Jump to content

Welcome to Geeks to Go - Register now for FREE

Geeks To Go is a helpful hub, where thousands of volunteer geeks quickly serve friendly answers and support. Check out the forums and get free advice from the experts. Register now to gain access to all of our features, it's FREE and only takes one minute. Once registered and logged in, you will be able to create topics, post replies to existing threads, give reputation to your fellow members, get your own private messenger, post status updates, manage your profile and so much more.

Create Account How it Works
Photo

[Resolved]Funwebproducts, hotwebsearch, others


  • This topic is locked This topic is locked

#1
mactanzi

mactanzi

    Member

  • Member
  • PipPip
  • 14 posts
First of all: thanks a lot! I live in Costa Rica and would really appreciate your help.

What I did before posting:

1. Run Norton Anitvirus: detected and deleted a lot of malware but always leaves 1 or 2 files wich "cannot be deleted".
2. Run CleanUp!
3. Run Ad-Aware (with the proper configuration) and deleted the results.
4. Run CWShreadder
5. Run SpyBot S&D and always left FunWebProducts and HotWebSearch unremoved.
6. Made an online scan with Microtrends and there were files that could not be deleted because "they wew in use".
7. Restarted the computer, but the SpyBot Resident keeps prompting that new entries are happening and I deny the change.
8. Checked IE and always has a "Class *.exe" unknown file wich I keep desabling.
9. Run Hijach This.

These are the results:

Logfile of HijackThis v1.99.1
Scan saved at 09:41:00 a.m., on 26/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Cerience\RepliGo\RepliGoMon.exe
C:\WINDOWS\system32\cryd.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\palmOne\AlarmApp.exe
C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
C:\Archivos de programa\palmOne\HOTSYNC.EXE
C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NDD32.EXE
C:\Documents and Settings\Mau\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\akyrf.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\akyrf.dll/sp.html#44768
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {137D9D58-DEAC-510D-3DD5-BE1236A710B2} - (no file)
O2 - BHO: (no name) - {1EB9A5C3-8BE0-1184-BF52-28550086EC10} - (no file)
O2 - BHO: (no name) - {25C8EE92-824A-9639-4E91-13EC08423454} - (no file)
O2 - BHO: (no name) - {33DA09FC-0D84-29B4-815F-CC48795929D4} - (no file)
O2 - BHO: (no name) - {3A0A7220-84B2-3961-1259-2E5B770AF9B0} - (no file)
O2 - BHO: (no name) - {461F4B57-9FCB-C46E-95A1-13F3B51F1C8B} - (no file)
O2 - BHO: (no name) - {49067854-CD81-932C-FF39-319631A78BFC} - (no file)
O2 - BHO: (no name) - {4A6D173C-FEB5-A78F-B935-68286B007E44} - (no file)
O2 - BHO: (no name) - {67963FF8-29E8-0CE5-8A74-A47B4CB75963} - (no file)
O2 - BHO: (no name) - {6F839401-73C6-491F-12E1-322A9B568C20} - (no file)
O2 - BHO: (no name) - {844B27AE-DF9C-20A0-AE89-1289B1DBBBD4} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D74D00C3-EB52-A0FF-0E67-45BE41EF3E73} - (no file)
O2 - BHO: (no name) - {E738A396-AC71-CAF0-910D-C675897B4EF5} - (no file)
O2 - BHO: (no name) - {F0CCF1AE-FC91-5682-C35E-36A677E408C9} - (no file)
O2 - BHO: (no name) - {F0FEAC69-B908-0A98-E707-86A79716D60E} - (no file)
O2 - BHO: (no name) - {F11B9E4D-B77C-5AF4-6B2F-2B125404061A} - (no file)
O2 - BHO: (no name) - {F3DEB5FA-0E08-9347-26D3-A5F3D9AB08A4} - (no file)
O2 - BHO: Class - {F4625626-5DCB-AEB7-598A-486B27B92A72} - C:\WINDOWS\system32\systn32.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [RepliGo Assistant] "C:\Archivos de programa\Cerience\RepliGo\RepliGoMon.exe"
O4 - HKLM\..\Run: [mfcgt32.exe] C:\WINDOWS\mfcgt32.exe
O4 - HKLM\..\Run: [cryd.exe] C:\WINDOWS\system32\cryd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Archivos de programa\palmOne\HOTSYNC.EXE
O4 - Startup: Norton Disk Doctor.lnk = C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NDD32.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Alarm Manager.LNK = C:\Archivos de programa\palmOne\AlarmApp.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Sunrise - C:\Archivos de programa\Sunrise\sts\sts.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.tromboegodo.com/ingorda.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....467&clcid=0x409
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai...all/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcaf...406/mcfscan.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe


Thanks again! :tazz:
Mauricio Tanzi
Costa Rica
  • 0

Advertisements


#2
Rawe

Rawe

    Visiting Staff

  • Member
  • PipPipPipPipPipPipPip
  • 4,746 posts
Welcome!

You should check that you have all critical updates from Windowsupdate!

1. Please uninstall your current versions of these programs which I will list next, then download and install these from the links. This is because you might have an old version running. ;)

You definitely have an infection.

Let's get started with some general scanning..

2. Please download all of these programs next;

- Spybot S&D

- Ad-Aware SE Personal, Build 1.06

- Clean Up

- CWShredder v 2.15
Run the CleanUp installer. You dont need to do anything else with it right now.
When the CWShredder is installed, please launch it, check for any updates, and close it. Don't Run A Scan Yet!

=> An tutorial for SpyBot
=> An tutorial for Ad-aware
Run the programs, as instructed on those links. ;)

3. After you have done that all, please run AT LEAST three of these free online scans here;
- Trend Micro
- BitDefender
- RAV
- Kaspersky
- Jotti Virusscan
- F-secure
4. Please, now run CWShredder v 2.15. Run the scan, removing ALL of it's findings.

5. Now run CleanUp. It will ask you to reboot to finish the cleaning. Confirm with "Ok" or something similar.

Once your windows is loaded, launch HJT, and click "Do a System Scan and save the logfile". Please post that scanlog here. We'll continue with HJT when you have posted the new log.
- Rawe :tazz:
  • 0

#3
mactanzi

mactanzi

    Member

  • Topic Starter
  • Member
  • PipPip
  • 14 posts
Thank you. You`re my favorite geek :tazz: I did every step (except that I just did 2 online virus scans instead of 3). Here is my log so you can do your vodoo!

Mauricio from Costa Rica


Logfile of HijackThis v1.99.1
Scan saved at 12:32:33 p.m., on 03/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sysrz32.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Cerience\RepliGo\RepliGoMon.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\msxct.exe
C:\WINDOWS\system32\sdkhz32.exe
C:\Archivos de programa\Messenger\msmsgs.exe
c:\windows\system32\ybswcep.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\palmOne\AlarmApp.exe
C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
C:\Archivos de programa\palmOne\HOTSYNC.EXE
C:\Documents and Settings\Mau\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jnptu.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wxdai.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wxdai.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wxdai.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wxdai.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jnptu.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wxdai.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5E2DD815-A676-7CB5-1698-B2A5ABA388C5} - (no file)
O2 - BHO: (no name) - {646D843D-7CDF-78F8-2D9D-391E871C2089} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {F6E2FCAE-1198-A1BC-63E6-EFD2567AC69A} - C:\WINDOWS\ipvm.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [RepliGo Assistant] "C:\Archivos de programa\Cerience\RepliGo\RepliGoMon.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [netyg32.exe] C:\WINDOWS\system32\netyg32.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [sdkhz32.exe] C:\WINDOWS\system32\sdkhz32.exe
O4 - HKLM\..\Run: [d3ww32.exe] C:\WINDOWS\system32\d3ww32.exe
O4 - HKLM\..\Run: [mfcgt32.exe] C:\WINDOWS\mfcgt32.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [iHFc] C:\WINDOWS\oifmrqyh.exe
O4 - HKLM\..\Run: [sysmv32.exe] C:\WINDOWS\system32\sysmv32.exe
O4 - HKLM\..\Run: [addyj.exe] C:\WINDOWS\addyj.exe
O4 - HKLM\..\Run: [pzeaczz] c:\windows\system32\ybswcep.exe
O4 - HKLM\..\Run: [uxfdhn] c:\windows\system32\uuswdeb.exe
O4 - HKLM\..\RunOnce: [addzk.exe] C:\WINDOWS\addzk.exe
O4 - HKLM\..\RunOnce: [sysrz32.exe] C:\WINDOWS\system32\sysrz32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Archivos de programa\palmOne\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Alarm Manager.LNK = C:\Archivos de programa\palmOne\AlarmApp.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Sunrise - C:\Archivos de programa\Sunrise\sts\sts.html
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....467&clcid=0x409
O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai...all/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefend...bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/d...onale_ver11.CAB
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcaf...406/mcfscan.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addzk.exe" /s (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
  • 0

#4
Rawe

Rawe

    Visiting Staff

  • Member
  • PipPipPipPipPipPipPip
  • 4,746 posts
Hi again, mactanzi.

Please print these instructions out, or write them down, as you can't read them during the fix.
Be sure to follow every step.


First, download;

- About:buster

- SpSeHjfix
{Unzip SpSeHjfix to its own folder such as C:\SpSeHjfix}


Unzip the contents of AboutBuster.zip and an About:Buster directory will be created.
- Launch About:Buster
- Click "Ok" at the prompt with instructions.
- Click "Update" and then "Check For Update" to launch the update process.
- If any updates exist please download them by clicking "Download Update". After this, exit the updating window.
- Now please close About:Buster



If you could, now please switch OFF SpyBot's teatimer.. It might get in the way..


Disconnect from the internet. {For broadband/cable users, it is recommended to disconnect the cable connection}

Please boot up into Safe Mode.

While rebooting your computer, tap f8 continuosly. A menu should come up, choose to go to Safe Mode.


While at Safe Mode, please run About:Buster;

Click "Start" and then "OK" to allow AboutBuster to scan for Alternate Data Streams.
Click "Yes" to allow it to shutdown explorer.exe.
It will begin to check your computer for malicious files. If it asks if you would like to do a second pass, allow it to do so.
When it has finished, click Save Log. Make sure you save it.
When the scan has finished, and log saved, please reboot your computer to Safe Mode again.


Ok, now run About:Buster again without the reboot in the end.

Now run SpSeHjfix. A log will be saved in the same folder that you put the exe into. Please post the results of that log in your next reply.

Do this before HJT fixes;
Click Start => Run => and type in:

services.msc

Click "OK".

In the services window find service; Remote Procedure Call (RPC) Helper
Right-click and choose "Properties". On the "General" tab under "Service Status" click the "Stop" button to stop the service. Beside "Startup Type" in the dropdown menu select "Disabled". Click Apply then "Ok". Exit the Services utility.

Repeat this step, for the Service: System Startup Service (SvcProc)


After this;


Please launch HJT. Close any other open windows.

Just hit the button to "Scan". When finished, please check these objects for removal
;

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jnptu.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wxdai.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wxdai.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wxdai.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wxdai.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jnptu.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wxdai.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5E2DD815-A676-7CB5-1698-B2A5ABA388C5} - (no file)
O2 - BHO: (no name) - {646D843D-7CDF-78F8-2D9D-391E871C2089} - (no file)
O2 - BHO: Class - {F6E2FCAE-1198-A1BC-63E6-EFD2567AC69A} - C:\WINDOWS\ipvm.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [netyg32.exe] C:\WINDOWS\system32\netyg32.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [sdkhz32.exe] C:\WINDOWS\system32\sdkhz32.exe
O4 - HKLM\..\Run: [d3ww32.exe] C:\WINDOWS\system32\d3ww32.exe
O4 - HKLM\..\Run: [mfcgt32.exe] C:\WINDOWS\mfcgt32.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [iHFc] C:\WINDOWS\oifmrqyh.exe
O4 - HKLM\..\Run: [sysmv32.exe] C:\WINDOWS\system32\sysmv32.exe
O4 - HKLM\..\Run: [addyj.exe] C:\WINDOWS\addyj.exe
O4 - HKLM\..\Run: [pzeaczz] c:\windows\system32\ybswcep.exe
O4 - HKLM\..\Run: [uxfdhn] c:\windows\system32\uuswdeb.exe
O4 - HKLM\..\RunOnce: [addzk.exe] C:\WINDOWS\addzk.exe
O4 - HKLM\..\RunOnce: [sysrz32.exe] C:\WINDOWS\system32\sysrz32.exe
O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) -
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addzk.exe" /s (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)


Has the system administrator (if work pc) set up a policy restriction in Internet Explorer or if home pc, have you set up a restriction policy with SpyBot S&D? If not, then please also check the following entry in HJT;

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present


There is also couple optionals if you want to get rid of them;
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe"/ -atboottime {System Tray access to Apple's "Quick Time" viewer from version 5 onwards}
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot {Scheduler installed along with RealOne Player. Once installed, it runs independently of RealOne Player. Not required/necessary.}

Make sure that the above mentioned objects are checked, then click "Fix Checked".


