system
March 12, 2011, 9:03pm
1
Hi, just today I found my computer is infected with a worm. I can’t find any info on the web, and avast! is unable to detect it (updated 03/12/2011 10:41:46)
In my flashdrive appears the autorun.inf and a folder named “shaila”. Inside the folder, theres a file named “spermici.exe”. At any random time, this web page appears, running the explorer even when I’m not using it “htxp://www.simpleretails.com/index.php/marketing-tips”.
Help please!
Hello.
Download DDS and save it to your Desktop from here:
http://download.bleepingcomputer.com/sUBs/dds.scr
Double click dds.scr to run the tool.
* When done, DDS will open two (2) logs:
1. DDS.txt
2. Attach.txt
Save both reports to your desktop. Post DDS.txt back to topic.
note: Do not use USB flash drive until we finished with the cleaning.
Hi lumen87,
Give the link to the malware site as htxp//etc. so the link is no longer life and the unaware cannot get infected from clicking…
Avast should have detected this worm as Win32:AutoRun-BSF [Trj] :
http://www.malware-control.com/statics-pages/912bcae9489c55afab44da6eddcca779.php
Might be a rootkit involved, re: http://virusinfo.info/showthread.php?t=96491
further info about this “var google_protectAndRun” malware, see this topic also: http://forum.avast.com/index.php?topic=49787.0
polonus
system
March 12, 2011, 9:22pm
4
.
DDS (Ver_11-03-05.01) - NTFSx86
Run by Luis at 15:16:51.70 on 12/03/2011
Internet Explorer: 6.0.2900.2180 BrowserJavaVersion: 1.6.0_24
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.510.61 [GMT -6:00]
.
AV: avast! Antivirus Enabled/Updated {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe
svchost.exe
C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\Fast.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
svchost.exe
C:\ARCHIV~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\taskswitch.exe
C:\ARCHIV~1\WinTV\hcwP1Utl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\DAEMON Tools Lite\daemon.exe
C:\Archivos de programa\Rainlendar\Rainlendar.exe
C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE
C:\Documents and Settings\Luis\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Luis\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Archivos de programa\Internet Movil\Internet Movil.exe
C:\Documents and Settings\Luis\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Archivos de programa\Mozilla Firefox 4.0 Beta 8\firefox.exe
C:\Documents and Settings\Luis\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Luis\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Luis\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Luis\Escritorio\dds.scr
.
============== Pseudo HJT Report ===============
.
mWinlogon: Taskman=c:\documents and settings\luis\fswagz.exe
BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\archivos de programa\archivos comunes\adobe\acrobat\activex\AcroIEHelper.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\archivos de programa\alwil software\avast5\aswWebRepIE.dll
BHO: Windows Live Aplicación auxiliar de inicio de sesión: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\archivos de programa\archivos comunes\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Adobe PDF Conversion Toolbar Helper: {ae7cd045-e861-484f-8273-0445ee161910} - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll
BHO: Java™ Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\archivos de programa\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\archivos de programa\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll
TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\archivos de programa\alwil software\avast5\aswWebRepIE.dll
EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll
EB: &Investigador de Encarta: {9455301c-cf6b-11d3-a266-00c04f689c50} - c:\archivos de programa\archivos comunes\microsoft shared\encarta researcher\EROPROJ.DLL
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [DAEMON Tools Lite] “c:\archivos de programa\daemon tools lite\daemon.exe” -autorun
mRun: [avast5] c:\archiv~1\alwils~1\avast5\avastUI.exe /nogui
