Jump to content

Welcome to Geeks to Go - Register now for FREE

Geeks To Go is a helpful hub, where thousands of volunteer geeks quickly serve friendly answers and support. Check out the forums and get free advice from the experts. Register now to gain access to all of our features, it's FREE and only takes one minute. Once registered and logged in, you will be able to create topics, post replies to existing threads, give reputation to your fellow members, get your own private messenger, post status updates, manage your profile and so much more.

Create Account How it Works
Photo

Please help, I have spyware.. [CLOSED]


  • This topic is locked This topic is locked

#1
dragues

dragues

    Member

  • Member
  • PipPip
  • 74 posts
Please, please, help me! I have a lot of spyware. My computer is really slow, and explorer, msn, firefox, etc. crashes all the time.


I have a lot of icons in my task bar: malware crush, security warning, outerinfo and security alert.

Please, help. Thanx you very much.

Here is my log:

Logfile of HijackThis v1.99.1
Scan saved at 10:16:20 p.m., on 23/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\bgsvcgen.exe
C:\WINNT\System32\qveomgti.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\System32\HPZipm12.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\vsnp2std.exe
C:\WINNT\System32\wupeng.exe
C:\Archivos de programa\MalwareCrush\MalwareCrush.exe
C:\WINNT\System32\ctfmon.exe
C:\Archivos de programa\MalwareCrush\MalwareCrush.exe
C:\Archivos de programa\Pando Networks\Pando\Pando.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\Outerinfo\Outerinfo.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
c:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
c:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\MSN Messenger\livecall.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\HT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [snp2std] C:\WINNT\vsnp2std.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSDrive] rundll32.exe C:\WINNT\System32\drvzaj.dll,startup
O4 - HKLM\..\Run: [Winupdate Engine] C:\WINNT\System32\wupeng.exe
O4 - HKLM\..\Run: [MalwareCrush] C:\Archivos de programa\MalwareCrush\MalwareCrush.exe /h
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [20acff4b] rundll32.exe "C:\WINNT\System32\xrigrkbi.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Outerinfo] "C:\Archivos de programa\Outerinfo\Outerinfo.exe"
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.v...l...p;unknown
O16 - DPF: {164B406B-0FD6-4E7F-BA7E-64D227D4CA37} (dnlplayer Class) - http://www.digitalwe...er/dbplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.micros...b?1177984708531
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmbox.itelcel...r/mmsPlayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zon...nt.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com...obat/nos/gp.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zon...er.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE125042-60B0-42D1-98B5-0C4A727DAD96}: NameServer = 210.131.249.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O17 - HKLM\System\CS3\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINNT\System32\bgsvcgen.exe
O23 - Service: DomainService - - C:\WINNT\System32\qveomgti.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
  • 0

Advertisements


#2
koko_crunch

koko_crunch

    Trusted Helper

  • Retired Staff
  • 1,751 posts
Hello dragues and Welcome to Geeks to Go!

Please patiently wait while I check your log.
  • 0

#3
koko_crunch

koko_crunch

    Trusted Helper

  • Retired Staff
  • 1,751 posts
Looks like your system is pretty infected.
No worries, we'll be able to clean it up. :)

First, I noticed that you have no Anti-Virus installed on your system. Antvirus software is a necessity. Please choose an Anti-Virus of your choice on our list of free softwares.This ensures that your system is protected against latest detectable threats.

  • After installing, please update your Anti-Virus database.
  • Also update antispyware software if you have one installed.
Note: DO NOT run more than one anti-virus and antispyware resident. They will cause system conflicts and provide less protection, not more.


After completing above,

Please download SmitfraudFix (by S!Ri) to your Desktop.

Double-click SmitfraudFix.exe
Select option #1 - Search by typing 1 and press "Enter"; a text file will appear, which lists infected files (if present).
Please copy/paste the content of that report into your next reply.

**If the tool fails to launch from the Desktop, please move SmitfraudFix.exe directly to the root of the system drive (usually C:), and launch from there.


Note : process.exe is detected by some antivirus programs (AntiVir, Dr.Web, Kaspersky) as a "RiskTool"; it is not a virus, but a program used to stop system processes. Antivirus programs cannot distinguish between "good" and "malicious" use of such programs, therefore they may alert the user.
http://www.beyondlog...processutil.htm

Next,

Download SDFix and save it to your Desktop.

Double click SDFix.exe and it will extract the files to %systemdrive%
(Drive that contains the Windows Directory, typically C:\SDFix)

Please then reboot your computer in Safe Mode by doing the following :
  • Restart your computer
  • After hearing your computer beep once during startup, but before the Windows icon appears, tap the F8 key continually;
  • Instead of Windows loading as normal, the Advanced Options Menu should appear;
  • Select the first option, to run Windows in Safe Mode, then press Enter.
  • Choose your usual account.
  • Open the extracted SDFix folder and double click RunThis.bat to start the script.
  • Type Y to begin the cleanup process.
  • It will remove any Trojan Services and Registry Entries that it finds then prompt you to press any key to Reboot.
  • Press any Key and it will restart the PC.
  • When the PC restarts the Fixtool will run again and complete the removal process then display Finished, press any key to end the script and load your desktop icons.
  • Once the desktop icons load the SDFix report will open on screen and also save into the SDFix folder as Report.txt
    (Report.txt will also be copied to Clipboard ready for posting back on the forum).
  • Finally paste the contents of the Report.txt back on the forum with a new HijackThis log

Please make sure you post complete contents.
Logs required:
-Smitfraudfix log
-Sdfix log
  • 0

#4
dragues

dragues

    Member

  • Topic Starter
  • Member
  • PipPip
  • 74 posts
Hi, thanx for the help, here are the logs:

SmitFraudFix v2.274

Scan done at 10:48:53.57, 26/01/2008
Run from C:\Documents and Settings\RODRIGO\Escritorio\SmitfraudFix
OS: Microsoft Windows XP [Versi¢n 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\WINNT\System32\bgsvcgen.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\HPZipm12.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\vsnp2std.exe
C:\WINNT\System32\wupeng.exe
C:\Archivos de programa\MalwareCrush\MalwareCrush.exe
C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Archivos de programa\MalwareCrush\MalwareCrush.exe
C:\WINNT\System32\ctfmon.exe
C:\Archivos de programa\Pando Networks\Pando\Pando.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\Outerinfo\Outerinfo.exe
C:\WINNT\System32\wuauclt.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
c:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
c:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINNT\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT

C:\WINNT\Tasks\At?.job FOUND !
C:\WINNT\Tasks\At??.job FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\RODRIGO


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\RODRIGO\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\RODRIGO\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Archivos de programa


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel® PRO/100 VE Network Connection
DNS Server Search Order: 210.131.249.33

HKLM\SYSTEM\CCS\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer=210.131.249.33
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BE125042-60B0-42D1-98B5-0C4A727DAD96}: NameServer=210.131.249.33
HKLM\SYSTEM\CS1\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer=210.131.249.33
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BE125042-60B0-42D1-98B5-0C4A727DAD96}: NameServer=210.131.249.33
HKLM\SYSTEM\CS2\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer=210.131.249.33
HKLM\SYSTEM\CS3\Services\Tcpip\..\{BE125042-60B0-42D1-98B5-0C4A727DAD96}: NameServer=210.131.249.33
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End








SDFix: Version 1.131

Run by RODRIGO on 26/01/2008 at 10:56 a.m.

Microsoft Windows XP [Versi¢n 5.1.2600]

Running From: C:\DOCUME~1\RODRIGO\ESCRIT~1\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINNT\system32\WINHOQ32.dll - Deleted
C:\106.TMP - Deleted
C:\20D.TMP - Deleted
C:\20E.TMP - Deleted
C:\212.TMP - Deleted
C:\214.TMP - Deleted
C:\WINNT\b128.exe - Deleted
C:\WINNT\search_res.txt - Deleted
C:\WINNT\system32\kr_done1 - Deleted
C:\WINNT\system32\windows_log.txt - Deleted
C:\WINNT\system32\wupeng.exe - Deleted



Folder C:\Documents and Settings\All Users\Documentos\Settings - Removed


Removing Temp Files...

ADS Check:

C:\WINNT
No streams found.

C:\WINNT\explorer.exe
No streams found.

C:\WINNT\system32
No streams found.

C:\WINNT\system32\svchost.exe
No streams found.

C:\WINNT\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-26 11:05:37
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:d3e5d2eb
"s2"=dword:7d4b1874
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:52,5a,8d,f9,d6,bb,a9,c3,d1,01,fb,e7,b0,46,b5,eb,27,b8,d7,c4,ed,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:26,6e,4b,24,0c,62,95,7a,24,c9,c8,0b,aa,7e,82,fa,eb,44,20,12,95,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:52,5a,8d,f9,d6,bb,a9,c3,d1,01,fb,e7,b0,46,b5,eb,27,b8,d7,c4,ed,..

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FF10AA79-6565-F85D-F767-C83093BC1AC7}]
"iajomojajjlpbeapnp"=hex:6b,61,6e,6c,67,6d,65,67,6e,65,6a,70,6b,6a,6f,6b,62,68,70,67,61,..
"hahpcplcbedfhfgn"=hex:6b,61,6e,6c,67,6d,65,67,6e,65,6a,70,6b,6a,6f,6b,62,68,70,67,61,..

