Help - Search - Members - Calendar
Full Version: Please help with mssearchnet
Gladiator Security Forum > Malware Help Forum > HELP! Think you are Infected?
elconejo
Oct 24 2005, 08:53 AM
I'm Having big trouble with MSSearchnet.exe. popup to spytrooper.com doesn't let me work...
I've done evrything I've read and nothing. Please help, thanks a lot.
Sorry for my english, I speak spanish

java script:emoticon(':OMG:')

Platform: Windows XP SP2
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Opera: Versión 8.5
Compilación 7700

Jotti's analysis:

File: wininet.dll
Status:
INFECTED/MALWARE
MD5 4259a4e44dfe634a5af1ff4fae1f0ba4
Packers detected:
-
Scanner results
AntiVir
Found W32/Nsag.B
ArcaVir
Found Trojan.Callgate.Oleadm.3
Avast
Found Win32:Nsag-B
AVG Antivirus
Found Win32/Nsag
BitDefender
Found Trojan.WininetHook.A
ClamAV
Found W32.Nsag.B
Dr.Web
Found Trojan.DownLoader.2636
F-Prot Antivirus
Found W32/Oleadm.B
Fortinet
Found W32/Nsag.B
Kaspersky Anti-Virus
Found Virus.Win32.Nsag.b
NOD32
Found Win32/Oleloa.gen
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found Virus.Win32.Nsag

Logfile of HijackThis v1.99.1
Scan saved at 3:49:25, on 24/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudioScheduleMonitor.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Acesoft\Tracks Eraser Pro\te.exe
C:\Archivos de programa\LClock\lclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\ATnotes\ATnotes.exe
C:\Archivos de programa\Acesoft\Tracks Eraser Pro\autocomp.exe
C:\Archivos de programa\Morpheus\Morpheus.exe
C:\ARCHIV~1\Webroot\POP-UP~1\POPUPW~1.EXE
C:\Archivos de programa\Opera\Opera.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\ARCHIV~1\INCRED~1\bin\IMApp.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\PC1\Mis documentos\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\system32\hpEA3E.tmp
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &DownloadStudio - {CB789373-04D5-4ef4-9C16-871463FD0830} - C:\Archivos de programa\Conceiva\DownloadStudio\WebDLBar.dll
O3 - Toolbar: BeInSync - {4F2530BA-8C1D-4A6A-8BA0-74E93ADC9B12} - C:\ARCHIV~1\BeInSync\SHELLEX.DLL
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110705 serial=DR12WEX-1504397-KTY lang=ES
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vmlib] vmlib.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [DownloadStudio] C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudioScheduleMonitor.exe
O4 - HKLM\..\Run: [P.S.Guard] C:\Archivos de programa\P.S.Guard\PSGuard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Tracks Eraser Pro] C:\Archivos de programa\Acesoft\Tracks Eraser Pro\te.exe min
O4 - HKCU\..\Run: [LClock] C:\Archivos de programa\LClock\lclock.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Archivos de programa\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WinOrganizer] C:\Archivos de programa\WinOrganizer\WinOrganizer.exe
O4 - HKCU\..\Run: [ESPN BottomLine] C:\Archivos de programa\ESPNDeportes\bline.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EzSSS] "C:\Archivos de programa\!Easy ScreenSaver Studio3.6\EzSSStudio.exe" -T
O4 - HKCU\..\Run: [Actual Window Manager] C:\Archivos de programa\Actual Window Manager\ActualWindowManagerCenter.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Archivos de programa\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [AltDesk] C:\Archivos de programa\AltDesk\altdesk.exe
O4 - HKCU\..\Run: [BeInSync] "C:\Archivos de programa\BeInSync\BeInSyncMonitor.exe" /Init
O4 - HKCU\..\Run: [PopUpWasher] C:\ARCHIV~1\Webroot\POP-UP~1\PopUpWasher.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: ATnotes.lnk = C:\Archivos de programa\ATnotes\ATnotes.exe
O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe
O4 - Global Startup: 2Sync.lnk = C:\Program Files\Global Beach\2Sync\2Sync.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SnagIt 7.lnk = C:\Archivos de programa\TechSmith\SnagIt 7\SnagIt32.exe
O4 - Global Startup: Web Site Express.lnk = C:\Archivos de programa\Web Site Express\wse.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download All Files by HiDownload - C:\ARCHIV~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\ARCHIV~1\HIDOWN~1\HDGet.htm
O8 - Extra context menu item: Download Image Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_img.htm
O8 - Extra context menu item: Download Page Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_all.htm
O8 - Extra context menu item: Download Selection Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_sel.htm
O8 - Extra context menu item: Download Target Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_file.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Show Page Links Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudio.exe
O9 - Extra 'Tools' menuitem: &DownloadStudio - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudio.exe
O9 - Extra button: DownloadStudio - {7FCA7BD7-8F4D-4a81-BE72-A470F4E517D5} - C:\Archivos de programa\Conceiva\DownloadStudio\WebDLBar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: 2Sync - {EB9E7E52-4C9F-4ad6-A878-E299A62CC3A8} - C:\Program Files\Global Beach\2Sync\2Sync.exe
O9 - Extra button: BeInSync - {EE84A04D-8992-4b19-970F-6EA7A01F7331} - C:\ARCHIV~1\BeInSync\SHELLEX.DLL
O9 - Extra 'Tools' menuitem: BeInSync - {EE84A04D-8992-4b19-970F-6EA7A01F7331} - C:\ARCHIV~1\BeInSync\SHELLEX.DLL
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\ARCHIV~1\HIDOWN~1\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1128416809188
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A1916FC-8B7C-4D5B-9FEF-D7D9951A4925}: NameServer = 200.23.242.202 200.23.242.196
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Archivos de programa\Acesoft\Tracks Eraser Pro\autocomp.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

