Javascript Disabled Detected

You currently have javascript disabled. Several functions may not work. Please re-enable javascript to access full functionality.

I BEG YOU HELP! [RESOLVED]

Started by pedrip0202 , May 04 2005 11:22 PM

This topic is locked

#1
pedrip0202

Posted 04 May 2005 - 11:22 PM

New Member

Member
5 posts

THIS IS MU HIJACKTHIS SAVES LOG FILE:

Logfile of HijackThis v1.99.1
Scan saved at 12:19:13 a.m., on 05/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\ARCHIV~1\THEHAC~1\THD32.EXE
C:\ARCHIV~1\THEHAC~1\THAV.EXE
C:\ARCHIV~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE
C:\Archivos de programa\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0058/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = 157.238.62.14
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcinit.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSBAR.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [THEHACKERCONSOLA] C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [RealTray] C:\Archivos de programa\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [KAZAA] C:\Archivos de programa\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - Startup: PalNetaware.lnk = C:\Archivos de programa\Paltalk\pnetaware.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Archivos de programa\Archivos comunes\GMT\GMT.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Search - http://bar.mywebsear...html?p=ZCxdm071
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm
O23 - Service: PACSPTISVR - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: The Hacker Antivirus (The_Hacker_Antivirus) - Hacksoft s.r.l. - C:\ARCHIV~1\THEHAC~1\THD32.EXE

THERE'S A RED CIRCLE WITH A WHITE X IN MY ICON BAR, I DON'T KNOW WHAT'S GOING ON WITH MY PC! THERE'S ALSO LOTS OF SHORTCUT IN MY DESKTOP
CAN YOU HELP ME PLEASE!! AS SOON AS YOU CAN!!!
THANK YOU SO MUCH!!! :tazz:

#2
Michelle

Posted 04 May 2005 - 11:52 PM

Malware Removal Goddess

Retired Staff
8,928 posts

First, download, install, and run CleanUp! (so the scan won't take as long because cleanup will clear temporary files) *NOTE* Cleanup deletes EVERYTHING out of temp/temporary folders. If you have anything in a temp folder, backup it up or move it to a permanent folder prior to running Cleanup!

Please download ewido security suite

Install ewido security suite
Launch ewido, there should be a big E icon on your desktop, double-click it.
The program will prompt you to update click the OK button
The program will now go to the main screen

You will need to update ewido to the latest definition files.

On the left hand side of the main screen click update
Click on Start

The update will start and a progress bar will show the updates being installed.

Once the updates are installed do the following:

Reboot into Safe Mode, then run Ewido.
Click on scanner
Make sure the following boxes are checked before scanning:
- Binder
- Crypter
- Archives
Click on Start Scan
Let the program scan the machine

While the scan is in progress you will be prompted to clean files, click OK

Once the scan has completed, there will be a button located on the bottom of the screen named Save report

Click Save report
Save the report to your desktop

Reboot your machine.

Then run this online virus scan:
ActiveScan

Save the results from ActiveScan!

In your next post, I need the log from Ewido, the log from ActiveScan and a HiJackThis log.

#3
Michelle

Posted 05 May 2005 - 12:06 AM

Malware Removal Goddess

Retired Staff
8,928 posts

You can reboot into Safe Mode, by restarting your computer. While it's restarting keep tapping the F8 key until a menu appears. use your up arrow key to highlight Safe Mode, then hit Enter. :tazz:

#4
Michelle

Posted 05 May 2005 - 11:02 AM

Malware Removal Goddess

Retired Staff
8,928 posts

pedrip0202 - I copied the info and put it here. Whenever I ask for anything please post it here and not in a PM.