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 37


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINNT\\TEMP\\win12.exe"="C:\\WINNT\\TEMP\\win12.exe:*:Enabled:win12"
"C:\\WINNT\\System32\\qveomgti.exe"="C:\\WINNT\\System32\\qveo"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\RODRIGO\ESCRIT~1\SDFix\backups\backups.zip

Files with Hidden Attributes:

Wed 23 Jan 2008 185,870 A.SH. --- "C:\WINNT\system32\qtvwa.tmp"
Sun 20 Jan 2008 6,518 ..SH. --- "C:\WINNT\system32\qtvwa.bak1"
Sat 26 Jan 2008 162,794 ..SH. --- "C:\WINNT\system32\qtvwa.bak2"
Sun 21 Jan 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 4 Jul 2007 45,056 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\~WRL2210.tmp"
Thu 7 Feb 2002 94,208 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\lpaccodec.dll"
Fri 2 Feb 2001 40,960 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\lpac_codec_api.dll"
Mon 12 Apr 2004 212,992 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\OFR.EXE"
Thu 16 Jan 2003 278,528 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\PNCRT.dll"
Mon 5 May 2003 16,384 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\RMADEC.EXE"
Thu 7 Jun 2007 71,168 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\~WRL0060.tmp"
Fri 14 Oct 2005 33,792 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\~WRL3977.tmp"
Sat 20 Jul 2002 45,056 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\AC3\AC3ENC.DLL"
Wed 20 Feb 2002 98,304 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\AC3\AZID.DLL"
Fri 11 Apr 2003 73,766 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\atrc3260.dll"
Fri 11 Apr 2003 45,099 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\auth3260.dll"
Fri 11 Apr 2003 65,575 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\cook3260.dll"
Fri 11 Apr 2003 102,437 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\drv13260.dll"
Fri 11 Apr 2003 176,165 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\drv23260.dll"
Fri 11 Apr 2003 208,935 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\drv33260.dll"
Fri 11 Apr 2003 217,127 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\drv43260.dll"
Tue 15 Apr 2003 976,896 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\pnen3260.dll"
Fri 11 Apr 2003 348,203 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\pnvi3260.dll"
Fri 11 Apr 2003 53,289 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\pnxr3260.dll"
Fri 11 Apr 2003 45,101 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\ramf3260.dll"
Fri 11 Apr 2003 135,213 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rare3260.dll"
Mon 14 Oct 2002 57,344 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rims3290.dll"
Fri 11 Apr 2003 163,885 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rmff3260.dll"
Mon 14 Oct 2002 737,280 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rmse3290.dll"
Mon 14 Oct 2002 245,760 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rmwr3260.dll"
Fri 11 Apr 2003 245,805 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rnlt3260.dll"
Mon 14 Oct 2002 245,760 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rorw3290.dll"
Mon 14 Oct 2002 114,688 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rtae3290.dll"
Mon 14 Oct 2002 65,536 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rtin3290.dll"
Mon 14 Oct 2002 163,840 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rtve3290.dll"
Fri 11 Apr 2003 45,093 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rv103260.dll"
Fri 11 Apr 2003 98,341 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rv203260.dll"
Fri 11 Apr 2003 94,247 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rv303260.dll"
Fri 11 Apr 2003 90,151 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rv403260.dll"
Fri 11 Apr 2003 159,785 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\rvre3260.dll"
Mon 14 Oct 2002 102,400 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\sipr3260.dll"
Fri 11 Apr 2003 61,485 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\smpl3260.dll"
Fri 11 Apr 2003 106,541 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\vsrl3260.dll"
Fri 11 Apr 2003 86,061 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\xmlp3261.dll"
Fri 11 Apr 2003 159,787 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Common\zipf3260.dll"
Sun 23 Feb 2003 64,512 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\MusePack\MPPDEC.EXE"
Fri 25 Oct 2002 79,360 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\MusePack\MPPENC.EXE"
Fri 14 Feb 2003 910,152 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Shorten\CYGWIN1.DLL"
Sun 20 Apr 2003 60,928 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Shorten\SHORTEN.EXE"
Wed 8 Oct 2003 75,264 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Speex\speexdec.exe"
Wed 8 Oct 2003 77,312 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\Speex\speexenc.exe"
Tue 18 Feb 2003 103,936 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\WavPack\WAVPACK.EXE"
Tue 18 Feb 2003 102,912 ...H. --- "C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\WavPack\WVUNPACK.EXE"
Mon 15 May 2006 23,040 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\FIGUEROA NI¥O\~WRL0045.tmp"
Mon 15 May 2006 25,600 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\FIGUEROA NI¥O\~WRL0047.tmp"
Mon 15 May 2006 24,064 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\FIGUEROA NI¥O\~WRL0622.tmp"
Mon 15 May 2006 20,992 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\FIGUEROA NI¥O\~WRL0697.tmp"
Mon 15 May 2006 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\FIGUEROA NI¥O\~WRL1119.tmp"
Mon 15 May 2006 24,576 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\FIGUEROA NI¥O\~WRL1767.tmp"
Mon 15 May 2006 22,016 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\FIGUEROA NI¥O\~WRL1892.tmp"
Mon 15 May 2006 25,600 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\FIGUEROA NI¥O\~WRL2320.tmp"
Mon 15 May 2006 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\FIGUEROA NI¥O\~WRL2510.tmp"
Mon 15 May 2006 25,088 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\FIGUEROA NI¥O\~WRL2556.tmp"
Mon 15 May 2006 20,480 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\FIGUEROA NI¥O\~WRL3477.tmp"
Mon 15 May 2006 25,088 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\FIGUEROA NI¥O\~WRL4058.tmp"
Mon 1 Oct 2007 25,600 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL0057.tmp"
Mon 1 Oct 2007 32,768 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL0094.tmp"
Mon 1 Oct 2007 25,600 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL0116.tmp"
Mon 1 Oct 2007 30,208 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL0119.tmp"
Mon 1 Oct 2007 27,648 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL0323.tmp"
Mon 1 Oct 2007 25,088 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL1116.tmp"
Mon 1 Oct 2007 20,480 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL1505.tmp"
Mon 1 Oct 2007 27,648 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL1749.tmp"
Mon 1 Oct 2007 20,480 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL1778.tmp"
Mon 1 Oct 2007 21,504 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL1934.tmp"
Mon 1 Oct 2007 29,184 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL2165.tmp"
Mon 1 Oct 2007 25,600 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL2647.tmp"
Mon 1 Oct 2007 22,016 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL2852.tmp"
Mon 1 Oct 2007 30,720 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL3025.tmp"
Mon 1 Oct 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL3431.tmp"
Mon 1 Oct 2007 23,552 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL3498.tmp"
Mon 1 Oct 2007 31,744 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL3541.tmp"
Mon 1 Oct 2007 24,576 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL4046.tmp"
Mon 1 Oct 2007 29,696 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\IMPORTANTES PROPUESTAS OCTUBRE 2007\~WRL4075.tmp"
Thu 5 Jul 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\OFIK\~WRL0001.tmp"
Tue 8 Aug 2006 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER\~WRL0402.tmp"
Tue 8 Aug 2006 20,992 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER\~WRL1987.tmp"
Tue 8 Aug 2006 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER\~WRL4028.tmp"
Thu 26 Jul 2007 43,520 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL0003.tmp"
Fri 27 Jul 2007 47,104 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL0073.tmp"
Fri 27 Jul 2007 46,080 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL0699.tmp"
Fri 27 Jul 2007 44,544 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL0870.tmp"
Fri 27 Jul 2007 44,544 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL0941.tmp"
Fri 27 Jul 2007 46,592 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL0966.tmp"
Fri 27 Jul 2007 49,152 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL1366.tmp"
Fri 27 Jul 2007 45,568 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL1400.tmp"
Fri 27 Jul 2007 47,104 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL1471.tmp"
Fri 27 Jul 2007 46,592 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL1629.tmp"
Fri 27 Jul 2007 46,592 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL1643.tmp"
Fri 27 Jul 2007 45,568 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL1652.tmp"
Fri 27 Jul 2007 44,544 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL1903.tmp"
Fri 27 Jul 2007 44,544 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL2141.tmp"
Fri 27 Jul 2007 44,032 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL2337.tmp"
Fri 27 Jul 2007 46,592 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL2456.tmp"
Fri 27 Jul 2007 44,544 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL2624.tmp"
Fri 27 Jul 2007 45,568 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL2662.tmp"
Sat 28 Jul 2007 49,152 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL2729.tmp"
Fri 27 Jul 2007 46,592 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL2755.tmp"
Fri 27 Jul 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL2877.tmp"
Sat 28 Jul 2007 50,176 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL2955.tmp"
Fri 27 Jul 2007 44,544 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL3182.tmp"
Sat 28 Jul 2007 50,176 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL3215.tmp"
Fri 27 Jul 2007 45,568 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL3342.tmp"
Fri 27 Jul 2007 45,056 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL3543.tmp"
Fri 27 Jul 2007 45,056 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL3602.tmp"
Fri 27 Jul 2007 45,568 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL3753.tmp"
Fri 27 Jul 2007 45,568 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\ROBERTITO Y MARY FER VICTIMAS DE MARIANO HERRAN\~WRL3916.tmp"
Fri 3 Mar 2006 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL0003.tmp"
Fri 3 Mar 2006 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL0005.tmp"
Fri 3 Mar 2006 30,720 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL0281.tmp"
Fri 3 Mar 2006 31,232 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL0336.tmp"
Fri 3 Mar 2006 29,184 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL0734.tmp"
Fri 3 Mar 2006 28,160 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL0774.tmp"
Fri 3 Mar 2006 21,504 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL0841.tmp"
Fri 3 Mar 2006 25,600 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL0864.tmp"
Fri 3 Mar 2006 29,184 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL1008.tmp"
Fri 3 Mar 2006 27,648 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL1038.tmp"
Fri 3 Mar 2006 22,016 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL1141.tmp"
Fri 3 Mar 2006 21,504 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL1277.tmp"
Fri 3 Mar 2006 28,672 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL1282.tmp"
Fri 3 Mar 2006 23,552 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL1781.tmp"
Fri 3 Mar 2006 26,624 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL1791.tmp"
Fri 3 Mar 2006 22,528 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL1984.tmp"
Fri 3 Mar 2006 26,112 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL2050.tmp"
Fri 3 Mar 2006 20,480 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL2503.tmp"
Fri 3 Mar 2006 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL2745.tmp"
Fri 3 Mar 2006 23,040 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL2795.tmp"
Fri 3 Mar 2006 20,480 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL2900.tmp"
Fri 3 Mar 2006 27,648 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL2935.tmp"
Fri 3 Mar 2006 31,232 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL3058.tmp"
Fri 3 Mar 2006 23,040 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL3309.tmp"
Fri 3 Mar 2006 25,088 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL3733.tmp"
Fri 3 Mar 2006 24,576 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\RUBEN VELAZQUEZ\~WRL4077.tmp"
Mon 19 Feb 2007 25,600 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \19 DE FEBRERO 2007 ENGARGOLADOS DE ROBER\~WRL0069.tmp"
Tue 20 Feb 2007 29,184 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \19 DE FEBRERO 2007 ENGARGOLADOS DE ROBER\~WRL1504.tmp"
Mon 19 Feb 2007 20,992 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \19 DE FEBRERO 2007 ENGARGOLADOS DE ROBER\~WRL2256.tmp"
Tue 20 Feb 2007 29,184 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \19 DE FEBRERO 2007 ENGARGOLADOS DE ROBER\~WRL3185.tmp"