Run HiJackThis;

1. Click "Open the Misc Tools Section"
2. Click "Open Process manager"


-

Next, while holding down the CTRL key, locate (if present) and click on (highlight) each of the following:
C:\WINDOWS\system32\netyg32.exe
C:\WINDOWS\system32\sdkhz32.exe
C:\WINDOWS\system32\d3ww32.exe
C:\WINDOWS\mfcgt32.exe
C:\WINDOWS\seeve.exe
C:\WINDOWS\oifmrqyh.exe
C:\WINDOWS\system32\sysmv32.exe
C:\WINDOWS\addyj.exe
c:\windows\system32\ybswcep.exe
c:\windows\system32\uuswdeb.exe
C:\WINDOWS\addzk.exe
C:\WINDOWS\system32\sysrz32.exe



Now double-check and make sure that only those item(s) above are highlighted, then click "Kill process". Now, click "Refresh", check again, and repeat this step if any remain.

Using Windows Explorer, locate the following files and delete them (if found);

c:\windows\system32\uuswdeb.exe
C:\WINDOWS\system32\sdkhz32.exe
C:\WINDOWS\system32\d3ww32.exe
C:\WINDOWS\system32\sysrz32.exe
c:\windows\system32\ybswcep.exe


If you could, please now run CWShredder v 2.15.
Use the "Fix" button.

Run Cleanup again.
It will ask you to reboot to finish the cleaning,
please do so.

Once your computer has loaded, run a scan with HJT, post that scanlog here along with the log from About:Buster & SpSeHjfix. Tell us how's your system working. ;)
Connect back to the internet when the HJT scan has finished.

- Rawe :tazz:

If you have anything to ask, please don't hesitate to ask.
Also, if you can't for some reason finish a step, then please move on to the next step.

  • 0

#5
mactanzi

mactanzi

    Member

  • Topic Starter
  • Member
  • PipPip
  • 14 posts
Thanks a lot for all the help. I did every step and things are looking better. I hope the problem has been solved. Here are the logs:

Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 01:27:28 p.m., on 06/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Cerience\RepliGo\RepliGoMon.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\palmOne\AlarmApp.exe
C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
C:\Archivos de programa\palmOne\HOTSYNC.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Documents and Settings\Mau\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F6E2FCAE-1198-A1BC-63E6-EFD2567AC69A} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [RepliGo Assistant] "C:\Archivos de programa\Cerience\RepliGo\RepliGoMon.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [netyg32.exe] C:\WINDOWS\system32\netyg32.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [sdkhz32.exe] C:\WINDOWS\system32\sdkhz32.exe
O4 - HKLM\..\Run: [d3ww32.exe] C:\WINDOWS\system32\d3ww32.exe
O4 - HKLM\..\Run: [mfcgt32.exe] C:\WINDOWS\mfcgt32.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [iHFc] C:\WINDOWS\oifmrqyh.exe
O4 - HKLM\..\Run: [sysmv32.exe] C:\WINDOWS\system32\sysmv32.exe
O4 - HKLM\..\Run: [addyj.exe] C:\WINDOWS\addyj.exe
O4 - HKLM\..\Run: [kszsqy] c:\windows\system32\gesktf.exe
O4 - HKLM\..\Run: [uxfdhn] c:\windows\system32\uuswdeb.exe
O4 - HKLM\..\Run: [ugnggbd] c:\windows\system32\fcedreo.exe
O4 - HKLM\..\RunOnce: [addzk.exe] C:\WINDOWS\addzk.exe
O4 - HKLM\..\RunOnce: [sysrz32.exe] C:\WINDOWS\system32\sysrz32.exe
O4 - HKLM\..\RunOnce: [javabl.exe] C:\WINDOWS\system32\javabl.exe
O4 - HKLM\..\RunOnce: [ieph.exe] C:\WINDOWS\ieph.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Archivos de programa\palmOne\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Alarm Manager.LNK = C:\Archivos de programa\palmOne\AlarmApp.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Sunrise - C:\Archivos de programa\Sunrise\sts\sts.html
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....467&clcid=0x409
O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai...all/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefend...bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/d...onale_ver11.CAB
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcaf...406/mcfscan.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

About:Buster:

AboutBuster 5.0 reference file 28
Scan started on [06/06/2005] at [12:28:34 p.m.]
------------------------------------------------
Removed Stream! C:\WINDOWS\abetd.dat:llrqvz
Removed Stream! C:\WINDOWS\cmsetacl.log:ukjktj
Removed Stream! C:\WINDOWS\cqlwq.log:nkcpvl
Removed Stream! C:\WINDOWS\DHCPUPG.LOG:ymnhsg
Removed Stream! C:\WINDOWS\explorer.scf:mseiq
Removed Stream! C:\WINDOWS\jjzkd.dat:xdedau
Removed Stream! C:\WINDOWS\KB835732.log:scvatd
Removed Stream! C:\WINDOWS\KB835732.log:xogcd
Removed Stream! C:\WINDOWS\KB867282.log:ldnnng
Removed Stream! C:\WINDOWS\KB885835.log:timghp
Removed Stream! C:\WINDOWS\KB888113.log:wkxzdc
Removed Stream! C:\WINDOWS\KB888113.log:yaoanj
Removed Stream! C:\WINDOWS\KB891781.log:ofwnll
Removed Stream! C:\WINDOWS\nihjj.txt:wtxcub
Removed Stream! C:\WINDOWS\nlozl.dat:zwsxx
Removed Stream! C:\WINDOWS\ntdtcsetup.log:suqygl
Removed Stream! C:\WINDOWS\n_cirzov.txt:reqzdr
Removed Stream! C:\WINDOWS\n_dlqlto.txt:vngnem
Removed Stream! C:\WINDOWS\omcsd.dat:hblbzs
Removed Stream! C:\WINDOWS\omcsd.dat:sryrl
Removed Stream! C:\WINDOWS\rbvxf.dat:rczbdo
Removed Stream! C:\WINDOWS\regopt.log:hsypbm
Removed Stream! C:\WINDOWS\regopt.log:zknxwf
Removed Stream! C:\WINDOWS\sumxi.txt:rlfwtg
Removed Stream! C:\WINDOWS\sumxi.txt:wmyxt
Removed Stream! C:\WINDOWS\UPGRADE.TXT:zyxpxm
Removed Stream! C:\WINDOWS\zohuk.dat:rqapzo
Removed Stream! C:\WINDOWS\_default.pif:aapigw
Removed Stream! C:\WINDOWS\_default.pif:aeyswk
Removed Stream! C:\WINDOWS\_default.pif:ageluj
Removed Stream! C:\WINDOWS\_default.pif:agqsma
Removed Stream! C:\WINDOWS\_default.pif:agrwrr
Removed Stream! C:\WINDOWS\_default.pif:ahswbv
Removed Stream! C:\WINDOWS\_default.pif:ajqsti
Removed Stream! C:\WINDOWS\_default.pif:ajvtph
Removed Stream! C:\WINDOWS\_default.pif:aljhy
------------------------------------------------
Removed File! : C:\Windows\abetd.dat
Removed File! : C:\Windows\abkuq.dat
Removed File! : C:\Windows\addfk.exe
Removed File! : C:\Windows\addgg32.exe
Removed File! : C:\Windows\ajgme.dat
Removed File! : C:\Windows\apidv32.exe
Removed File! : C:\Windows\apiqe.exe
Removed File! : C:\Windows\applw.exe
Removed File! : C:\Windows\appmr.exe
Removed File! : C:\Windows\appra.exe
Removed File! : C:\Windows\apptf32.exe
Removed File! : C:\Windows\aqssf.dat
Removed File! : C:\Windows\atlar32.exe
Removed File! : C:\Windows\atldi.exe
Removed File! : C:\Windows\atlrx.exe
Removed File! : C:\Windows\atlsd32.exe
Removed File! : C:\Windows\celhb.dat
Removed File! : C:\Windows\cjlgp.dat
Removed File! : C:\Windows\cmrva.dat
Removed File! : C:\Windows\crkan.dat
Removed File! : C:\Windows\crqs32.exe
Removed File! : C:\Windows\cryu32.exe
Removed File! : C:\Windows\d3fy.exe
Removed File! : C:\Windows\dhdxr.dat
Removed File! : C:\Windows\diggn.dat
Removed File! : C:\Windows\doyjv.dat
Removed File! : C:\Windows\eotgg.dat
Removed File! : C:\Windows\epjdk.dat
Removed File! : C:\Windows\etzzz.dll
Removed File! : C:\Windows\exkng.dat
Removed File! : C:\Windows\fgcat.dat
Removed File! : C:\Windows\fnvow.dat
Removed File! : C:\Windows\ieer.exe
Removed File! : C:\Windows\ielu.exe
Removed File! : C:\Windows\iexp32.exe
Removed File! : C:\Windows\itssk.dat
Removed File! : C:\Windows\javalc32.exe
Removed File! : C:\Windows\jdskk.dat
Removed File! : C:\Windows\jjzkd.dat
Removed File! : C:\Windows\jrujv.dat
Removed File! : C:\Windows\jtmzi.dat
Removed File! : C:\Windows\ledgg.dat
Removed File! : C:\Windows\llhyf.dat
Removed File! : C:\Windows\lvimu.dat
Removed File! : C:\Windows\mfcak.exe
Removed File! : C:\Windows\mfcbg32.exe
Removed File! : C:\Windows\mfcwv32.exe
Removed File! : C:\Windows\mlmqc.dat
Removed File! : C:\Windows\mnatm.dat
Removed File! : C:\Windows\msav32.exe
Removed File! : C:\Windows\msnt32.exe
Removed File! : C:\Windows\mtpkm.dat
Removed File! : C:\Windows\netni32.exe
Removed File! : C:\Windows\netyk32.exe
Removed File! : C:\Windows\ngmpo.dll
Removed File! : C:\Windows\nlozl.dat
Removed File! : C:\Windows\ntol.exe
Removed File! : C:\Windows\ntru32.exe
Removed File! : C:\Windows\ocuaz.dat
Removed File! : C:\Windows\oltvu.dat
Removed File! : C:\Windows\omcsd.dat
Removed File! : C:\Windows\ovgxj.dat
Removed File! : C:\Windows\oviyk.dat
Removed File! : C:\Windows\pwqur.dat
Removed File! : C:\Windows\pyxsl.dat
Removed File! : C:\Windows\qtlce.dat
Removed File! : C:\Windows\rbvxf.dat
Removed File! : C:\Windows\rnfla.dat
Removed File! : C:\Windows\rwcva.dat
Removed File! : C:\Windows\sdkvb32.exe
Removed File! : C:\Windows\sgaev.dat
Removed File! : C:\Windows\snlfd.dat
Removed File! : C:\Windows\snpcl.dat
Removed File! : C:\Windows\ssyhd.dat
Removed File! : C:\Windows\tdjuc.dat
Removed File! : C:\Windows\tjpgd.dat
Removed File! : C:\Windows\tkaxx.dat
Removed File! : C:\Windows\tleaf.dat
Removed File! : C:\Windows\tpzio.dat
Removed File! : C:\Windows\tvwva.dat
Removed File! : C:\Windows\uygjd.dat
Removed File! : C:\Windows\vgalv.dat
Removed File! : C:\Windows\wiyhi.dat
Removed File! : C:\Windows\wlmku.dat
Removed File! : C:\Windows\xsuml.dat
Removed File! : C:\Windows\zdmzo.dat
Removed File! : C:\Windows\zohuk.dat
Removed File! : C:\Windows\zyzts.dat
Removed File! : C:\Windows\System32\addba32.exe
Removed File! : C:\Windows\System32\adddb.exe
Removed File! : C:\Windows\System32\addft.exe
Removed File! : C:\Windows\System32\addlz32.exe
Removed File! : C:\Windows\System32\addqs.exe
Removed File! : C:\Windows\System32\addqz.exe
Removed File! : C:\Windows\System32\adduq32.exe
Removed File! : C:\Windows\System32\aemku.dat
Removed File! : C:\Windows\System32\afkfb.dat
Removed File! : C:\Windows\System32\akeni.dat
Removed File! : C:\Windows\System32\apicn32.exe
Removed File! : C:\Windows\System32\apith32.exe
Removed File! : C:\Windows\System32\appmn32.exe
Removed File! : C:\Windows\System32\appno32.exe
Removed File! : C:\Windows\System32\appyz32.exe
Removed File! : C:\Windows\System32\atlgx.exe
Removed File! : C:\Windows\System32\axrss.dat
Removed File! : C:\Windows\System32\bkspx.dat
Removed File! : C:\Windows\System32\chakz.dat
Removed File! : C:\Windows\System32\crij.exe
Removed File! : C:\Windows\System32\crns32.exe
Removed File! : C:\Windows\System32\d3fh.exe
Removed File! : C:\Windows\System32\d3hv32.exe
Removed File! : C:\Windows\System32\d3ox32.exe
Removed File! : C:\Windows\System32\dbgyb.dat
Removed File! : C:\Windows\System32\dhovv.dat
Removed File! : C:\Windows\System32\doljx.dat
Removed File! : C:\Windows\System32\dyrxx.dat
Removed File! : C:\Windows\System32\dzckr.dat
Removed File! : C:\Windows\System32\esgfa.dat
Removed File! : C:\Windows\System32\fgogn.dat
Removed File! : C:\Windows\System32\fslyb.dat
Removed File! : C:\Windows\System32\fxgcb.dll
Removed File! : C:\Windows\System32\gksgy.dat
Removed File! : C:\Windows\System32\gstzs.dat
Removed File! : C:\Windows\System32\gusoi.dat
Removed File! : C:\Windows\System32\halrd.dat
Removed File! : C:\Windows\System32\hbicy.dat
Removed File! : C:\Windows\System32\hjspw.dat
Removed File! : C:\Windows\System32\hnpvq.dat
Removed File! : C:\Windows\System32\hzghx.dat
Removed File! : C:\Windows\System32\iekm.exe
Removed File! : C:\Windows\System32\ifxwk.dat
Removed File! : C:\Windows\System32\ipzm.exe
Removed File! : C:\Windows\System32\itrfs.dat
Removed File! : C:\Windows\System32\iwdnt.dat
Removed File! : C:\Windows\System32\javajo.exe
Removed File! : C:\Windows\System32\jlmng.dat
Removed File! : C:\Windows\System32\jupdk.dat
Removed File! : C:\Windows\System32\jyful.dat
Removed File! : C:\Windows\System32\kzzeb.dat
Removed File! : C:\Windows\System32\lebze.dat
Removed File! : C:\Windows\System32\lixio.dat
Removed File! : C:\Windows\System32\lqaja.dat
Removed File! : C:\Windows\System32\mfcsp.exe
Removed File! : C:\Windows\System32\mfcvx.exe
Removed File! : C:\Windows\System32\mfufy.dat
Removed File! : C:\Windows\System32\msii32.exe
Removed File! : C:\Windows\System32\msxbk.dat
Removed File! : C:\Windows\System32\mzngi.dat
Removed File! : C:\Windows\System32\ndprw.dat
Removed File! : C:\Windows\System32\netiy.exe
Removed File! : C:\Windows\System32\njibe.dat
Removed File! : C:\Windows\System32\nkkrb.dat
Removed File! : C:\Windows\System32\ntfl32.exe
Removed File! : C:\Windows\System32\ntxr.exe
Removed File! : C:\Windows\System32\ntzv.exe
Removed File! : C:\Windows\System32\nuace.dat
Removed File! : C:\Windows\System32\nxdeb.dat
Removed File! : C:\Windows\System32\ojewg.dat
Removed File! : C:\Windows\System32\psocj.dat
Removed File! : C:\Windows\System32\pzqdo.dat
Removed File! : C:\Windows\System32\qerkj.dat
Removed File! : C:\Windows\System32\qowmj.dat
Removed File! : C:\Windows\System32\qtbni.dat
Removed File! : C:\Windows\System32\roxad.dat
Removed File! : C:\Windows\System32\sdkej32.exe
Removed File! : C:\Windows\System32\sdkzx32.exe
Removed File! : C:\Windows\System32\skrec.dat
Removed File! : C:\Windows\System32\smaxo.dat
Removed File! : C:\Windows\System32\sqpvo.dat
Removed File! : C:\Windows\System32\swomj.dat
Removed File! : C:\Windows\System32\syssl.exe
Removed File! : C:\Windows\System32\sysst32.exe
Removed File! : C:\Windows\System32\sysvc.exe
Removed File! : C:\Windows\System32\tpheg.dat
Removed File! : C:\Windows\System32\tqwld.dat
Removed File! : C:\Windows\System32\trdue.dat
Removed File! : C:\Windows\System32\tuvkg.dat
Removed File! : C:\Windows\System32\uylml.dat
Removed File! : C:\Windows\System32\vdajr.dat
Removed File! : C:\Windows\System32\vefry.dat
Removed File! : C:\Windows\System32\vngne.dat
Removed File! : C:\Windows\System32\vqkwu.dat
Removed File! : C:\Windows\System32\waxjc.dat
Removed File! : C:\Windows\System32\wqbin.dat
Removed File! : C:\Windows\System32\wwhax.dat
Removed File! : C:\Windows\System32\xgunn.dat
Removed File! : C:\Windows\System32\xpjho.dat
Removed File! : C:\Windows\System32\ylalt.dat
Removed File! : C:\Windows\System32\ypmbr.dat
Removed File! : C:\Windows\System32\znzdf.dat
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 12:30:01 p.m.


