[Closed] wowfx.dll error

Computer forums for help with removing malicious software (malware) and improving computer security

Welcome Guest to What the Tech! ( Log In | Register ) We specialize in the removal of malicious software (malware), but here you'll find free help and support for all your tech questions. We invite you to ask questions, share experiences, and learn. Explore our message boards, or register now to post messages of your own. Please Start Here. Register today (registration removes advertising)

What the Tech > Spyware / Malware / Virus Removal > HijackThis™ Logs and Infections Removal

[Closed] wowfx.dll error

Options

heromorph View Member Profile	Sep 4 2008, 04:14 PM Post #1
New Member Group: New Member Posts: 6 Joined: 4-September 08 Member No.: 81,371 Operating System: Windows XP SP2 professional (spanish)	Hi, i have a problem, it started when my brother accidentally installed a software called "Antivirus XP 2008" i searched on the web about how to remove it, i only deleted the folder where it was installed in, and removed all registry entries I found with it's executable file name. Also i found some suspicious processes in task manager like alt.exe.exe and mazerarou.exe, i kill all these processes every time i use my pc, but i'd like to remove them, also i have another problem, every time a new process or exe file starts, i get an error warning that says: "The Application or DLL C:\Windows\system32\wowfx.dll is not a valid application. Please check it against the installation diskette." i searched about wowfx.dll and found it's a Trojan, and also it's how i found this forum with someone's similar case, so i hope you can help me too, i already made a backup of my registry with erunt, and installed Hijackthis, this is the log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 04:43:39 p.m., on 04/09/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\Archivos de programa\Bonjour\mDNSResponder.exe D:\Archivos de programa\iPod Access for Windows\iPAHelper.exe e:\MATLAB701\webserver\bin\win32\matlabserver.exe D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe D:\WINDOWS\System32\nvsvc32.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrls.exe D:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\pavsrv51.exe D:\WINDOWS\system32\HPZipm12.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\AVENGINE.EXE D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsImSvc.exe D:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe D:\WINDOWS\Explorer.EXE D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\ApvxdWin.exe D:\WINDOWS\Mixer.exe D:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe D:\Archivos de programa\Java\jre1.6.0_06\bin\jusched.exe D:\WINDOWS\vsnpmi03.exe D:\WINDOWS\system32\RUNDLL32.EXE D:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe D:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe D:\Archivos de programa\V-Stream\PVR Plus\TVR\Scheduled.exe D:\Archivos de programa\iTunes\iTunesHelper.exe D:\WINDOWS\system32\mazerarou.exe D:\WINDOWS\system32\alt.exe.exe D:\WINDOWS\system32\ctfmon.exe D:\Archivos de programa\MSN Messenger\msnmsgr.exe D:\Archivos de programa\Google\Google Talk\googletalk.exe D:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe D:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe D:\Archivos de programa\V-Stream\TV878\C7XRCtl.exe D:\Archivos de programa\palmOne\HOTSYNC.EXE D:\WINDOWS\system32\wuauclt.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\WebProxy.exe D:\WINDOWS\system32\svchost.exe D:\Archivos de programa\iPod\bin\iPodService.exe D:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe D:\WINDOWS\system32\wuauclt.exe D:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.finderg.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Archivos de programa\Real Player\rpbrowserrecordplugin.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Archivos de programa\BitComet\tools\BitCometBHO_1.2.6.26.dll O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - D:\Archivos de programa\Yahoo!\Common\yiesrvc.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {B1D3576A-CA42-4D09-83C1-15D563C19D71} - C:\AntivirAsistant\1.dll O2 - BHO: BhoApp Class - {F985D38B-61DE-3FCC-5872-1225C5BCB432} - D:\Archivos de programa\altcmd\altcmd32.dll O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Speaker Configuration] H:\Setup.exe /SPEAKER O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [GrooveMonitor] "D:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [APVXDWIN] "D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Archivos de programa\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [WinampAgent] "D:\Archivos de programa\Winamp\winampa.exe" O4 - HKLM\..\Run: [SNPMI03] D:\WINDOWS\vsnpmi03.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [ISUSPM Startup] "D:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "D:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [HP Software Update] D:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [PVR Agent] D:\Archivos de programa\V-Stream\PVR Plus\TVR\Scheduled.exe O4 - HKLM\..\Run: [iTunesHelper] "D:\Archivos de programa\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [voomoovyv] D:\WINDOWS\system32\mazerarou.exe O4 - HKLM\..\Run: [PromoReg] D:\WINDOWS\system32\alt.exe.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "D:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [googletalk] "D:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart O4 - HKCU\..\Run: [CDriver] c:\google.com\svchost.exe O4 - HKCU\..\Run: [DDriver] c:\google.com\svchost.exe O4 - HKCU\..\Run: [alpha] c:\google.com\svchost.exe O4 - HKCU\..\Run: [beta] c:\google.com\svchost.exe O4 - HKCU\..\Run: [gamma] c:\google.com\svchost.exe O4 - HKLM\..\Policies\Explorer\Run: [CDriver] c:\google.com\svchost.exe O4 - HKLM\..\Policies\Explorer\Run: [DDriver] c:\google.com\svchost.exe O4 - HKLM\..\Policies\Explorer\Run: [alpha] c:\google.com\svchost.exe O4 - HKLM\..\Policies\Explorer\Run: [beta] c:\google.com\svchost.exe O4 - HKLM\..\Policies\Explorer\Run: [gamma] c:\google.com\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = D:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: HotSync Manager.lnk = D:\Archivos de programa\palmOne\HOTSYNC.EXE O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = D:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: TV Remote Control.lnk = D:\Archivos de programa\V-Stream\TV878\C7XRCtl.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - D:\Archivos de programa\Yahoo!\Common\yiesrvc.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Archivos de programa\BitComet\tools\BitCometBHO_1.2.6.26.dll/206 (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - D:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D41FBCF2-B7A5-44D8-8081-A7F36A0B2A74}: NameServer = 213.246.33.228 O17 - HKLM\System\CCS\Services\Tcpip\..\{EE4E0981-E40B-4486-BFD1-EB8E83A5D425}: NameServer = 213.246.33.228 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: D:\WINDOWS\system32\wowfx.dll O23 - Service: Adobe LM Service - Adobe Systems - D:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apple Mobile Device - Apple Inc. - D:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - D:\Archivos de programa\Bonjour\mDNSResponder.exe O23 - Service: Microsoft Local Alerter (iiooaiquyaatg) - Unknown owner - D:\WINDOWS\System32\toquo.exe (file missing) O23 - Service: iPAHelper.exe - Unknown owner - D:\Archivos de programa\iPod Access for Windows\iPAHelper.exe O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - D:\Archivos de programa\iPod\bin\iPodService.exe O23 - Service: AOL Antivirus Update Service (iuayet6lgysu) - Unknown owner - D:\WINDOWS\system32\hyhoohi.exe O23 - Service: MATLAB Server (matlabserver) - Unknown owner - e:\MATLAB701\webserver\bin\win32\matlabserver.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe O23 - Service: Panda Software Controller - Panda Software International - D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrls.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\pavsrv51.exe O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsImSvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 12890 bytes I'll wait for your instructions to fix my pc, thanks in advance, by the way, my windows language is spanish, just in case it makes any difference. Jorge Gonzalez