Tue 6 Dec 2005 26,112 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \CENTRO ENGEL\~WRL1263.tmp"
Thu 8 Dec 2005 26,624 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \CENTRO ENGEL\~WRL2223.tmp"
Tue 14 Aug 2007 44,032 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL0359.tmp"
Wed 15 Aug 2007 38,912 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL0450.tmp"
Tue 14 Aug 2007 37,888 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL0471.tmp"
Tue 14 Aug 2007 35,840 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL0473.tmp"
Tue 14 Aug 2007 41,472 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL0580.tmp"
Mon 13 Aug 2007 41,472 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL0658.tmp"
Tue 14 Aug 2007 36,864 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL0808.tmp"
Tue 14 Aug 2007 34,816 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL0904.tmp"
Wed 15 Aug 2007 38,912 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL0905.tmp"
Tue 14 Aug 2007 37,888 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL0934.tmp"
Tue 14 Aug 2007 36,352 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL1016.tmp"
Tue 14 Aug 2007 35,840 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL1116.tmp"
Tue 14 Aug 2007 37,376 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL1229.tmp"
Tue 14 Aug 2007 34,816 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL1540.tmp"
Tue 14 Aug 2007 37,888 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL1587.tmp"
Wed 15 Aug 2007 38,400 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL1680.tmp"
Tue 14 Aug 2007 37,376 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL1805.tmp"
Tue 14 Aug 2007 35,840 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL1863.tmp"
Tue 14 Aug 2007 35,840 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL1872.tmp"
Wed 15 Aug 2007 38,912 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL1944.tmp"
Tue 14 Aug 2007 36,864 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL1958.tmp"
Tue 14 Aug 2007 35,840 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL2035.tmp"
Tue 14 Aug 2007 42,496 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL2063.tmp"
Tue 14 Aug 2007 26,624 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL2103.tmp"
Tue 14 Aug 2007 35,328 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL2249.tmp"
Tue 14 Aug 2007 36,864 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL2259.tmp"
Tue 14 Aug 2007 37,888 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL2482.tmp"
Tue 14 Aug 2007 36,352 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL2525.tmp"
Tue 14 Aug 2007 38,400 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL2738.tmp"
Tue 14 Aug 2007 34,816 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL2953.tmp"
Tue 14 Aug 2007 37,376 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL3135.tmp"
Tue 14 Aug 2007 34,816 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL3313.tmp"
Tue 14 Aug 2007 34,816 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL3510.tmp"
Tue 14 Aug 2007 36,352 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL3589.tmp"
Tue 14 Aug 2007 36,352 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL3694.tmp"
Wed 15 Aug 2007 38,912 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL3825.tmp"
Wed 15 Aug 2007 38,912 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL3920.tmp"
Tue 14 Aug 2007 43,008 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Mam \ROCIO 8 DE AGOSTO\~WRL4060.tmp"
Wed 25 Jul 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\8 DE AGISTI 2997\~WRL0036.tmp"
Wed 25 Jul 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\8 DE AGISTI 2997\~WRL0143.tmp"
Wed 25 Jul 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\8 DE AGISTI 2997\~WRL2938.tmp"
Sun 15 May 2005 22,016 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\~WRL0417.tmp"
Sun 15 May 2005 25,088 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\~WRL3018.tmp"
Sun 15 May 2005 22,016 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\~WRL3040.tmp"
Mon 16 May 2005 22,016 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\~WRL3090.tmp"
Sun 17 Jul 2005 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\CHEVROLET\~WRL0003.tmp"
Sun 17 Jul 2005 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\CHEVROLET\~WRL0005.tmp"
Sun 17 Jul 2005 20,480 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\CHEVROLET\~WRL0177.tmp"
Sun 17 Jul 2005 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\CHEVROLET\~WRL1612.tmp"
Sun 17 Jul 2005 20,480 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\CHEVROLET\~WRL2854.tmp"
Sun 17 Jul 2005 20,480 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\CHEVROLET\~WRL2879.tmp"
Sun 17 Jul 2005 20,992 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\CHEVROLET\~WRL3987.tmp"
Wed 9 Aug 2006 20,480 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\PAULINA\~WRL0005.tmp"
Fri 22 Sep 2006 21,504 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\PAULINA\~WRL1809.tmp"
Fri 22 Sep 2006 22,528 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\PAULINA\~WRL3563.tmp"
Mon 25 Sep 2006 27,136 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL0212.tmp"
Wed 14 Feb 2007 21,504 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL0233.tmp"
Wed 14 Feb 2007 21,504 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL0418.tmp"
Mon 25 Sep 2006 22,528 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL0619.tmp"
Mon 25 Sep 2006 20,480 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL0717.tmp"
Mon 25 Sep 2006 26,112 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL0750.tmp"
Mon 25 Sep 2006 29,184 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL0757.tmp"
Mon 25 Sep 2006 33,792 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL0886.tmp"
Mon 25 Sep 2006 32,768 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL1213.tmp"
Mon 25 Sep 2006 20,480 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL1505.tmp"
Mon 25 Sep 2006 28,672 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL1565.tmp"
Mon 25 Sep 2006 34,816 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL1566.tmp"
Mon 25 Sep 2006 35,840 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL1673.tmp"
Mon 25 Sep 2006 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL1801.tmp"
Wed 14 Feb 2007 21,504 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL1836.tmp"
Mon 25 Sep 2006 30,208 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL1896.tmp"
Mon 25 Sep 2006 35,328 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL2265.tmp"
Mon 25 Sep 2006 31,744 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL2688.tmp"
Mon 25 Sep 2006 35,840 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL3116.tmp"
Mon 25 Sep 2006 30,208 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL3416.tmp"
Mon 25 Sep 2006 29,696 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL3835.tmp"
Mon 25 Sep 2006 32,256 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL3902.tmp"
Mon 25 Sep 2006 24,576 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL3982.tmp"
Mon 25 Sep 2006 21,504 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPARO 2006\~WRL3998.tmp"
Mon 11 Jun 2007 51,712 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL0001.tmp"
Thu 7 Jun 2007 46,080 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL0113.tmp"
Thu 7 Jun 2007 46,080 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL0392.tmp"
Mon 11 Jun 2007 51,712 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL0480.tmp"
Thu 7 Jun 2007 46,080 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL1202.tmp"
Mon 11 Jun 2007 51,712 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL1271.tmp"
Thu 7 Jun 2007 49,152 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL1410.tmp"
Thu 7 Jun 2007 49,152 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL1563.tmp"
Thu 7 Jun 2007 49,664 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL2171.tmp"
Thu 7 Jun 2007 50,176 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL2175.tmp"
Thu 7 Jun 2007 49,152 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL2274.tmp"
Thu 7 Jun 2007 50,176 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL2356.tmp"
Mon 11 Jun 2007 51,200 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL2439.tmp"
Mon 11 Jun 2007 51,712 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL2447.tmp"
Thu 7 Jun 2007 49,664 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL2605.tmp"
Thu 7 Jun 2007 48,128 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL3082.tmp"
Wed 6 Jun 2007 45,568 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL3163.tmp"
Mon 11 Jun 2007 51,712 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL3704.tmp"
Thu 7 Jun 2007 46,080 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL3734.tmp"
Mon 11 Jun 2007 51,712 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL3755.tmp"
Thu 7 Jun 2007 47,616 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\JUICIO DE CONTROVERSIAS DEL ORDEN FAMILIAR 2007\~WRL3963.tmp"
Mon 21 Nov 2005 24,064 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2005\Noviembre\~WRL0004.tmp"
Mon 21 Nov 2005 24,576 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2005\Noviembre\~WRL0223.tmp"
Mon 21 Nov 2005 24,064 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2005\Noviembre\~WRL0797.tmp"
Mon 21 Nov 2005 28,160 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2005\Noviembre\~WRL0923.tmp"
Mon 21 Nov 2005 24,576 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2005\Noviembre\~WRL1239.tmp"
Mon 21 Nov 2005 24,064 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2005\Noviembre\~WRL1365.tmp"
Mon 21 Nov 2005 24,064 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2005\Noviembre\~WRL2792.tmp"
Mon 21 Nov 2005 27,648 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2005\Noviembre\~WRL2974.tmp"
Mon 21 Nov 2005 25,088 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2005\Noviembre\~WRL3306.tmp"
Mon 21 Nov 2005 24,064 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2005\Noviembre\~WRL3361.tmp"
Mon 21 Nov 2005 24,064 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2005\Noviembre\~WRL3400.tmp"
Sun 22 Oct 2006 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2006\OCTUBRE\~WRL0003.tmp"
Sun 22 Oct 2006 20,480 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2006\OCTUBRE\~WRL0518.tmp"
Sun 22 Oct 2006 23,040 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2006\OCTUBRE\~WRL1100.tmp"
Sun 22 Oct 2006 20,480 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2006\OCTUBRE\~WRL1686.tmp"
Sun 22 Oct 2006 21,504 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2006\OCTUBRE\~WRL2596.tmp"
Sun 22 Oct 2006 21,504 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2006\OCTUBRE\~WRL2923.tmp"
Sun 22 Oct 2006 22,528 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2006\OCTUBRE\~WRL3980.tmp"
Thu 30 Aug 2007 28,160 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\AGOSTO\~WRL0055.tmp"
Thu 30 Aug 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\AGOSTO\~WRL0104.tmp"
Thu 30 Aug 2007 28,672 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\AGOSTO\~WRL0341.tmp"
Thu 30 Aug 2007 23,040 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\AGOSTO\~WRL0432.tmp"
Thu 30 Aug 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\AGOSTO\~WRL0902.tmp"
Thu 30 Aug 2007 27,136 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\AGOSTO\~WRL0978.tmp"
Thu 30 Aug 2007 21,504 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\AGOSTO\~WRL1190.tmp"
Thu 30 Aug 2007 25,088 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\AGOSTO\~WRL2091.tmp"
Thu 30 Aug 2007 26,112 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\AGOSTO\~WRL2779.tmp"
Thu 30 Aug 2007 29,696 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\AGOSTO\~WRL3062.tmp"
Thu 30 Aug 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\AGOSTO\~WRL3068.tmp"
Thu 30 Aug 2007 28,160 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\AGOSTO\~WRL3216.tmp"
Thu 30 Aug 2007 26,624 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\AGOSTO\~WRL3379.tmp"
Thu 5 Jul 2007 20,480 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL0682.tmp"
Thu 5 Jul 2007 23,040 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL0872.tmp"
Thu 5 Jul 2007 25,088 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL1415.tmp"
Thu 5 Jul 2007 24,576 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL1683.tmp"
Thu 5 Jul 2007 24,064 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL2161.tmp"
Thu 5 Jul 2007 27,648 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL2292.tmp"
Thu 5 Jul 2007 27,648 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL2397.tmp"
Thu 5 Jul 2007 27,648 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL2451.tmp"
Thu 5 Jul 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL2507.tmp"
Thu 5 Jul 2007 27,648 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL2855.tmp"
Thu 5 Jul 2007 24,064 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL3090.tmp"
Thu 5 Jul 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL3114.tmp"
Thu 5 Jul 2007 27,136 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL3239.tmp"
Thu 5 Jul 2007 26,624 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL3327.tmp"
Thu 5 Jul 2007 26,112 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL3696.tmp"
Thu 5 Jul 2007 22,528 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\JULIO\~WRL3882.tmp"
Thu 10 May 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\MAYO\~WRL0005.tmp"