crying.gif
Bobbi Flekman
Oct 24 2005, 10:40 AM
Hi elconejo,

Download smitRem.exe and save the file to your desktop.
Double click on the file to extract it to it's own folder on the desktop.

Place a shortcut to Panda ActiveScan on your desktop.

Please download the trial version of Ewido Security Suite here:
http://www.ewido.net/en/download/

Please read Ewido Setup Instructions
Install it, and update the definitions to the newest files. Do NOT run a scan yet.

If you have not already installed Ad-Aware SE 1.06, follow these download and setup instructions, otherwise, check for updates:
Ad-Aware SE Setup
Don't run it yet!

Next, please reboot your computer in SafeMode by doing the following:[list=1]
[*]Restart your computer
[*]After hearing your computer beep once during startup, but before the Windows icon appears, press F8.
[*]Instead of Windows loading as normal, a menu should appear
[*]Select the first option, to run Windows in Safe Mode.
Open the smitRem folder, then double click the RunThis.bat file to start the tool. Follow the prompts on screen.
Wait for the tool to complete and disk cleanup to finish.

The tool will create a log named smitfiles.txt in the root of your drive, eg; Local Disk C: or partition where your operating system is installed. Please post that log along with all others requested in your next reply.

Open Ad-aware and do a full scan. Remove all it finds.

Run Ewido:
  • Click on scanner
  • Click on Complete System Scan and the scan will begin.
  • NOTE: During some scans with ewido it is finding cases of false positives.
  • You will need to step through the process of cleaning files one-by-one.
  • If ewido detects a file you KNOW to be legitimate, select none as the action.
  • DO NOT select "Perform action on all infections"
  • If you are unsure of any entry found select none for now.
  • When the scan is finished, click the Save report button at the bottom of the screen.
  • Save the report to your desktop
Close Ewido

Next go to Control Panel click Display > Desktop > Customize Desktop > Web > Uncheck "Security Info" if present.

Reboot back into Windows and click the Panda ActiveScan shortcut, then do a full system scan. Make sure the autoclean box is checked!
Save the scan log and post it along with a new HijackThis Log, the contents of the smitfiles.txt log and the Ewido Log by using Add Reply.
Let us know if any problems persist.
elconejo
Oct 29 2005, 02:33 AM
Hi Bobbi, I finished doing what you told me to do, here are the results. The popups didn't appear anymore, but the pc still a little slow. Thanks for your help.


smitRem log file
version 2.7

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key present!



Running LTDFix/PSGuard.com fix!



PSGuard.com key was successfully removed! :)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

P.S.Guard


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

msvol.tlb
ld****.tmp
ncompat.tlb
nvctrl.exe
hp***.tmp


---------------------------------------------------------
ewido security suite - Report de exploración
---------------------------------------------------------

+ Creado en: 3:59:18, 25/10/2005
+ Report-Checksum: 2E19F7AC

+ Scan result:

C:\Archivos de programa\Screensavers.com\Installer\bin\ScreensaversInst.dll -> Spyware.Comet : Limpio con backup
C:\Documents and Settings\PC1\Datos de programa\PSGuard.com -> Spyware.PSGuard : Limpio con backup
C:\Documents and Settings\PC1\Datos de programa\PSGuard.com\P.S.Guard -> Spyware.PSGuard : Limpio con backup
C:\Documents and Settings\PC1\Datos de programa\PSGuard.com\P.S.Guard\Autorun -> Spyware.PSGuard : Limpio con backup
C:\Documents and Settings\PC1\Datos de programa\PSGuard.com\P.S.Guard\Autorun\HKCURun -> Spyware.PSGuard : Limpio con backup
C:\Documents and Settings\PC1\Datos de programa\PSGuard.com\P.S.Guard\Autorun\HKCURun\RunOnce -> Spyware.PSGuard : Limpio con backup
C:\Documents and Settings\PC1\Datos de programa\PSGuard.com\P.S.Guard\Autorun\HKCURun\RunOnceEx -> Spyware.PSGuard : Limpio con backup
C:\Documents and Settings\PC1\Datos de programa\PSGuard.com\P.S.Guard\Autorun\HKLMRun -> Spyware.PSGuard : Limpio con backup
C:\Documents and Settings\PC1\Datos de programa\PSGuard.com\P.S.Guard\Autorun\HKLMRun\RunOnce -> Spyware.PSGuard : Limpio con backup
C:\Documents and Settings\PC1\Datos de programa\PSGuard.com\P.S.Guard\Autorun\HKLMRun\RunOnceEx -> Spyware.PSGuard : Limpio con backup
C:\Documents and Settings\PC1\Datos de programa\PSGuard.com\P.S.Guard\Autorun\StartMenuAllUsers -> Spyware.PSGuard : Limpio con backup
C:\Documents and Settings\PC1\Datos de programa\PSGuard.com\P.S.Guard\Autorun\StartMenuCurrentUser -> Spyware.PSGuard : Limpio con backup
C:\Documents and Settings\PC1\Datos de programa\PSGuard.com\P.S.Guard\BrowserObjects -> Spyware.PSGuard : Limpio con backup
C:\Documents and Settings\PC1\Mis documentos\Programas 3\Your Site Bar REmover\ist_remove.exe -> TrojanDownloader.IstBar.jt : Limpio con backup
C:\NTDETECD.0XE -> Trojan.LowZones.cu : Limpio con backup
H:\De Miguel\bar uninstall.exe -> TrojanDownloader.Swizzor.ck : Limpio con backup
H:\De Miguel\Miguel\Msn Plus\MsgPlus-301.exe/Sponsor.exe -> TrojanDownloader.Swizzor.bt : Limpio con backup
H:\De Miguel\toolbar_uninstall.exe -> TrojanDownloader.Swizzor.ck : Limpio con backup
I:\Programejas\Savers & Backgrounds\YC\Yours Colours.CAB/-- The nicest hobby on Earth ;) --o_Alemania.exe -> Heuristic.Win32.Dialer : Limpio con backup
I:\Programejas\Savers & Backgrounds\YC\Yours Colours.CAB/-- The nicest hobby on Earth ;) --o_Austria.exe -> Heuristic.Win32.Dialer : Limpio con backup
I:\Programejas\Savers & Backgrounds\YC\Yours Colours.CAB/-- The nicest hobby on Earth ;) --o_Espana.exe -> Dialer.Generic : Limpio con backup
I:\Programejas\Savers & Backgrounds\YC\Yours Colours.CAB/-- The nicest hobby on Earth ;) --o_GranBretana.exe -> Heuristic.Win32.Dialer : Limpio con backup
I:\Programejas\Savers & Backgrounds\YC\Yours Colours.CAB/-- The nicest hobby on Earth ;) --o_Suiza.exe -> Heuristic.Win32.Dialer : Limpio con backup
I:\Programejas\Ubi Anonymous\Ubi Anonymous Mail V3.0.3.exe -> Not-A-Virus.Flooder.Mailspam.VB.l : Limpio con backup