mRun: [BackgroundSwitcher] c:\windows\system32\bgswitch.exe
mRun: [CoolSwitch] c:\windows\system32\taskswitch.exe
mRun: [FastUser] c:\windows\system32\fast.exe
mRun: [hcwPVRReset] c:\archiv~1\wintv\hcwP1Utl.exe -Quiet -ResetHardware -NotifyResetFailure -KeepTrying
mRun: [SoundMan] SOUNDMAN.EXE
mRun: [SunJavaUpdateSched] “c:\archivos de programa\archivos comunes\java\java update\jusched.exe”
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRun: [DWQueuedReporting] “c:\archiv~1\archiv~1\micros~1\dw\dwtrig20.exe” -t
StartupFolder: c:\docume~1\luis\menini~1\progra~1\inicio\rainle~1.lnk - c:\archivos de programa\rainlendar\Rainlendar.exe
StartupFolder: c:\docume~1\luis\menini~1\progra~1\inicio\recort~1.lnk - c:\archivos de programa\microsoft office\office12\ONENOTEM.EXE
IE: Anexar a PDF existente - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir a Adobe PDF - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir destino de vínculo a PDF existente - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir destino de vínculo en archivo Adobe PDF - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir selección a Adobe PDF - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir selección a archivo PDF existente - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir vínculos seleccionados a Adobe PDF - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir vínculos seleccionados a PDF existente - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\micros~2\office12\EXCEL.EXE/3000
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\archivos de programa\messenger\msmsgs.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\archiv~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\archiv~1\micros~2\office12\REFIEBAR.DLL
IE: {9455301C-CF6B-11D3-A266-00C04F689C50} - {9455301C-CF6B-11D3-A266-00C04F689C50} - c:\archivos de programa\archivos comunes\microsoft shared\encarta researcher\EROPROJ.DLL
IE: {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - {552781AF-37E4-4FEE-920A-CED9E648EADD} - c:\archivos de programa\archivos comunes\microsoft shared\encarta search bar\ENCSBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Handler: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - c:\archivos de programa\archivos comunes\microsoft shared\encarta researcher\MSERO.DLL
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath -
.
============= SERVICES / DRIVERS ===============
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2011-2-27 371544]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-1-28 301528]
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [2009-6-9 13696]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-1-28 19544]
R2 avast! Antivirus;avast! Antivirus;c:\archivos de programa\alwil software\avast5\AvastSvc.exe [2010-1-28 42184]
R2 StarWindServiceAE;StarWind AE Service;c:\archivos de programa\alcohol soft\alcohol 52\starwind\StarWindServiceAE.exe [2009-12-23 370688]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [2010-10-30 114432]
S3 appliandMP;appliandMP;c:\windows\system32\drivers\appliand.sys → c:\windows\system32\drivers\appliand.sys [?]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [2010-10-30 100736]
S3 NPF;WinPcap Packet Driver (NPF);c:\windows\system32\drivers\npf.sys [2010-1-26 50704]
S3 vaxscsi;vaxscsi;c:\windows\system32\drivers\vaxscsi.sys [2009-6-9 223128]
.
=============== Created Last 30 ================
.
.
==================== Find3M ====================
.
.
============= FINISH: 15:19:48.59 ===============
system
March 12, 2011, 10:42pm
6
I’ll post the log in two parts, 'cause message exceeds the maximum allowed
//Part 1
ComboFix 11-03-11.02 - Luis 12/03/2011 16:17:18.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.510.237 [GMT -6:00]
Running from: c:\documents and settings\Luis\Escritorio\ComboFix.exe
AV: avast! Antivirus Disabled/Updated {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Luis\fswagz.exe
c:\documents and settings\Luis\g2mdlhlpx.exe
c:\windows\ST6UNST.000
.
.
((((((((((((((((((((((((( Files Created from 2011-02-12 to 2011-03-12 )))))))))))))))))))))))))))))))
.
.