EWIDO LOGS:

---------------------------------------------------------
ewido security suite - Report de exploración
---------------------------------------------------------

+ Creado en: 02:48:43 a.m., 05/05/2005
+ Report-Checksum: 380A7D6D

+ Fecha de la base de datos: 05/05/2005
+ Versión del scanner: v3.0

+ Duración: 70 min
+ Archivos explorados: 72780
+ Velocidad: 17.12 Archivos/Segundo
+ Archivos infected: 76
+ Archivos eliminados: 76
+ Archivos puestos en cuarentena: 76
+ Archivos que no se han podido abrir: 0
+ Archivos que no se han podido limpiar: 0

+ Carpeta: Si
+ Encriptar: Si
+ Archivos: Si

+ Items explorados:
C:\

+ Resultados de la exploración:
C:\WINDOWS\SYSTEM32\guninst.exe -> Spyware.Serpo.j -> Limpio con backup
C:\WINDOWS\SYSTEM32\P2P Networking\MARSHAL2.DLL -> Spyware.P2PNetworking -> Limpio con backup
C:\WINDOWS\SYSTEM32\f3PSSavr.scr -> Spyware.MyWebSearch -> Limpio con backup
C:\WINDOWS\Escritorio\MSNBlockDetect.exe -> Backdoor.Optix.Pro.f -> Limpio con backup
C:\WINDOWS\Escritorio\backups\backup-20050505-000658-276.dll -> Spyware.404Search.h -> Limpio con backup
C:\WINDOWS\Escritorio\backups\backup-20050505-000746-113.dll -> Spyware.MyWebSearch -> Limpio con backup
C:\WINDOWS\Escritorio\backups\backup-20050505-000845-838.dll -> TrojanDownloader.WebP2PInstaller -> Limpio con backup
C:\WINDOWS\Escritorio\backups\backup-20050505-000909-926.dll -> Dialer.Generic -> Limpio con backup
C:\WINDOWS\Escritorio\backups\backup-20050505-000910-210.dll -> Dialer.Generic -> Limpio con backup
C:\WINDOWS\winww\sn00.exe -> Not-A-Virus.Joke.JepRuss -> Limpio con backup
C:\Archivos de programa\MyWay\myBar\1.bin\MY2NS.EXE -> Spyware.MyWay.b -> Limpio con backup
C:\Archivos de programa\MyWay\myBar\1.bin\MYWAYPLUGINPROXY.CLASS -> Spyware.MyWay -> Limpio con backup
C:\Archivos de programa\MyWay\myBar\1.bin\NPMYWAY.DLL -> Spyware.MyWay.e -> Limpio con backup
C:\Archivos de programa\MyWebSearch\bar\2.bin\F3CJPEG.DLL -> Spyware.MyWebSearch -> Limpio con backup
C:\Archivos de programa\MyWebSearch\bar\2.bin\F3HISTSW.DLL -> Spyware.MyWebSearch -> Limpio con backup
C:\Archivos de programa\MyWebSearch\bar\2.bin\F3POPSWT.DLL -> Spyware.MyWebSearch -> Limpio con backup
C:\Archivos de programa\MyWebSearch\bar\2.bin\F3PSSAVR.SCR -> Spyware.MyWebSearch -> Limpio con backup
C:\Archivos de programa\MyWebSearch\bar\2.bin\F3RESTUB.DLL -> Spyware.Wesbar -> Limpio con backup
C:\Archivos de programa\MyWebSearch\bar\2.bin\F3SCHMON.EXE -> Spyware.MyWebSearch -> Limpio con backup
C:\Archivos de programa\MyWebSearch\bar\2.bin\F3WPHOOK.DLL -> Spyware.Wesbar -> Limpio con backup
C:\Archivos de programa\MyWebSearch\bar\2.bin\M3OUTLCN.DLL -> Spyware.MyWebSearch -> Limpio con backup
C:\Archivos de programa\MyWebSearch\bar\2.bin\M3SKIN.DLL -> Spyware.Wesbar -> Limpio con backup
C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSOESTB.DLL -> Spyware.Wesbar -> Limpio con backup
C:\Setup.exe -> Worm.Pinom.c -> Limpio con backup
C:\Documents and Settings\All Users\Documentos\Setup.exe -> Worm.Pinom.c -> Limpio con backup
C:\Documents and Settings\Peter\Configuración local\Temp\p2psetup.exe -> Spyware.P2PNetworking -> Limpio con backup
C:\Documents and Settings\Peter\Configuración local\Temp\~esetup\setup.exe -> Backdoor.FlyAgent.a -> Limpio con backup