Edited by dragues, 26 January 2008 - 11:24 AM.

  • 0

#5
dragues

dragues

    Member

  • Topic Starter
  • Member
  • PipPip
  • 74 posts
Thu 10 May 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\MAYO\~WRL0910.tmp"
Thu 10 May 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\LUPE\CUARTO PODER\A¥O 2007\MAYO\~WRL2039.tmp"
Sat 9 Jun 2007 38,400 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL0470.tmp"
Sat 9 Jun 2007 42,496 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL0555.tmp"
Sat 9 Jun 2007 36,864 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL0574.tmp"
Sat 9 Jun 2007 39,424 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL1178.tmp"
Mon 11 Jun 2007 89,600 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL1244.tmp"
Sat 9 Jun 2007 41,472 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL1444.tmp"
Sat 9 Jun 2007 34,304 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL1741.tmp"
Sat 9 Jun 2007 36,864 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL1891.tmp"
Sat 9 Jun 2007 35,840 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL2626.tmp"
Sat 9 Jun 2007 40,448 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL2780.tmp"
Sat 9 Jun 2007 19,968 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL2944.tmp"
Sat 9 Jun 2007 33,280 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL3302.tmp"
Sat 9 Jun 2007 35,328 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL3381.tmp"
Sat 9 Jun 2007 38,400 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL3448.tmp"
Sat 9 Jun 2007 34,816 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL3857.tmp"
Sat 9 Jun 2007 34,816 ...H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\ROBERTO\ASUNTOS LEGALES\AMPAROS 2007\JUICIO DE AMPARO 2037 2007 CONTRA FONSECA TAJPIA POR EL NO EJERCICIO DE LA ACCION PENAL\~WRL4012.tmp"
Mon 16 May 2005 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL0081.tmp"
Mon 16 May 2005 25,600 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL0131.tmp"
Mon 16 May 2005 20,480 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL0397.tmp"
Mon 16 May 2005 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL0629.tmp"
Mon 16 May 2005 25,088 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL0697.tmp"
Mon 16 May 2005 25,600 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL0894.tmp"
Mon 16 May 2005 20,480 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL1433.tmp"
Mon 16 May 2005 25,088 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL1792.tmp"
Mon 16 May 2005 20,992 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL1928.tmp"
Mon 16 May 2005 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL2168.tmp"
Mon 16 May 2005 23,040 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL2249.tmp"
Mon 16 May 2005 26,112 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL2301.tmp"
Mon 16 May 2005 25,088 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL2337.tmp"
Mon 16 May 2005 23,552 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL2435.tmp"
Mon 16 May 2005 27,136 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL2623.tmp"
Mon 16 May 2005 22,528 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL3224.tmp"
Mon 16 May 2005 25,088 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL3274.tmp"
Mon 16 May 2005 23,040 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL3629.tmp"
Mon 16 May 2005 21,504 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL3655.tmp"
Mon 16 May 2005 24,576 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL3690.tmp"
Mon 16 May 2005 23,040 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL3812.tmp"
Mon 16 May 2005 25,600 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\Medicina Forense\~WRL3949.tmp"
Mon 14 Mar 2005 62,976 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\P.F. Derecho Administrativo\~WRL0667.tmp"
Mon 14 Mar 2005 67,584 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\P.F. Derecho Administrativo\~WRL2856.tmp"
Mon 14 Mar 2005 60,416 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\RODRIGO\dERECHO\9o. semestre\P.F. Derecho Administrativo\~WRL3040.tmp"
Mon 21 Nov 2005 48,128 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\5to Semestre\Inform tica aplicada a la Ing. Civil\~WRL0005.tmp"
Mon 21 Nov 2005 35,328 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\5to Semestre\Inform tica aplicada a la Ing. Civil\~WRL0316.tmp"
Mon 21 Nov 2005 36,352 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\5to Semestre\Inform tica aplicada a la Ing. Civil\~WRL0396.tmp"
Mon 21 Nov 2005 80,384 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\5to Semestre\Inform tica aplicada a la Ing. Civil\~WRL1279.tmp"
Mon 21 Nov 2005 28,672 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\5to Semestre\Inform tica aplicada a la Ing. Civil\~WRL1873.tmp"
Mon 21 Nov 2005 46,080 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\5to Semestre\Inform tica aplicada a la Ing. Civil\~WRL2158.tmp"
Mon 21 Nov 2005 59,392 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\5to Semestre\Inform tica aplicada a la Ing. Civil\~WRL3273.tmp"
Mon 21 Nov 2005 29,184 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\5to Semestre\Inform tica aplicada a la Ing. Civil\~WRL3296.tmp"
Mon 21 Nov 2005 47,616 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\5to Semestre\Inform tica aplicada a la Ing. Civil\~WRL3400.tmp"
Tue 7 Nov 2006 20,992 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Cimentaciones\~WRL0813.tmp"
Tue 7 Nov 2006 24,576 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Cimentaciones\~WRL1458.tmp"
Tue 7 Nov 2006 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Cimentaciones\~WRL1856.tmp"
Tue 7 Nov 2006 25,088 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Cimentaciones\~WRL1921.tmp"
Tue 7 Nov 2006 23,040 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Cimentaciones\~WRL2336.tmp"
Tue 7 Nov 2006 19,968 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Cimentaciones\~WRL3726.tmp"
Tue 7 Nov 2006 25,088 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Cimentaciones\~WRL3879.tmp"
Tue 7 Nov 2006 20,992 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Cimentaciones\~WRL4062.tmp"
Tue 7 Nov 2006 23,040 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Cimentaciones\~WRL4100.tmp"
Tue 1 Aug 2006 72,704 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Supervisi¢n de Ingenier¡a\~WRL0084.tmp"
Tue 1 Aug 2006 72,192 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Supervisi¢n de Ingenier¡a\~WRL0798.tmp"
Tue 1 Aug 2006 72,192 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Supervisi¢n de Ingenier¡a\~WRL1032.tmp"
Tue 1 Aug 2006 71,680 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Supervisi¢n de Ingenier¡a\~WRL1352.tmp"
Tue 1 Aug 2006 72,192 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Supervisi¢n de Ingenier¡a\~WRL1809.tmp"
Tue 1 Aug 2006 72,192 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Supervisi¢n de Ingenier¡a\~WRL2038.tmp"
Tue 1 Aug 2006 72,192 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Supervisi¢n de Ingenier¡a\~WRL2551.tmp"
Tue 1 Aug 2006 72,704 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Supervisi¢n de Ingenier¡a\~WRL2668.tmp"
Tue 1 Aug 2006 21,504 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Supervisi¢n de Ingenier¡a\~WRL2953.tmp"
Tue 1 Aug 2006 72,192 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Supervisi¢n de Ingenier¡a\~WRL3454.tmp"
Tue 1 Aug 2006 72,704 A..H. --- "C:\Documents and Settings\RODRIGO\Mis documentos\Gloria\Tareas\Ingenier¡a Civil\7mo Semestre\Supervisi¢n de Ingenier¡a\~WRL3592.tmp"

Finished!