2011-03-04 00:52 . 2011-03-04 00:52 -------- d-----w- c:\archivos de programa\Archivos comunes\Java
2011-03-03 23:17 . 2011-03-03 23:17 -------- d-----w- c:\archivos de programa\Realtek AC97
2011-03-03 23:17 . 2006-07-31 17:27 217088 ----a-w- c:\windows\Alcrmv.exe
2011-03-03 23:17 . 2006-07-31 17:19 315392 ----a-w- c:\windows\alcupd.exe
2011-02-28 02:52 . 2011-02-23 14:56 371544 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-02-28 02:52 . 2011-02-23 15:04 40648 ----a-w- c:\windows\avastSS.scr
2011-02-23 21:28 . 2011-02-23 21:28 -------- d-----w- c:\documents and settings\Luis\dwhelper
2011-02-21 21:18 . 2011-02-22 03:49 -------- d-----w- C:\EES32
2011-02-17 02:55 . 2011-02-17 02:55 -------- d-----w- C:\TPX
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-23 15:04 . 2010-01-29 00:37 190016 ----a-w- c:\windows\system32\aswBoot.exe
2011-02-23 14:56 . 2010-01-29 00:39 301528 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-02-23 14:55 . 2010-01-29 00:39 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-02-23 14:55 . 2010-01-29 00:39 102232 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-02-23 14:55 . 2010-01-29 00:39 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-02-23 14:55 . 2010-01-29 00:39 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-02-23 14:54 . 2010-01-29 00:39 30680 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-02-23 14:54 . 2010-01-29 00:39 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-02-03 03:40 . 2011-01-11 00:54 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-02-03 01:19 . 2009-06-10 02:37 73728 ----a-w- c:\windows\system32\javacpl.cpl
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Note empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@=“{472083B0-C522-11CF-8763-00608CC02F24}”
[HKEY_CLASSES_ROOT\CLSID{472083B0-C522-11CF-8763-00608CC02F24}]
2011-02-23 15:04 122512 ----a-w- c:\archivos de programa\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“DAEMON Tools Lite”=“c:\archivos de programa\DAEMON Tools Lite\daemon.exe” [2008-01-17 486856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“avast5”=“c:\archiv~1\ALWILS~1\Avast5\avastUI.exe” [2011-02-23 3451496]
“BackgroundSwitcher”=“c:\windows\system32\bgswitch.exe” [2001-10-19 19520]
“CoolSwitch”=“c:\windows\system32\taskswitch.exe” [2001-10-19 45632]
“FastUser”=“c:\windows\system32\fast.exe” [2001-10-19 49216]
“hcwPVRReset”=“c:\archiv~1\WinTV\hcwP1Utl.exe” [2001-06-21 45056]
“SoundMan”=“SOUNDMAN.EXE” [2007-04-16 577536]
“SunJavaUpdateSched”=“c:\archivos de programa\Archivos comunes\Java\Java Update\jusched.exe” [2010-10-29 249064]
.
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2004-08-20 15360]
“DWQueuedReporting”=“c:\archiv~1\ARCHIV~1\MICROS~1\DW\dwtrig20.exe” [2008-11-04 435096]
.
c:\documents and settings\Luis\Men£ Inicio\Programas\Inicio
Rainlendar.lnk - c:\archivos de programa\Rainlendar\Rainlendar.exe [2005-7-22 118784]
Recorte de pantalla e Inicio r pido de OneNote 2007.lnk - c:\archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
.
[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
.
[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Inicio rápido de Adobe Acrobat.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Inicio rápido de Adobe Acrobat.lnk
backup=c:\windows\pss\Inicio rápido de Adobe Acrobat.lnkCommon Startup
.
[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Windows Search.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Windows Search.lnk
backup=c:\windows\pss\Windows Search.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2006-10-23 05:24 620152 ----a-w- c:\archivos de programa\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-11-15 09:42 33120 ----a-w- c:\archivos de programa\Alcohol Soft\Alcohol 52\AxAutoMntSrv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2005-08-31 03:05 344064 ----a-w- c:\archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2011-01-26 23:16 136176 ----atw- c:\documents and settings\Luis\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2004-08-19 21:57 1667584 --sh–w- c:\archivos de programa\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCTVOICE]
2001-08-23 04:15 86016 ----a-w- c:\windows\system32\pctspk.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 23:38 421888 ----a-w- c:\archivos de programa\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2007-04-16 21:28 577536 ----a-w- c:\windows\soundman.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2010-09-10 21:58 180269 ----a-w- c:\archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
“WSearch”=2 (0x2)
“odserv”=3 (0x3)
“wscsvc”=2 (0x2)
.