Rorschach112 View Member Profile	Sep 4 2008, 06:20 PM Post #2
SuperMember Group: Visiting Teacher Posts: 2,193 Joined: 29-September 07 Member No.: 73,164 Operating System: Windows XP	Hello Before we begin, you should save these instructions in Notepad to your desktop, or print them, for easy reference. Much of our fix will be done in Safe mode, and you will be unable to access this thread at that time. If you have questions at any point, or are unsure of the instructions, feel free to post here and ask for clarification before proceeding. Download SDFix and save it to your Desktop. Double click SDFix.exe and it will extract the files to %systemdrive% (Drive that contains the Windows Directory, typically C:\SDFix) Please then reboot your computer in Safe Mode by doing the following : Restart your computer After hearing your computer beep once during startup, but before the Windows icon appears, tap the F8 key continually; Instead of Windows loading as normal, the Advanced Options Menu should appear; Select the first option, to run Windows in Safe Mode, then press Enter. Choose your usual account. Open the extracted SDFix folder and double click RunThis.bat to start the script. Type Y to begin the cleanup process. It will remove any Trojan Services and Registry Entries that it finds then prompt you to press any key to Reboot. Press any Key and it will restart the PC. When the PC restarts the Fixtool will run again and complete the removal process then display Finished, press any key to end the script and load your desktop icons. Once the desktop icons load the SDFix report will open on screen and also save into the SDFix folder as Report.txt (Report.txt will also be copied to Clipboard ready for posting back on the forum). Finally paste the contents of the Report.txt back on the forum. Please visit this web page for instructions for downloading and running ComboFix http://www.bleepingcomputer.com/combofix/how-to-use-combofix This includes installing the Windows XP Recovery Console in case you have not installed it yet. For more information on the Windows XP Recovery Console read http://support.microsoft.com/kb/314058. Once you install the Recovery Console, when you reboot your computer, you'll see the option for the Recovery Console now as well. Don't select Recovery Console as we don't need it. By default, your main OS is selected there. The screen stays for 2 seconds and then it proceeds to load Windows. That is normal. Post the log from ComboFix when you've accomplished that, along with a new HijackThis log.

