Vundo. Can't erase registry and dll files.

Hewlett-packard Envy 15-1050nr notebook...
February 14, 2010 at 11:35:29
Specs: Windows XP
Hi,
I'm trying to erase vundu troyan but some registry keys and dll files won't erase. Tryied vundufix and malaware. I've been reading several forums but nothing worked.
Some registry keys and dll files won't erase.
I can't use google chrome but I can use IE.
Here is my malaware log.
Thanks!!


Malwarebytes' Anti-Malware 1.44
Versión de la Base de Datos: 3736
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14/02/2010 03:36:36 p.m.
mbam-log-2010-02-14 (15-36-32).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 238616
Tiempo transcurrido: 1 hour(s), 26 minute(s), 46 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 4
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4cef82ea-ceaa-4697-9a78-3bcd9192df07} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nqsmvbji (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4cef82ea-ceaa-4697-9a78-3bcd9192df07} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.BHO) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Folders infected:
(No se han detectado elementos maliciosos)

Files infected:
c:\WINDOWS\system32\bbzxclg.dll (Trojan.Vundo.H) -> No action taken.


See More: Vundo. Cant erase registry and dll files.

Report •


#1
February 14, 2010 at 11:51:26
The DDS program will help determine what version of Vundo you have.

Download DDS and save it to your desktop.
DDS.scr


Disable any script blocker if your Anti-Virus/Anti-Malware has it.
Once downloaded you can disconnect from the Internet and disable your Ant-Virus temporarily if needed.
Then double click dds.scr to run the tool.
When done, the DDS.txt will open.
Click Yes at the next prompt for Optional Scan.

When done, DDS will open two (2) logs:
1. DDS.txt
2. Attach.txt

Save both reports to your desktop then post them please.


Report •

#2
February 14, 2010 at 12:16:48
Thanks for your answer, these are the logs:

DDS (Ver_09-12-01.01) - NTFSx86
Run by Administrador at 17:10:47,15 on 14/02/2010
Internet Explorer: 6.0.2900.5512 BrowserJavaVersion: 1.6.0_07
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.1015.335 [GMT -3:00]


============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\Google\Google Talk\googletalk.exe
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\iTunes\iTunes.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrador\Escritorio\dds.scr
C:\WINDOWS\system32\wbem\wmiprvse.exe

============== Pseudo HJT Report ===============

uStart Page = about:blank
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uDefault_Search_URL = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyServer = 64.34.173.112:8888
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
BHO: : {4cef82ea-ceaa-4697-9a78-3bcd9192df07} - c:\windows\system32\bbzxclg.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\archivos de programa\spybot - search & destroy\SDHelper.dll
BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\archivos de programa\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\archivos de programa\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [SpybotSD TeaTimer] c:\archivos de programa\spybot - search & destroy\TeaTimer.exe
mRun: [Spyware doctor] "c:\archivos de programa\spyware doctor\pctsTray.exe"
mRun: [Google Desktop Search] "c:\archivos de programa\google\google desktop search\GoogleDesktop.exe" /startup
mRun: [SunJavaUpdateSched] "c:\archivos de programa\java\jre6\bin\jusched.exe"
mRun: [Malwarebytes' Anti-Malware] "c:\archivos de programa\malwarebytes' anti-malware\mbamgui.exe" /starttray
mRun: [UnlockerAssistant] "c:\archivos de programa\unlocker\UnlockerAssistant.exe"
mRun: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRun: [msnmsgr] "c:\archivos de programa\windows live\messenger\msnmsgr.exe" /background
StartupFolder: c:\docume~1\alluse~1\menini~1\progra~1\inicio\google talk.lnk - c:\archivos de programa\google\google talk\googletalk.exe
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xportar a Microsoft Excel - c:\archiv~1\micros~2\office11\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\archivos de programa\messenger\msmsgs.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\archiv~1\micros~2\office11\REFIEBAR.DLL
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\archivos de programa\spybot - search & destroy\SDHelper.dll
DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - hxxp://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} - hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\archiv~1\archiv~1\skype\Skype4COM.dll
Notify: igfxcui - igfxdev.dll
Notify: nqsmvbji - bbzxclg.dll
Notify: xxyxustr - xxyxustr.dll
AppInit_DLLs: "c:\archiv~1\google\google desktop search\GoogleDesktopNetwork3.dll"
LSA: Authentication Packages = msv1_0 c:\windows\system32\mlJDurRJ
IFEO: dotnet3.exe - c:\windows\microsoft.net\framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnet3[1].exe - c:\windows\microsoft.net\framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnet3[2].exe - c:\windows\microsoft.net\framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx.exe - c:\windows\microsoft.net\framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx3.exe - c:\windows\microsoft.net\framework\v2.0.50727\DotNetFxInstallBlock.exe