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“c:\Archivos de programa\Microsoft Office\Office12\OUTLOOK.EXE”=
“c:\Archivos de programa\Microsoft Office\Office12\ONENOTE.EXE”=
“c:\Mío\Seguridad\Juegos\Warcraft III\Warcraft III.exe”=
“c:\Archivos de programa\Microsoft Games\Halo\halo.exe”=
“c:\Archivos de programa\Windows Live\Messenger\wlcsdk.exe”=
“c:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe”=
“c:\Archivos de programa\BitTorrent\BitTorrent.exe”=
“c:\Archivos de programa\Wolfram Research\Mathematica\6.0\Mathematica.exe”=
“c:\Archivos de programa\Wolfram Research\Mathematica\6.0\MathKernel.exe”=
“c:\Archivos de programa\Wolfram Research\Mathematica\6.0\math.exe”=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [09/06/2009 08:31 p.m. 697328]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [27/02/2011 08:52 p.m. 371544]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [28/01/2010 06:39 p.m. 301528]
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [09/06/2009 08:17 p.m. 13696]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28/01/2010 06:39 p.m. 19544]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [30/10/2010 06:18 p.m. 114432]
S3 appliandMP;appliandMP;c:\windows\system32\DRIVERS\appliand.sys → c:\windows\system32\DRIVERS\appliand.sys [?]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [30/10/2010 06:18 p.m. 100736]
S3 NPF;WinPcap Packet Driver (NPF);c:\windows\system32\drivers\npf.sys [26/01/2010 08:09 p.m. 50704]
S3 vaxscsi;vaxscsi;c:\windows\system32\drivers\vaxscsi.sys [09/06/2009 08:33 p.m. 223128]
.
system
March 12, 2011, 10:43pm
7
//Part 2
Contents of the ‘Scheduled Tasks’ folder
.
.
------- Supplementary Scan -------
.
IE: Anexar a PDF existente - c:\archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir a Adobe PDF - c:\archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir destino de vínculo a PDF existente - c:\archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir destino de vínculo en archivo Adobe PDF - c:\archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir selección a Adobe PDF - c:\archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir selección a archivo PDF existente - c:\archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir vínculos seleccionados a Adobe PDF - c:\archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir vínculos seleccionados a PDF existente - c:\archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Luis\Datos de programa\Mozilla\Firefox\Profiles\7lzbs2mz.default
.
ORPHANS REMOVED - - - -
.
MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
MSConfigStartUp-MsnMsgr - c:\archivos de programa\MSN Messenger\MsnMsgr.Exe
MSConfigStartUp-NeroFilterCheck - c:\archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
AddRemove-HijackThis - c:\docume~1\Luis\CONFIG~1\Temp\Rar$EX00.031\HijackThis.exe
AddRemove-Adobe Digital Editions - c:\mío\Seguridad\Instaladores\D\digitaleditions2x0.exe
.
.
.
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-12 16:31
Windows 5.1.2600 Service Pack 2 NTFS
.
scanning hidden processes …
.
scanning hidden autostart entries …
.
scanning hidden files …
.
scan completed successfully
hidden files: 0
.
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
‘winlogon.exe’(752)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2011-03-12 16:36:50
ComboFix-quarantined-files.txt 2011-03-12 22:36
.
Pre-Run: 2,977,775,616 bytes libres
Post-Run: 3,311,927,296 bytes libres
.
Current=2 Default=2 Failed=0 LastKnownGood=4 Sets=1,2,3,4
End Of File - - 2B2C9F352873539DEF22CE7AFEB4275A
Re-Run DDS Program and paste here fresh DDS.txt log
system
March 12, 2011, 11:17pm
9
.