heromorph View Member Profile	Sep 4 2008, 07:52 PM Post #3
New Member Group: New Member Posts: 6 Joined: 4-September 08 Member No.: 81,371 Operating System: Windows XP SP2 professional (spanish)	Ok, i've finished your instructions, wowfx.dll errors doesn't appear anymore, but mazerarou.exe still appears on task manager, here you have SDFix report: SDFix: Version 1.221 Run by Jorge on 04/09/2008 at 08:10 p.m. Microsoft Windows XP [Versi¢n 5.1.2600] Running From: D:\SDFix\SDFix Checking Services : Name : iuayet6lgysu Path : D:\WINDOWS\system32\hyhoohi.exe iuayet6lgysu - Deleted Restoring Default Security Values Restoring Default Hosts File Resetting SecurityProviders Value Restoring Default ScreenSaver value Resetting AppInit_DLLs value Rebooting Checking Files : Trojan Files Found: D:\WINDOWS\system32\hyhoohi.exe - Deleted D:\WINDOWS\system32\blphc50tj0e7d3.scr - Deleted D:\WINDOWS\SYSTEM32\29.TMP - Deleted D:\WINDOWS\system32\alt.exe.exe - Deleted D:\WINDOWS\system32\back.exe.exe - Deleted D:\Archivos de programa\altcmd\altcmd.inf - Deleted D:\Archivos de programa\altcmd\altcmd32.dll - Deleted D:\Archivos de programa\altcmd\uninstall.bat - Deleted D:\WINDOWS\system32\29.tmp - Deleted D:\WINDOWS\crock+mock.config - Deleted D:\WINDOWS\neos.exe - Deleted D:\WINDOWS\system32\svcp.csv - Deleted D:\WINDOWS\system32\winsub.xml - Deleted D:\WINDOWS\system32\wowfx.dll - Deleted Folder D:\Documents and Settings\Jorge\Datos de programa\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#ww.redtube.com - Removed Folder D:\Archivos de programa\altcmd - Removed Removing Temp Files ADS Check* : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-04 20:16:16 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg40] "ujdew"=hex:20,02,00,00,6f,37,6d,3a,58,5b,d4,30,f3,24,1c,42,bc,c0,e9,1e,d8,.. "ljej40"=hex:6c,a5,31,c5,4c,78,0a,36,aa,9c,fe,6a,4b,ca,78,7a,d9,71,66,c5,4e,.. scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}] "DisplayName"="Alcohol 120%" scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe::enabled:@xpsp2res.dll,-22019" "D:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"="D:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE::Enabled:Microsoft Office Outlook" "D:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"="D:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE::Enabled:Microsoft Office Groove" "D:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"="D:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE::Enabled:Microsoft Office OneNote" "D:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"="D:\\Archivos de programa\\Bonjour\\mDNSResponder.exe::Enabled:Bonjour" "D:\\Archivos de programa\\Yahoo!\\Messenger\\YahooMessenger.exe"="D:\\Archivos de programa\\Yahoo!\\Messenger\\YahooMessenger.exe::Enabled:Yahoo! Messenger" "D:\\Archivos de programa\\Yahoo!\\Messenger\\YServer.exe"="D:\\Archivos de programa\\Yahoo!\\Messenger\\YServer.exe::Enabled:Yahoo! FT Server" "D:\\Archivos de programa\\BitComet\\BitComet.exe"="D:\\Archivos de programa\\BitComet\\BitComet.exe::Enabled:BitComet - a BitTorrent Client" "D:\\Archivos de programa\\Real Player\\realplay.exe"="D:\\Archivos de programa\\Real Player\\realplay.exe::Enabled:RealPlayer" "D:\\Archivos de programa\\eMule\\emule.exe"="D:\\Archivos de programa\\eMule\\emule.exe::Enabled:eMule" "E:\\Archivos de programa\\eMule\\eMule.exe"="E:\\Archivos de programa\\eMule\\eMule.exe::Enabled:eMule Plus" "D:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="D:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe::Enabled:Windows Live Messenger 8.1" "D:\\Archivos de programa\\MSN Messenger\\livecall.exe"="D:\\Archivos de programa\\MSN Messenger\\livecall.exe::Enabled:Windows Live Messenger 8.1 (Phone)" "D:\\Archivos de programa\\Garena\\Garena.exe"="D:\\Archivos de programa\\Garena\\Garena.exe::Enabled:Garena" "C:\\Archivos de Programa\\BitComet\\BitComet.exe"="C:\\Archivos de Programa\\BitComet\\BitComet.exe::Enabled:BitComet - a BitTorrent Client" "F:\\Archivos de programa\\eMule\\emule.exe"="F:\\Archivos de programa\\eMule\\emule.exe::Enabled:eMule" "D:\\Archivos de programa\\Google\\Google Talk\\googletalk.exe"="D:\\Archivos de programa\\Google\\Google Talk\\googletalk.exe::Enabled:Google Talk" "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe::Enabled:hpqtra08.exe" "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe::Enabled:hpqste08.exe" "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe::Enabled:hpofxm08.exe" "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe::Enabled:hposfx08.exe" "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe::Enabled:hposid01.exe" "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe::Enabled:hpqscnvw.exe" "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe::Enabled:hpqkygrp.exe" "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe::Enabled:hpqcopy.exe" "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe::Enabled:hpfccopy.exe" "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe::Enabled:hpzwiz01.exe" "D:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe::Enabled:hpqphunl.exe" "D:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe::Enabled:hpqdia.exe" "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe::Enabled:hpoews01.exe" "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqnrs08.exe::Enabled:hpqnrs08.exe" "D:\\Archivos de programa\\iTunes\\iTunes.exe"="D:\\Archivos de programa\\iTunes\\iTunes.exe::Enabled:iTunes" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe::Enabled:@xpsp3res.dll,-20000" "D:\\WINDOWS\\neos.exe"="D:\\WINDOWS\\neos.exe::Enabled:enable" "D:\\Archivos de programa\\Skype\\Phone\\Skype.exe"="D:\\Archivos de programa\\Skype\\Phone\\Skype.exe::Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe::enabled:@xpsp2res.dll,-22019" "D:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="D:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe::Enabled:Windows Live Messenger 8.1" "D:\\Archivos de programa\\MSN Messenger\\livecall.exe"="D:\\Archivos de programa\\MSN Messenger\\livecall.exe::Enabled:Windows Live Messenger 8.1 (Phone)" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe::Enabled:@xpsp3res.dll,-20000" Remaining Files* : File Backups: - D:\SDFix\SDFix\backups\backups.zip Files with Hidden Attributes : Sat 16 Aug 2008 56 ..SHR --- "D:\WINDOWS\system32\9FA10E98B5.sys" Sun 31 Aug 2008 3,350 A.SH. --- "D:\WINDOWS\system32\KGyGaAvL.sys" Thu 4 Sep 2008 0 A..H. --- "D:\WINDOWS\SoftwareDistribution\Download\3a5c3ce40c5fbeef4ba4464fdb54ee78\BIT96.tmp" Finished! This is ComboFix report: ComboFix 08-09-04.02 - Jorge 2008-09-04 20:21:04.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.430 [GMT -5:00] Se ejecuta desde: D:\Documents and Settings\Jorge\Escritorio\ComboFix.exe Command switches used :: D:\Documents and Settings\Jorge\Escritorio\WindowsXP-KB310994-SP2-Pro-BootDisk-ESN.exe * Creado un nuevo punto de restauración . (((((((((((((((((((((((((((((((((((( Otras eliminaciones ))))))))))))))))))))))))))))))))))))))))))))))))) . D:\Documents and Settings\Jorge\Datos de programa\rhc10tj0e7d3 D:\WINDOWS\system32\actskn43.ocx . (((((((((((((((((( Archivos creados desde 2008-08-05 - 2008-09-05 ))))))))))))))))))))))))))))))))) . 