Note: multiple IFEO entries found. Please refer to Attach.txt

============= SERVICES / DRIVERS ===============

R0 dthhcvmz;dthhcvmz;c:\windows\system32\drivers\dthhcvmz.sys [2001-8-24 23424]
R2 iiwhviqi;Sony Ericsson Device 916 USB WMC Device Management s (WDM)Support;c:\windows\system32\svchost.exe -k netsvcs [2004-8-19 14336]
R2 MBAMService;MBAMService;c:\archivos de programa\malwarebytes' anti-malware\mbamservice.exe [2010-2-14 236368]
R3 IKFileSec;File Security Driver;c:\windows\system32\drivers\ikfilesec.sys [2008-6-1 42376]
R3 IKSysFlt;System Filter Driver;c:\windows\system32\drivers\iksysflt.sys [2008-6-1 66952]
R3 IKSysSec;System Security Driver;c:\windows\system32\drivers\iksyssec.sys [2008-6-1 81288]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2010-2-14 19160]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\archivos de programa\google\google desktop search\GoogleDesktop.exe [2009-11-27 30192]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [2009-2-20 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [2009-2-20 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [2009-2-20 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [2009-2-20 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [2009-2-20 100008]
S3 sdAuxService;PC Tools Auxiliary Service;c:\archivos de programa\spyware doctor\pctsAuxs.exe [2008-6-1 747912]
S3 sdCoreService;PC Tools Security Service;c:\archivos de programa\spyware doctor\pctsSvc.exe [2008-6-1 948616]
S3 VundoFixSvc;VundoFix Service;VundoFixSVC.exe --> VundoFixSVC.exe [?]
S4 gupdate1c993726683066c;Servicio de actualización de Google (gupdate1c993726683066c);c:\archivos de programa\google\update\GoogleUpdate.exe [2009-2-20 133104]

=============== Created Last 30 ================

2010-02-14 07:45:42 24576 ----a-w- c:\windows\system32\VundoFixSVC.exe
2010-02-14 07:42:47 0 d-----w- c:\archivos de programa\Unlocker
2010-02-14 03:44:48 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-14 03:44:46 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-14 03:44:46 0 d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2010-02-14 01:16:16 244 ---ha-w- C:\sqmnoopt14.sqm
2010-02-14 01:16:16 232 ---ha-w- C:\sqmdata14.sqm
2010-02-14 01:13:22 244 ---ha-w- C:\sqmnoopt13.sqm
2010-02-14 01:13:22 232 ---ha-w- C:\sqmdata13.sqm
2010-02-13 22:44:50 0 d-----w- C:\VundoFix Backups
2010-02-13 22:24:57 0 d-----w- c:\windows\system32\wbem\Repository
2010-02-11 19:25:53 76 ----a-w- c:\windows\system32\-1
2010-02-07 17:34:42 244 ---ha-w- C:\sqmnoopt12.sqm
2010-02-07 17:34:42 232 ---ha-w- C:\sqmdata12.sqm
2010-02-03 21:40:12 244 ---ha-w- C:\sqmnoopt11.sqm
2010-02-03 21:40:12 232 ---ha-w- C:\sqmdata11.sqm
2010-01-30 23:42:38 232 ---ha-w- C:\sqmdata10.sqm
2010-01-30 23:42:37 244 ---ha-w- C:\sqmnoopt10.sqm
2010-01-29 20:55:03 244 ---ha-w- C:\sqmnoopt09.sqm
2010-01-29 20:55:03 232 ---ha-w- C:\sqmdata09.sqm
2010-01-27 01:06:02 232 ---ha-w- C:\sqmdata08.sqm
2010-01-27 01:06:01 244 ---ha-w- C:\sqmnoopt08.sqm
2010-01-24 00:50:07 244 ---ha-w- C:\sqmnoopt07.sqm
2010-01-24 00:50:07 232 ---ha-w- C:\sqmdata07.sqm
2010-01-21 20:26:27 244 ---ha-w- C:\sqmnoopt06.sqm
2010-01-21 20:26:27 232 ---ha-w- C:\sqmdata06.sqm
2010-01-21 20:21:43 244 ---ha-w- C:\sqmnoopt05.sqm
2010-01-21 20:21:43 232 ---ha-w- C:\sqmdata05.sqm
2010-01-21 01:17:22 244 ---ha-w- C:\sqmnoopt04.sqm
2010-01-21 01:17:22 232 ---ha-w- C:\sqmdata04.sqm
2010-01-21 01:14:09 244 ---ha-w- C:\sqmnoopt03.sqm
2010-01-21 01:14:09 232 ---ha-w- C:\sqmdata03.sqm
2010-01-18 23:29:39 244 ---ha-w- C:\sqmnoopt02.sqm
2010-01-18 23:29:39 232 ---ha-w- C:\sqmdata02.sqm
2010-01-18 22:14:41 244 ---ha-w- C:\sqmnoopt01.sqm
2010-01-18 22:14:41 232 ---ha-w- C:\sqmdata01.sqm

