\CONFIG~1\Temp\giU6NQN4.exe
HKLM-Run-inrhcevvj0er91 - C:\WINDOWS\Temp\.ttE.tmp.exe
Notify-AtiExtEvent - (no file)
Notify-ckpNotify - (no file)
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
R1 -: HKCU-Internet Settings,ProxyOverride = localhost
O8 -: E&xportar a Microsoft Excel - C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{2D21AB34-E52F-408E-BA83-1816F363EFC9}: NameServer = 80.58.61.250,80.58.61.254
O18 -: Handler: brx - {9C160F90-74D1-11D3-AB60-0060977C1F29} - C:\Archivos de programa\Archivos comunes\BricsCad\BrxProtIE.dll
O18 -: Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O16 -: {B785FA3C-1DE9-4D20-8396-613C486FE95E} - hxxps://www1.aeat.es/imagenes/comun/cactivex.cab
C:\WINDOWS\Downloaded Program Files\aeat.inf
C:\WINDOWS\system32\mfc42.dll
C:\WINDOWS\Downloaded Program Files\AEAT.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-12 18:32:43
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
**************************************************************************
.
--------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Archivos de programa\Citrix\PNAgent\pnsson.dll
-> C:\WINDOWS\system32\zaizvcj.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\Archivos de programa\Citrix\PNAgent\ssonsvr.exe
C:\WINDOWS\temp\man1.tmp
C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\Archivos de programa\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Archivos de programa\Logitech\Video\FxSvr2.exe
C:\Archivos de programa\TOSHIBA\Bluetooth Monitor\BtMon2.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqste08.exe
C:\WINDOWS\temp\.ttB.tmp
C:\Archivos de programa\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
.
**************************************************************************
.
Tiempo completado: 2008-09-12 18:36:21 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-12 16:36:13
Pre-Run: 67,123,179,520 bytes libres
Post-Run: 67,290,079,232 bytes libres
289 --- E O F --- 2008-09-11 10:05:17
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:09, on 12/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\Archivos de programa\Citrix\PNAgent\ssonsvr.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\TEMP\man1.tmp
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Support.com\bin\tgcmd.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Archivos de programa\Logitech\Video\LogiTray.exe
C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Archivos de programa\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\TOSHIBA\Bluetooth Monitor\BtMon2.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\temp\.ttB.tmp
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Archivos de programa\internet explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [THotkey] C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [hcenter] "C:\Archivos de programa\Support.com\bin\tgcmd.exe" /server /startmonitor
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [MRT] "C:\WINDOWS\system32\MRT.exe" /R
O4 - HKLM\..\Run: [inrhcevvj0er91] C:\WINDOWS\Temp\.ttE.tmp.exe /CR=E08AC8ADEEC613C39E30C48EA611036B4EC0590A3ED675DD77A176E38222072A428073B7546577BA6DF17AD2C5C73E0ED532E626FAABE0EC9302E217B909B9BBCF8854D1DD029C63FC5765DCAC33ADE4AB8AB0E90ED494
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bluetooth Monitor.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www1.aeat.es/imagenes/comun/cactivex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D21AB34-E52F-408E-BA83-1816F363EFC9}: NameServer = 80.58.61.250,80.58.61.254
O18 - Protocol: brx - {9C160F90-74D1-11D3-AB60-0060977C1F29} - C:\Archivos de programa\Archivos comunes\BricsCad\BrxProtIE.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: zaizvcj - C:\WINDOWS\SYSTEM32\zaizvcj.dll
O21 - SSODL: stradm - {4A98CA41-47E2-AFEB-24BD-099A14506C50} - C:\Archivos de programa\rjtjwzf\stradm.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Archivos de programa\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
--
End of file - 9932 bytes
Hi Dipika
You still are infected with the same malware. They were not deleted with the scans. I had recommended to you in the prior message to uninstall Kaspersky. You also should disable Spybot S&D for the moment, as it interferes with the removal process. Then run Malwarebytes full scan and post me a new HJT log.
Brian
Related Articles
Computer Security & Viruses
Answers by Expert:
Brian Benosky
Expertise
I will help you in eradicating malware and all forms of virus/trojans/adware. I can answer all PC-related hardware issues. I can also troubleshoot Windows OS errors (all versions) and other software problems. HijackThis logs are a MUST for virus related help. If you do not know how to do this, I have posted easy-to-follow instructions on the Ask a Question page. Every computer infection is different, so I will give you personal instructions on how to remove the malware, not a 'pat' answer. You can be assured of a prompt, polite, and knowledgeable response in all regards.
Experience
I have over 25 years experience in using, building, and repairing computers. I have helped over two thousand people here on AllExperts, with consistent Top Feedback Scores. Please look at my answers here:
http://en.allexperts.com/q/Computer-Security-Viruses-1737/indexExp_84308.htm
I am also a Top Contributor of General Computing answers in Yahoo! Questions.
Education/Credentials
College Educated
Self-taught Computer Skills
©2012 About.com, a part of The New York Times Company. All rights reserved.