AboutBuster 5.0 reference file 28
Scan started on [06/06/2005] at [12:38:40 p.m.]
------------------------------------------------
Removed Stream! C:\WINDOWS\_default.pif:apbvop
Removed Stream! C:\WINDOWS\_default.pif:aqivjw
Removed Stream! C:\WINDOWS\_default.pif:aqwlda
Removed Stream! C:\WINDOWS\_default.pif:arvmis
Removed Stream! C:\WINDOWS\_default.pif:atyfpy
Removed Stream! C:\WINDOWS\_default.pif:authsv
Removed Stream! C:\WINDOWS\_default.pif:auvza
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 12:39:26 p.m.


And the last log:



(6/6/05 12:14:48 p.m.) SPSeHjFix started v1.1.2
(6/6/05 12:14:48 p.m.) OS: WinXP Service Pack 2 (5.1.2600)
(6/6/05 12:14:48 p.m.) Language: español
(6/6/05 12:14:48 p.m.) Win-Path: C:\WINDOWS
(6/6/05 12:14:48 p.m.) System-Path: C:\WINDOWS\system32
(6/6/05 12:14:48 p.m.) Temp-Path: C:\DOCUME~1\Mau\CONFIG~1\Temp\


(6/6/05 12:40:03 p.m.) SPSeHjFix started v1.1.2
(6/6/05 12:40:03 p.m.) OS: WinXP Service Pack 2 (5.1.2600)
(6/6/05 12:40:03 p.m.) Language: español
(6/6/05 12:40:03 p.m.) Win-Path: C:\WINDOWS
(6/6/05 12:40:03 p.m.) System-Path: C:\WINDOWS\system32
(6/6/05 12:40:03 p.m.) Temp-Path: C:\DOCUME~1\Mau\CONFIG~1\Temp\
(6/6/05 12:40:07 p.m.) Disinfection started
(6/6/05 12:40:07 p.m.) Bad-Dll(IEP): c:\windows\ngmpo.dll
(6/6/05 12:40:07 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:40:07 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:40:07 p.m.) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\ngmpo.dll/sp.html#37049
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\ngmpo.dll/sp.html#37049
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\windows\ngmpo.dll/sp.html#37049
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\ngmpo.dll/sp.html#37049
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\ngmpo.dll/sp.html#37049
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://c:\windows\ngmpo.dll/sp.html#37049
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\windows\ngmpo.dll/sp.html#37049
(6/6/05 12:40:07 p.m.) Stealth-String not found
(6/6/05 12:40:07 p.m.) No locked Files to delete. End without Reboot
(6/6/05 12:40:10 p.m.) Disinfection started
(6/6/05 12:40:10 p.m.) Bad-Dll(IEP): c:\windows\ngmpo.dll
(6/6/05 12:40:10 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:40:10 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:40:10 p.m.) Bad IE-pages: (none)
(6/6/05 12:40:10 p.m.) Stealth-String not found
(6/6/05 12:40:10 p.m.) No locked Files to delete. End without Reboot
(6/6/05 12:40:15 p.m.) Disinfection started
(6/6/05 12:40:15 p.m.) Bad-Dll(IEP): c:\windows\ngmpo.dll
(6/6/05 12:40:15 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:40:16 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:40:16 p.m.) Bad IE-pages: (none)
(6/6/05 12:40:16 p.m.) Stealth-String not found
(6/6/05 12:40:16 p.m.) No locked Files to delete. End without Reboot
(6/6/05 12:40:16 p.m.) Disinfection started
(6/6/05 12:40:16 p.m.) Bad-Dll(IEP): c:\windows\ngmpo.dll
(6/6/05 12:40:16 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:40:16 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:40:16 p.m.) Bad IE-pages: (none)
(6/6/05 12:40:16 p.m.) Stealth-String not found
(6/6/05 12:40:16 p.m.) No locked Files to delete. End without Reboot
(6/6/05 12:40:16 p.m.) Disinfection started
(6/6/05 12:40:16 p.m.) Bad-Dll(IEP): c:\windows\ngmpo.dll
(6/6/05 12:40:16 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:40:16 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:40:16 p.m.) Bad IE-pages: (none)
(6/6/05 12:40:16 p.m.) Stealth-String not found
(6/6/05 12:40:16 p.m.) No locked Files to delete. End without Reboot
(6/6/05 12:40:16 p.m.) Disinfection started
(6/6/05 12:40:16 p.m.) Bad-Dll(IEP): c:\windows\ngmpo.dll
(6/6/05 12:40:16 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:40:16 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:40:16 p.m.) Bad IE-pages: (none)
(6/6/05 12:40:16 p.m.) Stealth-String not found
(6/6/05 12:40:16 p.m.) No locked Files to delete. End without Reboot


(6/6/05 12:40:55 p.m.) SPSeHjFix started v1.1.2
(6/6/05 12:40:55 p.m.) OS: WinXP Service Pack 2 (5.1.2600)
(6/6/05 12:40:55 p.m.) Language: español
(6/6/05 12:40:55 p.m.) Win-Path: C:\WINDOWS
(6/6/05 12:40:55 p.m.) System-Path: C:\WINDOWS\system32
(6/6/05 12:40:55 p.m.) Temp-Path: C:\DOCUME~1\Mau\CONFIG~1\Temp\
(6/6/05 12:41:01 p.m.) Disinfection started
(6/6/05 12:41:01 p.m.) Bad-Dll(IEP): (not found)
(6/6/05 12:41:01 p.m.) Bad-Dll(IEP) in BHO: (not found)
(6/6/05 12:41:01 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:41:01 p.m.) UBF: 5 - UBB: 3 - UBR: 29
(6/6/05 12:41:01 p.m.) Bad IE-pages: (none)
(6/6/05 12:41:01 p.m.) Stealth-String not found
(6/6/05 12:41:01 p.m.) Not infected->END


Thank U!
  • 0

#6
Jacee

Jacee

    Malware Expert

  • Expert
  • 993 posts
  • MVP
Hi mactanzi,
Rawe has gone on vaction for the next couple of weeks. If you don't mind, I would like to help you finish cleaning up your computer.

Will you post a new HJT log for me so that we can see where you are with this infection?

Thanks,
Jacee :tazz:
  • 0

#7
mactanzi

mactanzi

    Member

  • Topic Starter
  • Member
  • PipPip
  • 14 posts
Thanks for coming for help. It feels like the WWW and your on the team. Here´s my log:

Logfile of HijackThis v1.99.1
Scan saved at 01:20:20 p.m., on 10/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Cerience\RepliGo\RepliGoMon.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\msxct.exe
C:\WINDOWS\system32\winhu32.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
c:\windows\system32\nrmrdlo.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Archivos comunes\DataViz\DvzIncMsgr.exe
C:\Archivos de programa\palmOne\HOTSYNC.EXE
C:\ARCHIV~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\OPScan.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\palmOne\Palm.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\crow.exe
C:\Documents and Settings\Mau\Escritorio\HijackThis.exe
  • 0

#8
Jacee

Jacee

    Malware Expert

  • Expert
  • 993 posts
  • MVP
Rescan with HJT and post the entire log please? :tazz:
  • 0

#9
mactanzi

mactanzi

    Member

  • Topic Starter
  • Member
  • PipPip
  • 14 posts
Sorry if it wasn't complete. Here it goes:

Logfile of HijackThis v1.99.1
Scan saved at 10:22:49 a.m., on 13/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\crow.exe
C:\WINDOWS\system32\ipxv32.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Messenger\msmsgs.exe
c:\windows\system32\rkiauj.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\palmOne\HOTSYNC.EXE
C:\Documents and Settings\Mau\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {150E4300-73A1-8F6B-0647-0DFBD1CD1D3E} - C:\WINDOWS\crtz.dll
O2 - BHO: Class - {3144B1A0-A00B-3EC8-7B52-01231520AC12} - C:\WINDOWS\system32\msel32.dll
O2 - BHO: Class - {3E8A0905-7130-A2D6-8E83-D762282F992E} - C:\WINDOWS\sdkqn.dll
O2 - BHO: Class - {4B655899-8D01-4317-F6FB-450597CE8789} - C:\WINDOWS\system32\sdkdx.dll
O2 - BHO: (no name) - {AA5122C2-9CC4-CAB5-D846-92AD1A79589B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FCBE418E-9EE7-8F0F-EB85-21E00DD60687} - (no file)
O2 - BHO: Class - {FE0AAB93-86EB-567D-1206-035BABA516D5} - C:\WINDOWS\system32\apizy.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [apiia.exe] C:\WINDOWS\system32\apiia.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [javaqs32.exe] C:\WINDOWS\system32\javaqs32.exe
O4 - HKLM\..\Run: [ipxv32.exe] C:\WINDOWS\system32\ipxv32.exe
O4 - HKLM\..\Run: [yumzksn] c:\windows\system32\rkiauj.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [RepliGo Assistant] "C:\Archivos de programa\Cerience\RepliGo\RepliGoMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [netyg32.exe] C:\WINDOWS\system32\netyg32.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [sdkhz32.exe] C:\WINDOWS\system32\sdkhz32.exe
O4 - HKLM\..\Run: [d3ww32.exe] C:\WINDOWS\system32\d3ww32.exe
O4 - HKLM\..\Run: [mfcgt32.exe] C:\WINDOWS\mfcgt32.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [iHFc] C:\WINDOWS\oifmrqyh.exe
O4 - HKLM\..\Run: [sysmv32.exe] C:\WINDOWS\system32\sysmv32.exe
O4 - HKLM\..\Run: [addyj.exe] C:\WINDOWS\addyj.exe
O4 - HKLM\..\Run: [addti.exe] C:\WINDOWS\addti.exe
O4 - HKLM\..\Run: [winhu32.exe] C:\WINDOWS\system32\winhu32.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [apiod.exe] C:\WINDOWS\apiod.exe
O4 - HKLM\..\Run: [wppupy] c:\windows\system32\quplbo.exe
O4 - HKLM\..\Run: [nofuray] c:\windows\system32\jvzdrkb.exe
O4 - HKLM\..\Run: [kszsqy] c:\windows\system32\gesktf.exe
O4 - HKLM\..\Run: [uxfdhn] c:\windows\system32\uuswdeb.exe
O4 - HKLM\..\Run: [ugnggbd] c:\windows\system32\fcedreo.exe
O4 - HKLM\..\RunOnce: [addzk.exe] C:\WINDOWS\addzk.exe
O4 - HKLM\..\RunOnce: [crow.exe] C:\WINDOWS\system32\crow.exe
O4 - HKLM\..\RunOnce: [ieph.exe] C:\WINDOWS\ieph.exe
O4 - HKLM\..\RunOnce: [javabl.exe] C:\WINDOWS\system32\javabl.exe
O4 - HKLM\..\RunOnce: [sysrz32.exe] C:\WINDOWS\system32\sysrz32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Archivos de programa\palmOne\HOTSYNC.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Sunrise - C:\Archivos de programa\Sunrise\sts\sts.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....467&clcid=0x409
O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai...all/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefend...bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcaf...406/mcfscan.cab
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addzk.exe" /s (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
  • 0