==================== Find3M ====================

2009-12-13 19:12:32 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-13 19:12:08 62872 ----a-w- c:\windows\system32\perfc00A.dat
2009-12-13 19:12:08 448254 ----a-w- c:\windows\system32\perfh00A.dat

============= FINISH: 17:13:56,95 ===============


UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_09-12-01.01)

Microsoft Windows XP Professional
Boot Device: \Device\HarddiskVolume1
Install Date: 07/05/2008 01:29:04 a.m.
System Uptime: 14/02/2010 03:37:26 p.m. (2 hours ago)

Motherboard: Hewlett-Packard | | 30D5
Processor: Intel(R) Core(TM) Duo CPU T2600 @ 2.16GHz | U10 | 1318/166mhz

==== Disk Partitions =========================

C: is FIXED (NTFS) - 112 GiB total, 15,964 GiB free.
D: is CDROM ()

==== Disabled Device Manager Items =============

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description:
Device ID: ACPI\HPQ0006\2&DABA3FF&0
Manufacturer:
Name:
PNP Device ID: ACPI\HPQ0006\2&DABA3FF&0
Service:

==== System Restore Points ===================

RP10: 14/02/2010 05:06:05 p.m. - Punto de control del sistema

==== Image File Execution Options =============

IFEO: dotnet3.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnet3[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnet3[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx3.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx30SP1setup.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx30SP1setup[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx30SP1setup[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx35.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx35setup.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx35setup[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx35setup[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx35[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx35[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx3setup.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx3setup[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx3setup[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx3[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx3[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx3_ia64.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx3_ia64[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx3_ia64[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx3_x64.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx3_x64[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx3_x64[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: dotnetfx[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP1_ia64.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP1_ia64[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP1_ia64[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP1_x64.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP1_x64[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP1_x64[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP1_x86.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP1_x86[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP1_x86[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP2_ia64.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP2_ia64[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP2_ia64[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP2_x64.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP2_x64[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP2_x64[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP2_x86.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP2_x86[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx20SP2_x86[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx30SP1_x64.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx30SP1_x64[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx30SP1_x64[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx30SP1_x86.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx30SP1_x86[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx30SP1_x86[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx35_ia64.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx35_ia64[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx35_ia64[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx35_x64.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx35_x64[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx35_x64[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx35_x86.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx35_x86[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx35_x86[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx64.exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx64[1].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe
IFEO: NetFx64[2].exe - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe

==== Installed Programs ======================

AAC Decoder
Actualización de seguridad para el Reproductor de Windows Media (KB952069)
Actualización de seguridad para el Reproductor de Windows Media (KB954155)
Actualización de seguridad para el Reproductor de Windows Media (KB968816)
Actualización de seguridad para el Reproductor de Windows Media (KB973540)
Actualización de seguridad para el Reproductor de Windows Media 11 (KB954154)
Actualización de seguridad para Windows XP (KB923561)
Actualización de seguridad para Windows XP (KB923689)
Actualización de seguridad para Windows XP (KB923789)
Actualización de seguridad para Windows XP (KB938464-v2)
Actualización de seguridad para Windows XP (KB938464)
Actualización de seguridad para Windows XP (KB941569)
Actualización de seguridad para Windows XP (KB946648)
Actualización de seguridad para Windows XP (KB950760)
Actualización de seguridad para Windows XP (KB950762)
Actualización de seguridad para Windows XP (KB950974)
Actualización de seguridad para Windows XP (KB951066)
Actualización de seguridad para Windows XP (KB951376-v2)
Actualización de seguridad para Windows XP (KB951376)
Actualización de seguridad para Windows XP (KB951748)
Actualización de seguridad para Windows XP (KB952004)
Actualización de seguridad para Windows XP (KB952954)
Actualización de seguridad para Windows XP (KB953838)
Actualización de seguridad para Windows XP (KB953839)
Actualización de seguridad para Windows XP (KB954211)
Actualización de seguridad para Windows XP (KB954459)
Actualización de seguridad para Windows XP (KB954600)
Actualización de seguridad para Windows XP (KB955069)
Actualización de seguridad para Windows XP (KB956390)
Actualización de seguridad para Windows XP (KB956391)
Actualización de seguridad para Windows XP (KB956572)
Actualización de seguridad para Windows XP (KB956744)
Actualización de seguridad para Windows XP (KB956802)
Actualización de seguridad para Windows XP (KB956803)
Actualización de seguridad para Windows XP (KB956841)
Actualización de seguridad para Windows XP (KB956844)
Actualización de seguridad para Windows XP (KB957095)
Actualización de seguridad para Windows XP (KB957097)
Actualización de seguridad para Windows XP (KB958215)
Actualización de seguridad para Windows XP (KB958644)
Actualización de seguridad para Windows XP (KB958687)
Actualización de seguridad para Windows XP (KB958690)
Actualización de seguridad para Windows XP (KB958869)
Actualización de seguridad para Windows XP (KB959426)
Actualización de seguridad para Windows XP (KB960225)
Actualización de seguridad para Windows XP (KB960715)
Actualización de seguridad para Windows XP (KB960803)
Actualización de seguridad para Windows XP (KB960859)
Actualización de seguridad para Windows XP (KB961371)
Actualización de seguridad para Windows XP (KB961373)
Actualización de seguridad para Windows XP (KB961501)
Actualización de seguridad para Windows XP (KB968537)
Actualización de seguridad para Windows XP (KB969059)
Actualización de seguridad para Windows XP (KB969898)
Actualización de seguridad para Windows XP (KB970238)
Actualización de seguridad para Windows XP (KB971486)
Actualización de seguridad para Windows XP (KB971557)
Actualización de seguridad para Windows XP (KB971633)
Actualización de seguridad para Windows XP (KB971657)
Actualización de seguridad para Windows XP (KB971961)
Actualización de seguridad para Windows XP (KB973346)
Actualización de seguridad para Windows XP (KB973354)
Actualización de seguridad para Windows XP (KB973507)
Actualización de seguridad para Windows XP (KB973525)
Actualización de seguridad para Windows XP (KB973869)
Actualización de seguridad para Windows XP (KB974112)
Actualización de seguridad para Windows XP (KB974571)
Actualización de seguridad para Windows XP (KB975025)
Actualización para Windows XP (KB951072-v2)
Actualización para Windows XP (KB951978)
Actualización para Windows XP (KB955839)
Actualización para Windows XP (KB967715)
Actualización para Windows XP (KB973815)
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop 7.0
Adobe Reader 8.1.5 - Español
AiO_Scan_CDA
Apple Application Support
Apple Mobile Device Support
Apple Software Update
Aspell English Dictionary-0.50-2
Aspell Esperanto Dictionary-0.50-2
Aspell Italian Dictionary-0.50-2
µTorrent
AutoUpdate
Bonjour
Conexant HD Audio
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Plus Web Player
DivX Version Checker
Fierro 1.10.42
GNU Aspell 0.50-3
Google Apps
Google Chrome
Google Desktop
Google Talk (remove only)
Google Talk Plugin
Google Update Helper
Google Updater
GTK+ Runtime 2.14.7 rev a (remove only)
H.264 Decoder
HDAUDIO Soft Data Fax Modem with SmartCP
HijackThis 2.0.2
Hotspot Shield 1.17
HP Photosmart, Officejet and Deskjet 7.0.A
Intel(R) Graphics Media Accelerator Driver
Intel(R) PRO Network Connections Drivers
IrfanView (remove only)
iTunes
Java(TM) 6 Update 17
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
KB408682
Malwarebytes' Anti-Malware
Metal Knights 98
Microsoft .NET Framework 2.0 Client Service Pack 2
Microsoft .NET Framework 2.0 Client Service Pack 2 - Language Pack (ESN)
Microsoft .NET Framework 3.0 Client Profile - Language Pack (ESN)
Microsoft .NET Framework 3.0 Client Service Pack 2
Microsoft .NET Framework 3.5 Client Profile - Language Pack (ESN)
Microsoft .NET Framework 3.5 Client Service Pack 1
Microsoft .NET Framework Client Profile
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Professional Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
MKV Splitter
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML4 Parser
Nero 8
neroxml
Norton Security Scan
Paquete de idioma de Microsoft .NET Framework Client Profile - ESN
Picasa 3
Pidgin
PowerDVD
QFolder
QuarkXPress 7.2
QuickTime
Real Alternative 1.9.0
Revisión para Windows XP (KB952287)
Revisión para Windows XP (KB970653-v3)
Scan
Skype™ 3.8
Spybot - Search & Destroy
Spyware Doctor 5.5
Startup Manager 2.4.2
Unlocker 1.8.8
VC80CRTRedist - 8.0.50727.4053
VCRedistSetup
WebFldrs XP
Winamp (remove only)
Windows Live Asistente para el inicio de sesión
Windows Live installer
Windows Live Messenger
Windows XP Service Pack 3
WinRAR archiver