C:\Documents and Settings\Peter\Configuración local\Temp\~esetup\×¢Òâ£ºÇë½«´ËµÇÂ½Æ÷°²×°ÔÚÄãµÄÆæ¼£¿Í»§¶ËÄ¿Â¼ÏÂ£¡\½ÒÎ÷Ææ¼£µÇÂ½Æ÷.exe -> Backdoor.FlyAgent.a -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\pedro ibañez [email protected][1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\peter@mediaplex[1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\pedro ibañez peres@infostart[2].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\pedro ibañez [email protected][2].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\peter@myway[3].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\pedro ibañez peres@com[2].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\anyuser@myway[2].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\pedro ibañez [email protected][1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\peter@geocities[1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\[email protected][1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\[email protected][1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\peter@5[1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\[email protected][2].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\[email protected][1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\[email protected][1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\[email protected][1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\peter@prisacom[1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\[email protected][2].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\[email protected][2].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\peter@S005-01-8-15-233860-97119[1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\peter@6[1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\[email protected][5].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\peter@kazaa[2].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\peter@outster[2].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\[email protected][3].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\[email protected][1].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\peter@geocities[2].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\[email protected][4].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\Documents and Settings\Peter\Cookies\peter@mywebsearch[4].txt -> Spyware.Tracking-Cookie -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP263\A0068395.exe -> Spyware.P2PNetworking -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP263\A0068396.DLL -> Spyware.P2PNetworking -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP263\A0068415.exe -> Spyware.Gator -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP276\A0073379.EXE -> Spyware.Hotbar.ai -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP276\A0073384.dll -> Spyware.ag -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP276\A0073385.exe -> Spyware.Hotbar.aj -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP276\A0073388.exe -> Spyware.Hotbar.ai -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP290\A0076579.EXE -> Spyware.Gator -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP290\A0076583.exe -> Spyware.Zango -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP290\A0076593.exe -> Spyware.Zango -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP290\A0077578.dll -> Spyware.404Search.h -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP290\A0077579.DLL -> Spyware.MyWebSearch -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP290\A0077583.dll -> Dialer.Generic -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP290\A0077591.EXE -> Spyware.Wesbar -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP290\A0077592.exe -> Spyware.P2PNetworking -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP290\A0077596.dll -> TrojanDownloader.WarSpy.g -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP290\A0077597.dll -> Spyware.Wesbar -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP290\A0077598.DLL -> Spyware.MyWebSearch -> Limpio con backup
C:\System Volume Information\_restore{52F3A3FA-ECDB-4780-8E9E-61BF6AED56CF}\RP290\A0077607.EXE -> Dialer.Generic -> Limpio con backup