2008-09-04 20:18 . 2008-07-14 13:24 143,360 --a------ D:\WINDOWS\system32\hyhoohi.exe 2008-09-04 20:00 . 2008-09-04 20:00 <DIR> d-------- D:\WINDOWS\ERUNT 2008-09-04 19:50 . 2008-09-04 19:50 <DIR> d-------- D:\SDFix 2008-09-04 16:11 . 2008-09-04 16:11 <DIR> d-------- D:\Archivos de programa\ERUNT 2008-08-29 00:19 . 2008-08-29 00:21 <DIR> d-------- D:\Documents and Settings\Jorge\dwhelper 2008-08-28 23:36 . 2008-08-29 00:27 <DIR> d-------- D:\DVDVideoSoft 2008-08-28 23:36 . 2008-08-28 23:36 <DIR> d-------- D:\Archivos de programa\DVDVideoSoft 2008-08-28 23:36 . 2008-08-28 23:36 <DIR> d-------- D:\Archivos de programa\Archivos comunes\DVDVideoSoft 2008-08-28 23:27 . 2008-08-28 23:27 <DIR> d-------- D:\Archivos de programa\Handbrake 2008-08-28 14:54 . 2008-08-28 14:54 268 --ah----- D:\sqmdata19.sqm 2008-08-28 14:54 . 2008-08-28 14:54 244 --ah----- D:\sqmnoopt19.sqm 2008-08-27 03:00 . 2008-08-27 03:00 268 --ah----- D:\sqmdata18.sqm 2008-08-27 03:00 . 2008-08-27 03:00 244 --ah----- D:\sqmnoopt18.sqm 2008-08-26 23:27 . 2008-07-14 13:24 143,360 --a------ D:\WINDOWS\system32\mazerarou.exe 2008-08-26 00:47 . 2008-08-26 00:47 <DIR> d-------- D:\Archivos de programa\Trend Micro 2008-08-25 23:14 . 2008-08-25 23:14 268 --ah----- D:\sqmdata17.sqm 2008-08-25 23:14 . 2008-08-25 23:14 244 --ah----- D:\sqmnoopt17.sqm 2008-08-25 22:37 . 2008-08-25 22:37 268 --ah----- D:\sqmdata16.sqm 2008-08-25 22:37 . 2008-08-25 22:37 244 --ah----- D:\sqmnoopt16.sqm 2008-08-25 22:03 . 2008-08-25 22:03 268 --ah----- D:\sqmdata15.sqm 2008-08-25 22:03 . 2008-08-25 22:03 244 --ah----- D:\sqmnoopt15.sqm 2008-08-24 17:24 . 2008-08-24 17:24 <DIR> d-------- D:\WINDOWS\system32\xlib254.dll 2008-08-24 17:24 . 2008-08-24 17:24 <DIR> d-------- D:\WINDOWS\system32\append.dll 2008-08-24 15:49 . 2008-08-24 15:49 55,304 --ah----- D:\WINDOWS\system32\mlfcache.dat 2008-08-24 15:42 . 2008-08-24 15:42 <DIR> d-------- D:\Archivos de programa\Safari 2008-08-19 23:30 . 2008-08-19 23:30 268 --ah----- D:\sqmdata14.sqm 2008-08-19 23:30 . 2008-08-19 23:30 244 --ah----- D:\sqmnoopt14.sqm 2008-08-19 03:23 . 2008-08-19 03:23 268 --ah----- D:\sqmdata13.sqm 2008-08-19 03:23 . 2008-08-19 03:23 244 --ah----- D:\sqmnoopt13.sqm 2008-08-18 23:36 . 2008-08-18 23:36 <DIR> d-------- D:\WINDOWS\PrimoPDF 2008-08-18 23:36 . 2008-08-18 23:36 <DIR> d-------- D:\Archivos de programa\activePDF 2008-08-18 23:36 . 2006-12-11 15:12 176,235 --a------ D:\WINDOWS\system32\Primomonnt.dll 2008-08-18 00:17 . 2008-08-18 00:57 <DIR> d-------- D:\WINDOWS\system32\CatRoot_bak 2008-08-17 20:07 . 2008-08-17 20:07 268 --ah----- D:\sqmdata12.sqm 2008-08-17 20:07 . 2008-08-17 20:07 244 --ah----- D:\sqmnoopt12.sqm 2008-08-15 22:50 . 2008-08-15 22:50 268 --ah----- D:\sqmdata11.sqm 2008-08-15 22:50 . 2008-08-15 22:50 244 --ah----- D:\sqmnoopt11.sqm 2008-08-14 19:30 . 2008-08-14 19:30 118 --a------ D:\WINDOWS\system32\MRT.INI 2008-08-14 18:44 . 2008-05-01 09:31 331,776 -----c--- D:\WINDOWS\system32\dllcache\msadce.dll 2008-08-09 15:13 . 2008-08-09 15:13 268 --ah----- D:\sqmdata10.sqm 2008-08-09 15:13 . 2008-08-09 15:13 244 --ah----- D:\sqmnoopt10.sqm 2008-08-09 13:37 . 2008-06-23 11:28 6,066,176 -----c--- D:\WINDOWS\system32\dllcache\ieframe.dll 2008-08-09 13:37 . 2007-04-17 04:32 2,455,488 -----c--- D:\WINDOWS\system32\dllcache\ieapfltr.dat 2008-08-09 13:37 . 2007-03-08 00:10 1,040,384 -----c--- D:\WINDOWS\system32\dllcache\ieframe.dll.mui 2008-08-09 13:37 . 2008-06-23 11:28 459,264 -----c--- D:\WINDOWS\system32\dllcache\msfeeds.dll 2008-08-09 13:37 . 2008-06-23 11:28 383,488 -----c--- D:\WINDOWS\system32\dllcache\ieapfltr.dll 2008-08-09 13:37 . 2008-06-23 11:28 267,776 -----c--- D:\WINDOWS\system32\dllcache\iertutil.dll 2008-08-09 13:37 . 2008-06-23 11:28 63,488 -----c--- D:\WINDOWS\system32\dllcache\icardie.dll 2008-08-09 13:37 . 2008-06-23 11:28 52,224 -----c--- D:\WINDOWS\system32\dllcache\msfeedsbs.dll 2008-08-09 13:37 . 2008-06-23 04:20 13,824 -----c--- D:\WINDOWS\system32\dllcache\ieudinit.exe 2008-08-09 00:49 . 2008-08-09 02:54 248 --a------ D:\WINDOWS\emug3.ini 2008-08-09 00:32 . 2008-08-09 00:32 <DIR> d-------- D:\Archivos de programa\Archivos comunes\KnifeEdge 2008-08-09 00:00 . 2008-08-09 00:00 268 --ah----- D:\sqmdata09.sqm 2008-08-09 00:00 . 2008-08-09 00:00 244 --ah----- D:\sqmnoopt09.sqm 2008-08-08 23:57 . 2008-08-08 23:57 268 --ah----- D:\sqmdata08.sqm 2008-08-08 23:57 . 2008-08-08 23:57 244 --ah----- D:\sqmnoopt08.sqm 2008-08-08 23:32 . 2008-08-08 23:32 268 --ah----- D:\sqmdata07.sqm 2008-08-08 23:32 . 2008-08-08 23:32 244 --ah----- D:\sqmnoopt07.sqm 2008-08-08 23:27 . 2008-08-08 23:27 268 --ah----- D:\sqmdata06.sqm 2008-08-08 23:27 . 2008-08-08 23:27 244 --ah----- D:\sqmnoopt06.sqm 2008-08-08 23:23 . 2008-08-08 23:23 268 --ah----- D:\sqmdata05.sqm 2008-08-08 23:23 . 2008-08-08 23:23 244 --ah----- D:\sqmnoopt05.sqm 2008-08-08 22:03 . 2008-08-09 18:52 <DIR> d-------- D:\WINDOWS\system32\es-es 2008-08-08 21:54 . 2007-08-13 18:54 33,792 --a--c--- D:\WINDOWS\system32\dllcache\custsat.dll 2008-08-08 21:54 . 2008-09-03 16:44 268 --ah----- D:\sqmdata04.sqm 2008-08-08 21:54 . 2008-09-03 16:44 244 --ah----- D:\sqmnoopt04.sqm 2008-08-08 21:52 . 2003-02-28 18:26 139,536 --a------ D:\WINDOWS\system32\javaee.dll 2008-08-08 21:52 . 2003-02-28 18:26 46,352 --a------ D:\WINDOWS\setdebug.exe 2008-08-08 21:52 . 2003-02-28 16:54 7,315 --a------ D:\WINDOWS\system32\javasup.vxd 2008-08-08 21:52 . 2003-02-28 16:35 6,550 --a------ D:\WINDOWS\jautoexp.dat 2008-08-08 21:52 . 2003-02-28 16:38 113 --a------ D:\WINDOWS\system32\zonedon.reg 2008-08-08 21:52 . 2003-02-28 16:38 113 --a------ D:\WINDOWS\system32\zonedoff.reg 2008-08-08 21:46 . 2008-09-02 13:02 268 --ah----- D:\sqmdata03.sqm 2008-08-08 21:46 . 2008-09-02 13:02 244 --ah----- D:\sqmnoopt03.sqm 2008-08-08 18:09 . 2008-08-08 18:09 <DIR> d-------- D:\Archivos de programa\iPod 2008-08-07 07:39 . 2008-09-01 08:07 268 --ah----- D:\sqmdata02.sqm 2008-08-07 07:39 . 2008-09-01 08:07 244 --ah----- D:\sqmnoopt02.sqm 2008-08-07 04:24 . 2008-08-07 04:24 <DIR> d-------- D:\Documents and Settings\Jorge\Datos de programa\Acoustica 2008-08-07 02:42 . 2008-08-07 02:43 <DIR> d-------- D:\Archivos de programa\FMS 2008-08-07 00:45 . 1999-12-17 10:13 86,016 --a------ D:\WINDOWS\unvise32.exe 2008-08-07 00:44 . 