==== Event Viewer Messages From Past Week ========

14/02/2010 12:20:03 a.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
14/02/2010 12:16:43 a.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
14/02/2010 05:38:54 a.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
14/02/2010 04:54:24 a.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
14/02/2010 04:47:22 a.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
14/02/2010 03:57:41 a.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
14/02/2010 03:38:21 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
14/02/2010 02:17:33 a.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
14/02/2010 02:16:03 a.m., ERROR: Service Control Manager [7034] - El servicio MBAMService se terminó de manera inesperada. Esto ha sucedido 1 veces.
14/02/2010 01:23:00 a.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
13/02/2010 11:50:17 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
13/02/2010 11:16:41 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
13/02/2010 09:27:48 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
13/02/2010 09:13:03 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
13/02/2010 08:26:45 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
13/02/2010 07:28:53 p.m., ERROR: DCOM [10005] - DCOM ha obtenido un error "%1058" al intentar iniciar el servicio wuauserv con argumentos "" para ejecutar el servidor: {E60687F7-01A1-40AA-86AC-DB1CBF673334}
13/02/2010 07:26:22 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
13/02/2010 07:26:08 p.m., ERROR: Dhcp [1002] - La concesión de la dirección IP 192.168.1.100 para la tarjeta de red con la dirección de red 001F3C0020E3 ha sido denegada por el servidor DHCP 0.0.0.0 (el servidor DHCP envió un mensaje DHCPNACK).
13/02/2010 07:10:23 p.m., ERROR: Service Control Manager [7031] - El servicio Google Software Updater terminó inesperadamente. Lo ha hecho 1 veces. Se realizará la siguiente acción correctora en 900000 milisegundos: Reiniciar el servicio.
13/02/2010 07:09:37 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
13/02/2010 06:29:20 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
13/02/2010 06:17:37 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
13/02/2010 05:33:07 a.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
12/02/2010 10:20:03 p.m., ERROR: DCOM [10005] - DCOM ha obtenido un error "%1058" al intentar iniciar el servicio iPod Service con argumentos "" para ejecutar el servidor: {063D34A4-BF84-4B8D-B699-E8CA06504DDE}
11/02/2010 12:49:54 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
11/02/2010 12:49:54 p.m., ERROR: Ftdisk [45] - El sistema no pudo cargar el controlador del archivo de volcado.
11/02/2010 12:02:24 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
11/02/2010 10:25:10 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
11/02/2010 04:57:19 p.m., ERROR: Dhcp [1002] - La concesión de la dirección IP 192.168.1.100 para la tarjeta de red con la dirección de red 001F3C0020E3 ha sido denegada por el servidor DHCP 0.0.0.0 (el servidor DHCP envió un mensaje DHCPNACK).
11/02/2010 04:52:42 p.m., ERROR: DCOM [10005] - DCOM ha obtenido un error "%1058" al intentar iniciar el servicio helpsvc con argumentos "" para ejecutar el servidor: {833E4010-AFF7-4AC3-AAC2-9F24C1457BCE}
11/02/2010 03:22:32 p.m., ERROR: DCOM [10005] - DCOM ha obtenido un error "%1058" al intentar iniciar el servicio MSIServer con argumentos "" para ejecutar el servidor: {000C101C-0000-0000-C000-000000000046}
10/02/2010 09:47:45 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
10/02/2010 06:04:51 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
09/02/2010 05:39:05 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
08/02/2010 09:35:06 a.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
08/02/2010 05:50:29 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.
07/02/2010 02:46:34 p.m., ERROR: Service Control Manager [7011] - Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio stisvc.
07/02/2010 02:46:04 p.m., ERROR: Service Control Manager [7011] - Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio stisvc.
07/02/2010 02:30:40 p.m., ERROR: Ftdisk [49] - Error en la configuración del archivo de paginación para el volcado. Asegúrese de que hay un archivo de paginación en la partición de inicio y de que ésta sea suficientemente grande como para contener toda la memoria física.

==== End Of File ===========================



Report •

#3
February 14, 2010 at 12:34:26

You should uninstall utorrent as it is know to harbor spyware.

These older versions of java should be uninstalled as they can be exploited:


Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7


Remember..your antivirus, Spybot's TeaTimer, and Spyware Doctor must be turned off or disabled before running ComboFix. The clickable link "This Link" in the ComboFix tutorial will help you get them disabled.

Please download ComboFix to the desktop from one of the following links:

ComboFix

Rename the setup file, combofix.exe, before you download it. To do that once the "enter name of file to save to" box appears as the download begins in the filename box rename combofix.exe to to Combo-Fix> click save.
Note: In the event you already have Combofix, this is a new version that I need you to download. It is important that it is saved and renamed following this process directly to your desktop.
If you are using Firefox, make sure that your download settings are as follows:
Tools->Options->Main tab
Set to "Always ask me where to Save the files".

Please do not rename Combofix to other names, but only to the one indicated.
Close any open browsers.
Close/disable all anti virus and anti malware programs so they do not interfere with the running of ComboFix.
-----------------------------------------------------------
Very Important! Temporarily disable your anti-virus, script blocking and any anti-malware real-time protection before performing a scan. They can interfere with ComboFix or remove some of its embedded files which may cause "unpredictable results".
Click on This Link to see a list of programs that should be disabled. The list is not all inclusive. If yours is not listed and you don't know how to disable it, please ask.
-----------------------------------------------------------
Close any open browsers.
WARNING: Combofix will disconnect your machine from the Internet as soon as it starts
Please do not attempt to re-connect your machine back to the Internet until Combofix has completely finished.
If there is no internet connection after running Combofix, then restart your computer to restore back your connection.
-----------------------------------------------------------
Double click on Combo-Fix.exe & follow the prompts.
Install the recovery console when asked.
When finished, it will produce a report for you.
Please post the "C:\Combo-Fix.txt" .
Note: Do not mouseclick combo-fix's window while it's running. That may cause it to hang.