ACTIVESCAN LOGS:

Incident Status Location

Adware:Adware/MyWebSearch No disinfected C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSBAR.DLL
Spyware:Spyware/Cydoor No disinfected C:\WINDOWS\System\adcache
Adware:Adware/SaveNow No disinfected Windows Registry
Adware:Adware/Gator No disinfected C:\Archivos de programa\Archivos comunes\CMEII
Adware:Adware/MyWay No disinfected C:\Archivos de programa\MyWay
Adware:Adware/FunWeb No disinfected C:\Archivos de programa\FunWebProducts
Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32a.sys
Spyware:Spyware/Altnet No disinfected C:\WINDOWS\Temp\Adware
Adware:Adware/MyWebSearch No disinfected C:\Archivos de programa\MyWebSearch
Adware:Adware/TopSearch No disinfected C:\Archivos de programa\kazaa\topsearch.dll
Spyware:Spyware/Spyblocs No disinfected C:\WINDOWS\Escritorio\Remove Spyware.url
Adware:Adware/InstaFinder No disinfected C:\Archivos de programa\INSTAFINK
Adware:Adware/P2PNetworking No disinfected C:\WINDOWS\System32\P2P Networking
Adware:Adware/Hotoffers No disinfected Windows Registry
Virus:Backdoor Program.AP Disinfected C:\WINDOWS\SYSTEM32\qggktqv0.exe
Virus:Trj/Downloader.OM Disinfected C:\WINDOWS\SYSTEM32\P2ECOM.dll
Adware:Adware/P2PNetworking No disinfected C:\WINDOWS\SYSTEM32\P2P Networking v123.cpl.disabled
Adware:Adware/P2PNetworking No disinfected C:\WINDOWS\SYSTEM32\P2P Networking v126.cpl
Virus:Trj/P2E.Z Disinfected C:\WINDOWS\SYSTEM32\EG_AUTH.dll
Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\Menú Inicio\Programas\Inicio\MyWebSearch Email Plugin.lnk
Spyware:Spyware/Spyblocs No disinfected C:\WINDOWS\Escritorio\Remove Spyware.url
Adware:Adware/FunWeb No disinfected C:\WINDOWS\Escritorio\backups\backup-20050505-000844-414.inf
Virus:W32/Netsky.Z.worm Disinfected C:\WINDOWS\pk_zip1.log[pk_zip1.zip][Details.txt .exe]
Adware:Adware/InstaFinder No disinfected C:\WINDOWS\TEMP\Adware\InstaFinderK_inst.exe
Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32m.sys
Virus:W32/Netsky.Z.worm Disinfected C:\WINDOWS\pk_zip2.log[pk_zip2.zip][Notice.txt .exe]
Virus:W32/Netsky.Z.worm Disinfected C:\WINDOWS\pk_zip3.log[pk_zip3.zip][Important.txt .exe]
Virus:W32/Netsky.Z.worm Disinfected C:\WINDOWS\pk_zip4.log[pk_zip4.zip][Bill.txt .exe]
Virus:W32/Netsky.Z.worm Disinfected C:\WINDOWS\pk_zip5.log[pk_zip5.zip][Data.txt .exe]
Virus:W32/Netsky.Z.worm Disinfected C:\WINDOWS\pk_zip6.log[pk_zip6.zip][Part-2.txt .exe]
Virus:W32/Netsky.Z.worm Disinfected C:\WINDOWS\pk_zip7.log[pk_zip7.zip][Textfile.txt .exe]
Virus:W32/Netsky.Z.worm Disinfected C:\WINDOWS\pk_zip8.log[pk_zip8.zip][Informations.txt .exe]
Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32a.sys
Adware:Adware/TopSearch No disinfected C:\Archivos de programa\Kazaa\TopSearch.dll
Adware:Adware/FunWeb No disinfected C:\Archivos de programa\MyWebSearch\bar\2.bin\F3REPROX.DLL
Adware:Adware/FunWeb No disinfected C:\Archivos de programa\MyWebSearch\bar\2.bin\F3SCRCTR.DLL
Adware:Adware/MyWebSearch No disinfected C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSBAR.DLL
Adware:Adware/FunWeb No disinfected C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSOEPLG.DLL
Adware:Adware/InstaFinder No disinfected C:\Archivos de programa\INSTAFINK\InstaFinderK_inst.exe
Adware:Adware/Gator No disinfected C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\GStartup.lnk
HIJACKTHIS LOGS:

Logfile of HijackThis v1.99.1
Scan saved at 08:08:42 a.m., on 05/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\THEHAC~1\THAV.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE
C:\Archivos de programa\Real\RealPlayer\RealPlay.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\ARCHIV~1\THEHAC~1\THD32.EXE
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\Archivos de programa\Paltalk\pnetaware.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0058/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = 157.238.62.14
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcinit.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSBAR.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [THEHACKERCONSOLA] C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [RealTray] C:\Archivos de programa\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KAZAA] C:\Archivos de programa\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - Startup: PalNetaware.lnk = C:\Archivos de programa\Paltalk\pnetaware.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Archivos de programa\Archivos comunes\GMT\GMT.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Search - http://bar.mywebsear...html?p=ZCxdm071
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoft.../as5/asinst.cab
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: The Hacker Antivirus (The_Hacker_Antivirus) - Hacksoft s.r.l. - C:\ARCHIV~1\THEHAC~1\THD32.EXE

#5
Michelle

Posted 05 May 2005 - 11:34 AM

Malware Removal Goddess

Retired Staff
8,928 posts

I need you to follow these instructions exactly. If you don't understand something, please ask!