::Fin Report


Incident Status Location

Adware:adware/securityerror No disinfected C:\Documents and Settings\All Users\Menú Inicio\Online Security Center.url
Adware:adware/securityerror No disinfected C:\WINDOWS\SYSTEM32\ot.ico
Dialer:dialer.baj No disinfected C:\WINDOWS\DOWNLOADED PROGRAM FILES\eied.inf
Spyware:spyware/cws.olehelp No disinfected Windows Registry
Dialer:Dialer.DNL No disinfected C:\WINDOWS\system32\1024\ldC3BB.tmp
Adware:Adware/PsGuard No disinfected C:\WINDOWS\system32\OLEEXT.0LL
Logfile of HijackThis v1.99.1
Scan saved at 21:32:21, on 28/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\F-Secure Anti-Virus\backweb\4476822\Program\fspex.exe
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Archivos de programa\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Archivos de programa\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudioScheduleMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Acesoft\Tracks Eraser Pro\te.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\LClock\lclock.exe
C:\Archivos de programa\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\ATnotes\ATnotes.exe
C:\Archivos de programa\Acesoft\Tracks Eraser Pro\autocomp.exe
C:\Archivos de programa\Opera\Opera.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\PC1\Mis documentos\Programas 3\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Pablo Samperio
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &DownloadStudio - {CB789373-04D5-4ef4-9C16-871463FD0830} - C:\Archivos de programa\Conceiva\DownloadStudio\WebDLBar.dll
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110705 serial=DR12WEX-1504397-KTY lang=ES
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [DownloadStudio] C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudioScheduleMonitor.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Archivos de programa\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Archivos de programa\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Archivos de programa\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Tracks Eraser Pro] C:\Archivos de programa\Acesoft\Tracks Eraser Pro\te.exe min
O4 - HKCU\..\Run: [LClock] C:\Archivos de programa\LClock\lclock.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Archivos de programa\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WinOrganizer] C:\Archivos de programa\WinOrganizer\WinOrganizer.exe
O4 - HKCU\..\Run: [ESPN BottomLine] C:\Archivos de programa\ESPNDeportes\bline.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Actual Window Manager] C:\Archivos de programa\Actual Window Manager\ActualWindowManagerCenter.exe
O4 - HKCU\..\Run: [AltDesk] C:\Archivos de programa\AltDesk\altdesk.exe
O4 - HKCU\..\Run: [PopUpWasher] C:\ARCHIV~1\Webroot\POP-UP~1\PopUpWasher.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Zinio DLM] C:\ARCHIV~1\Zinio\ZDLM.exe /hide
O4 - HKCU\..\Run: [HelioBarXP] C:\Archivos de programa\HelioBar XP\HelioBarXP.exe start
O4 - Startup: ATnotes.lnk = C:\Archivos de programa\ATnotes\ATnotes.exe
O4 - Startup: Stick.lnk = C:\Archivos de programa\Stick\Stick.exe
O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SnagIt 7.lnk = C:\Archivos de programa\TechSmith\SnagIt 7\SnagIt32.exe
O4 - Global Startup: Web Site Express.lnk = C:\Archivos de programa\Web Site Express\wse.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download All Files by HiDownload - C:\ARCHIV~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\ARCHIV~1\HIDOWN~1\HDGet.htm
O8 - Extra context menu item: Download Image Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_img.htm
O8 - Extra context menu item: Download Page Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_all.htm
O8 - Extra context menu item: Download Selection Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_sel.htm
O8 - Extra context menu item: Download Target Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_file.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Show Page Links Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudio.exe
O9 - Extra 'Tools' menuitem: &DownloadStudio - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudio.exe
O9 - Extra button: DownloadStudio - {7FCA7BD7-8F4D-4a81-BE72-A470F4E517D5} - C:\Archivos de programa\Conceiva\DownloadStudio\WebDLBar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\ARCHIV~1\HIDOWN~1\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1128416809188
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A1916FC-8B7C-4D5B-9FEF-D7D9951A4925}: NameServer = 200.23.242.202 200.23.242.196
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Archivos de programa\Acesoft\Tracks Eraser Pro\autocomp.exe
O23 - Service: F-Secure Anti-Virus 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\ARCHIV~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Archivos de programa\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Archivos de programa\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Archivos de programa\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
Bobbi Flekman
Oct 29 2005, 08:47 AM
Hi elconejo,

Run HijackThis, click on "Scan" and check the boxes next to all these items.

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

Then close all windows, and browsers, except HijackThis. Tell HijackThis to "Fix checked".

Restart your computer in Safe Mode. How do I Safe Boot my computer?

Show hidden files. How do I show hidden files?
At the end if the fix you can return the files to hidden status if you want.

Delete the following files in red (it could be that they are deleted already):

C:\Documents and Settings\All Users\Menú Inicio\Online Security Center.url
C:\WINDOWS\SYSTEM32\ot.ico
C:\WINDOWS\DOWNLOADED PROGRAM FILES\eied.inf
C:\WINDOWS\system32\1024\ldC3BB.tmp
C:\WINDOWS\system32\OLEEXT.0LL
c:\ex.cab
c:\eied_s7.cab

Restart your computer and post a new log in this thread.

How's the system now?
elconejo
Oct 30 2005, 09:24 AM
Hi Bobbi, now my system is way faster, it seems that all the problems disappear, only after booting it says that couldnt load cmicnfg.cpl, and in the antivirus quarantine there's something like win.32.small.ahh.

Another thing, would you tell me please which programas should I have always running? which antivirus, and what else for best security? I have another pc and I don't want to be in trouble again and format the pc's everytime, doesn't matter if I have to install 5 or 6 programs, I prefer.

Thank you for your help and kindness.