DDS (Ver_11-03-05.01) - NTFSx86
Run by Luis at 17:09:38.53 on 12/03/2011
Internet Explorer: 6.0.2900.2180 BrowserJavaVersion: 1.6.0_24
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.510.307 [GMT -6:00]
.
AV: avast! Antivirus Enabled/Updated {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe
svchost.exe
C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\ARCHIV~1\ALWILS~1\Avast5\avastUI.exe
C:\ARCHIV~1\WinTV\hcwP1Utl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\DAEMON Tools Lite\daemon.exe
C:\Archivos de programa\Rainlendar\Rainlendar.exe
C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\Fast.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Internet Movil\Internet Movil.exe
C:\Documents and Settings\Luis\Escritorio\dds.scr
.
============== Pseudo HJT Report ===============
.
BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\archivos de programa\archivos comunes\adobe\acrobat\activex\AcroIEHelper.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\archivos de programa\alwil software\avast5\aswWebRepIE.dll
BHO: Windows Live Aplicación auxiliar de inicio de sesión: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\archivos de programa\archivos comunes\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Adobe PDF Conversion Toolbar Helper: {ae7cd045-e861-484f-8273-0445ee161910} - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll
BHO: Java™ Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\archivos de programa\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\archivos de programa\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll
TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\archivos de programa\alwil software\avast5\aswWebRepIE.dll
uRun: [DAEMON Tools Lite] “c:\archivos de programa\daemon tools lite\daemon.exe” -autorun
mRun: [avast5] c:\archiv~1\alwils~1\avast5\avastUI.exe /nogui
mRun: [BackgroundSwitcher] c:\windows\system32\bgswitch.exe
mRun: [CoolSwitch] c:\windows\system32\taskswitch.exe
mRun: [FastUser] c:\windows\system32\fast.exe
mRun: [hcwPVRReset] c:\archiv~1\wintv\hcwP1Utl.exe -Quiet -ResetHardware -NotifyResetFailure -KeepTrying
mRun: [SoundMan] SOUNDMAN.EXE
mRun: [SunJavaUpdateSched] “c:\archivos de programa\archivos comunes\java\java update\jusched.exe”
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRun: [DWQueuedReporting] “c:\archiv~1\archiv~1\micros~1\dw\dwtrig20.exe” -t
StartupFolder: c:\docume~1\luis\menini~1\progra~1\inicio\rainle~1.lnk - c:\archivos de programa\rainlendar\Rainlendar.exe
StartupFolder: c:\docume~1\luis\menini~1\progra~1\inicio\recort~1.lnk - c:\archivos de programa\microsoft office\office12\ONENOTEM.EXE
IE: Anexar a PDF existente - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir a Adobe PDF - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir destino de vínculo a PDF existente - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir destino de vínculo en archivo Adobe PDF - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir selección a Adobe PDF - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir selección a archivo PDF existente - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir vínculos seleccionados a Adobe PDF - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir vínculos seleccionados a PDF existente - c:\archivos de programa\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\micros~2\office12\EXCEL.EXE/3000
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\archivos de programa\messenger\msmsgs.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\archiv~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\archiv~1\micros~2\office12\REFIEBAR.DLL
IE: {9455301C-CF6B-11D3-A266-00C04F689C50} - {9455301C-CF6B-11D3-A266-00C04F689C50} - c:\archivos de programa\archivos comunes\microsoft shared\encarta researcher\EROPROJ.DLL
IE: {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - {552781AF-37E4-4FEE-920A-CED9E648EADD} - c:\archivos de programa\archivos comunes\microsoft shared\encarta search bar\ENCSBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Handler: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - c:\archivos de programa\archivos comunes\microsoft shared\encarta researcher\MSERO.DLL
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\docume~1\luis\datosd~1\mozilla\firefox\profiles\7lzbs2mz.default
.