Note: ComboFix may reset a number of Internet Explorer's settings, including making it the default browser.
Note: Combofix prevents autorun of ALL CDs, floppies and USB devices to assist with malware removal & increase security.

Please do not install any new programs or update anything unless told to do so while we are fixing your problem.

Once you post the Combofix log please install a antivirus program

You can download the free version of AVG antivirus at this link:
AVG Free Antivirus

Update it once you get it installed.


Report •

Related Solutions

#4
February 14, 2010 at 12:48:01
Hi,
I can't erase java updates. Shall I go on with the rest?
Thanks.

Report •

#5
February 14, 2010 at 13:10:05
Yes, please continue.

Report •

#6
February 14, 2010 at 14:23:02
ComboFix 10-02-12.01 - Administrador 14/02/2010 19:00:54.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.1015.622 [GMT -3:00]
Running from: c:\documents and settings\Administrador\Escritorio\Combo-Fix.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
c:\windows\system32\bbzxclg.dll
c:\windows\system32\dcgwwvx.dll
c:\windows\system32\drivers\dthhcvmz.sys
c:\windows\system32\drivers\rfijufdm.sys
c:\windows\system32\oclugaui.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DTHHCVMZ
-------\Legacy_IIWHVIQI
-------\Service_dthhcvmz
-------\Service_iiwhviqi
-------\Legacy_DTHHCVMZ


((((((((((((((((((((((((( Files Created from 2010-01-14 to 2010-02-14 )))))))))))))))))))))))))))))))
.

2010-02-14 07:45 . 2010-02-14 07:45 24576 ----a-w- c:\windows\system32\VundoFixSVC.exe
2010-02-14 07:42 . 2010-02-14 07:43 -------- d-----w- c:\archivos de programa\Unlocker
2010-02-14 03:44 . 2010-01-07 19:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-14 03:44 . 2010-02-14 03:44 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2010-02-14 03:44 . 2010-01-07 19:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-13 22:44 . 2010-02-14 06:55 -------- d-----w- C:\VundoFix Backups
2010-02-13 22:24 . 2010-02-13 22:24 -------- d-----w- c:\windows\system32\wbem\Repository
2010-01-17 21:37 . 2010-01-17 21:37 -------- d-s---w- c:\documents and settings\NetworkService\UserData

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-14 22:10 . 2008-06-02 02:03 -------- d---a-w- c:\documents and settings\All Users\Datos de programa\TEMP
2010-02-14 22:09 . 2009-09-18 06:02 -------- d-----w- c:\archivos de programa\Spybot - Search & Destroy
2010-02-14 22:00 . 2009-09-18 06:02 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2010-02-14 20:46 . 2008-05-18 16:50 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\uTorrent
2010-02-14 05:28 . 2008-10-17 16:14 -------- d-----w- c:\archivos de programa\HP
2010-02-13 22:09 . 2008-06-02 01:39 -------- d-----w- c:\archivos de programa\Norton Security Scan
2010-02-13 21:30 . 2008-07-11 18:06 -------- d-----w- c:\archivos de programa\Archivos comunes\Symantec Shared
2010-02-11 15:11 . 2009-05-07 21:57 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Skype
2010-02-11 15:09 . 2008-10-12 17:17 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\skypePM
2010-02-08 04:23 . 2008-05-10 22:58 -------- d-----w- c:\archivos de programa\Google
2010-02-03 21:23 . 2008-06-02 01:23 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Google Updater
2010-01-02 17:51 . 2008-05-18 18:40 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Apple Computer
2009-12-13 19:12 . 2008-11-25 03:19 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-13 19:12 . 2001-08-24 11:00 62872 ----a-w- c:\windows\system32\perfc00A.dat
2009-12-13 19:12 . 2001-08-24 11:00 448254 ----a-w- c:\windows\system32\perfh00A.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\archivos de programa\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spyware doctor"="c:\archivos de programa\Spyware Doctor\pctsTray.exe" [2008-02-01 1103240]
"Google Desktop Search"="c:\archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" [2009-11-27 30192]
"SunJavaUpdateSched"="c:\archivos de programa\Java\jre6\bin\jusched.exe" [2009-12-13 149280]
"Malwarebytes' Anti-Malware"="c:\archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-01-07 429392]
"UnlockerAssistant"="c:\archivos de programa\Unlocker\UnlockerAssistant.exe" [2009-10-26 15872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"msnmsgr"="c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe" [2008-05-12 5724184]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
Google Talk.lnk - c:\archivos de programa\Google\Google Talk\googletalk.exe [2007-1-1 3739648]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\googletalk]
2007-01-01 21:22 3739648 ----a-w- c:\archivos de programa\Google\Google Talk\googletalk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"Spooler"=2 (0x2)
"sdCoreService"=2 (0x2)
"sdAuxService"=2 (0x2)
"Nero BackItUp Scheduler 3"=2 (0x2)
"iPod Service"=3 (0x3)
"HssTrayService"=3 (0x3)
"HssSrv"=2 (0x2)
"HotspotShieldService"=2 (0x2)
"gusvc"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"Bonjour Service"=2 (0x2)
"MSIServer"=3 (0x3)
"helpsvc"=2 (0x2)
"gupdate1c993726683066c"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Documents and Settings\\Administrador\\Configuración local\\Datos de programa\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"c:\\Documents and Settings\\Administrador\\Configuración local\\Datos de programa\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=