Logfile of HijackThis v1.99.1
Scan saved at 2:58:46, on 30/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Archivos de programa\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudioScheduleMonitor.exe
C:\Archivos de programa\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Acesoft\Tracks Eraser Pro\te.exe
C:\Archivos de programa\LClock\lclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\Archivos de programa\F-Secure Anti-Virus\backweb\4476822\Program\fspex.exe
C:\ARCHIV~1\Webroot\POP-UP~1\PopUpWasher.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\ATnotes\ATnotes.exe
C:\ARCHIV~1\INCRED~1\bin\IMApp.exe
C:\Archivos de programa\Webshots\webshots.scr
C:\Archivos de programa\Acesoft\Tracks Eraser Pro\autocomp.exe
C:\Archivos de programa\Real\RealPlayer\RealPlay.exe
C:\Documents and Settings\PC1\Mis documentos\Programas 3\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Pablo Samperio
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &DownloadStudio - {CB789373-04D5-4ef4-9C16-871463FD0830} - C:\Archivos de programa\Conceiva\DownloadStudio\WebDLBar.dll
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110705 serial=DR12WEX-1504397-KTY lang=ES
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [DownloadStudio] C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudioScheduleMonitor.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Archivos de programa\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Archivos de programa\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Archivos de programa\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Tracks Eraser Pro] C:\Archivos de programa\Acesoft\Tracks Eraser Pro\te.exe min
O4 - HKCU\..\Run: [LClock] C:\Archivos de programa\LClock\lclock.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Archivos de programa\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WinOrganizer] C:\Archivos de programa\WinOrganizer\WinOrganizer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Actual Window Manager] C:\Archivos de programa\Actual Window Manager\ActualWindowManagerCenter.exe
O4 - HKCU\..\Run: [AltDesk] C:\Archivos de programa\AltDesk\altdesk.exe
O4 - HKCU\..\Run: [PopUpWasher] C:\ARCHIV~1\Webroot\POP-UP~1\PopUpWasher.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [HelioBarXP] C:\Archivos de programa\HelioBar XP\HelioBarXP.exe start
O4 - Startup: ATnotes.lnk = C:\Archivos de programa\ATnotes\ATnotes.exe
O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SnagIt 7.lnk = C:\Archivos de programa\TechSmith\SnagIt 7\SnagIt32.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download All Files by HiDownload - C:\ARCHIV~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\ARCHIV~1\HIDOWN~1\HDGet.htm
O8 - Extra context menu item: Download Image Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_img.htm
O8 - Extra context menu item: Download Page Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_all.htm
O8 - Extra context menu item: Download Selection Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_sel.htm
O8 - Extra context menu item: Download Target Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_file.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Show Page Links Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudio.exe
O9 - Extra 'Tools' menuitem: &DownloadStudio - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudio.exe
O9 - Extra button: DownloadStudio - {7FCA7BD7-8F4D-4a81-BE72-A470F4E517D5} - C:\Archivos de programa\Conceiva\DownloadStudio\WebDLBar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\ARCHIV~1\HIDOWN~1\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {33331111-1111-1111-1111-622221193458} -
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1128416809188
O16 - DPF: {64311111-1111-1121-1111-111191113457} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A1916FC-8B7C-4D5B-9FEF-D7D9951A4925}: NameServer = 200.23.242.202 200.23.242.196
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Archivos de programa\Acesoft\Tracks Eraser Pro\autocomp.exe
O23 - Service: F-Secure Anti-Virus 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\ARCHIV~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Archivos de programa\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Archivos de programa\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Archivos de programa\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

Ewido: clean
smitfiles: clean
Ad Aware: clean
Bobbi Flekman
Oct 30 2005, 11:43 AM
Hi elconejo,

If I'm correct the quarantine rules will take care of that one itself. Usually an anti-virus program keeps the files for a set number of days and then deletes them. Maybe F-Secure can purge it on command. Check it out. I don't know since I don't use the program.

QUOTE
Another thing, would you tell me please which programas should I have always running? which antivirus, and what else for best security? I have another pc and I don't want to be in trouble again and format the pc's everytime, doesn't matter if I have to install 5 or 6 programs, I prefer.
Once the suystem is clean I always hand out pointers about protection ;)

Run HijackThis, click on "Scan" and check the boxes next to all these items.

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O16 - DPF: {33331111-1111-1111-1111-622221193458} -
O16 - DPF: {64311111-1111-1121-1111-111191113457} -

Then close all windows, and browsers, except HijackThis. Tell HijackThis to "Fix checked". Restart your computer and post a new log in this thread.

Please create a list of programs that can be removed using Add/Remove Programs
Start HiJackThis. Click "Config"->"Misc Tools"->"Open Uninstall Manager" ->"Save List".
Save the log to a convenient location, and copy it into this thread.
elconejo
Oct 30 2005, 11:34 PM
Hi Bobbi, here is the new scan, now my system is running very good, and faster!