Please read these instructions carefully

*Click Here to download Killbox by Option^Explicit.
*Save it to your desktop.
*double-click on Killbox.exe to start the program.
*In the killbox program, select the Delete on Reboot option.
*In the field labeled Full Path of File to Delete enter the file paths listed below ONE AT A TIME (EXACTLY as it appears, please double check to make sure! I would just copy each file path and paste it in the field):

C:\WINDOWS\System32\param32.dll
C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSBAR.DLL
C:\WINDOWS\System\adcache
C:\Archivos de programa\Archivos comunes\CMEII
C:\Archivos de programa\MyWay
C:\Archivos de programa\FunWebProducts
C:\WINDOWS\Temp\Adware
C:\Archivos de programa\MyWebSearch
C:\Archivos de programa\kazaa\topsearch.dll
C:\WINDOWS\Escritorio\Remove Spyware.url
C:\Archivos de programa\INSTAFINK
C:\WINDOWS\Menú Inicio\Programas\Inicio\MyWebSearch Email Plugin.lnk
C:\WINDOWS\Escritorio\Remove Spyware.url
C:\WINDOWS\Escritorio\backups\backup-20050505-000844-414.inf
C:\WINDOWS\TEMP\Adware\InstaFinderK_inst.exe
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\smdat32a.sys
C:\Archivos de programa\Kazaa\TopSearch.dll
C:\Archivos de programa\MyWebSearch\bar\2.bin\F3REPROX.DLL
C:\Archivos de programa\MyWebSearch\bar\2.bin\F3SCRCTR.DLL
C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSBAR.DLL
C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSOEPLG.DLL
C:\Archivos de programa\INSTAFINK\InstaFinderK_inst.exe
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\GStartup.lnk

Press the button that looks like a red circle with a white X in it after each one. When it asks if you would like to delete on reboot, press the YES button, when it asks if you want to reboot now, press the NO button. Do this after each one until you have entered the LAST file path I have listed above. After that LAST file path has been entered press the YES button at both prompts so that your computer restarts. if you receive a message that says "PendingRenamOperation" click NO and restart your computer manually if it does not automatically restart.

After your computer reboots, go into this folder:

C:\WINDOWS\System32

Delete any icons you find in there. For example:

casino.ico
date.ico
games.ico
mobile.ico
network.ico
pharm.ico
pharm2.ico
scanner.ico
spam.ico
spyware.ico

#6
pedrip0202

Posted 05 May 2005 - 06:00 PM

New Member

Topic Starter
Member
5 posts

OK I DID WHAT YOU TOLD ME TO!!

THIS IS MY HIJACKTHIS LOG SO FAR:

Logfile of HijackThis v1.99.1
Scan saved at 06:54:27 p.m., on 05/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\THEHAC~1\THAV.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE
C:\Archivos de programa\Real\RealPlayer\RealPlay.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\ARCHIV~1\THEHAC~1\THD32.EXE
C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
C:\Archivos de programa\Paltalk\pnetaware.exe
C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0058/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = 157.238.62.14
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcinit.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSBAR.DLL (file missing)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [THEHACKERCONSOLA] C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [RealTray] C:\Archivos de programa\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KAZAA] C:\Archivos de programa\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - Startup: PalNetaware.lnk = C:\Archivos de programa\Paltalk\pnetaware.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Search - http://bar.mywebsear...html?p=ZCxdm071
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoft.../as5/asinst.cab
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: The Hacker Antivirus (The_Hacker_Antivirus) - Hacksoft s.r.l. - C:\ARCHIV~1\THEHAC~1\THD32.EXE

IS THERE SOMETHING ELSE I HAVE TO DO?
O YES AND ONE MORE THING: WHEN I START THE PC MY KAZAA DOESNT WANT TO RUN BECAUSE IT SAYS THAT THERE IS A MISSING FILE TOPSEARCH OR SOMETHING LIKE THAT AND THE NUMBER OF THE ERROR IS 2001!! I HOPE YOU CAN HELP ME OUT WITH THIS TOO!!
THANK YOU!! THANKS YOU!! YOU TOTALLY HAVE SAVED MY LIFE!!!!