R2 MBAMService;MBAMService;c:\archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe [14/02/2010 12:44 a.m. 236368]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [14/02/2010 12:44 a.m. 19160]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe [27/11/2009 02:40 a.m. 30192]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [20/02/2009 10:37 p.m. 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [20/02/2009 10:37 p.m. 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [20/02/2009 10:37 p.m. 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [20/02/2009 10:37 p.m. 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [20/02/2009 10:37 p.m. 100008]
S3 sdAuxService;PC Tools Auxiliary Service;c:\archivos de programa\Spyware Doctor\pctsAuxs.exe [01/06/2008 11:03 p.m. 747912]
S3 VundoFixSvc;VundoFix Service;VundoFixSVC.exe --> VundoFixSVC.exe [?]
S4 gupdate1c993726683066c;Servicio de actualización de Google (gupdate1c993726683066c);c:\archivos de programa\Google\Update\GoogleUpdate.exe [20/02/2009 12:46 p.m. 133104]
.
Contents of the 'Scheduled Tasks' folder

2010-02-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:34]

2010-02-14 c:\windows\Tasks\Google Software Updater.job
- c:\archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-05-10 21:22]

2010-02-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-02-20 15:46]

2010-02-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-02-20 15:46]

2010-02-12 c:\windows\Tasks\Norton Security Scan.job
- c:\archivos de programa\Norton Security Scan\Nss.exe [2007-09-19 02:42]
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyServer = 64.34.173.112:8888
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
- - - - ORPHANS REMOVED - - - -

Notify-nqsmvbji - (no file)
Notify-xxyxustr - xxyxustr.dll
AddRemove-HijackThis - c:\documents and settings\Administrador\Escritorio\HijackThis.exe
AddRemove-Metal Knights - c:\archivos de programa\Metal Knights\UnInstall

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-14 19:12
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x864C2170]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75cbf28
\Driver\ACPI -> ACPI.sys @ 0xf745dcb8
\Driver\atapi -> atapi.sys @ 0xf73d1852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Intel(R) PRO/Wireless 3945ABG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf72ddbb0
PacketIndicateHandler -> NDIS.sys @ 0xf72cca0d
SendHandler -> NDIS.sys @ 0xf72e0b40
user & kernel MBR OK

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"A0C0110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2010-02-14 19:18:27 - machine was rebooted
ComboFix-quarantined-files.txt 2010-02-14 22:18

Pre-Run: 18.123.804.672 bytes libres
Post-Run: 18.109.161.472 bytes libres

- - End Of File - - 9E576ADCDD699F7712DBDCE52592AE4B


Report •

#7
February 14, 2010 at 15:04:29
Open Notepad and copy/paste everything between the X's into it and make sure the first word (such as KILLALL, File, Folder, Registry etc.) is at the very top of the page.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
KILLALL::
File::
c:\windows\system32\mlJDurRJ.dll

Folder::
c:\windows\system32\mlJDurRJ

Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
“Authentication Packages = msv1_0”

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Go to File on the top bar and choose" Save As", Change the "Save As Type" to All Files, Name it CFScript.txt then save it to your desktop.
Then drag/drop the CFScript.txt onto ComboFix.exe (the red symbol on your desktop) if combofix does not auto start click "run".

Please post the log that is produced.

Let me know if you are still having problems.


Report •

#8
February 14, 2010 at 15:39:37
Jabuck:
This the resulting log:
ComboFix 10-02-12.01 - Administrador 14/02/2010 20:15:26.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.1015.637 [GMT -3:00]
Running from: c:\documents and settings\Administrador\Escritorio\Combo-Fix.exe
Command switches used :: c:\documents and settings\Administrador\Escritorio\CFScript.txt

FILE ::
"c:\windows\system32\mlJDurRJ.dll"
.