Logfile of HijackThis v1.99.1
Scan saved at 11:21:01 a.m., on 26/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\WINNT\System32\bgsvcgen.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\HPZipm12.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\vsnp2std.exe
C:\Archivos de programa\MalwareCrush\MalwareCrush.exe
C:\Archivos de programa\MalwareCrush\MalwareCrush.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\WINNT\System32\ctfmon.exe
C:\Archivos de programa\Pando Networks\Pando\Pando.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\Outerinfo\Outerinfo.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
c:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
c:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Archivos de programa\Java\jre1.6.0_02\bin\jucheck.exe
C:\HT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {8E3FBDE2-7DBD-4040-85D9-29BBC559C129} - C:\WINNT\System32\ljjihhf.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [snp2std] C:\WINNT\vsnp2std.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MalwareCrush] C:\Archivos de programa\MalwareCrush\MalwareCrush.exe /h
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Outerinfo] "C:\Archivos de programa\Outerinfo\Outerinfo.exe"
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.v...l...p;unknown
O16 - DPF: {164B406B-0FD6-4E7F-BA7E-64D227D4CA37} (dnlplayer Class) - http://www.digitalwe...er/dbplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.micros...b?1177984708531
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmbox.itelcel...r/mmsPlayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zon...nt.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com...obat/nos/gp.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zon...er.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE125042-60B0-42D1-98B5-0C4A727DAD96}: NameServer = 210.131.249.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O17 - HKLM\System\CS3\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: ljjihhf - ljjihhf.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINNT\System32\bgsvcgen.exe
O23 - Service: DomainService - Unknown owner - C:\WINNT\System32\qveomgti.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
  • 0

#6
koko_crunch

koko_crunch

    Trusted Helper

  • Retired Staff
  • 1,751 posts
Good!
Now to take care of the rest...

You should print out these instructions, or copy them to a NotePad file for reading while in Safe Mode, because you will not be able to connect to the Internet to read from this site.

Next, please reboot your computer in Safe Mode by doing the following :
  • Restart your computer
  • After hearing your computer beep once during startup, but before the Windows icon appears, tap the F8 key continually;
  • Instead of Windows loading as normal, a menu with options should appear;
  • Select the first option, to run Windows in Safe Mode, then press "Enter".
  • Choose your usual account.
Once in Safe Mode, double-click on SmitfraudFix.exe
Select option #2 - Clean by typing 2 and press "Enter" to delete infected files.

You will be prompted : "Registry cleaning - Do you want to clean the registry ?"; answer "Yes" by typing Y and press "Enter" in order to remove the Desktop background and clean registry keys associated with the infection.

The tool will now check if wininet.dll is infected. You may be prompted to replace the infected file (if found); answer "Yes" by typing Y and press "Enter".

The tool may need to restart your computer to finish the cleaning process; if it doesn't, please restart it into Normal Windows.
A text file will appear onscreen, with results from the cleaning process; please copy/paste the content of that report into your next reply.
The report can also be found at the root of the system drive, usually at C:\rapport.txt

Warning : running option #2 on a non infected computer will remove your Desktop background.

Please post back with complete log.
  • 0

#7
dragues

dragues

    Member

  • Topic Starter
  • Member
  • PipPip
  • 74 posts
Hi, thanx again for your time:

Here are the logs:

SmitFraudFix v2.274

Scan done at 10:02:26.73, 27/01/2008
Run from C:\Documents and Settings\RODRIGO\Escritorio\SmitfraudFix
OS: Microsoft Windows XP [Versi¢n 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINNT\Tasks\At?.job Deleted
C:\WINNT\Tasks\At??.job Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer=210.131.249.33
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BE125042-60B0-42D1-98B5-0C4A727DAD96}: NameServer=210.131.249.33
HKLM\SYSTEM\CS1\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer=210.131.249.33
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BE125042-60B0-42D1-98B5-0C4A727DAD96}: NameServer=210.131.249.33
HKLM\SYSTEM\CS2\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer=210.131.249.33
HKLM\SYSTEM\CS3\Services\Tcpip\..\{BE125042-60B0-42D1-98B5-0C4A727DAD96}: NameServer=210.131.249.33
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Logfile of HijackThis v1.99.1
Scan saved at 10:14:00 a.m., on 27/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\WINNT\System32\bgsvcgen.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\HPZipm12.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\vsnp2std.exe
C:\Archivos de programa\MalwareCrush\MalwareCrush.exe
C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\WINNT\System32\ctfmon.exe
C:\Archivos de programa\Pando Networks\Pando\Pando.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\Outerinfo\Outerinfo.exe
C:\Archivos de programa\MalwareCrush\MalwareCrush.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINNT\System32\wuauclt.exe
c:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
c:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\MSN Messenger\livecall.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\HT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {8E3FBDE2-7DBD-4040-85D9-29BBC559C129} - C:\WINNT\System32\ljjihhf.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [snp2std] C:\WINNT\vsnp2std.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MalwareCrush] C:\Archivos de programa\MalwareCrush\MalwareCrush.exe /h
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Outerinfo] "C:\Archivos de programa\Outerinfo\Outerinfo.exe"
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.v...l...p;unknown
O16 - DPF: {164B406B-0FD6-4E7F-BA7E-64D227D4CA37} (dnlplayer Class) - http://www.digitalwe...er/dbplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.micros...b?1177984708531
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmbox.itelcel...r/mmsPlayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zon...nt.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com...obat/nos/gp.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zon...er.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE125042-60B0-42D1-98B5-0C4A727DAD96}: NameServer = 210.131.249.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O17 - HKLM\System\CS3\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: ljjihhf - ljjihhf.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINNT\System32\bgsvcgen.exe
O23 - Service: DomainService - Unknown owner - C:\WINNT\System32\qveomgti.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
  • 0

#8
koko_crunch

koko_crunch

    Trusted Helper

  • Retired Staff
  • 1,751 posts
Sorry for the delay. I'm having connection problems lately...


Next step....

Please read this post completely, it may make it easier for you if you copy and paste this post to a new text document or print it for reference later.


First,

Please download the OTMoveIt2 by OldTimer.
  • Save it to your desktop. We will use this later.

Then,

Reboot in Safe Mode.

Restart your computer and as soon as it starts booting up again continuously tap F8. A menu should come up where you will be given the option to enter Safe Mode.

Next,

Please re-open HiJackThis and scan. Check the boxes next to all the entries listed below.

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MalwareCrush] C:\Archivos de programa\MalwareCrush\MalwareCrush.exe /h
O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [Outerinfo] "C:\Archivos de programa\Outerinfo\Outerinfo.exe"
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.v...l...p;unknown
O16 - DPF: {164B406B-0FD6-4E7F-BA7E-64D227D4CA37} (dnlplayer Class) - http://www.digitalwe...er/dbplugin.cab
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmbox.itelcel...r/mmsPlayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zon...nt.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com...obat/nos/gp.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zon...er.cab56986.cab
O20 - Winlogon Notify: ljjihhf - ljjihhf.dll (file missing)
O23 - Service: DomainService - Unknown owner - C:\WINNT\System32\qveomgti.exe (file missing)

Now close all windows other than HiJackThis, then click Fix Checked. Exit HiJackThis.

Then,

Click Start >> Run >> Copy/paste text below then Ok.

sc delete DomainService



Next,

Please go to Start > Control Panel > Add/Remove Programs and remove the following (if present):

Malware Crush
Pando
Outerinfo


Finally,

Please double-click OTMoveIt2.exe to run it. (Vista users, please right click on OTMoveit2.exe and select "Run as an Administrator")
  • Copy the file paths below to the clipboard by highlighting ALL of them and pressing CTRL + C (or, after highlighting, right-click and choose Copy):
    C:\Archivos de programa\MalwareCrush
    C:\Archivos de programa\Pando Networks
    C:\Archivos de programa\Outerinfo
    C:\WINNT\System32\ljjihhf.dll
    C:\WINNT\System32\qveomgti.exe
  • Return to OTMoveIt2, right click in the "Paste List of Files/Folders to be Moved" window (under the light blue bar) and choose Paste.
  • Click the red Moveit! button.
  • A log of files and folders moved will be created in the c:\_OTMoveIt\MovedFiles folder in the form of Date and Time (mmddyyyy_hhmmss.log). Please open this log in Notepad and post its contents in your next reply.
  • Close OTMoveIt2
If a file or folder cannot be moved immediately you may be asked to reboot the machine to finish the move process. If you are asked to reboot the machine choose Yes.

Please post back with the ff logs.

- OTMoveit log
- New HijackThis log
  • 0

#9
dragues

dragues

    Member

  • Topic Starter
  • Member
  • PipPip
  • 74 posts
Hi, thanx again. Here are the logs:

[Custom Input]
< CODEC:\Archivos de programa\MalwareCrush >
File/Folder CODEC:\Archivos de programa\MalwareCrush not found.
< C:\Archivos de programa\Pando Networks >
C:\Archivos de programa\Pando Networks\Pando moved successfully.
C:\Archivos de programa\Pando Networks moved successfully.
< C:\Archivos de programa\Outerinfo >
C:\Archivos de programa\Outerinfo\FF\components moved successfully.
C:\Archivos de programa\Outerinfo\FF moved successfully.
C:\Archivos de programa\Outerinfo\Cache moved successfully.
C:\Archivos de programa\Outerinfo moved successfully.
< C:\WINNT\System32\ljjihhf.dll >
File/Folder C:\WINNT\System32\ljjihhf.dll not found.
< C:\WINNT\System32\qveomgti.exe >
File/Folder C:\WINNT\System32\qveomgti.exe not found.