YOU ROCK!!! :tazz:

#7
Michelle

Posted 05 May 2005 - 06:06 PM

Malware Removal Goddess

Retired Staff
8,928 posts

My recommendation is to kick Kazaa out the door! This is one of the main reasons for your problems and as well as P2P networking. ActiveScan obviously picked up the Kazaa files and we killed them.

#8
Michelle

Posted 05 May 2005 - 06:19 PM

Malware Removal Goddess

Retired Staff
8,928 posts

Make sure you are disconnected from the Internet and that all programs and windows are closed. Run HiJackThis. Place a check next to the following items and click FIX CHECKED:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0058/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = 157.238.62.14

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcinit.exe

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSBAR.DLL (file missing)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - Startup: PalNetaware.lnk = C:\Archivos de programa\Paltalk\pnetaware.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Archivos de programa\MyWebSearch\bar\2.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Search - http://bar.mywebsear...html?p=ZCxdm071

Using Windows explorer, delete the folders in bold:
C:\ARCHIVOS DE PROGRAMA\MYWAY
C:\Archivos de programa\MyWebSearch
C:\Archivos de programa\Paltalk

Reboot and post a new HiJackThis log.

#9
pedrip0202

Posted 05 May 2005 - 09:34 PM

New Member

Topic Starter
Member
5 posts

ok here is my last hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 10:31:32 p.m., on 05/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\ARCHIV~1\THEHAC~1\THD32.EXE
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\THEHAC~1\THAV.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE
C:\Archivos de programa\Real\RealPlayer\RealPlay.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = 157.238.62.14
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [THEHACKERCONSOLA] C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [RealTray] C:\Archivos de programa\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KAZAA] C:\Archivos de programa\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoft.../as5/asinst.cab
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: The Hacker Antivirus (The_Hacker_Antivirus) - Hacksoft s.r.l. - C:\ARCHIV~1\THEHAC~1\THD32.EXE

I hope my pc is improving!!
Thanks you!! :tazz:

#10
Michelle

Posted 05 May 2005 - 11:18 PM

Malware Removal Goddess

Retired Staff
8,928 posts

1) CWShredder - Download it and save it to your desktop.
2) Ad-Aware - Download, install, and update After installing Ad-aware, you will be prompted to update the program and run a full scan. De-select all boxes so that it does not run a scan. Manually run "Ad-Aware SE Personal" and from the main screen Click on "Check for Updates Now".

Reboot into Safe Mode.

Run CWShredder
-Next, click on the: ‘Fix’ button
-Follow the prompts, and press OK

Run Ad-Aware
Reconfigure Ad-Aware for Full Scan as per the following instructions:
In the Ad-Aware main window, click on the gear icon at the top of the screen to open the preferences window. In the "General" window, make sure the following options are selected:
1) Automatically save log-file
2) Automatically quarantine objects prior to removal
3) Safe Mode (always request confirmation)

Click the "Scanning" button on the left-hand side and make sure the following options are selected:
1) Scan within archives
2) Scan active processes
3) Scan registry
4) Deep scan registry
4) Scan my IE Favorites for banned URLs
5) Scan my Hosts file

Please also click on "Select drives & folders to scan" and select your hard drive(s). Then click the "Advanced" button on the left-hand side and make sure all the options under "Log-file Detail Level" are selected. Next, click the "Tweak" button on the left-hand side. Click on "Scanning Engine" and make sure the following options are selected:
1) Unload recognized processes & modules during scanning
2) Obtain command line of scanned processes
3) Scan registry for all users instead of current user only