============= SERVICES / DRIVERS ===============
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2011-2-27 371544]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-1-28 301528]
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [2009-6-9 13696]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-1-28 19544]
R2 avast! Antivirus;avast! Antivirus;c:\archivos de programa\alwil software\avast5\AvastSvc.exe [2010-1-28 42184]
R2 StarWindServiceAE;StarWind AE Service;c:\archivos de programa\alcohol soft\alcohol 52\starwind\StarWindServiceAE.exe [2009-12-23 370688]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [2010-10-30 114432]
S3 appliandMP;appliandMP;c:\windows\system32\drivers\appliand.sys → c:\windows\system32\drivers\appliand.sys [?]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [2010-10-30 100736]
S3 NPF;WinPcap Packet Driver (NPF);c:\windows\system32\drivers\npf.sys [2010-1-26 50704]
S3 vaxscsi;vaxscsi;c:\windows\system32\drivers\vaxscsi.sys [2009-6-9 223128]
.
=============== Created Last 30 ================
.
2011-03-12 21:58:08 -------- d-sha-r- C:\cmdcons
2011-03-12 21:45:36 89088 ----a-w- c:\windows\MBR.exe
2011-03-12 21:45:35 98816 ----a-w- c:\windows\sed.exe
2011-03-12 21:45:35 256512 ----a-w- c:\windows\PEV.exe
2011-03-12 21:45:35 161792 ----a-w- c:\windows\SWREG.exe
2011-03-03 23:17:41 -------- d-----w- c:\archivos de programa\Realtek AC97
2011-03-03 23:17:26 315392 ----a-w- c:\windows\alcupd.exe
2011-03-03 23:17:26 217088 ----a-w- c:\windows\Alcrmv.exe
2011-02-28 02:52:38 371544 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-02-28 02:52:06 40648 ----a-w- c:\windows\avastSS.scr
2011-02-23 21:28:40 -------- d-----w- c:\documents and settings\luis\dwhelper
2011-02-21 21:18:07 -------- d-----w- C:\EES32
2011-02-17 02:55:36 -------- d-----w- C:\TPX
.
==================== Find3M ====================
.
2011-02-03 03:40:23 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-02-03 01:19:39 73728 ----a-w- c:\windows\system32\javacpl.cpl
.
============= FINISH: 17:15:00.93 ===============
Please find the following files:
C:\Qoobox\Quarantine\C\documents and settings\Luis[b]fswagz.exe.vir[/b]
C:\Qoobox\Quarantine\C\documents and settings\Luis[b]g2mdlhlpx.exe.vir[/b]
Pack files in the Rar (zip/rar) with password: virus
Please send this files ( files.rar ) to virus[AT]avast.com (replase [AT] with @)
…
Then Download and install this program MCShield
It will prevent infection by computer via USB flash drive, mobile phone or any memory card.
And not only will prevent infection, but will immediately clean Memory card or external HDD
…
The logs seems clean and there is no traces of malware. Your PC is clean.
It is necessary to uninstall Combofix
Start >> Run
Combofix /Uninstall
Enter. Then do the following
>>> Start avast! Antivirus >> settings >> Trubleshuuting > Uncheck “enable avast self defense modul”
Open Notepad and Copy/Paste everything from the Code box into Notepad:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"="\"C:\\Program Files\\Alwil Software\\Avast5\\avastUI.exe\" /nogui"
* Go to[b] File > Save As[/b]
* Save File name as [b]nogui.reg[/b]
* Change Save as Type to [b]All Files[/b] and save the file to your [b]Desktop[/b]
* double-click [b]nogui.reg[/b] on your Desktop
* When it asks if you want to merge the info to the registry, hit YES/OK
[b]Reboot computer[/b]
Start avast! Antivirus >> settings >> Trubleshuuting > Check “enable avast self defense modul”
Enable avast shields.
please note: You using old avast v5. There is new and better avast v6.
system
March 12, 2011, 11:29pm
11
Sorry, I didn’t understand where I have to send the Quarantine.rar
forgive me, I changed my post.