2008-08-07 00:45 <DIR> d-------- D:\Archivos de programa\Parallel Port Joystick . (((((((((((((((((((((((((((((((((((((( Reporte Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-01 03:52 --------- d-----w D:\Archivos de programa\BitComet 2008-08-22 21:36 --------- d-----w D:\Archivos de programa\VST 2008-08-22 21:36 --------- d-----w D:\Archivos de programa\Acoustica Shared Effects 2008-08-22 21:36 --------- d-----w D:\Archivos de programa\Acoustica Mixcraft 3 2008-08-21 17:01 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\Microsoft Help 2008-08-15 00:24 --------- d-----w D:\Archivos de programa\Real Player 2008-08-08 23:43 --------- d-----w D:\Archivos de programa\Apple Software Update 2008-08-08 23:09 --------- d-----w D:\Archivos de programa\iTunes 2008-08-04 05:01 --------- d--h--w D:\Archivos de programa\InstallShield Installation Information 2008-08-03 22:49 --------- d-----w D:\Documents and Settings\Emma\Datos de programa\Yahoo! 2008-07-30 17:46 --------- d-----w D:\Archivos de programa\Illustrate 2008-07-25 09:28 --------- d-----w D:\Documents and Settings\Jorge\Datos de programa\Apple Computer 2008-07-25 07:42 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\HP 2008-07-25 07:42 --------- d-----w D:\Archivos de programa\HP 2008-07-25 07:42 --------- d-----w D:\Archivos de programa\Archivos comunes\HP 2008-07-25 07:39 --------- d-----w D:\Archivos de programa\Hewlett-Packard 2008-07-25 07:38 --------- d-----w D:\Archivos de programa\Archivos comunes\Hewlett-Packard 2008-07-25 05:28 --------- d-----w D:\Archivos de programa\Archivos comunes\Adobe 2008-07-25 05:27 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\Adobe Systems 2008-07-25 05:27 --------- d-----w D:\Archivos de programa\Archivos comunes\Adobe Systems Shared 2008-07-23 06:08 --------- d-----w D:\Archivos de programa\Multisim7 2008-07-23 05:17 --------- d-----w D:\Archivos de programa\Your Company 2008-07-22 18:14 --------- d-----w D:\Archivos de programa\Zeallsoft 2008-07-22 03:37 --------- d-----w D:\Archivos de programa\Google 2008-07-22 00:41 --------- d-----w D:\Archivos de programa\Free Screen Recorder 2008-07-21 19:31 --------- d-----w D:\Documents and Settings\Jorge\Datos de programa\Skype 2008-07-21 13:08 --------- d-----w D:\Documents and Settings\Jorge\Datos de programa\skypePM 2008-07-21 09:45 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\Skype 2008-07-21 09:45 --------- d-----w D:\Archivos de programa\Skype 2008-07-21 09:45 --------- d-----w D:\Archivos de programa\Archivos comunes\Skype 2008-07-20 23:29 --------- d-----w D:\Archivos de programa\Archivos comunes\Merge Modules 2008-07-20 23:21 --------- d-----w D:\Archivos de programa\HI-TECH Software 2008-07-20 23:19 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\National Instruments 2008-07-20 20:20 --------- d-----w D:\Archivos de programa\Corel 2008-07-20 20:20 --------- d-----w D:\Archivos de programa\Archivos comunes\Corel 2008-07-20 19:52 --------- d-----w D:\Archivos de programa\LandWare 2008-07-20 19:51 --------- d-----w D:\Archivos de programa\palmOne 2008-07-20 19:45 --------- d-----w D:\Archivos de programa\Archivos comunes\InstallShield 2008-07-19 18:59 --------- d-----w D:\Archivos de programa\Garena 2008-07-19 18:57 --------- d-----w D:\Documents and Settings\Jorge\Datos de programa\InstallShield 2008-07-19 16:14 --------- d-----w D:\Documents and Settings\Jorge\Datos de programa\vlc 2008-07-19 16:01 --------- d-----w D:\Documents and Settings\Jorge\Datos de programa\Corel 2008-07-19 16:01 --------- d-----w D:\Documents and Settings\Jorge\Datos de programa\Canon 2008-07-18 05:23 --------- d-----w D:\Archivos de programa\Red Kawa 2008-07-18 05:22 --------- d-----w D:\Archivos de programa\VideoLAN 2008-07-17 17:34 --------- d-----w D:\Archivos de programa\MSXML 4.0 2008-07-17 04:22 --------- d-----w D:\Documents and Settings\Jorge\Datos de programa\Yahoo! 2008-07-16 21:00 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\InstallShield 2008-07-16 17:32 --------- d-----w D:\Archivos de programa\ArcSoft 2008-07-16 17:19 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\Pinnacle 2008-07-16 16:39 5,632 ----a-w D:\WINDOWS\system32\drivers\StarOpen.sys 2008-07-16 16:27 --------- d-----w D:\Archivos de programa\Samsung 2008-07-16 07:09 --------- d-----w D:\Documents and Settings\Jorge\Datos de programa\AdobeUM 2008-07-16 06:11 --------- d-----w D:\Archivos de programa\Buesser Engineering 2008-07-15 17:48 --------- d-----w D:\Archivos de programa\MSXML 6.0 2008-07-14 20:32 --------- d-----w D:\Archivos de programa\MSN Messenger 2008-07-14 15:25 13,824 ----a-w D:\WINDOWS\system32\drivers\splitcam.sys 2008-07-14 06:44 --------- d-----w D:\Archivos de programa\Total Video Converter 2008-07-13 20:41 --------- d-----w D:\Documents and Settings\Jorge\Datos de programa\Winamp 2008-07-13 06:40 --------- d-----w D:\Archivos de programa\Reference Assemblies 2008-07-13 06:33 --------- d-----w D:\Archivos de programa\Lphant 2008-07-13 06:09 --------- d-----w D:\Archivos de programa\eMule 2008-07-11 22:19 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\Findley Designs 2008-07-11 22:19 --------- d-----w D:\Archivos de programa\iPod Access for Windows 2008-07-11 21:59 --------- d-----w D:\Archivos de programa\DSD 2008-07-11 20:52 --------- d-----w D:\Archivos de programa\AVI Codec Pack 2008-07-11 18:36 --------- d-----w D:\Archivos de programa\SplitCam 2008-07-10 02:39 --------- d-----w D:\Archivos de programa\KYE 2008-07-09 16:57 --------- d-----w D:\Archivos de programa\Acoustica DJ Twist And Burn 2008-07-09 16:37 --------- d-----w D:\Archivos de programa\Winamp 2008-07-09 07:41 --------- d-----w D:\Archivos de programa\Archivos comunes\xing shared 2008-07-09 07:41 --------- d-----w D:\Archivos de programa\Archivos comunes\Real 2008-07-08 21:49 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\Acoustica 2008-07-08 19:49 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\Yahoo! Companion 2008-07-08 18:55 --------- d-----w D:\Archivos de programa\Java 2008-07-08 18:45 --------- d-----w D:\Archivos de programa\Archivos comunes\Java 2008-07-08 18:35 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\Yahoo! 2008-07-08 18:33 --------- d-----w D:\Archivos de programa\Yahoo! 2008-07-07 19:46 --------- d-----w D:\Archivos de programa\QuickTime 2008-07-07 19:29 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\Apple Computer 2008-07-07 19:29 --------- d-----w D:\Archivos de programa\Bonjour 2008-07-07 19:28 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\Apple 2008-07-07 19:28 --------- d-----w D:\Archivos de programa\Archivos comunes\Apple 2008-07-07 17:40 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\sentinel 2008-07-07 17:39 --------- d-----w D:\Archivos de programa\Prodigy Antivirus 2008-07-07 17:32 --------- d-----w D:\Archivos de programa\Archivos comunes\Panda Software 2008-07-07 07:03 --------- d-----w D:\Archivos de programa\TopSPICE Demo 2008-07-07 06:53 --------- d-----w D:\Archivos de programa\MSBuild 2008-07-07 06:53 --------- d-----w D:\Archivos de programa\Microsoft Works 2008-07-07 06:44 --------- d-----w D:\Archivos de programa\V-Stream 2008-07-07 06:40 --------- d--h--w D:\Documents and Settings\All Users\Datos de programa\CanonBJ 2008-07-07 06:15 --------- d-----w D:\Archivos de programa\Alcohol Soft 2008-07-07 05:42 --------- d-----w D:\Archivos de programa\Driver-Soft 2008-07-07 05:14 --------- d-----w D:\Archivos de programa\microsoft frontpage 2008-07-07 05:13 --------- d-----w D:\Archivos de programa\Servicios en línea . ((((((((((((((((((((((((((((((((( Cargando Puntos Reg )))))))))))))))))))))))))))))))))))))))))))))))))) . . Nota entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360] "msnmsgr"="D:\Archivos de programa\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352] "googletalk"="D:\Archivos de programa\Google\Google Talk\googletalk.exe" [2007-11-20 3293184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="D:\WINDOWS\System32\NvCpl.dll" [2007-06-29 8466432] "GrooveMonitor"="D:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016] "QuickTime Task"="D:\Archivos de programa\QuickTime\QTTask.exe" [2008-05-27 413696] "SunJavaUpdateSched"="D:\Archivos de programa\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784] "SNPMI03"="D:\WINDOWS\vsnpmi03.exe" [2003-08-08 32768] "NvMediaCenter"="D:\WINDOWS\System32\NvMcTray.dll" [2007-06-29 81920] "AppleSyncNotifier"="D:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040] "ISUSPM Startup"="D:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856] "ISUSScheduler"="D:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2005-08-11 81920] "HP Software Update"="D:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2005-12-15 49152] "PVR Agent"="D:\Archivos de programa\V-Stream\PVR Plus\TVR\Scheduled.exe" [2003-11-24 730112] "iTunesHelper"="D:\Archivos de programa\iTunes\iTunesHelper.exe" [2008-07-30 289064] "voomoovyv"="D:\WINDOWS\system32\mazerarou.exe" [2008-07-14 143360] "nwiz"="nwiz.exe" [2007-06-29 D:\WINDOWS\system32\nwiz.exe] "C-Media Mixer"="Mixer.exe" [2001-10-22 D:\WINDOWS\mixer.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "voomoovyv"="D:\WINDOWS\system32\mazerarou.exe" [2008-07-14 143360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr] 2007-02-15 19:02 50736 D:\WINDOWS\system32\avldr.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "D:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "D:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"= "D:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"= "D:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"= "D:\\Archivos de programa\\Yahoo!\\Messenger\\YahooMessenger.exe"= "D:\\Archivos de programa\\Yahoo!\\Messenger\\YServer.exe"= "D:\\Archivos de programa\\BitComet\\BitComet.exe"= "D:\\Archivos de programa\\Real Player\\realplay.exe"= "D:\\Archivos de programa\\eMule\\emule.exe"= "E:\\Archivos de programa\\eMule\\eMule.exe"= "D:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"= "D:\\Archivos de programa\\MSN Messenger\\livecall.exe"= "D:\\Archivos de programa\\Garena\\Garena.exe"= "C:\\Archivos de Programa\\BitComet\\BitComet.exe"= "F:\\Archivos de programa\\eMule\\emule.exe"= "D:\\Archivos de programa\\Google\\Google Talk\\googletalk.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"= "D:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"= "D:\\Archivos de programa\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "D:\\Archivos de programa\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "21646:TCP"= 21646:TCP:BitComet 21646 TCP "21646:UDP"= 21646:UDP:BitComet 21646 UDP "20677:TCP"= 20677:TCP:BitComet 20677 TCP "20677:UDP"= 20677:UDP:BitComet 20677 UDP R0 viasraid;viasraid;D:\WINDOWS\system32\drivers\viasraid.sys [2003-06-12 75904] R1 ShldDrv;Panda File Shield Driver;D:\WINDOWS\system32\DRIVERS\ShlDrv51.sys [2007-05-23 38968] R2 BT848;V-Stream TV878 Video Capture;D:\WINDOWS\system32\drivers\cxvcap.sys [2003-12-10 60544] R2 BTXBAR;V-Stream TV878 Crossbar;D:\WINDOWS\system32\drivers\CXXBAR.sys [2003-12-10 9472] R2 CXTUNER;V-Stream TV878 Tuner;D:\WINDOWS\system32\drivers\CXTUNER.sys [2003-12-10 27904] R2 PavProc;Panda Process Protection Driver;D:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-07-12 178872] R3 PPJoyBus;Parallel Port Joystick Bus device driver;D:\WINDOWS\system32\drivers\PPJoyBus.sys [2004-10-24 13952] S2 iiooaiquyaatg;Microsoft Local Alerter;D:\WINDOWS\System32\toquo.exe [ ] S2 iuayet6lgysu;AOL Antivirus Update Service;D:\WINDOWS\system32\hyhoohi.exe [2008-07-14 143360] S3 cwrwdm;SoundFusion™ WDM Driver;D:\WINDOWS\system32\DRIVERS\cwrwdm.sys [2001-09-13 89952] S3 PPortJoystick;Parallel Port Joystick device driver;D:\WINDOWS\system32\drivers\PPortJoy.sys [2004-10-24 28800] S3 snpmi03;VideoCAM NB 300;D:\WINDOWS\system32\DRIVERS\snpmi03.sys [2004-01-12 186112] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C] \Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL huvajab.exe \Shell\explore\command - C:\huvajab.exe \Shell\find\command - C:\huvajab.exe \Shell\open\command - C:\huvajab.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] \Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL joofufyse.exe \Shell\explore\command - E:\joofufyse.exe \Shell\find\command - E:\joofufyse.exe \Shell\open\command - E:\joofufyse.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL quyzy.exe \Shell\explore\command - F:\quyzy.exe \Shell\find\command - F:\quyzy.exe \Shell\open\command - F:\quyzy.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I] \Shell\AutoRun\command - I:\Autorun.exe Newly Created Service - IUAYET6LGYSU [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}] rundll32.exe advpack.dll,LaunchINFSectionEx D:\WINDOWS\INF\wmactedp.inf,PerUserStub,,4 . Contenido de carpeta 'Tareas Programadas' . - - - - ORPHANS REMOVED - - - - HKCU-Run-alpha - c:\google.com\svchost.exe HKCU-Run-beta - c:\google.com\svchost.exe HKCU-Run-gamma - c:\google.com\svchost.exe HKCU-Run-DriverLoad - (no file) HKCU-Run-DriverCheck - (no file) HKCU-Run-SystemDriverLoad - (no file) HKLM-Run-C-Media Speaker Configuration - H:\Setup.exe HKLM-Run-WinampAgent - D:\Archivos de programa\Winamp\winampa.exe . ------- Supplementary Scan ------- . FireFox -: Profile - D:\Documents and Settings\Jorge\Datos de programa\Mozilla\Firefox\Profiles\swkacif7.default\ FF -: plugin - D:\Archivos de programa\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - D:\Archivos de programa\iTunes\Mozilla Plugins\npitunes.dll FF -: plugin - D:\Archivos de programa\Real Player\Netscape6\nppl3260.dll FF -: plugin - D:\Archivos de programa\Real Player\Netscape6\nprjplug.dll FF -: plugin - D:\Archivos de programa\Real Player\Netscape6\nprpjplug.dll FF -: plugin - D:\Archivos de programa\Yahoo!\Shared\npYState.dll . ************************************************************************ catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-04 20:25:17 Windows 5.1.2600 Service Pack 2 NTFS escaneando procesos ocultos ... escaneando entradas ocultas de autostart ... escaneando archivos ocultos ... D:\DOCUME~1\Jorge\CONFIG~1\Temp\KernelRe.mld el escaneo se completo con exito archivos ocultos: 1 ********************************************************************** . ------------------------ Other Running Processes ------------------------ . D:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\Archivos de programa\Bonjour\mDNSResponder.exe D:\Archivos de programa\iPod Access for Windows\iPAHelper.exe D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe D:\WINDOWS\system32\nvsvc32.