Click on "Cleaning Engine" and make sure the following options are selected:
1) Always try to unload modules before deletion
2) During removal, unload Explorer and IE if necessary
3) Let Windows remove files in use at next reboot
4) Delete quarantined objects after restoring

Finally, click on "Safety Settings" and make sure the following options are selected:
1) Automatically select problematic objects in results lists
2) Write-protect system files after repair (Hosts file, etc)

Click on "Proceed" to save the preferences. Then please click the "Start" button on the bottom left side to begin a scan. Select "Use custom scanning options" and then click "Next". Ad-Aware will then scan for malware. When it is finished, make sure any objects listed in RED are selected and click "Next" to remove the objects.

Reboot in normal mode

Run HiJackThis and put a check next to the following item, if found, and click FIX CHECKED:

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = 157.238.62.14

Post a new HiJackThis log.

#11
pedrip0202

Posted 06 May 2005 - 02:07 AM

New Member

Topic Starter
Member
5 posts

ok! this the new hijackhis log:

Logfile of HijackThis v1.99.1
Scan saved at 03:04:10 a.m., on 06/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\THEHAC~1\THAV.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE
C:\Archivos de programa\Real\RealPlayer\RealPlay.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
C:\ARCHIV~1\THEHAC~1\THD32.EXE
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Escritorio\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [THEHACKERCONSOLA] C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [RealTray] C:\Archivos de programa\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KAZAA] C:\Archivos de programa\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoft.../as5/asinst.cab
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: The Hacker Antivirus (The_Hacker_Antivirus) - Hacksoft s.r.l. - C:\ARCHIV~1\THEHAC~1\THD32.EXE

I hope we are almost done!!
i really admire how smart and intelligent you are!! GREAT!!
Bye!

#12
Michelle

Posted 06 May 2005 - 03:11 AM

Malware Removal Goddess

Retired Staff
8,928 posts

Is it running good?

Because it looks fine! Although I still recommend getting rid of Kazaa...

Congratulations your log is clean! Great job on the clean up :tazz:

I recommend XP Service Pack 2 http://www.microsoft.com - click on "Windows Update"!

Here are some tips, to reduce the potential for spyware infection in the future, I strongly recommend installing the following applications:

Ewido Security Suite <= Protection against Trojans, Worms, Dialers, Hijackers, Spyware, and Keyloggers.

Detect and Remove Programs:

How to use Ad-Aware to remove Spyware <= If you suspect that you have spyware installed on your computer, here are instructions on how to download, install and then use Ad-Aware.
How to use Spybot to remove Spyware <= If you suspect that you have spyware installed on your computer, here are instructions on how to download, install and then use Spybot. Similar to Ad-Aware, I strongly recommend both to catch most spyware.

Prevention Programs:

Spywareblaster <= SpywareBlaster will prevent spyware from being installed.
Spywareguard <= SpywareGuard offers realtime protection from spyware installation attempts.
MVPS Hosts file <= The MVPS Hosts file replaces your current HOSTS file with one containing well known ad sites etc. Basically, this prevents your computer from connecting to those sites by redirecting them to 127.0.0.1 which is your local computer
Google Toolbar <= Get the free google toolbar to help stop pop up windows.

Other necessary Programs:

AntiVirus Program<= An AntiVirus program is a must! Whether it is a free version like AVG or Anti-Vir, or a shareware version like Norton or Kapersky, this is a must have.
Firewall<= A firewall is definitely a must have. Two good free versions are Sygate and ZoneLabs.

Edited by bananafanafo, 06 May 2005 - 03:12 AM.

#13
Michelle

Posted 06 May 2005 - 10:44 PM

Malware Removal Goddess

Retired Staff
8,928 posts

Thank you for the PM, I'm glad I could help!

Since this has been resolved, I'm going to close it. If the original poster has any other problems, just PM me or another staff member and we'll re-open it for you. :tazz:

Everyone else, please post a new topic.