#10
Jacee

Jacee

    Malware Expert

  • Expert
  • 993 posts
  • MVP
Hi mactanzi, the first thing you need to do is disable both TeaTimer and SpywareDoctor. They may try to interfere with this fix. In order to disable TeaTimer, it requires you to reboot.....we DON'T want to reboot at all until this fix is done. For now, go to Add/Remove Programs and uninstall it, do not reboot if prompted to. You can re-install it later.
=======================================================


Step#1:

Please save these instructions to WordPad so that you have them accessible while following the steps. You also may want to print out these directions as the Internet will not be available. You must disconnect from the internet totally, as staying connected while fixing will prevent the fix from working. Also please keep Internet Explorer closed throughout as opening it will reinstall the infection. Read through all the instructions so that you can ask any questions now, before you disconnect from the Internet.

Please continue with the next step and if you run into any problems with the current one, just keep going through the list step by step. Just be sure to let us know what the problem was when you finally reply.

Step#2:

Please download and open the following zip file. Double-click on the file inside the zip and when it asks you if you would like to merge the file into your registry, please answer yes. This will make sure all files are visible on your computer.
http://www.davehigha...ds/xphidden.zip

Step#3:


1. Please download About:Buster from here:
http://www.malwareby...boutBuster5.zip

2. Once it is downloaded extract it to c:\aboutbuster. Do NOT use it yet

Step#4:

Another program to download is Registrar Lite for use later: Please download http://www.resplende...oad/reglite.exe
and install it to C:\Program Files\RegLite\ . This is a registry editor that is very easy to use.

Step#5:

Please disconnect from the Internet and unplug your modem for the duration of this fix

1. Reboot your computer into Safe Mode by tapping F8 while booting up and continue for the rest of the fix in SAFE MODE

2. Click on start > control panel > administrative programs > services. Look for a service called Network Security Service Double click on that service and click stop and then set the startup to disabled

Step#6:

Press control-alt-delete to get into the task manager and end the following processes if they exist:

C:\WINDOWS\system32\crow.exe
C:\WINDOWS\system32\ipxv32.exe
c:\windows\system32\rkiauj.exe
C:\WINDOWS\system32\apiia.exe
C:\WINDOWS\system32\javaqs32.exe
C:\WINDOWS\system32\ipxv32.exe
c:\windows\system32\rkiauj.exe
C:\WINDOWS\system32\netyg32.exe
C:\WINDOWS\system32\sdkhz32.exe
C:\WINDOWS\system32\d3ww32.exe
C:\WINDOWS\system32\sysmv32.exe
C:\WINDOWS\system32\winhu32.exe
c:\windows\system32\quplbo.exe
C:\WINDOWS\addzk.exe
c:\windows\system32\jvzdrkb.exe
c:\windows\system32\gesktf.exe
c:\windows\system32\uuswdeb.exe
c:\windows\system32\fcedreo.exe
C:\WINDOWS\system32\sysrz32.exe


Step#7:

I now need you to delete the following files:

C:\WINDOWS\system32\crow.exe
C:\WINDOWS\system32\ipxv32.exe
c:\windows\system32\rkiauj.exe
C:\WINDOWS\addzk.exe
C:\WINDOWS\system32\apiia.exe
C:\WINDOWS\system32\javaqs32.exe
C:\WINDOWS\system32\ipxv32.exe
c:\windows\system32\rkiauj.exe
C:\WINDOWS\system32\netyg32.exe
C:\WINDOWS\system32\sdkhz32.exe
C:\WINDOWS\system32\d3ww32.exe
C:\WINDOWS\system32\sysmv32.exe
C:\WINDOWS\system32\winhu32.exe
c:\windows\system32\quplbo.exe
C:\WINDOWS\addzk.exe
c:\windows\system32\jvzdrkb.exe
c:\windows\system32\gesktf.exe
c:\windows\system32\uuswdeb.exe
c:\windows\system32\fcedreo.exe
C:\WINDOWS\system32\sysrz32.exe

C:\WINDOWS\ngmpo.dll
C:\WINDOWS\crtz.dll
C:\WINDOWS\system32\msel32.dll
C:\WINDOWS\sdkqn.dll
C:\WINDOWS\system32\sdkdx.dll
C:\WINDOWS\system32\apizy.dll

msxct.exe
C:\WINDOWS\mfcgt32.exe
C:\WINDOWS\seeve.exe
C:\WINDOWS\oifmrqyh.exe
C:\WINDOWS\addyj.exe
C:\WINDOWS\addti.exe
C:\WINDOWS\apiod.exe
C:\WINDOWS\addzk.exe
C:\WINDOWS\ieph.exe


If you get an error when deleting a file. Right click on the file and check to see if the read only attribute is checked. if it is uncheck it and try again.

Step#8:

Then close all programs and windows and run hijackthis. Put a checkmark next to each of these entries and click 'fix checked' button when ready (some may be gone after uninstalling some programs):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ngmpo.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ngmpo.dll/sp.html#37049

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {150E4300-73A1-8F6B-0647-0DFBD1CD1D3E} - C:\WINDOWS\crtz.dll
O2 - BHO: Class - {3144B1A0-A00B-3EC8-7B52-01231520AC12} - C:\WINDOWS\system32\msel32.dll
O2 - BHO: Class - {3E8A0905-7130-A2D6-8E83-D762282F992E} - C:\WINDOWS\sdkqn.dll
O2 - BHO: Class - {4B655899-8D01-4317-F6FB-450597CE8789} - C:\WINDOWS\system32\sdkdx.dll
O2 - BHO: (no name) - {AA5122C2-9CC4-CAB5-D846-92AD1A79589B} - (no file)
O2 - BHO: (no name) - {FCBE418E-9EE7-8F0F-EB85-21E00DD60687} - (no file)
O2 - BHO: Class - {FE0AAB93-86EB-567D-1206-035BABA516D5} - C:\WINDOWS\system32\apizy.dll

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O4 - HKLM\..\Run: [apiia.exe] C:\WINDOWS\system32\apiia.exe
O4 - HKLM\..\Run: [javaqs32.exe] C:\WINDOWS\system32\javaqs32.exe
O4 - HKLM\..\Run: [ipxv32.exe] C:\WINDOWS\system32\ipxv32.exe
O4 - HKLM\..\Run: [yumzksn] c:\windows\system32\rkiauj.exe
O4 - HKLM\..\Run: [netyg32.exe] C:\WINDOWS\system32\netyg32.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [sdkhz32.exe] C:\WINDOWS\system32\sdkhz32.exe
O4 - HKLM\..\Run: [d3ww32.exe] C:\WINDOWS\system32\d3ww32.exe
O4 - HKLM\..\Run: [mfcgt32.exe] C:\WINDOWS\mfcgt32.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [iHFc] C:\WINDOWS\oifmrqyh.exe
O4 - HKLM\..\Run: [sysmv32.exe] C:\WINDOWS\system32\sysmv32.exe
O4 - HKLM\..\Run: [addyj.exe] C:\WINDOWS\addyj.exe
O4 - HKLM\..\Run: [addti.exe] C:\WINDOWS\addti.exe
O4 - HKLM\..\Run: [winhu32.exe] C:\WINDOWS\system32\winhu32.exe
O4 - HKLM\..\Run: [apiod.exe] C:\WINDOWS\apiod.exe
O4 - HKLM\..\Run: [wppupy] c:\windows\system32\quplbo.exe
O4 - HKLM\..\Run: [nofuray] c:\windows\system32\jvzdrkb.exe
O4 - HKLM\..\Run: [kszsqy] c:\windows\system32\gesktf.exe
O4 - HKLM\..\Run: [uxfdhn] c:\windows\system32\uuswdeb.exe
O4 - HKLM\..\Run: [ugnggbd] c:\windows\system32\fcedreo.exe
O4 - HKLM\..\RunOnce: [addzk.exe] C:\WINDOWS\addzk.exe
O4 - HKLM\..\RunOnce: [crow.exe] C:\WINDOWS\system32\crow.exe
O4 - HKLM\..\RunOnce: [ieph.exe] C:\WINDOWS\ieph.exe
O4 - HKLM\..\RunOnce: [javabl.exe] C:\WINDOWS\system32\javabl.exe
O4 - HKLM\..\RunOnce: [sysrz32.exe] C:\WINDOWS\system32\sysrz32.exe

O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} -
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addzk.exe" /s (file missing)

Step#9:

In the next step we are going to remove a service that gets installed by this malware.

1. Open Registrar Lite and run it.

2. Copy and paste the bold text below into the address bar of Registrar Lite:(this is making a Registry backup for safety in case of error)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Go to File> Export and and save as (in the C:\Program Files\Registrar Lite (Reglite) folder):

1.) Winkey.reg (Save as type: regedit4 .reg type)
2.) Winkey.hiv (Save as type: Scroll to select-regetd32/WinAPI *hiv *dat files)


3. Copy and paste the bold text below into the address bar of Reglite:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\11Fßä#·ºÄÖ`I
3. Click Go

4. If 11Fßä#·ºÄÖ`I exists it will be highlighted in the left pane, right click on it and choose
delete[/B] from the menu.

5. Copy and Paste the bold text below into the address bar of Registrar Lite:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_11Fßä#·ºÄÖ`I
6. Click Go

7. If LEGACY_ 11Fßä#·ºÄÖ`I
exists then right click on it and choose delete from the menu.

8. If you have trouble deleting a key. Then click once on the key name to highlight it and on the top menu choose Security, then Edit Permissions. Then make sure you are an Administrator and give yourself Full Control of that key. Then click on everyone and put a checkmark in "full control". Then press apply and ok and attempt to delete the key again. Once you have deleted the key please return to the key and reinstate the original security permissions.

9. If you have had to change the permissions on the keys in Registrar Lite then they will have to be returned to the way they were . To do this please navigate to C:\ProgramFiles\Registrar Lite (Reglite) and double-click on Winkey.reg. It will ask if you want to merge this file with the registry, say Yes. Then double-click on Winkey.hiv and merge this file with the Registry. You have now returned the permissions to the way they were.


Step#10:

This is the step where we will use About:Buster that you had downloaded previously.

Navigate to the c:\aboutbuster directory and double-click on aboutbuster.exe When the tool is open press the OK button, then the Start button, then the OK button, and then finally the Yes button. It will start scanning your computer for files. If it asks if you would like to do a second pass, allow it to do so. Post the log file in your next reply


When it has completed move on to step 11.


Step#11:

Copy the contents of the Quote Box below to Notepad.
Name the file as fix.reg
Change the Save as Type to *All Files*
and Save it on the desktop


REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]


Then double-click on the fix.reg file, and when it prompts to merge say yes, and this will clear some registry entries left behind by the process.

Step#12:

1.Reboot your computer back to normal mode and Scan again with HijackThis. We still have a few steps to complete but a log file at this time would be helpful.

2. [b]Post both your log from About Buster and your HijackThis log here in this thread
with any questions or problems that you have run into. There are still some steps that are necessary to clear out all of the malware. There will be necessary files that it has deleted that will need to be replaced.

Good Luck!

Edited by Jacee, 13 June 2005 - 03:49 PM.