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrlS.exe D:\Archivos de programa\Archivos comunes\Panda Software\PavShld\PavPrSrv.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PAVSRV51.EXE D:\WINDOWS\system32\HPZipm12.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\AVENGINE.EXE D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsImSvc.exe D:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe D:\WINDOWS\system32\wdfmgr.exe E:\MATLAB701\bin\win32\MATLAB.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\ApVxdWin.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\WebProxy.exe D:\WINDOWS\system32\wscntfy.exe D:\WINDOWS\system32\rundll32.exe D:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe D:\Archivos de programa\V-Stream\TV878\C7XRCtl.exe D:\Archivos de programa\palmOne\HOTSYNC.EXE D:\Archivos de programa\iPod\bin\iPodService.exe D:\Archivos de programa\HP\Digital Imaging\bin\hpqste08.exe . ********************************************************************** . Tiempo completado: 2008-09-04 20:32:33 - machine was rebooted ComboFix-quarantined-files.txt 2008-09-05 01:32:28 Pre-Run: 36,423,024,640 bytes libres Post-Run: 36,502,274,048 bytes libres WindowsXP-KB310994-SP2-Pro-BootDisk-ESN.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(1)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional" /fastdetect multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" =optin /fastdetect 374 --- E O F --- 2008-08-15 00:31:12 This is the new HJT report:** Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:38:03 p.m., on 04/09/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\Archivos de programa\Bonjour\mDNSResponder.exe D:\Archivos de programa\iPod Access for Windows\iPAHelper.exe D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe D:\WINDOWS\System32\nvsvc32.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrls.exe D:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\pavsrv51.exe D:\WINDOWS\system32\HPZipm12.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\AVENGINE.EXE D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsImSvc.exe D:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\ApvxdWin.exe D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\WebProxy.exe D:\WINDOWS\Mixer.exe D:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe D:\WINDOWS\system32\wscntfy.exe D:\Archivos de programa\Java\jre1.6.0_06\bin\jusched.exe D:\WINDOWS\vsnpmi03.exe D:\WINDOWS\system32\RUNDLL32.EXE D:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe D:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe D:\Archivos de programa\V-Stream\PVR Plus\TVR\Scheduled.exe D:\Archivos de programa\iTunes\iTunesHelper.exe D:\WINDOWS\system32\mazerarou.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\ctfmon.exe D:\Archivos de programa\MSN Messenger\msnmsgr.exe D:\Archivos de programa\Google\Google Talk\googletalk.exe D:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe D:\Archivos de programa\V-Stream\TV878\C7XRCtl.exe D:\Archivos de programa\palmOne\HOTSYNC.EXE D:\Archivos de programa\iPod\bin\iPodService.exe D:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe D:\WINDOWS\explorer.exe D:\WINDOWS\system32\notepad.exe D:\Archivos de programa\Mozilla Firefox\firefox.exe D:\WINDOWS\system32\wuauclt.exe D:\WINDOWS\system32\wuauclt.exe D:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.finderg.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Archivos de programa\Real Player\rpbrowserrecordplugin.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Archivos de programa\BitComet\tools\BitCometBHO_1.2.6.26.dll O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - D:\Archivos de programa\Yahoo!\Common\yiesrvc.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [GrooveMonitor] "D:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Archivos de programa\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [SNPMI03] D:\WINDOWS\vsnpmi03.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [ISUSPM Startup] "D:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "D:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [HP Software Update] D:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [PVR Agent] D:\Archivos de programa\V-Stream\PVR Plus\TVR\Scheduled.exe O4 - HKLM\..\Run: [iTunesHelper] "D:\Archivos de programa\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [voomoovyv] D:\WINDOWS\system32\mazerarou.exe O4 - HKLM\..\RunServices: [voomoovyv] D:\WINDOWS\system32\mazerarou.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "D:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [googletalk] "D:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = D:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: HotSync Manager.lnk = D:\Archivos de programa\palmOne\HOTSYNC.EXE O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = D:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: TV Remote Control.lnk = D:\Archivos de programa\V-Stream\TV878\C7XRCtl.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - D:\Archivos de programa\Yahoo!\Common\yiesrvc.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Archivos de programa\BitComet\tools\BitCometBHO_1.2.6.26.dll/206 (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - D:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D41FBCF2-B7A5-44D8-8081-A7F36A0B2A74}: NameServer = 213.246.33.228 O17 - HKLM\System\CCS\Services\Tcpip\..\{EE4E0981-E40B-4486-BFD1-EB8E83A5D425}: NameServer = 213.246.33.228 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - D:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apple Mobile Device - Apple Inc. - D:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - D:\Archivos de programa\Bonjour\mDNSResponder.exe O23 - Service: Microsoft Local Alerter (iiooaiquyaatg) - Unknown owner - D:\WINDOWS\System32\toquo.exe (file missing) O23 - Service: iPAHelper.exe - Unknown owner - D:\Archivos de programa\iPod Access for Windows\iPAHelper.exe O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - D:\Archivos de programa\iPod\bin\iPodService.exe O23 - Service: AOL Antivirus Update Service (iuayet6lgysu) - Unknown owner - D:\WINDOWS\system32\hyhoohi.exe O23 - Service: MATLAB Server (matlabserver) - Unknown owner - e:\MATLAB701\webserver\bin\win32\matlabserver.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe O23 - Service: Panda Software Controller - Panda Software International - D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrls.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\pavsrv51.exe O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - D:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsImSvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 11407 bytes I'll be waiting for further instructions