Logfile of HijackThis v1.99.1
Scan saved at 10:44:23, on 30/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Archivos de programa\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\Archivos de programa\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudioScheduleMonitor.exe
C:\Archivos de programa\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Acesoft\Tracks Eraser Pro\te.exe
C:\Archivos de programa\LClock\lclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Actual Window Manager\ActualWindowManagerCenter.exe
C:\Archivos de programa\AltDesk\altdesk.exe
C:\ARCHIV~1\Webroot\POP-UP~1\PopUpWasher.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\F-Secure Anti-Virus\backweb\4476822\Program\fspex.exe
C:\Archivos de programa\HelioBar XP\HelioBarXP.exe
C:\Archivos de programa\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\ATnotes\ATnotes.exe
C:\ARCHIV~1\INCRED~1\bin\IMApp.exe
C:\Archivos de programa\Webshots\webshots.scr
C:\Archivos de programa\Acesoft\Tracks Eraser Pro\autocomp.exe
C:\Documents and Settings\PC1\Mis documentos\Programas 3\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Pablo Samperio
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &DownloadStudio - {CB789373-04D5-4ef4-9C16-871463FD0830} - C:\Archivos de programa\Conceiva\DownloadStudio\WebDLBar.dll
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110705 serial=DR12WEX-1504397-KTY lang=ES
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [DownloadStudio] C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudioScheduleMonitor.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Archivos de programa\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Archivos de programa\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Archivos de programa\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Tracks Eraser Pro] C:\Archivos de programa\Acesoft\Tracks Eraser Pro\te.exe min
O4 - HKCU\..\Run: [LClock] C:\Archivos de programa\LClock\lclock.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Archivos de programa\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WinOrganizer] C:\Archivos de programa\WinOrganizer\WinOrganizer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Actual Window Manager] C:\Archivos de programa\Actual Window Manager\ActualWindowManagerCenter.exe
O4 - HKCU\..\Run: [AltDesk] C:\Archivos de programa\AltDesk\altdesk.exe
O4 - HKCU\..\Run: [PopUpWasher] C:\ARCHIV~1\Webroot\POP-UP~1\PopUpWasher.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [HelioBarXP] C:\Archivos de programa\HelioBar XP\HelioBarXP.exe start
O4 - Startup: ATnotes.lnk = C:\Archivos de programa\ATnotes\ATnotes.exe
O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SnagIt 7.lnk = C:\Archivos de programa\TechSmith\SnagIt 7\SnagIt32.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download All Files by HiDownload - C:\ARCHIV~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\ARCHIV~1\HIDOWN~1\HDGet.htm
O8 - Extra context menu item: Download Image Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_img.htm
O8 - Extra context menu item: Download Page Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_all.htm
O8 - Extra context menu item: Download Selection Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_sel.htm
O8 - Extra context menu item: Download Target Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_file.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Show Page Links Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudio.exe
O9 - Extra 'Tools' menuitem: &DownloadStudio - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudio.exe
O9 - Extra button: DownloadStudio - {7FCA7BD7-8F4D-4a81-BE72-A470F4E517D5} - C:\Archivos de programa\Conceiva\DownloadStudio\WebDLBar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\ARCHIV~1\HIDOWN~1\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {33331111-1111-1111-1111-622221193458} -
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1128416809188
O16 - DPF: {64311111-1111-1121-1111-111191113457} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Archivos de programa\Acesoft\Tracks Eraser Pro\autocomp.exe
O23 - Service: F-Secure Anti-Virus 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\ARCHIV~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Archivos de programa\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Archivos de programa\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Archivos de programa\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

uninstall list:

5 Clicks
AAA Logo 1.2
ACDSee
Actual Window Manager 3.6
Actualización de seguridad para Windows XP (KB883939)
Actualización de seguridad para Windows XP (KB890046)
Actualización de seguridad para Windows XP (KB893066)
Actualización de seguridad para Windows XP (KB893756)
Actualización de seguridad para Windows XP (KB896358)
Actualización de seguridad para Windows XP (KB896422)
Actualización de seguridad para Windows XP (KB896423)
Actualización de seguridad para Windows XP (KB896428)
Actualización de seguridad para Windows XP (KB896688)
Actualización de seguridad para Windows XP (KB899587)
Actualización de seguridad para Windows XP (KB899588)
Actualización de seguridad para Windows XP (KB899589)
Actualización de seguridad para Windows XP (KB899591)
Actualización de seguridad para Windows XP (KB900725)
Actualización de seguridad para Windows XP (KB901017)
Actualización de seguridad para Windows XP (KB901214)
Actualización de seguridad para Windows XP (KB902400)
Actualización de seguridad para Windows XP (KB904706)
Actualización de seguridad para Windows XP (KB905414)
Actualización de seguridad para Windows XP (KB905749)
Actualización para Windows XP (KB894391)
Actualización para Windows XP (KB896727)
Actualización para Windows XP (KB898461)
Ad-Aware SE Personal
Adobe Acrobat 7.0.1 and Reader 7.0.1 Update
Adobe Acrobat 7.0.2 and Reader 7.0.2 Update
Adobe Acrobat 7.0.3 and Reader 7.0.3 Update
Adobe Reader 7.0 - Español
AltDesk 1.5.5
Analizador y SDK de Microsoft XML
ATI - Utilidad de desinstalación de software
ATI Control Panel
ATI Display Driver
ATnotes Version 9.3
Axialis IconWorkshop 6.0
Axialis MediaBrowser 4.02
Axialis Professional Screen Saver Producer 3.6
Blogger For Word
Camtasia Studio 3
C-Media WDM Audio Driver
CollageMaker 1.3
Company Presentation Screensaver
Compresor WinRAR
CopyURL 2.3.1
CorelDRAW Graphics Suite 12
DFX for Windows Media Player
DownloadStudio
Duplicate Image Finder
Easy Resume Creator Pro
Easy Screensaver Maker 1.2
EVEREST Home Edition v1.51
ewido security suite
Express Archiver 3.0.0
Express Assist 7.0
Extreme Picture Finder 3.3.0
FileNote (Remove Only)
FileTargets 1.4.0
Folder Lock
FotoStation Pro 5.1 Trial
F-Secure Anti-Virus 2005
Fun Thumbs
Fun Thumbs (C:\Archivos de programa\Fun Thumbs\)
Google Gmail Notifier
Google Toolbar for Internet Explorer
HelioBar XP desktop utility
HiDownload
HijackThis 1.99.1
HSP56 Modem Drivers
IncrediMail Xe
Internet Smileys Screensaver
IrfanView (remove only)
iTunes
J2SE Runtime Environment 5.0 Update 2
LClock
LimeWire 4.9.33
Lupas Rename 2000 v5.0 Release
M1000 Screensaver
Macromedia Fireworks MX 2004
Macromedia Flash Player 8
Microsoft Office PowerPoint Viewer 2003
Microsoft Office Professional Edition 2003
Morpheus 5.0 (remove only)
MP3 Remix Player Standalone
MSN Messenger 7.5
Nero 6 Enterprise Edition
NewsShark
Opera
PacMania II
Panda ActiveScan
Picasa 2
Pierresoft Adesign 1.5
Pop-Up Washer
Project64 1.6
Quick Screenshot Maker 2.1
QuickTime
RealPlayer
Reproductor de Windows Media 10
Revisión de Windows XP - KB873339
Revisión de Windows XP - KB885250
Revisión de Windows XP - KB885835
Revisión de Windows XP - KB885836
Revisión de Windows XP - KB886185
Revisión de Windows XP - KB887472
Revisión de Windows XP - KB887742
Revisión de Windows XP - KB888113
Revisión de Windows XP - KB888302
Revisión de Windows XP - KB890859
Revisión de Windows XP - KB891781
Revisión de Windows XP - KB893086
Screensavers Installer
Sentinel System Driver 5.41.1 (32-bit)
SereneScreen Aquarium
Shockwave
Simplicity 4.13
SnagIt 7
Software de impresora EPSON
Spybot - Search & Destroy 1.4
StuffIt Standard
Style Win 2.6
The Bouncing Ball Screensaver
Tracks Eraser Pro v5.1
VIA Audio Driver Setup Program
Visual Business Cards 4
Visual Vision EasyWebEditorT_s
Web Page Maker V2
Web Studio 4.0
WebQuestions 2.0
Webshots Desktop
Winamp (remove only)
Windows Genuine Advantage v1.3.0254.0
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
Windows XP Service Pack 2
Yahoo! Install Manager
Yahoo! SiteBuilder
Yahoo! Toolbar for Internet Explorer
Zinio Reader
Bobbi Flekman
Oct 31 2005, 11:39 AM
Hi elconejo,