OTMoveIt2 v1.0.15 log created on 01272008_203743



Logfile of HijackThis v1.99.1
Scan saved at 08:46:39 p.m., on 27/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\WINNT\System32\bgsvcgen.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\HPZipm12.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\vsnp2std.exe
C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINNT\System32\svchost.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\WINNT\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
c:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
c:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINNT\System32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\livecall.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\WINNT\System32\msiexec.exe
C:\HT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {8E3FBDE2-7DBD-4040-85D9-29BBC559C129} - C:\WINNT\System32\ljjihhf.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [snp2std] C:\WINNT\vsnp2std.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.micros...b?1177984708531
O17 - HKLM\System\CCS\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE125042-60B0-42D1-98B5-0C4A727DAD96}: NameServer = 210.131.249.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O17 - HKLM\System\CS3\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINNT\System32\bgsvcgen.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
  • 0

#10
koko_crunch

koko_crunch

    Trusted Helper

  • Retired Staff
  • 1,751 posts
Much better. :)

Next one...

Please download ComboFix from Here or Here to your Desktop.

**Note: In the event you already have Combofix, this is a new version that I need you to download. It is important that it is saved directly to your desktop**
  • Close any open browsers.
  • Close/disable all anti virus and anti malware programs so they do not interfere with the running of ComboFix.

    -----------------------------------------------------------

    • Very Important! Temporarily disable your anti-virus, script blocking and any anti-malware real-time protection before performing a scan. They can interfere with ComboFix or remove some of its embedded files which may cause "unpredictable results".
    • Click on this link to see a list of programs that should be disabled. The list is not all inclusive. If yours is not listed and you don't know how to disable it, please ask.

      -----------------------------------------------------------

    • Close any open browsers.
    • WARNING: Combofix will disconnect your machine from the Internet as soon as it starts
    • Please do not attempt to re-connect your machine back to the Internet until Combofix has completely finished.
    • If there is no internet connection after running Combofix, then restart your computer to restore back your connection.

    -----------------------------------------------------------

  • Double click on combofix.exe & follow the prompts.
  • When finished, it will produce a report for you.
  • Please post the "C:\ComboFix.txt" along with a new HijackThis log for further review.
**Note: Do not mouseclick combofix's window while it's running. That may cause it to stall**

Please post back with complete content of logs... :)

Edited by koko_crunch, 28 January 2008 - 04:36 PM.

  • 0

Advertisements


#11
dragues

dragues

    Member

  • Topic Starter
  • Member
  • PipPip
  • 74 posts
Hi, here are the logs. Sorry for the delay, I had to go to another city for a few days. Thanx again.

ComboFix 08-02.03.1 - RODRIGO 2008-02-02 17:39:40.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.3082.18.212 [GMT -7:00]
Se ejecuta desde: C:\Documents and Settings\RODRIGO\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\RODRIGO\Datos de programa\macromedia\Flash Player\#SharedObjects\KGDZ5XY3\iforex.com
C:\Documents and Settings\RODRIGO\Datos de programa\macromedia\Flash Player\#SharedObjects\KGDZ5XY3\iforex.com\Emerp\Events\flash_object.swf\user_data.sol
C:\Documents and Settings\RODRIGO\Datos de programa\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com
C:\Documents and Settings\RODRIGO\Datos de programa\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com\settings.sol
C:\Documents and Settings\RODRIGO\Menú Inicio\Programas\Brave-Sentry
C:\Documents and Settings\RODRIGO\Menú Inicio\Programas\Brave-Sentry\BraveSentry.lnk
C:\Documents and Settings\RODRIGO\Menú Inicio\Programas\Brave-Sentry\Uninstall.lnk
C:\Documents and Settings\RODRIGO\Menú Inicio\Programas\Outerinfo
C:\Documents and Settings\RODRIGO\Menú Inicio\Programas\Outerinfo\Terms.lnk
C:\Documents and Settings\RODRIGO\Menú Inicio\Programas\Outerinfo\Uninstall.lnk
C:\WINNT\cookies.ini
C:\WINNT\msettings.ini
C:\WINNT\system32\2cE8eF3y.dll
C:\WINNT\system32\82kbUp3Y.dll
C:\WINNT\system32\aallumtb.ini
C:\WINNT\system32\bnjrbxoe.ini
C:\WINNT\system32\cpbtmuqv.ini
C:\WINNT\system32\dbxDgrevCheck.dll
C:\WINNT\system32\drvzajr.dll
C:\WINNT\system32\dtgpngom.ini
C:\WINNT\system32\huxgewtu.ini
C:\WINNT\system32\ibkrgirx.ini
C:\WINNT\system32\inoixnae.ini
C:\WINNT\system32\jbfjphid.ini
C:\WINNT\system32\jiunkxbe.ini
C:\WINNT\system32\kgelgbxj.ini
C:\WINNT\system32\klorgmur.ini
C:\WINNT\system32\lchtimoc.ini
C:\WINNT\system32\lfxsevil.ini
C:\WINNT\system32\lyoclfmh.ini
C:\WINNT\system32\mcrh.tmp
C:\WINNT\system32\mkdbbwlc.ini
C:\WINNT\system32\oalcranl.ini
C:\WINNT\system32\ohuugegu.ini
C:\WINNT\system32\owacrkup.ini
C:\WINNT\system32\oxrgyjnu.ini
C:\WINNT\system32\oylbcipc.ini
C:\WINNT\system32\paqoajrv.ini
C:\WINNT\system32\patfwnjw.ini
C:\WINNT\system32\pbsvrrmw.ini
C:\WINNT\system32\pdddfvtn.ini
C:\WINNT\system32\pmumhuic.ini
C:\WINNT\system32\pqhvnqyc.ini
C:\WINNT\system32\prgrgfxt.ini
C:\WINNT\system32\qeqvcfja.ini
C:\WINNT\system32\qtvwa.bak1
C:\WINNT\system32\qtvwa.bak2
C:\WINNT\system32\qtvwa.ini
C:\WINNT\system32\qtvwa.ini2
C:\WINNT\system32\qtvwa.tmp
C:\WINNT\system32\qvmjshoi.ini
C:\WINNT\system32\qyeeulfo.ini
C:\WINNT\system32\rpuifohp.ini
C:\WINNT\system32\rwihvkjx.ini
C:\WINNT\system32\uqeifwgb.ini
C:\WINNT\system32\vetbsgrg.ini
C:\WINNT\system32\vsgqqqjm.ini
C:\WINNT\system32\whhvvjyh.ini
C:\WINNT\system32\wlgqsays.ini
C:\WINNT\system32\xcmtpxkr.ini
C:\WINNT\system32\yacmsqvr.ini
C:\WINNT\system32\yjokrkwt.ini
C:\WINNT\Web\default.htt

----- BITS: Possible infected sites -----

hxxp://msgr.dlservice.microsoft.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_WINDEV-7A12-3FF
-------\windev-7a12-3ff


(((((((((((((((((( Archivos creados desde 2008-01-03 - 2008-02-03 )))))))))))))))))))))))))))))))))
.