  • 0

Advertisements


#11
mactanzi

mactanzi

    Member

  • Topic Starter
  • Member
  • PipPip
  • 14 posts
Ok, here it goes. Muchas gracias!
Mauricio

Logfile of HijackThis v1.99.1
Scan saved at 01:28:07 p.m., on 20/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Cerience\RepliGo\RepliGoMon.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Messenger\msmsgs.exe
c:\windows\system32\vnsqrp.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\palmOne\HOTSYNC.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Mau\Escritorio\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {81C6CC99-2B27-30E5-D74A-8CEDDF6C5A0C} - C:\WINDOWS\system32\crlc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {FEE73D5B-75B8-1330-363E-B5C6A764481D} - C:\WINDOWS\system32\apibv32.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [RepliGo Assistant] "C:\Archivos de programa\Cerience\RepliGo\RepliGoMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [cjrvpcn] c:\windows\system32\vnsqrp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Archivos de programa\palmOne\HOTSYNC.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Sunrise - C:\Archivos de programa\Sunrise\sts\sts.html
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....467&clcid=0x409
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai...all/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefend...bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcaf...406/mcfscan.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe


And About:Buster

AboutBuster 5.0 reference file 28
Scan started on [06/06/2005] at [12:28:34 p.m.]
------------------------------------------------
Removed Stream! C:\WINDOWS\abetd.dat:llrqvz
Removed Stream! C:\WINDOWS\cmsetacl.log:ukjktj
Removed Stream! C:\WINDOWS\cqlwq.log:nkcpvl
Removed Stream! C:\WINDOWS\DHCPUPG.LOG:ymnhsg
Removed Stream! C:\WINDOWS\explorer.scf:mseiq
Removed Stream! C:\WINDOWS\jjzkd.dat:xdedau
Removed Stream! C:\WINDOWS\KB835732.log:scvatd
Removed Stream! C:\WINDOWS\KB835732.log:xogcd
Removed Stream! C:\WINDOWS\KB867282.log:ldnnng
Removed Stream! C:\WINDOWS\KB885835.log:timghp
Removed Stream! C:\WINDOWS\KB888113.log:wkxzdc
Removed Stream! C:\WINDOWS\KB888113.log:yaoanj
Removed Stream! C:\WINDOWS\KB891781.log:ofwnll
Removed Stream! C:\WINDOWS\nihjj.txt:wtxcub
Removed Stream! C:\WINDOWS\nlozl.dat:zwsxx
Removed Stream! C:\WINDOWS\ntdtcsetup.log:suqygl
Removed Stream! C:\WINDOWS\n_cirzov.txt:reqzdr
Removed Stream! C:\WINDOWS\n_dlqlto.txt:vngnem
Removed Stream! C:\WINDOWS\omcsd.dat:hblbzs
Removed Stream! C:\WINDOWS\omcsd.dat:sryrl
Removed Stream! C:\WINDOWS\rbvxf.dat:rczbdo
Removed Stream! C:\WINDOWS\regopt.log:hsypbm
Removed Stream! C:\WINDOWS\regopt.log:zknxwf
Removed Stream! C:\WINDOWS\sumxi.txt:rlfwtg
Removed Stream! C:\WINDOWS\sumxi.txt:wmyxt
Removed Stream! C:\WINDOWS\UPGRADE.TXT:zyxpxm
Removed Stream! C:\WINDOWS\zohuk.dat:rqapzo
Removed Stream! C:\WINDOWS\_default.pif:aapigw
Removed Stream! C:\WINDOWS\_default.pif:aeyswk
Removed Stream! C:\WINDOWS\_default.pif:ageluj
Removed Stream! C:\WINDOWS\_default.pif:agqsma
Removed Stream! C:\WINDOWS\_default.pif:agrwrr
Removed Stream! C:\WINDOWS\_default.pif:ahswbv
Removed Stream! C:\WINDOWS\_default.pif:ajqsti
Removed Stream! C:\WINDOWS\_default.pif:ajvtph
Removed Stream! C:\WINDOWS\_default.pif:aljhy
------------------------------------------------
Removed File! : C:\Windows\abetd.dat
Removed File! : C:\Windows\abkuq.dat
Removed File! : C:\Windows\addfk.exe
Removed File! : C:\Windows\addgg32.exe
Removed File! : C:\Windows\ajgme.dat
Removed File! : C:\Windows\apidv32.exe
Removed File! : C:\Windows\apiqe.exe
Removed File! : C:\Windows\applw.exe
Removed File! : C:\Windows\appmr.exe
Removed File! : C:\Windows\appra.exe
Removed File! : C:\Windows\apptf32.exe
Removed File! : C:\Windows\aqssf.dat
Removed File! : C:\Windows\atlar32.exe
Removed File! : C:\Windows\atldi.exe
Removed File! : C:\Windows\atlrx.exe
Removed File! : C:\Windows\atlsd32.exe
Removed File! : C:\Windows\celhb.dat
Removed File! : C:\Windows\cjlgp.dat
Removed File! : C:\Windows\cmrva.dat
Removed File! : C:\Windows\crkan.dat
Removed File! : C:\Windows\crqs32.exe
Removed File! : C:\Windows\cryu32.exe
Removed File! : C:\Windows\d3fy.exe
Removed File! : C:\Windows\dhdxr.dat
Removed File! : C:\Windows\diggn.dat
Removed File! : C:\Windows\doyjv.dat
Removed File! : C:\Windows\eotgg.dat
Removed File! : C:\Windows\epjdk.dat
Removed File! : C:\Windows\etzzz.dll
Removed File! : C:\Windows\exkng.dat
Removed File! : C:\Windows\fgcat.dat
Removed File! : C:\Windows\fnvow.dat
Removed File! : C:\Windows\ieer.exe
Removed File! : C:\Windows\ielu.exe
Removed File! : C:\Windows\iexp32.exe
Removed File! : C:\Windows\itssk.dat
Removed File! : C:\Windows\javalc32.exe
Removed File! : C:\Windows\jdskk.dat
Removed File! : C:\Windows\jjzkd.dat
Removed File! : C:\Windows\jrujv.dat
Removed File! : C:\Windows\jtmzi.dat
Removed File! : C:\Windows\ledgg.dat
Removed File! : C:\Windows\llhyf.dat
Removed File! : C:\Windows\lvimu.dat
Removed File! : C:\Windows\mfcak.exe
Removed File! : C:\Windows\mfcbg32.exe
Removed File! : C:\Windows\mfcwv32.exe
Removed File! : C:\Windows\mlmqc.dat
Removed File! : C:\Windows\mnatm.dat
Removed File! : C:\Windows\msav32.exe
Removed File! : C:\Windows\msnt32.exe
Removed File! : C:\Windows\mtpkm.dat
Removed File! : C:\Windows\netni32.exe
Removed File! : C:\Windows\netyk32.exe
Removed File! : C:\Windows\ngmpo.dll
Removed File! : C:\Windows\nlozl.dat
Removed File! : C:\Windows\ntol.exe
Removed File! : C:\Windows\ntru32.exe
Removed File! : C:\Windows\ocuaz.dat
Removed File! : C:\Windows\oltvu.dat
Removed File! : C:\Windows\omcsd.dat
Removed File! : C:\Windows\ovgxj.dat
Removed File! : C:\Windows\oviyk.dat
Removed File! : C:\Windows\pwqur.dat
Removed File! : C:\Windows\pyxsl.dat
Removed File! : C:\Windows\qtlce.dat
Removed File! : C:\Windows\rbvxf.dat
Removed File! : C:\Windows\rnfla.dat
Removed File! : C:\Windows\rwcva.dat
Removed File! : C:\Windows\sdkvb32.exe
Removed File! : C:\Windows\sgaev.dat
Removed File! : C:\Windows\snlfd.dat
Removed File! : C:\Windows\snpcl.dat
Removed File! : C:\Windows\ssyhd.dat
Removed File! : C:\Windows\tdjuc.dat
Removed File! : C:\Windows\tjpgd.dat
Removed File! : C:\Windows\tkaxx.dat
Removed File! : C:\Windows\tleaf.dat
Removed File! : C:\Windows\tpzio.dat
Removed File! : C:\Windows\tvwva.dat
Removed File! : C:\Windows\uygjd.dat
Removed File! : C:\Windows\vgalv.dat
Removed File! : C:\Windows\wiyhi.dat
Removed File! : C:\Windows\wlmku.dat
Removed File! : C:\Windows\xsuml.dat
Removed File! : C:\Windows\zdmzo.dat
Removed File! : C:\Windows\zohuk.dat
Removed File! : C:\Windows\zyzts.dat
Removed File! : C:\Windows\System32\addba32.exe
Removed File! : C:\Windows\System32\adddb.exe
Removed File! : C:\Windows\System32\addft.exe
Removed File! : C:\Windows\System32\addlz32.exe
Removed File! : C:\Windows\System32\addqs.exe
Removed File! : C:\Windows\System32\addqz.exe
Removed File! : C:\Windows\System32\adduq32.exe
Removed File! : C:\Windows\System32\aemku.dat
Removed File! : C:\Windows\System32\afkfb.dat
Removed File! : C:\Windows\System32\akeni.dat
Removed File! : C:\Windows\System32\apicn32.exe
Removed File! : C:\Windows\System32\apith32.exe
Removed File! : C:\Windows\System32\appmn32.exe
Removed File! : C:\Windows\System32\appno32.exe
Removed File! : C:\Windows\System32\appyz32.exe
Removed File! : C:\Windows\System32\atlgx.exe
Removed File! : C:\Windows\System32\axrss.dat
Removed File! : C:\Windows\System32\bkspx.dat
Removed File! : C:\Windows\System32\chakz.dat
Removed File! : C:\Windows\System32\crij.exe
Removed File! : C:\Windows\System32\crns32.exe
Removed File! : C:\Windows\System32\d3fh.exe
Removed File! : C:\Windows\System32\d3hv32.exe
Removed File! : C:\Windows\System32\d3ox32.exe
Removed File! : C:\Windows\System32\dbgyb.dat
Removed File! : C:\Windows\System32\dhovv.dat
Removed File! : C:\Windows\System32\doljx.dat
Removed File! : C:\Windows\System32\dyrxx.dat
Removed File! : C:\Windows\System32\dzckr.dat
Removed File! : C:\Windows\System32\esgfa.dat
Removed File! : C:\Windows\System32\fgogn.dat
Removed File! : C:\Windows\System32\fslyb.dat
Removed File! : C:\Windows\System32\fxgcb.dll
Removed File! : C:\Windows\System32\gksgy.dat
Removed File! : C:\Windows\System32\gstzs.dat
Removed File! : C:\Windows\System32\gusoi.dat
Removed File! : C:\Windows\System32\halrd.dat
Removed File! : C:\Windows\System32\hbicy.dat
Removed File! : C:\Windows\System32\hjspw.dat
Removed File! : C:\Windows\System32\hnpvq.dat
Removed File! : C:\Windows\System32\hzghx.dat
Removed File! : C:\Windows\System32\iekm.exe
Removed File! : C:\Windows\System32\ifxwk.dat
Removed File! : C:\Windows\System32\ipzm.exe
Removed File! : C:\Windows\System32\itrfs.dat
Removed File! : C:\Windows\System32\iwdnt.dat
Removed File! : C:\Windows\System32\javajo.exe
Removed File! : C:\Windows\System32\jlmng.dat
Removed File! : C:\Windows\System32\jupdk.dat
Removed File! : C:\Windows\System32\jyful.dat
Removed File! : C:\Windows\System32\kzzeb.dat
Removed File! : C:\Windows\System32\lebze.dat
Removed File! : C:\Windows\System32\lixio.dat
Removed File! : C:\Windows\System32\lqaja.dat
Removed File! : C:\Windows\System32\mfcsp.exe
Removed File! : C:\Windows\System32\mfcvx.exe
Removed File! : C:\Windows\System32\mfufy.dat
Removed File! : C:\Windows\System32\msii32.exe
Removed File! : C:\Windows\System32\msxbk.dat
Removed File! : C:\Windows\System32\mzngi.dat
Removed File! : C:\Windows\System32\ndprw.dat
Removed File! : C:\Windows\System32\netiy.exe
Removed File! : C:\Windows\System32\njibe.dat
Removed File! : C:\Windows\System32\nkkrb.dat
Removed File! : C:\Windows\System32\ntfl32.exe
Removed File! : C:\Windows\System32\ntxr.exe
Removed File! : C:\Windows\System32\ntzv.exe
Removed File! : C:\Windows\System32\nuace.dat
Removed File! : C:\Windows\System32\nxdeb.dat
Removed File! : C:\Windows\System32\ojewg.dat
Removed File! : C:\Windows\System32\psocj.dat
Removed File! : C:\Windows\System32\pzqdo.dat
Removed File! : C:\Windows\System32\qerkj.dat
Removed File! : C:\Windows\System32\qowmj.dat
Removed File! : C:\Windows\System32\qtbni.dat
Removed File! : C:\Windows\System32\roxad.dat
Removed File! : C:\Windows\System32\sdkej32.exe
Removed File! : C:\Windows\System32\sdkzx32.exe
Removed File! : C:\Windows\System32\skrec.dat
Removed File! : C:\Windows\System32\smaxo.dat
Removed File! : C:\Windows\System32\sqpvo.dat
Removed File! : C:\Windows\System32\swomj.dat
Removed File! : C:\Windows\System32\syssl.exe
Removed File! : C:\Windows\System32\sysst32.exe
Removed File! : C:\Windows\System32\sysvc.exe
Removed File! : C:\Windows\System32\tpheg.dat
Removed File! : C:\Windows\System32\tqwld.dat
Removed File! : C:\Windows\System32\trdue.dat
Removed File! : C:\Windows\System32\tuvkg.dat
Removed File! : C:\Windows\System32\uylml.dat
Removed File! : C:\Windows\System32\vdajr.dat
Removed File! : C:\Windows\System32\vefry.dat
Removed File! : C:\Windows\System32\vngne.dat
Removed File! : C:\Windows\System32\vqkwu.dat
Removed File! : C:\Windows\System32\waxjc.dat
Removed File! : C:\Windows\System32\wqbin.dat
Removed File! : C:\Windows\System32\wwhax.dat
Removed File! : C:\Windows\System32\xgunn.dat
Removed File! : C:\Windows\System32\xpjho.dat
Removed File! : C:\Windows\System32\ylalt.dat
Removed File! : C:\Windows\System32\ypmbr.dat
Removed File! : C:\Windows\System32\znzdf.dat
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 12:30:01 p.m.