Rorschach112

Sep 5 2008, 06:27 AM

Post #4

SuperMember

Group: Visiting Teacher
Posts: 2,193
Joined: 29-September 07
Member No.: 73,164
Operating System: Windows XP

Plug your USB key in for this

Open notepad and copy/paste the text in the quotebox below into it:

CODE

http://forums.whatthetech.com/wowfx_dll_error_t95090.html

Collect::
D:\WINDOWS\system32\hyhoohi.exe
D:\WINDOWS\system32\mazerarou.exe
D:\WINDOWS\System32\toquo.exe
C:\huvajab.exe
E:\joofufyse.exe
F:\quyzy.exe
I:\Autorun.exe

Folder::
D:\WINDOWS\system32\xlib254.dll
D:\WINDOWS\system32\append.dll

KillAll::

Sysrst::

Driver::
iiooaiquyaatg
iuayet6lgysu

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]

Suspect::

Save this as CFScript.txt

Refering to the picture above, drag CFScript.txt into ComboFix.exe

When finished, it shall produce a log for you. Post that log in your next reply.

**Note**

When CF finishes running, the ComboFix log will open along with a message box--do not be alarmed. With the above script, ComboFix will capture files to submit for analysis.

Ensure you are connected to the internet and click OK on the message box.
A browser will open.
Simply follow the instructions to copy/paste/send the requested file.