2008-02-01 19:56 . 2008-02-01 21:11 328 --a------ C:\Off12.off
2008-02-01 19:54 . 2008-02-01 21:11 188 --a------ C:\Off03.off
2008-02-01 19:54 . 2008-02-01 21:11 136 --a------ C:\Off04.off
2008-02-01 19:54 . 2008-02-01 21:11 132 --a------ C:\Off05.off
2008-02-01 19:54 . 2008-02-01 21:11 40 --a------ C:\Off11.off
2008-02-01 19:54 . 2008-02-01 20:54 4 --a------ C:\Off06.off
2008-02-01 19:53 . 2008-02-01 21:11 992 --a------ C:\Off09.off
2008-02-01 19:53 . 2008-02-01 21:11 120 --a------ C:\Off02.off
2008-02-01 19:53 . 2008-02-01 21:11 84 --a------ C:\Off10.off
2008-02-01 19:53 . 2008-02-01 21:11 44 --a------ C:\Off01.off
2008-02-01 19:52 . 2008-02-01 21:11 596 --a------ C:\Off07.off
2008-02-01 19:52 . 2008-02-01 21:11 408 --a------ C:\Off08.off
2008-01-31 07:49 . 2008-01-27 17:02 34,816 --a------ C:\WINNT\msngsrs.exe
2008-01-30 16:43 . 2008-01-30 16:44 <DIR> d-------- C:\Archivos de programa\iTunes
2008-01-30 16:43 . 2008-01-30 17:15 <DIR> d-------- C:\Archivos de programa\iPod
2008-01-27 20:37 . 2008-01-27 20:37 <DIR> d-------- C:\_OTMoveIt
2008-01-27 12:48 . 2008-01-27 12:48 <DIR> d-------- C:\UbiSoft
2008-01-26 10:54 . 2008-01-26 10:54 <DIR> d-------- C:\WINNT\ERUNT
2008-01-26 10:48 . 2008-01-27 10:02 3,006 --a------ C:\WINNT\system32\tmp.reg
2008-01-26 10:22 . 2008-02-02 08:00 <DIR> d-------- C:\Documents and Settings\RODRIGO\Datos de programa\AVG7
2008-01-26 10:22 . 2008-01-26 10:22 <DIR> d-------- C:\Documents and Settings\LocalService\Datos de programa\AVG7
2008-01-26 10:21 . 2008-01-26 10:21 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Grisoft
2008-01-26 10:21 . 2008-01-27 08:00 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\avg7
2008-01-25 23:32 . 2008-01-25 23:32 294 ---hs---- C:\WINNT\system32\monvcqbs.ini
2008-01-25 23:29 . 2008-01-25 23:29 294 ---hs---- C:\WINNT\system32\jcnnsvif.ini
2008-01-25 10:33 . 2008-01-25 10:33 294 ---hs---- C:\WINNT\system32\tcqeijyy.ini
2008-01-24 11:42 . 2008-01-24 11:42 294 ---hs---- C:\WINNT\system32\hnyjtotc.ini
2008-01-24 10:51 . 2008-01-24 10:51 0 --a------ C:\WINNT\system32\pdddfvtn.tmp
2008-01-23 15:44 . 2002-09-09 13:51 150,528 --a------ C:\WINNT\system32\ptpusd.dll
2008-01-23 15:44 . 2002-08-29 01:48 14,208 --a------ C:\WINNT\system32\drivers\usbscan.sys
2008-01-23 15:44 . 2002-08-29 01:48 14,208 --a--c--- C:\WINNT\system32\dllcache\usbscan.sys
2008-01-23 15:44 . 2001-08-22 22:15 5,632 --a------ C:\WINNT\system32\ptpusb.dll
2008-01-21 23:05 . 2008-02-02 08:54 <DIR> d-------- C:\Documents and Settings\RODRIGO\Datos de programa\skypePM
2008-01-21 23:05 . 2008-01-21 23:05 32 --a------ C:\Documents and Settings\All Users\Datos de programa\ezsid.dat
2008-01-21 23:03 . 2008-01-21 23:03 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Skype
2008-01-19 17:32 . 2008-01-19 17:32 103,936 --a------ C:\WINNT\system32\drvzaj.dll
2008-01-19 09:52 . 2008-01-19 09:52 166 --a------ C:\key.shm
2008-01-14 04:24 . 2008-01-14 04:24 641 --a------ C:\winhfya.exe
2008-01-14 04:21 . 2008-01-14 04:21 641 --a------ C:\wincpyn.exe
2008-01-14 04:17 . 2008-01-14 04:17 407,560 --a------ C:\winlxpw.exe
2008-01-10 15:55 . 2008-01-10 15:55 413,192 --a------ C:\winfaiu.exe
2008-01-07 10:07 . 2008-01-07 10:07 988,128 --a------ C:\WINNT\dbplugin.exe
2008-01-07 09:10 . 2008-01-07 09:14 <DIR> d-------- C:\WINNT\UbiSoft
2008-01-06 15:44 . 2008-01-07 07:56 <DIR> d-------- C:\ORG
2008-01-06 13:41 . 2008-01-06 14:03 56,832 --a------ C:\Org ocupacional Juzgado Cuarto del Ramo Penal de Tuxtla.ppt

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-02 18:02 --------- d-----w C:\Documents and Settings\RODRIGO\Datos de programa\Skype
2008-01-30 23:50 --------- d-----w C:\Documents and Settings\RODRIGO\Datos de programa\Apple Computer
2008-01-30 23:43 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2008-01-23 06:43 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-01-22 23:17 --------- d-----w C:\Documents and Settings\RODRIGO\Datos de programa\uTorrent
2008-01-22 06:03 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Skype
2008-01-22 06:03 --------- d-----w C:\Archivos de programa\Skype
2008-01-21 04:54 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\HP
2008-01-20 00:17 --------- d-----w C:\Archivos de programa\FlashGet
2008-01-14 17:23 --------- d-----w C:\Archivos de programa\Google
2008-01-02 01:08 403,976 ----a-w C:\winvlwv.exe
2007-12-23 16:17 --------- d-----w C:\Documents and Settings\RODRIGO\Datos de programa\LimeWire
2007-11-27 19:42 172,112 ----a-w C:\WINNT\system32\DNLEng.dll
2007-02-23 17:36 6,746 ----a-w C:\Documents and Settings\RODRIGO\xx_tempopt.bin
2007-01-14 22:06 271 --sh--w C:\Archivos de programa\desktop.ini
2007-01-14 22:06 22,020 ---ha-w C:\Archivos de programa\folder.htt
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 155,648 2006-01-12 21:40:44 C:\Archivos de programa\Archivos comunes\Ahead\Lib\bak\NeroCheck.exe

----a-w 49,152 2005-05-12 05:12:54 C:\Archivos de programa\HP\HP Software Update\bak\HPWuSchd2.exe
----a-w 49,152 2005-05-12 05:12:54 C:\Archivos de programa\HP\HP Software Update\hpwuSchd2.exe

----a-w 49,263 2006-11-09 21:07:30 C:\Archivos de programa\Java\jre1.5.0_10\bin\bak\jusched.exe

----a-w 15,872 2006-09-07 17:19:27 C:\Archivos de programa\Unlocker\bak\UnlockerAssistant.exe

----a-w 146,944 2001-08-24 12:00:00 C:\WINNT\PCHEALTH\HELPCTR\Binaries\bak\MSConfig.exe
----a-w 146,944 2002-09-09 19:51:32 C:\WINNT\PCHEALTH\HELPCTR\Binaries\msconfig.exe

----a-w 13,312 2001-08-24 12:00:00 C:\WINNT\system32\bak\ctfmon.exe
----a-w 13,312 2002-09-09 19:51:26 C:\WINNT\system32\ctfmon.exe

----a-w 144,963 2007-03-21 09:06:53 C:\WINNT\system32\bak\drf1174468010[1].htm.exe

----a-w 114,688 2003-04-06 16:07:38 C:\WINNT\system32\bak\hkcmd.exe

----a-w 155,648 2003-04-06 16:19:52 C:\WINNT\system32\bak\igfxtray.exe

.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINNT\System32\ctfmon.exe" [2002-09-09 12:51 13312]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe" [ ]
"MsnMsgr"="C:\Archivos de programa\MSN Messenger\MsnMsgr.exe" [2007-09-14 12:43 5674352]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-01-14 10:23 171448]
"Skype"="C:\Archivos de programa\Skype\Phone\Skype.exe" [2007-12-07 15:08 21686568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2001-08-24 05:00 136192 C:\WINNT\system32\mobsync.exe]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 02:00 132496]
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 19:01 71216]
"LanguageShortcut"="C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 14:21 54832]
"snp2std"="C:\WINNT\vsnp2std.exe" [2006-01-05 22:57 344064]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"AVG7_CC"="C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe" [2008-01-26 10:21 579072]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2003-10-15 16:24 229376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-15 17:00 20752 C:\WINNT\system32\internat.exe]
"AVG7_Run"="C:\ARCHIV~1\Grisoft\AVG7\avgw.exe" [2008-01-26 10:21 219136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Archivos de programa\Internet Explorer\Connection Wizard\icwconn1.exe" [2002-09-09 12:51 212480]
"tscuninstall"="C:\WINNT\system32\tscupgrd.exe" [2002-09-09 12:33 40960]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 11:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-02-27 10:39 282624 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2006-09-28 12:21 57344 C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pando]
C:\Archivos de programa\Pando Networks\Pando\Pando.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-01-08 12:54 65536 C:\WINNT\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\µTorrent]
C:\Archivos de programa\uTorrent\utorrent.exe

R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Archivos de programa\CyberLink\PowerDVD\000.fcl [2006-11-02 14:51]
R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINNT\System32\DRIVERS\snp2sxp.sys [2006-03-31 02:27]
S3 SNPP106;PC Camera (6029 CIF);C:\WINNT\System32\DRIVERS\snpp106.sys [2002-12-05 15:58]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-02 17:48:06
Windows 5.1.2600 Service Pack 1 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\WINNT\System32\bgsvcgen.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\HPZipm12.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINNT\System32\wdfmgr.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
c:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
c:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Archivos de programa\Java\jre1.6.0_02\bin\jucheck.exe
.
**************************************************************************
.
Tiempo completado: 2008-02-02 17:53:24 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-03 00:53:20
ComboFix2.txt 2007-06-13 19:51:35
ComboFix3.txt 2007-04-29 04:34:45


Logfile of HijackThis v1.99.1
Scan saved at 05:56:55 p.m., on 02/02/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\WINNT\System32\bgsvcgen.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\HPZipm12.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\vsnp2std.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINNT\System32\ctfmon.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
c:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
c:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Archivos de programa\Java\jre1.6.0_02\bin\jucheck.exe
C:\WINNT\system32\msiexec.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\HT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [snp2std] C:\WINNT\vsnp2std.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.micros...b?1177984708531
O17 - HKLM\System\CCS\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE125042-60B0-42D1-98B5-0C4A727DAD96}: NameServer = 210.131.249.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O17 - HKLM\System\CS3\Services\Tcpip\..\{345A4A25-B8A0-4A9F-A3DF-4894A5EB9772}: NameServer = 210.131.249.33
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINNT\System32\bgsvcgen.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
  • 0

#12
koko_crunch

koko_crunch

    Trusted Helper

  • Retired Staff
  • 1,751 posts
No problem...

Please read this post completely, it may make it easier for you if you copy and paste this post to a new text document or print it for reference later.


First,

You also have a downloader trojan called Downloader.Agent.awf or Downloader.Agent.ayy. This trojan replaces legitimate files that are common on most computers with an infected file. It then moves the legitimate file to a "bak" or backup folder. Please follow the directions below to run FindAWF so we can identify the files that have been infected and the backups then restore them.

Download FindAWF.exe from here or here, and save it to your desktop.

Then,

Restart your computer and as soon as it starts booting up again continuously tap F8. A menu should come up where you will be given the option to enter Safe Mode.