You are using LimeWire. This is not technically malware by itself, but it installs malware in order to run properly and it opens the door for every other nasty program you can think of. I strongly recommend that you remove it. Read this article for alternatives that will provide some of the same function without the garbage: http://www.spywareinfo.com/articles/p2p/ If you opt to remove it, first use "Add/Remove Program" to remove it and any reference to LimeWire.
This is another article: http://www.cexx.org/adware.htm

Launch Notepad, and copy/paste the box below into a new text file. Save it as fixme.reg and save it on your Desktop.

QUOTE
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-622221193458}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{64311111-1111-1121-1111-111191113457}]
Locate fixme.reg on your Desktop and double-click on it.
You will receive a prompt similar to: "Do you wish to merge the information into the registry?".
Answer "Yes" and wait for a message to appear similar to "Merged Successfully".

The above Registry file was written specifically for this infection on this person's computer. It is NOT to be used on another computer, as it may cause damage that could result in a format!

Afterwards post a new log from HijackThis.
elconejo
Oct 31 2005, 04:47 PM
Hi, Bobbi:

I uninstalled inmediately Limewire as you told me, and I ran the fixme.reg to modify the registry too.

I read the articles that you suggested, very interesting and surprising, I thought all the P2P programs had malware and bugs, but I discovered there that there are some clean ones. I read the second article too, this guy really hates spyware, spam and everything related, and he knows how to fight!