AboutBuster 5.0 reference file 28
Scan started on [06/06/2005] at [12:38:40 p.m.]
------------------------------------------------
Removed Stream! C:\WINDOWS\_default.pif:apbvop
Removed Stream! C:\WINDOWS\_default.pif:aqivjw
Removed Stream! C:\WINDOWS\_default.pif:aqwlda
Removed Stream! C:\WINDOWS\_default.pif:arvmis
Removed Stream! C:\WINDOWS\_default.pif:atyfpy
Removed Stream! C:\WINDOWS\_default.pif:authsv
Removed Stream! C:\WINDOWS\_default.pif:auvza
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 12:39:26 p.m.


AboutBuster 5.0 reference file 28
Scan started on [09/06/2005] at [10:39:45 a.m.]
------------------------------------------------
Removed Stream! C:\WINDOWS\n_rhedkj.dat:pzxxj
------------------------------------------------
Removed File! : C:\Windows\fctpc.dat
Removed File! : C:\Windows\rkhhi.dat
Removed File! : C:\Windows\System32\rwcqz.dat
Removed File! : C:\Windows\System32\ttyjc.dat
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 10:41:48 a.m.


AboutBuster 5.0 reference file 30
Scan started on [20/06/2005] at [01:10:04 p.m.]
------------------------------------------------
Removed Stream! C:\WINDOWS\agfby.txt:uepssp
Removed Stream! C:\WINDOWS\akazs.dat:nfafua
Removed Stream! C:\WINDOWS\AvxOnline.log:rsbbdn
Removed Stream! C:\WINDOWS\cftka.log:tprheu
Removed Stream! C:\WINDOWS\comsetup.log:eqcsbh
Removed Stream! C:\WINDOWS\crwd32.old:wrnxvr
Removed Stream! C:\WINDOWS\desktop.ini:wvzuyj
Removed Stream! C:\WINDOWS\EPSONC63.ini:griuka
Removed Stream! C:\WINDOWS\EPSTPLOG.TXT:fzuiew
Removed Stream! C:\WINDOWS\EventSystem.log:qssamc
Removed Stream! C:\WINDOWS\explorer.scf:pafvyg
Removed Stream! C:\WINDOWS\FaxSetup.log:jtlfgn
Removed Stream! C:\WINDOWS\FaxSetup.log:zwjqdv
Removed Stream! C:\WINDOWS\install.log:iauugw
Removed Stream! C:\WINDOWS\jvbbh.log:tcyndj
Removed Stream! C:\WINDOWS\KB835732.log:mdqsxt
Removed Stream! C:\WINDOWS\KB893086.log:xllyaw
Removed Stream! C:\WINDOWS\Lazo azul 16.bmp:zlajuw
Removed Stream! C:\WINDOWS\mfflq.txt:casjvm
Removed Stream! C:\WINDOWS\n_cirzov.txt:dhhnbn
Removed Stream! C:\WINDOWS\n_dlqlto.txt:whatdx
Removed Stream! C:\WINDOWS\n_hqtybk.log:hcbnuj
Removed Stream! C:\WINDOWS\n_omohsw.txt:btvxjz
Removed Stream! C:\WINDOWS\n_qwbdpr.log:ztuhnu
Removed Stream! C:\WINDOWS\n_ukvnqn.txt:pdrkz
Removed Stream! C:\WINDOWS\ODBCINST.INI:szjaql
Removed Stream! C:\WINDOWS\qciar.txt:obfygi
Removed Stream! C:\WINDOWS\qlbie.txt:gcxdat
Removed Stream! C:\WINDOWS\Rododendro.bmp:uzghai
Removed Stream! C:\WINDOWS\Santa Fe.bmp:huqhwk
Removed Stream! C:\WINDOWS\SchedLgU.Txt:zbmawo
Removed Stream! C:\WINDOWS\sessmgr.setup.log:epzqim
Removed Stream! C:\WINDOWS\setup.log:xbcfrf
Removed Stream! C:\WINDOWS\setupapi.log.1.old:qcnktp
Removed Stream! C:\WINDOWS\vbaddin.ini:ipvojw
Removed Stream! C:\WINDOWS\win.ini:sqghfq
Removed Stream! C:\WINDOWS\WindowsUpdate.log:lrqmht
Removed Stream! C:\WINDOWS\_default.pif:ablqnn
Removed Stream! C:\WINDOWS\_default.pif:adumxh
Removed Stream! C:\WINDOWS\_default.pif:ahmkyk
Removed Stream! C:\WINDOWS\_default.pif:ajkjom
Removed Stream! C:\WINDOWS\_default.pif:amhdow
Removed Stream! C:\WINDOWS\_default.pif:asryok
Removed Stream! C:\WINDOWS\_default.pif:atstbc
------------------------------------------------
Removed File! : C:\Windows\adaya.dat
Removed File! : C:\Windows\addne32.exe
Removed File! : C:\Windows\addng32.exe
Removed File! : C:\Windows\addns32.exe
Removed File! : C:\Windows\addoc32.exe
Removed File! : C:\Windows\addpq32.exe
Removed File! : C:\Windows\addrj32.exe
Removed File! : C:\Windows\addvq.exe
Removed File! : C:\Windows\akazs.dat
Removed File! : C:\Windows\apini32.exe
Removed File! : C:\Windows\apitl32.exe
Removed File! : C:\Windows\appeq.exe
Removed File! : C:\Windows\appgf.exe
Removed File! : C:\Windows\appib32.exe
Removed File! : C:\Windows\appjh32.exe
Removed File! : C:\Windows\appux32.exe
Removed File! : C:\Windows\atlga.exe
Removed File! : C:\Windows\atlmq32.exe
Removed File! : C:\Windows\atlxa32.exe
Removed File! : C:\Windows\atlyb.exe
Removed File! : C:\Windows\cltzj.dat
Removed File! : C:\Windows\crfh32.exe
Removed File! : C:\Windows\crlm32.exe
Removed File! : C:\Windows\croy.exe
Removed File! : C:\Windows\crtp32.exe
Removed File! : C:\Windows\d3ac.exe
Removed File! : C:\Windows\d3ds32.exe
Removed File! : C:\Windows\d3jr32.exe
Removed File! : C:\Windows\d3yj32.exe
Removed File! : C:\Windows\ddzxf.dat
Removed File! : C:\Windows\dhssn.dll
Removed File! : C:\Windows\djgjz.dll
Removed File! : C:\Windows\dttnn.dll
Removed File! : C:\Windows\eeewf.dll
Removed File! : C:\Windows\ekics.dll
Removed File! : C:\Windows\gruhw.dll
Removed File! : C:\Windows\gsitg.dll
Removed File! : C:\Windows\hahwp.dll
Removed File! : C:\Windows\hzkew.dll
Removed File! : C:\Windows\iemz32.exe
Removed File! : C:\Windows\iexu.exe
Removed File! : C:\Windows\iezu.exe
Removed File! : C:\Windows\ilbuj.dll
Removed File! : C:\Windows\ipdn32.exe
Removed File! : C:\Windows\ipmo32.exe
Removed File! : C:\Windows\ipoj.exe
Removed File! : C:\Windows\ipsz32.exe
Removed File! : C:\Windows\ipue32.exe
Removed File! : C:\Windows\itkkp.dll
Removed File! : C:\Windows\iuodi.dll
Removed File! : C:\Windows\javahh32.exe
Removed File! : C:\Windows\javaid.exe
Removed File! : C:\Windows\javajd32.exe
Removed File! : C:\Windows\javake.exe
Removed File! : C:\Windows\javaum.exe
Removed File! : C:\Windows\knted.dat
Removed File! : C:\Windows\kpsor.dat
Removed File! : C:\Windows\lcjkx.dll
Removed File! : C:\Windows\magxv.dat
Removed File! : C:\Windows\mfcdb32.exe
Removed File! : C:\Windows\mfcem32.exe
Removed File! : C:\Windows\mfcpg.exe
Removed File! : C:\Windows\mfyyu.dll
Removed File! : C:\Windows\mhwuv.dll
Removed File! : C:\Windows\msyu.exe
Removed File! : C:\Windows\nenom.dll
Removed File! : C:\Windows\netet32.exe
Removed File! : C:\Windows\netkh.exe
Removed File! : C:\Windows\netlk32.exe
Removed File! : C:\Windows\netxw.exe
Removed File! : C:\Windows\nriyf.dll
Removed File! : C:\Windows\ntfab.dll
Removed File! : C:\Windows\ntpt.exe
Removed File! : C:\Windows\ntyt.exe
Removed File! : C:\Windows\ofjkv.dat
Removed File! : C:\Windows\oluvm.dll
Removed File! : C:\Windows\pafvy.dat
Removed File! : C:\Windows\qlnyz.dll
Removed File! : C:\Windows\qryfb.dat
Removed File! : C:\Windows\qwzun.dat
Removed File! : C:\Windows\rnwzi.dll
Removed File! : C:\Windows\sdkmd.exe
Removed File! : C:\Windows\sdksj32.exe
Removed File! : C:\Windows\sfnnm.dat
Removed File! : C:\Windows\srcdi.dll
Removed File! : C:\Windows\srzdo.dat
Removed File! : C:\Windows\ssxpc.dll
Removed File! : C:\Windows\sysmq32.exe
Removed File! : C:\Windows\tfzbr.dat
Removed File! : C:\Windows\tijeu.dll
Removed File! : C:\Windows\ttayb.dat
Removed File! : C:\Windows\vtgpi.dll
Removed File! : C:\Windows\wawxr.dll
Removed File! : C:\Windows\wineb.exe
Removed File! : C:\Windows\winfu32.exe
Removed File! : C:\Windows\wingp.exe
Removed File! : C:\Windows\winhg32.exe
Removed File! : C:\Windows\winki.exe
Removed File! : C:\Windows\winuk32.exe
Removed File! : C:\Windows\winuz.exe
Removed File! : C:\Windows\winyq32.exe
Removed File! : C:\Windows\wjpgy.dll
Removed File! : C:\Windows\wldtq.dll
Removed File! : C:\Windows\wzbkm.dll
Removed File! : C:\Windows\yalah.dll
Removed File! : C:\Windows\yjbhq.dll
Removed File! : C:\Windows\yvzce.dat
Removed File! : C:\Windows\zgqdg.dll
Removed File! : C:\Windows\zwhid.dll
Removed File! : C:\Windows\zxwle.dat
Removed File! : C:\Windows\System32\addlm32.exe
Removed File! : C:\Windows\System32\addxb32.exe
Removed File! : C:\Windows\System32\addzs32.exe
Removed File! : C:\Windows\System32\aduao.dat
Removed File! : C:\Windows\System32\afcmj.dll
Removed File! : C:\Windows\System32\ahbxq.dat
Removed File! : C:\Windows\System32\anpmr.dll
Removed File! : C:\Windows\System32\anshb.dat
Removed File! : C:\Windows\System32\apish32.exe
Removed File! : C:\Windows\System32\apiui32.exe
Removed File! : C:\Windows\System32\appwk.exe
Removed File! : C:\Windows\System32\asryo.dat
Removed File! : C:\Windows\System32\atlhk32.exe
Removed File! : C:\Windows\System32\atlil.exe
Removed File! : C:\Windows\System32\atlvp.exe
Removed File! : C:\Windows\System32\atlxz32.exe
Removed File! : C:\Windows\System32\aydnm.dll
Removed File! : C:\Windows\System32\bfaih.dll
Removed File! : C:\Windows\System32\brhsc.dll
Removed File! : C:\Windows\System32\ceslt.dll
Removed File! : C:\Windows\System32\ciuak.dat
Removed File! : C:\Windows\System32\cmrcs.dll
Removed File! : C:\Windows\System32\cray32.exe
Removed File! : C:\Windows\System32\crdg.exe
Removed File! : C:\Windows\System32\cxpvc.dll
Removed File! : C:\Windows\System32\d3na32.exe
Removed File! : C:\Windows\System32\d3oj.exe
Removed File! : C:\Windows\System32\d3ov32.exe
Removed File! : C:\Windows\System32\d3uj.exe
Removed File! : C:\Windows\System32\d3vp.exe
Removed File! : C:\Windows\System32\eltti.dll
Removed File! : C:\Windows\System32\eoxzn.dll
Removed File! : C:\Windows\System32\etbmp.dat
Removed File! : C:\Windows\System32\exlkg.dll
Removed File! : C:\Windows\System32\fmepj.dat
Removed File! : C:\Windows\System32\fowrw.dll
Removed File! : C:\Windows\System32\fxkmt.dat
Removed File! : C:\Windows\System32\givdq.dat
Removed File! : C:\Windows\System32\gwzms.dat
Removed File! : C:\Windows\System32\hmdro.dll
Removed File! : C:\Windows\System32\humjp.dat
Removed File! : C:\Windows\System32\hvvkx.dll
Removed File! : C:\Windows\System32\iekh32.exe
Removed File! : C:\Windows\System32\iene.exe
Removed File! : C:\Windows\System32\ieob32.exe
Removed File! : C:\Windows\System32\ieqw32.exe
Removed File! : C:\Windows\System32\ieve.exe
Removed File! : C:\Windows\System32\iezi.exe
Removed File! : C:\Windows\System32\ipfn32.exe
Removed File! : C:\Windows\System32\iphf32.exe
Removed File! : C:\Windows\System32\ipqa.exe
Removed File! : C:\Windows\System32\iprp32.exe
Removed File! : C:\Windows\System32\ipxm32.exe
Removed File! : C:\Windows\System32\kfkgx.dll
Removed File! : C:\Windows\System32\klknt.dat
Removed File! : C:\Windows\System32\kwuih.dll
Removed File! : C:\Windows\System32\kyraq.dat
Removed File! : C:\Windows\System32\lhhfk.dat
Removed File! : C:\Windows\System32\ltcbw.dat
Removed File! : C:\Windows\System32\lwojj.dll
Removed File! : C:\Windows\System32\mfcfx32.exe
Removed File! : C:\Windows\System32\mfcqt.exe
Removed File! : C:\Windows\System32\mfczd32.exe
Removed File! : C:\Windows\System32\mhnih.dat
Removed File! : C:\Windows\System32\mshb32.exe
Removed File! : C:\Windows\System32\msug.exe
Removed File! : C:\Windows\System32\netmi.exe
Removed File! : C:\Windows\System32\netvw.exe
Removed File! : C:\Windows\System32\nthx32.exe
Removed File! : C:\Windows\System32\ntru32.exe
Removed File! : C:\Windows\System32\ntui.exe
Removed File! : C:\Windows\System32\nuwnr.dll
Removed File! : C:\Windows\System32\oatpz.dat
Removed File! : C:\Windows\System32\pkttn.dll
Removed File! : C:\Windows\System32\puvjg.dat
Removed File! : C:\Windows\System32\pvhqd.dat
Removed File! : C:\Windows\System32\qcsbh.dll
Removed File! : C:\Windows\System32\qdfkz.dll
Removed File! : C:\Windows\System32\qkzkn.dll
Removed File! : C:\Windows\System32\rsiqn.dll
Removed File! : C:\Windows\System32\sdknx32.exe
Removed File! : C:\Windows\System32\sdkos.exe
Removed File! : C:\Windows\System32\szhxx.dll
Removed File! : C:\Windows\System32\tpvqx.dll
Removed File! : C:\Windows\System32\typko.dll
Removed File! : C:\Windows\System32\ublru.dat
Removed File! : C:\Windows\System32\uradx.dll
Removed File! : C:\Windows\System32\uyuyh.dat
Removed File! : C:\Windows\System32\vagwv.dat
Removed File! : C:\Windows\System32\voazc.dat
Removed File! : C:\Windows\System32\vseey.dat
Removed File! : C:\Windows\System32\vuhbv.dll
Removed File! : C:\Windows\System32\vygrn.dat
Removed File! : C:\Windows\System32\wdqwh.dll
Removed File! : C:\Windows\System32\winig.exe
Removed File! : C:\Windows\System32\winka32.exe
Removed File! : C:\Windows\System32\winzp.exe
Removed File! : C:\Windows\System32\wmfnh.dll
Removed File! : C:\Windows\System32\wsahb.dll
Removed File! : C:\Windows\System32\wsnwa.dat
Removed File! : C:\Windows\System32\xdrol.dll
Removed File! : C:\Windows\System32\xynjp.dat
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 01:16:45 p.m.
  • 0