Finally,

  • Copy the file paths below to the clipboard by highlighting ALL of them and pressing CTRL + C (or, after highlighting, right-click and choose copy):

C:\Archivos de programa\Archivos comunes\Ahead\Lib\bak\NeroCheck.exe
C:\Archivos de programa\HP\HP Software Update\bak\HPWuSchd2.exe
C:\Archivos de programa\Java\jre1.5.0_10\bin\bak\jusched.exe
C:\Archivos de programa\Unlocker\bak\UnlockerAssistant.exe
C:\WINNT\PCHEALTH\HELPCTR\Binaries\bak\MSConfig.exe
C:\WINNT\system32\bak\ctfmon.exe
C:\WINNT\system32\bak\hkcmd.exe
C:\WINNT\system32\bak\igfxtray.exe

  • Double-click on the FindAWF.exe file to run it.
  • It will open a command prompt and ask you to "Press any key to continue".
  • You will be presented with a Menu.

    1. Press 1 then Enter to scan for bak folders
    2. Press 2 then Enter to restore files from bak folders
    3. Press 3 then Enter to remove bak folders
    4. Press 4 then Enter to reset domain zones
    5. Press E then Enter to EXIT

  • Press 2, then press Enter.
  • Press any key to continue.
  • A Notepad document FindAWF.txt will appear with instructions to click below the line and paste the list of files to be restored.
  • Right click below this line and select Paste, to paste the list of files copied to the clipboard earlier. Save and close the document.
  • The program will proceed to move the legit files and will perform another scan for .bak folder
  • It may take a few minutes to complete so be patient.
  • When it is complete, it will open a text file in notepad called AWF.txt.
  • Please copy and paste the contents of the AWF.txt file in your next reply.

  • 0

#13
dragues

dragues

    Member

  • Topic Starter
  • Member
  • PipPip
  • 74 posts
Hi, here are the results. Thanx again.


Find AWF report by noahdfear ©2006
Version 1.40
Option 2 run successfully



bak folders found
~~~~~~~~~~~

El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: 20AC-FFE4

Directorio de C:\ARCHIV~1\UNLOCKER\BAK

07/09/2006 10:19 a.m. 15,872 UnlockerAssistant.exe
1 archivos 15,872 bytes
2 dirs 2,771,095,552 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: 20AC-FFE4

Directorio de C:\DOCUME~1\RODRIGO\BAK

0 archivos 0 bytes
2 dirs 2,771,095,552 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: 20AC-FFE4

Directorio de C:\WINNT\SYSTEM32\BAK

24/08/2001 05:00 a.m. 13,312 ctfmon.exe
21/03/2007 02:06 a.m. 144,963 drf1174468010[1].htm.exe
06/04/2003 09:07 a.m. 114,688 hkcmd.exe
06/04/2003 09:19 a.m. 155,648 igfxtray.exe
4 archivos 428,611 bytes
2 dirs 2,771,091,456 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: 20AC-FFE4

Directorio de C:\ARCHIV~1\HP\HPSOFT~1\BAK

11/05/2005 10:12 p.m. 49,152 HPWuSchd2.exe
1 archivos 49,152 bytes
2 dirs 2,771,091,456 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: 20AC-FFE4

Directorio de C:\ARCHIV~1\ADOBE\ACROBA~1.0\READER\BAK

0 archivos 0 bytes
2 dirs 2,771,091,456 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: 20AC-FFE4

Directorio de C:\ARCHIV~1\ARCHIV~1\AHEAD\LIB\BAK

12/01/2006 02:40 p.m. 155,648 NeroCheck.exe
1 archivos 155,648 bytes
2 dirs 2,771,091,456 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: 20AC-FFE4

Directorio de C:\ARCHIV~1\HP\DIGITA~1\{33D6C~1\BAK

0 archivos 0 bytes
2 dirs 2,771,091,456 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: 20AC-FFE4

Directorio de C:\ARCHIV~1\JAVA\JRE15~1.0_1\BIN\BAK

09/11/2006 02:07 p.m. 49,263 jusched.exe
1 archivos 49,263 bytes
2 dirs 2,771,091,456 bytes libres
El volumen de la unidad C no tiene etiqueta.
El n£mero de serie del volumen es: 20AC-FFE4

Directorio de C:\WINNT\PCHEALTH\HELPCTR\BINARIES\BAK

24/08/2001 05:00 a.m. 146,944 MSConfig.exe
1 archivos 146,944 bytes
2 dirs 2,771,091,456 bytes libres


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15872 7 Sep 2006 "C:\Archivos de programa\Unlocker\bak\UnlockerAssistant.exe"
195645 19 Jan 2007 "D:\Drivers\unlocker1.8.5.exe"
13312 24 Aug 2001 "C:\WINNT\system32\ctfmon.exe"
13312 24 Aug 2001 "C:\WINNT\system32\bak\ctfmon.exe"
144963 21 Mar 2007 "C:\WINNT\system32\bak\drf1174468010[1].htm.exe"
114688 6 Apr 2003 "C:\WINNT\system32\hkcmd.exe"
114688 6 Apr 2003 "C:\WINNT\system32\bak\hkcmd.exe"
114688 6 Apr 2003 "C:\WINNT\system32\ReinstallBackups\0009\DriverFiles\hkcmd.exe"
155648 6 Apr 2003 "C:\WINNT\system32\igfxtray.exe"
155648 6 Apr 2003 "C:\WINNT\system32\bak\igfxtray.exe"
155648 6 Apr 2003 "C:\WINNT\system32\ReinstallBackups\0009\DriverFiles\igfxtray.exe"
49152 11 May 2005 "C:\Archivos de programa\HP\HP Software Update\hpwuSchd2.exe"
49152 11 May 2005 "C:\Archivos de programa\HP\HP Software Update\bak\HPWuSchd2.exe"
155648 12 Jan 2006 "C:\Archivos de programa\Archivos comunes\Ahead\Lib\bak\NeroCheck.exe"
36975 13 Apr 2005 "C:\Archivos de programa\Java\jre1.5.0_03\bin\jusched.exe"
83608 14 Mar 2007 "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
132496 12 Jul 2007 "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
49263 9 Nov 2006 "C:\Archivos de programa\Java\jre1.5.0_10\bin\bak\jusched.exe"
146944 24 Aug 2001 "C:\WINNT\PCHEALTH\HELPCTR\Binaries\MSConfig.exe"
146944 24 Aug 2001 "C:\WINNT\PCHEALTH\HELPCTR\Binaries\bak\MSConfig.exe"


end of report
  • 0

#14
koko_crunch

koko_crunch

    Trusted Helper

  • Retired Staff
  • 1,751 posts
Much better... :)

Next,

  • Copy the file paths below to the clipboard by highlighting ALL of them and pressing CTRL + C (or, after highlighting, right-click and choose copy):

    C:\Archivos de programa\Unlocker\bak
    C:\WINNT\system32\bak
    C:\Archivos de programa\HP\HP Software Update\bak
    C:\Archivos de programa\Archivos comunes\Ahead\Lib\bak
    C:\Archivos de programa\Java\jre1.5.0_10\bin\bak
    C:\WINNT\PCHEALTH\HELPCTR\Binaries\bak
    C:\DOCUME~1\RODRIGO\BAK
    C:\ARCHIV~1\ADOBE\ACROBA~1.0\READER\BAK
    C:\ARCHIV~1\HP\DIGITA~1\{33D6C~1\BAK

  • Double-click on the FindAWF.exe file to run it.
  • It will open a command prompt and ask you to "Press any key to continue".
  • You will be presented with a Menu.

    1. Press 1 then Enter to scan for bak folders
    2. Press 2 then Enter to restore files from bak folders
    3. Press 3 then Enter to remove bak folders
    4. Press 4 then Enter to reset domain zones
    5. Press E then Enter to EXIT

  • Press 3, then press Enter.
    [*Press any key to continue.
  • A Notepad document FindAWF.txt will appear with instructions to click below the line and paste the list of folders to be removed.
  • Right click below this line and select Paste, to paste the list of folders copied to the clipboard earlier. Save and close the document.
  • The program will proceed to remove the bad folders and will perform another scan for .bak folder
  • It may take a few minutes to complete so be patient.
  • When it is complete, it will open a text file in notepad called AWF.txt.
  • Please copy and paste the contents of the AWF.txt file in your next reply.

Then,

  • Double-click on the FindAWF.exe file to run it.
  • It will open a command prompt and ask you to "Press any key to continue".
  • You will be presented with a Menu.

    1. Press 1 then Enter to scan for bak folders
    2. Press 2 then Enter to restore files from bak folders
    3. Press 3 then Enter to remove bak folders
    4. Press 4 then Enter to reset domain zones
    5. Press E then Enter to EXIT

  • Press 4, then press Enter.
  • You will receive a warning to reset domain zones
  • Press 1 then press Enter.
  • If you have manually included sites in the trusted zones, these will need to be re-inserted.

Finally,

  • Right click ResetProtocolDefaults.reg then select "Save Link As" or "Save Target As".
  • Save file in your Desktop
  • Double click on ResetProtocolDefaults.reg
  • On prompt, select Yes.

Please post back with the latest FindAWF log... :)
  • 0

#15
dragues

dragues

    Member

  • Topic Starter
  • Member
  • PipPip
  • 74 posts
Here is the log. Thanx.


Find AWF report by noahdfear ©2006
Version 1.40
Option 3 run successfully



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

By the way, I'm having problems with two formula 1 games. I can't play them in my computer and a few weeks ago, I used to play them all the time. When I try to play any of them, they crash all the time. Is it possible that I have some kind of spyware or virus that ocassionates the problem? Thanx.

Edited by dragues, 07 February 2008 - 06:42 PM.

  • 0






Similar Topics

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

As Featured On:

Microsoft Yahoo BBC MSN PC Magazine Washington Post HP