((((((((((((((((((((((((( Files Created from 2010-01-14 to 2010-02-14 )))))))))))))))))))))))))))))))
.

2010-02-14 22:24 . 2010-02-14 22:24 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\AVG8
2010-02-14 07:45 . 2010-02-14 07:45 24576 ----a-w- c:\windows\system32\VundoFixSVC.exe
2010-02-14 07:42 . 2010-02-14 07:43 -------- d-----w- c:\archivos de programa\Unlocker
2010-02-14 03:44 . 2010-01-07 19:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-14 03:44 . 2010-02-14 03:44 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2010-02-14 03:44 . 2010-01-07 19:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-13 22:44 . 2010-02-14 06:55 -------- d-----w- C:\VundoFix Backups
2010-02-13 22:24 . 2010-02-13 22:24 -------- d-----w- c:\windows\system32\wbem\Repository
2010-01-17 21:37 . 2010-01-17 21:37 -------- d-s---w- c:\documents and settings\NetworkService\UserData

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-14 23:26 . 2008-06-02 02:03 -------- d---a-w- c:\documents and settings\All Users\Datos de programa\TEMP
2010-02-14 22:09 . 2009-09-18 06:02 -------- d-----w- c:\archivos de programa\Spybot - Search & Destroy
2010-02-14 22:00 . 2009-09-18 06:02 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2010-02-14 20:46 . 2008-05-18 16:50 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\uTorrent
2010-02-14 05:28 . 2008-10-17 16:14 -------- d-----w- c:\archivos de programa\HP
2010-02-13 22:09 . 2008-06-02 01:39 -------- d-----w- c:\archivos de programa\Norton Security Scan
2010-02-13 21:30 . 2008-07-11 18:06 -------- d-----w- c:\archivos de programa\Archivos comunes\Symantec Shared
2010-02-11 15:11 . 2009-05-07 21:57 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Skype
2010-02-11 15:09 . 2008-10-12 17:17 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\skypePM
2010-02-08 04:23 . 2008-05-10 22:58 -------- d-----w- c:\archivos de programa\Google
2010-02-03 21:23 . 2008-06-02 01:23 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Google Updater
2010-01-02 17:51 . 2008-05-18 18:40 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Apple Computer
2009-12-13 19:12 . 2008-11-25 03:19 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-13 19:12 . 2001-08-24 11:00 62872 ----a-w- c:\windows\system32\perfc00A.dat
2009-12-13 19:12 . 2001-08-24 11:00 448254 ----a-w- c:\windows\system32\perfh00A.dat
2009-12-13 19:11 . 2009-11-03 20:26 152576 ----a-w- c:\documents and settings\Administrador\Datos de programa\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-13 19:10 . 2009-12-13 19:10 79488 ----a-w- c:\documents and settings\Administrador\Datos de programa\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-04 13:03 . 2009-12-04 13:03 251376 ----a-w- c:\documents and settings\Administrador\Datos de programa\Mozilla\plugins\npgoogletalk.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-02-14_22.09.58 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-14 23:26 . 2010-02-14 23:26 16384 c:\windows\temp\Perflib_Perfdata_3d8.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

I still can't use google chrome.


Report •

#9
February 14, 2010 at 16:13:21
Sorry, I don't know much about Chrome but I see several suggestions from a google search that could help. Do a search for google chrome wont run/load and try their suggestions.

Report •

#10
February 14, 2010 at 16:21:51
Ok! Thanks. The rest of my system is vundu-free?

Report •

#11
February 14, 2010 at 16:30:14
It looks clean to me.

If you run Malwarebytes again and someting is found make sure that everything found is checked, and click Remove Selected.

A little clean-up to do.

Delete DDS from your desktop

Go to start> run> type in ComboFix /Uninstall (note the space after ComboFix) then press enter> run. This will uninstall combofix so give the uninstaller a minute to run.

Download ATF Cleaner from this link:
http://www.majorgeeks.com/ATF_Cleaner_d4949.html
Run ATF-Cleaner
Double-click ATF-Cleaner.exe to run the program.
Under Main choose: Select All
Click the Empty Selected button.

Empty the restore folder. Go to start>control panel>system>system restore tab>check the box beside "turn off system restore>apply (takes a minute)>ok. Go back and uncheck the box to turn system restore back on>apply>ok.

Next create a new restore point. Go to start> run> type in msconfig> ok> click launch system restore> check the circle beside "create a restore point> next> name it today's date> create > click home > exit the system configuration utility> restart the computer.

You should consider adding "Spywareblaster" to your arsenol of antispyware tools, you can download it from this link Spywareblaster

Just download it,install it, and update it. Its free and runs in the background, so you don't actually run it, and re-writes malicious script before it can install on your computer. Look for updates weekly as there is no auto-update on the free version.

Glad we could help.


Report •


Ask Question