#12
Jacee

Jacee

    Malware Expert

  • Expert
  • 993 posts
  • MVP
Hi mactanzi, I apologize for getting back to you so late. I've been on vacation :tazz:

Please disable TeaTimer as it will want to interfere with this fix:
Follow the tutorial

http://russelltexas....re/teatimer.htm


Next, press control-alt-delete to get into the task manager and end the following process:

c:\windows\system32\vnsqrp.exe

Rescan with HJT, check these items, close all windows expect for HJT, then click 'fix checked':

O2 - BHO: Class - {81C6CC99-2B27-30E5-D74A-8CEDDF6C5A0C} - C:\WINDOWS\system32\crlc.dll

O2 - BHO: Class - {FEE73D5B-75B8-1330-363E-
B5C6A764481D} - C:\WINDOWS\system32\apibv32.dll

O4 - HKLM\..\Run: [cjrvpcn] c:\windows\system32\vnsqrp.exe

O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} -


Reboot into safe mode:
Restart the computer
Immediately begin tapping the <F8> key.
Use the arrow keys to highlight Safe Mode and press the <Enter> key.

Show Hidden Files and Folders
Click Start.
Open My Computer.
Select the Tools menu and click Folder Options.
Select the View Tab. Under the Hidden files and folders heading, select Show hidden files and folders.
Uncheck: Hide file extensions for known file types
Uncheck the Hide protected operating system files (recommended) option.
Click Yes to confirm.
Click OK.

Search for and delete:

c:\windows\system32\vnsqrp.exe

C:\WINDOWS\system32\crlc.dll
C:\WINDOWS\system32\apibv32.dll

Reboot normally and post a new HJT log.

Edited by Jacee, 23 June 2005 - 12:54 PM.

  • 0

#13
mactanzi

mactanzi

    Member

  • Topic Starter
  • Member
  • PipPip
  • 14 posts
I'm sorry about the last time because I think I messed up with the Tea Timer. Thanks for the steps to dissable it. Yesterday my computer was very slow, so I runned Ad Aware and SpyBot, and run a NAV virus scan. Now it's working better.

I made the last steps, so here is my Hijack Log. Again, thanks for your patience!

Logfile of HijackThis v1.99.1
Scan saved at 11:07:10 a.m., on 24/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Cerience\RepliGo\RepliGoMon.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\apprx.exe
C:\WINDOWS\system32\wuauclt.exe
c:\windows\system32\quplbo.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\palmOne\HOTSYNC.EXE
C:\Documents and Settings\Mau\Escritorio\HijackThis.exe
C:\WINDOWS\system32\dumprep.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yfbjv.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qaqzb.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qaqzb.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qaqzb.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qaqzb.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {026C6855-66F9-B7D9-3B9E-20872B32350D} - C:\WINDOWS\msrg.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {538A2EE1-35F1-4C8A-BD4E-6F604088DD21} - C:\WINDOWS\sdkyv.dll
O2 - BHO: Class - {66FA80F9-52FD-7BB6-C167-60D460407FC1} - C:\WINDOWS\sdkbt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {EB875E59-D1A2-BEDD-B6E0-01204A789601} - C:\WINDOWS\system32\crhw32.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [RepliGo Assistant] "C:\Archivos de programa\Cerience\RepliGo\RepliGoMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [apprx.exe] C:\WINDOWS\apprx.exe
O4 - HKLM\..\Run: [wppupy] c:\windows\system32\quplbo.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Archivos de programa\palmOne\HOTSYNC.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Sunrise - C:\Archivos de programa\Sunrise\sts\sts.html
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....467&clcid=0x409
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai...all/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefend...bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcaf...406/mcfscan.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
  • 0

#14
Jacee

Jacee

    Malware Expert

  • Expert
  • 993 posts
  • MVP
:tazz: It looks like we're back where we started from! Everytime you go on the net with IE and this infection, it acts like a magnet and it will continue to morph.

Please download FireFox (if you don't have it) and do not enter the net with IE again until we have you cleaned up:
http://www.mozilla.o...oducts/firefox/

Next, please download the following file that will show us the bad service (if it's been installed again) that has been added by the infection, from here:

Getservices.zip


1. Extract the file to the c:\ drive.

2. Then navigate to the c:\getservices and double-click on the getservices.bat file. A notepad will open up with the log.

3. Please paste the contents of that notepad as a reply to this post.
  • 0

#15
mactanzi

mactanzi

    Member

  • Topic Starter
  • Member
  • PipPip
  • 14 posts
I downloaded and set as default brower Firefox

Here is the log from getservice:


PsService v1.1 - local and remote services viewer/controller
Copyright © 2001-2003 Mark Russinovich
Sysinternals - www.sysinternals.com

SERVICE_NAME: Alerter
Notifica a usuarios y equipos seleccionados de alertas administrativas. Si se detiene el servicio, los programas que utilizan alertas administrativas no las recibirán. Si el servicio se deshabilita, no se podrá iniciar ninguno de los servicios que dependen explícitamente dependen de él.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicio de alerta
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: ALG
Proporciona compatibilidad para complementos de protocolo de terceros para Conexión compartida a Internet y para Firewall de Windows.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\alg.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicio de puerta de enlace de capa de aplicación
DEPENDENCIES :
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: AppMgmt
Ofrece servicios de instalación de software como Asignar, Publicar y Quitar.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Administración de aplicaciones
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: AudioSrv
Administra dispositivos de audio para programas basados en Windows. Si se detiene este servicio, los dispositivos de audio y efectos no funcionarán correctamente. Si se deshabilita este servicio, cualquier servicio que dependa explícitamente de él tendrá un error al iniciar.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : AudioGroup
TAG : 0
DISPLAY_NAME : Audio de Windows
DEPENDENCIES : PlugPlay
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: BITS
Transfiere los archivos en segundo plano usando el ancho de banda de red inactivo. Si el servicio se detiene, algunas características como Windows Update y MSN Explorer no podrán descargar programas u otra información automáticamente. Si se deshabilita este servicio, los servicios que dependan explícitamente de él podrían no transferir los archivos correctamente si no disponen de un mecanismo de seguridad ante errores para transferir los archivos directamente a través de Internet Explorer en caso de que s
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicio de transferencia inteligente en segundo plano
DEPENDENCIES : Rpcss
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds

SERVICE_NAME: Browser
Mantiene una lista actualizada de equipos en la red y proporciona esta lista a los equipos designados como exploradores. Si se detiene este servicio, esta lista no se actualizará o mantendrá. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Examinador de equipos
DEPENDENCIES : LanmanWorkstation
: LanmanServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccEvtMgr
Symantec Event Manager
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe"
LOAD_ORDER_GROUP : Symantec Services
TAG : 0
DISPLAY_NAME : Symantec Event Manager
DEPENDENCIES : RPCSS
: ccSetMgr
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccPwdSvc
Symantec Password Validation Service
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Symantec Password Validation
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccSetMgr
Symantec Settings Manager
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe"
LOAD_ORDER_GROUP : Symantec Services
TAG : 0
DISPLAY_NAME : Symantec Settings Manager
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: CiSvc
Indiza el contenido y las propiedades de archivos en equipos locales y remotos; ofrece acceso inmediato a archivos a través de un lenguaje de consulta flexible.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\cisvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicio de Index Server
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ClipSrv
Habilita el Visor del Portafolios para almacenar información y compartirla con equipos remotos. Si se detiene el servicio, el Visor del Portafolios no podrá compartir información con los equipos remotos. Si se deshabilita este servicio, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\clipsrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Portafolios
DEPENDENCIES : NetDDE
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: COMSysApp
Administra la configuración y el seguimiento de los componentes del Modelo de objetos componentes (COM+). Si se detiene el servicio, la mayoría de los componentes COM+ no funcionarán correctamente. Si se deshabilita este servicio, no se podrá iniciar ningún servicio que dependa específicamente de él.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Aplicación del sistema COM+
DEPENDENCIES : rpcss
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 30 seconds
FAILURE_ACTIONS : Restart DELAY: 1000 seconds
: Restart DELAY: 5000 seconds
: None DELAY: 1000 seconds

SERVICE_NAME: CryptSvc
Proporciona tres servicios de administración: Servicio de catálogo de base de datos, que confirma las firmas de archivos de Windows; Servicio de raíz protegida, que agrega y quita certificados de entidades emisoras de raíz de confianza de este equipo; y el Servicio de claves, que ayuda a inscribir este equipo a certificados. Si se detiene este servicio, sus servicios de administración mencionados no funcionarán correctamente. Si se deshabilita este servicio, no se podrán iniciar ninguno de los servicios que dependen explícitamente de él.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicios de cifrado
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: DcomLaunch
Ofrece el inicio de funcionalidad para los servicios DCOM.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost -k DcomLaunch
LOAD_ORDER_GROUP : Event Log
TAG : 0
DISPLAY_NAME : Iniciador de procesos de servidor DCOM
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Reboot DELAY: 60000 seconds