Logfile of HijackThis v1.99.1
Scan saved at 10:30:31, on 31/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Archivos de programa\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\Archivos de programa\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Archivos de programa\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudioScheduleMonitor.exe
C:\Archivos de programa\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Archivos de programa\Acesoft\Tracks Eraser Pro\te.exe
C:\Archivos de programa\LClock\lclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\F-Secure Anti-Virus\backweb\4476822\Program\fspex.exe
C:\Archivos de programa\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\Archivos de programa\ATnotes\ATnotes.exe
C:\Archivos de programa\Acesoft\Tracks Eraser Pro\autocomp.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Opera\Opera.exe
C:\Documents and Settings\PC1\Mis documentos\Programas 3\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Pablo Samperio
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &DownloadStudio - {CB789373-04D5-4ef4-9C16-871463FD0830} - C:\Archivos de programa\Conceiva\DownloadStudio\WebDLBar.dll
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110705 serial=DR12WEX-1504397-KTY lang=ES
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [DownloadStudio] C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudioScheduleMonitor.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Archivos de programa\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Archivos de programa\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Archivos de programa\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Tracks Eraser Pro] C:\Archivos de programa\Acesoft\Tracks Eraser Pro\te.exe min
O4 - HKCU\..\Run: [LClock] C:\Archivos de programa\LClock\lclock.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Archivos de programa\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WinOrganizer] C:\Archivos de programa\WinOrganizer\WinOrganizer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Actual Window Manager] C:\Archivos de programa\Actual Window Manager\ActualWindowManagerCenter.exe
O4 - HKCU\..\Run: [AltDesk] C:\Archivos de programa\AltDesk\altdesk.exe
O4 - HKCU\..\Run: [PopUpWasher] C:\ARCHIV~1\Webroot\POP-UP~1\PopUpWasher.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [HelioBarXP] C:\Archivos de programa\HelioBar XP\HelioBarXP.exe start
O4 - Startup: ATnotes.lnk = C:\Archivos de programa\ATnotes\ATnotes.exe
O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SnagIt 7.lnk = C:\Archivos de programa\TechSmith\SnagIt 7\SnagIt32.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download All Files by HiDownload - C:\ARCHIV~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\ARCHIV~1\HIDOWN~1\HDGet.htm
O8 - Extra context menu item: Download Image Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_img.htm
O8 - Extra context menu item: Download Page Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_all.htm
O8 - Extra context menu item: Download Selection Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_sel.htm
O8 - Extra context menu item: Download Target Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_file.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Show Page Links Using DownloadStudio... - C:\Archivos de programa\Conceiva\DownloadStudio\ds_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudio.exe
O9 - Extra 'Tools' menuitem: &DownloadStudio - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Archivos de programa\Conceiva\DownloadStudio\DownloadStudio.exe
O9 - Extra button: DownloadStudio - {7FCA7BD7-8F4D-4a81-BE72-A470F4E517D5} - C:\Archivos de programa\Conceiva\DownloadStudio\WebDLBar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\ARCHIV~1\HIDOWN~1\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1128416809188
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A1916FC-8B7C-4D5B-9FEF-D7D9951A4925}: NameServer = 200.23.242.202 200.23.242.196
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\ARCHIV~1\BT2Net\BT2PLU~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Archivos de programa\Acesoft\Tracks Eraser Pro\autocomp.exe
O23 - Service: F-Secure Anti-Virus 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\ARCHIV~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Archivos de programa\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Archivos de programa\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Archivos de programa\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Archivos de programa\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
Bobbi Flekman
Nov 1 2005, 11:39 AM
Hi elconejo,

This log looks clean!

This is a good time to set up protection against further attacks. Read the article behind this link "How did I get infected". If you don't already have them, you need an antivirus that is updated, a good firewall for example Sygate Personal Firewall or Kerio Personal Firewall or ZoneLabs Zone Alarm, a spyware blocker like SpywareBlaster and also IE-Spyads and spyware detection (Ad-aware SE and SpyBot S+D). All of these have good free versions available... be very cautious about any security software that advertises in popups or other intrusive ways, they are not only usually useless, but also often have malware in them....

Instead of Internet Explorer, use a different browser like Opera, Mozilla or Firefox.

Last, but not least, you need to keep Windows and Internet Explorer up to date by getting all the latest security patches that protects your computer.

This can be accessed by going to http://windowsupdate.microsoft.com/ and following the prompts. If you are running Windows XP get updated to SP-2

Please post back if you are still having any problems....
elconejo
Nov 2 2005, 10:13 AM
Hi Bobbi,

First of all let me say thank you for your time and your kindness helping me to solve my problem, it seems that everything is ok now.

I have some doubts, if you can help me one more time:

After reading your last suggestions, I installed this:

Kerio Personall Firewall
Spyware Blaster
IE-Spyad
Ad-Aware
Spybot
Ewido (as you told me from the beginning)


and I have from before F-Secure Antivirus, but I'm not sure about it, could you suggest one? I have Norton SystemWorks 2003 in my other PC

Another thing, since I installed Kerio, I can browse the web a little slower, when I disable it it's fast again, is this normal?

The last one, I have Webroot Popup Washer, should I uninstall it?

Thank you again, have a nice day.

Pablo Samperio (elconejo)
Bobbi Flekman
Nov 2 2005, 10:50 AM
Hi Pablo,

You're welcome.

QUOTE
and I have from before F-Secure Antivirus, but I'm not sure about it, could you suggest one? I have Norton SystemWorks 2003 in my other PC
F-Secure is good. I'm not too fond of Norton anymore. Ever since it got taken over by Symantec I have seen it declining gradually. Besides SystemWorks is a utilitiy bundle. It comes with Norton Anti-Virus, though. I would keep F-Secure. Be advised that Ewido is a trial version... It will expire in two weeks.

QUOTE
Another thing, since I installed Kerio, I can browse the web a little slower, when I disable it it's fast again, is this normal?
Every program that you put between the internet and your browser will slow down the system a bit. If it is noticeable, you might try a different firewall instead of Kerio. And also be sure to turn off the Windows Firewall, that might also be interfering.

QUOTE
The last one, I have Webroot Popup Washer, should I uninstall it?
Not that I know. Popup Washer is a good program.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2009 Invision Power Services, Inc.