I would like copies of the following files to send to the avast mail for porhapse future definition:
C:\Qoobox\Quarantine\C\documents and settings\Luis[b]fswagz.exe.vir[/b]
C:\Qoobox\Quarantine\C\documents and settings\Luis[b]g2mdlhlpx.exe.vir[/b]
if you wish
Then…install MCShield to remove malware from your flash drive.
edit:
avast mail:
virus@avast.com
system
March 13, 2011, 12:01am
13
files sent
thank you for your help
system
April 21, 2011, 11:09pm
14
Hi, I have the same problem…
.
DDS (Ver_11-03-05.01) - NTFSx86
Run by Jovana at 1:06:14,60 on pet 22.04.2011
Internet Explorer: 6.0.2900.2180
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.254.68 [GMT 2:00]
.
AV: avast! Antivirus Disabled/Updated {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
svchost.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\Program Files\Ovislink\Common\TurboG-UI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Jovana\Desktop\dds.scr
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.rs/
mWinlogon: Taskman=c:\documents and settings\jovana\fswagz.exe
EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File
mRun: [avast] “c:\program files\avast software\avast\avastUI.exe” /nogui
StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\airliv~1.lnk - c:\program files\ovislink\common\TurboG-UI.exe
uPolicies-explorer: NoSMHelp = 01000000
uPolicies-explorer: NoLogoff = 01000000
uPolicies-explorer: NoActiveDesktop = 01000000
uPolicies-explorer: NoRecentDocsNetHood = 01000000
IE: E&xport to Microsoft Excel - c:\progra~1\micros~3\office12\EXCEL.EXE/3000
DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://go.microsoft.com/fwlink/?linkid=39204
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1294347890698
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1294348019245
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\docume~1\jovana\applic~1\mozilla\firefox\profiles\k9pffa4u.default
FF - prefs.js: browser.startup.homepage - hxxp://www.google.rs/
FF - plugin: c:\documents and settings\jovana\local settings\application data\google\update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\foxit software\foxit reader\plugins\npFoxitReaderPlugin.dll
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\mozilla firefox\extensions{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
.
---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
.
============= SERVICES / DRIVERS ===============
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2011-4-21 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2011-4-21 307288]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2011-4-21 19544]
R2 avast! Antivirus;avast! Antivirus;c:\program files\avast software\avast\AvastSvc.exe [2011-4-21 42184]
.
=============== Created Last 30 ================
.
2011-04-21 19:37:44 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-04-21 19:37:03 40112 ----a-w- c:\windows\avastSS.scr
2011-04-21 19:36:47 -------- d-----w- c:\program files\AVAST Software
2011-04-21 19:36:47 -------- d-----w- c:\docume~1\alluse~1\applic~1\AVAST Software
2011-04-21 18:25:14 25048 ----a-w- c:\program files\mozilla firefox\components\browserdirprovider.dll
2011-04-21 18:25:14 140248 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
2011-04-21 18:25:13 66520 ----a-w- c:\program files\mozilla firefox\plugins\npnul32.dll
2011-04-21 18:25:13 492504 ----a-w- c:\program files\mozilla firefox\sqlite3.dll
2011-04-21 18:25:13 1018328 ----a-w- c:\program files\mozilla firefox\js3250.dll
2011-04-12 19:23:41 -------- d-----w- c:\docume~1\jovana\locals~1\applic~1\Help
.
==================== Find3M ====================
.
2011-04-19 18:43:43 83968 --sh–r- c:\documents and settings\jovana\fswagz.exe
2011-02-28 08:00:00 80896 ----a-w- c:\windows\system32\ff_vfw.dll
.
============= FINISH: 1:07:26,54 ===============
Pondus
April 21, 2011, 11:14pm
15
@boora91
Then you should start a new topic asking for help, as helping multiple users in the same topic will be chaotic