SERVICE_NAME: Dhcp
Administra la configuración de la red registrando y actualizando direcciones IP y nombres DNS.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Cliente DHCP
DEPENDENCIES : Tcpip
: Afd
: NetBT
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmadmin
Configura las unidades de disco duro y volúmenes. El servicio sólo se ejecuta para procesos de configuración y a continuación se detiene.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\dmadmin.exe /com
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicio del administrador de discos lógicos
DEPENDENCIES : RpcSs
: PlugPlay
: DmServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmserver
Detecta y supervisa unidades de disco duro nuevas y envía información del volumen de disco al Servicio de administración de discos lógicos para su configuración. Si se detiene este servicio, la información de estado y configuración de discos dinámicos puede quedar desactualizada. Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Administrador de discos lógicos
DEPENDENCIES : RpcSs
: PlugPlay
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Dnscache
Resuelve y almacena en caché los nombres del sistema de nombres de dominio (DNS) para este equipo. Si se detiene este servicio, este equipo no podrá resolver nombres DNS ni ubicar controladores de dominio en Active Directory. Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependen explícitamente de él.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k NetworkService
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Cliente DNS
DEPENDENCIES : Tcpip
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: ERSvc
Permite informar de errores para servicios y aplicaciones que se ejecutan en entornos no estándar.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicio de informe de errores
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Eventlog
Habilita mensajes de registro de sucesos emitidos por programas basados en Windows y componentes para que se vean en Visor de sucesos. Este servicio no se puede detener.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP : Event log
TAG : 0
DISPLAY_NAME : Registro de sucesos
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: EventSystem
Admite el Servicio de notificación de eventos del sistema (SENS), que proporciona la distribución automática de eventos a los componentes del Modelo de objetos componentes (COM). Si se detiene este servicio, SENS se cerrará y no podrá ofrecer notificaciones de inicio ni de cierre de sesión. Si se deshabilita el servicio, no se podrá iniciar ningún servicio que dependa específicamente de él.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : Network
TAG : 0
DISPLAY_NAME : Sistema de sucesos COM+
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: FastUserSwitchingCompatibility
Proporciona administración para aplicaciones que necesitan asistencia en un entorno de usuarios múltiples.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Compatibilidad de cambio rápido de usuario
DEPENDENCIES : TermService
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: helpsvc
Habilita la ejecución del Centro de ayuda y soporte técnico en este equipo. Si se detiene este servicio, el Centro de ayuda y soporte técnico no estará disponible. Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Ayuda y soporte técnico
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 100 seconds
: Restart DELAY: 100 seconds
: None DELAY: 100 seconds

SERVICE_NAME: HidServ
Habilita el acceso de entrada genérico a los Dispositivos de interfaz humana (HID), que activa y mantiene el uso de botones de acceso directo predefinidos en los teclados, controles remotos y otros dispositivos multimedia. Si este servicio se detiene, los botones de acceso directo controlados por este servicio dejarán de funcionar. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Acceso a dispositivo de interfaz humana
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: HTTPFilter
Este servicio implementa el protocolo de transferencia de hipertexto seguro (HTTPS), usando la Capa de sockets seguros (SSL). Si se deshabilita este servicio, no se podrá iniciar ningún servicio que dependa explícitamente de él.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k HTTPFilter
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : HTTP SSL
DEPENDENCIES : HTTP
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ImapiService
Administra la grabación de CD usando la interfaz de programación de aplicaciones de grabación de imágenes (IMAPI). Si se detiene este servicio, el equipo no podrá grabar los CD. Si está deshabilitado, los servicios que dependan de éste no se iniciarán.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\imapi.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicio COM de grabación de CD de IMAPI
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: iPodService
iPod hardware management services
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Archivos de programa\iPod\bin\iPodService.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : iPod Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanserver
Ofrece compatibilidad con uso compartido de archivos, impresoras y canalizaciones con nombres en la red para este equipo. Si se detiene el servicio, estas funciones no estarán disponibles. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servidor
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanworkstation
Crea y mantiene conexiones de cliente de red a servidores remotos. Si se detiene el servicio, estas conexiones no estarán disponibles. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Estación de trabajo
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: LmHosts
Habilita la compatibilidad con NetBIOS a través del servicio TCP/IP (NetBT) y la resolución de nombres NetBIOS.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Ayuda de NetBIOS sobre TCP/IP
DEPENDENCIES : NetBT
: Afd
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: MDM
Admite depuración local y remota para depuradores de secuencia de comandos de Visual Studio. Si este servicio se detiene, los depuradores no funcionarán adecuadamente.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Machine Debug Manager
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Messenger
Transmite mensajes del servicio de alertas y el comando net send entre clientes y servidores. Este servicio no está relacionado con Windows Messenger. Si se detiene el servicio, no se transmitirán los mensajes de alerta. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Mensajero
DEPENDENCIES : LanmanWorkstation
: NetBIOS
: PlugPlay
: RpcSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: mnmsrvc
Permite a los usuarios autorizados acceder remotamente a su escritorio Windows usando NetMeeting.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\mnmsrvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Escritorio remoto compartido de NetMeeting
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: MSDTC
Coordina las transacciones que se extienden a varios administradores de recursos, como bases de datos, colas de mensajes y sistemas de archivos. Si se detiene este servicio, estas transacciones no se producirán. Si se deshabilita el servicio, no se podrá iniciar ningún servicio que dependa específicamente de él.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\msdtc.exe
LOAD_ORDER_GROUP : MS Transactions
TAG : 0
DISPLAY_NAME : Coordinador de transacciones distribuidas de Microsoft
DEPENDENCIES : RPCSS
: SamSS
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: MSIServer
Agrega, modifica y quita aplicaciones proporcionadas como paquetes de Windows Installer (*.msi). Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\msiexec.exe /V
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Installer
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: navapsvc
Handles Norton AntiVirus Auto-Protect events.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Norton AntiVirus Auto-Protect Service
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDE
Ofrece transporte y seguridad en la red para el Intercambio dinámico de datos (DDE) para los programas que se ejecutan en el mismo equipo o en diferentes equipos. Si este servicio se detiene, se deshabilitarán el transporte y la seguridad DDE. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
LOAD_ORDER_GROUP : NetDDEGroup
TAG : 0
DISPLAY_NAME : DDE de red
DEPENDENCIES : NetDDEDSDM
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDEdsdm
Administra los recursos de red Intercambio dinámico de datos (DDE). Si este servicio se detiene, se deshabilitarán los recursos compartidos de red DDE. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : DSDM de DDE de red
DEPENDENCIES :
: EGrLocalSystem
: DSDM de DDE de red
: de red
: tRPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netlogon
Admite la autenticación de paso de sucesos de inicio de sesión de cuenta para los equipos en un dominio.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP : RemoteValidation
TAG : 0
DISPLAY_NAME : Inicio de sesión en red
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netman
Administra objetos en la carpeta Conexiones de red y acceso telefónico, donde se pueden ver conexiones de red de área local y remotas.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Conexiones de red
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Nla
Recopila y almacena información de configuración y ubicación de redes, e informa a las aplicaciones cuando esta información cambia.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NLA (Network Location Awareness)
DEPENDENCIES : Tcpip
: Afd
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NPFMntor
Detects installation of Symantec Firewall clients
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Norton AntiVirus Firewall Monitor Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NProtectService
Protects files deleted from command line prompt and applications
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Norton Unerase Protection
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtLmSsp
Ofrece seguridad a programas de llamada a procedimiento remoto (RPC) que utilizan transportes diferentes de conductos con nombres.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Proveedor de compatibilidad con seguridad LM de Windows NT
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtmsSvc
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Medios de almacenamiento extraíbles
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NVSvc
Provides system and desktop level support to the NVIDIA display driver
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\nvsvc32.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NVIDIA Display Driver Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ose
Guarda los archivos de instalación utilizados para las actualizaciones y reparaciones, y es necesario para descargar actualizaciones del programa de instalación e informes de error de Watson.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Source Engine\OSE.EXE"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Office Source Engine
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: PlugPlay
Habilita un equipo para que reconozca y adapte los cambios de hardware con el menor esfuerzo por parte del usuario. Si se detiene o deshabilita este servicio, el sistema se volverá inestable.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe
LOAD_ORDER_GROUP : PlugPlay
TAG : 0
DISPLAY_NAME : Plug and Play
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: PolicyAgent
Administra la directiva de seguridad IP e inicia el controlador ISAKMP/Oakley (IKE) y de seguridad IP.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicios IPSEC
DEPENDENCIES : RPCSS
: Tcpip
: IPSec
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ProtectedStorage
Ofrece almacenamiento protegido para datos importantes, como claves privadas, para impedir el acceso de servicios, procesos o usuarios no autorizados.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Almacenamiento protegido
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RasAuto
Crea una conexión a una red remota siempre que un programa hace referencia a un nombre o dirección DNS o NetBios remoto.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Administrador de conexión automática de acceso remoto
DEPENDENCIES : RasMan
: Tapisrv
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RasMan
Crea una conexión de red.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Administrador de conexión de acceso remoto
DEPENDENCIES : Tapisrv
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RDSessMgr
Administra y controla la Asistencia remota. Si se detiene este servicio, Asistencia remota no estará disponible. Antes de detener el servicio, vea la ficha Dependencias en el cuadro de diálogo Propiedades.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\sessmgr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Administrador de sesión de Ayuda de escritorio remoto
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RemoteAccess
Ofrece servicios de enrutamiento a empresas en entornos de red de área local y extensa.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Enrutamiento y acceso remoto
DEPENDENCIES : RpcSS
: +NetBIOSGroup
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RpcLocator
Administra la base de datos de servicios de nombres RPC.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\locator.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Localizador de llamadas a procedimiento remoto (RPC)
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: RpcSs
Ofrece el asignador de punto final y otros servicios RPC diversos.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost -k rpcss
LOAD_ORDER_GROUP : COM Infrastructure
TAG : 0
DISPLAY_NAME : Llamada a procedimiento remoto(RPC)
DEPENDENCIES :
SERVICE_START_NAME: NT Authority\NetworkService
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Reboot DELAY: 60000 seconds

SERVICE_NAME: RSVP
Ofrece funcionalidad de señalización de red y control del tráfico local para programas y subprogramas de control compatibles con QoS.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\rsvp.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : QoS RSVP
DEPENDENCIES : TcpIp
: Afd
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SamSs
Almacena información de seguridad de cuentas de usuario locales.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
LOAD_ORDER_GROUP : LocalValidation
TAG : 0
DISPLAY_NAME : Administrador de cuentas de seguridad
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SAVScan
Handles Norton AntiVirus Auto-Protect Archive Scanning
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : SAVScan
DEPENDENCIES : SAVRT
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SBService
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : ScriptBlocking Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SCardSvr
Administra el acceso a una tarjeta inteligente de la el equipo hace lectura. Si este servicio se detiene, el equipo no podrá leer las tarjetas inteligentes. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\SCardSvr.exe
LOAD_ORDER_GROUP : SmartCardGroup
TAG : 0
DISPLAY_NAME : Tarjeta inteligente
DEPENDENCIES : PlugPlay
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: Schedule
Habilita un usuario para que configure y programe tareas automáticas en este equipo. Si se detiene este equipo, estas tareas no se ejecutarán en sus horas programadas. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : SchedulerGroup
TAG : 0
DISPLAY_NAME : Programador de tareas
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: seclogon
Habilita los procesos de inicio en credenciales alternas. Si se detiene este servicio, se deshabilitará este tipo de acceso de inicio de sesión. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Inicio de sesión secundario
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SENS
Registra sucesos del sistema como los de inicio de sesión en Windows, red y energía, y los notifica a los suscriptores de sucesos del sistema COM+.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : Network
TAG : 0
DISPLAY_NAME : Notificación de sucesos del sistema
DEPENDENCIES : EventSystem
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SharedAccess
Ofrece servicios de traducción de direcciones, direccionamiento, resolución de nombres y/o servicios de prevención de intrusión para una red doméstica o de pequeña empresa.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Firewall de Windows/Conexión compartida a Internet (ICS)
DEPENDENCIES : Netman
: WinMgmt
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ShellHWDetection
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : ShellSvcGroup
TAG : 0
DISPLAY_NAME : Detección de hardware shell
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SLService
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : slserv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : SmartLinkService
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SNDSrvc
Symantec Network Drivers Service
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe"
LOAD_ORDER_GROUP : Symantec Services
TAG : 0
DISPLAY_NAME : Symantec Network Drivers Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SPBBCSvc
Symantec SPBBC
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
LOAD_ORDER_GROUP : Symantec Services
TAG : 0
DISPLAY_NAME : Symantec SPBBCSvc
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Speed Disk service
Used to schedule disk defragmentation
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Speed Disk service
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Spooler
Carga archivos en la memoria para imprimirlos después.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\spoolsv.exe
LOAD_ORDER_GROUP : SpoolerGroup
TAG : 0
DISPLAY_NAME : Cola de impresión
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
: None DELAY: 0 seconds

SERVICE_NAME: srservice
Realiza funciones de restauración del sistema. Para detener el servicio, desactive Restaurar sistema en la ficha de Restaurar sistema en propiedades de Mi PC
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicio de restauración de sistema
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SSDPSRV
Habilita el descubrimiento de dispositivos UPnP en su red doméstica.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicio de descubrimientos SSDP
DEPENDENCIES : HTTP
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: stisvc
Proporciona servicios de digitalización de imágenes para escáneres y cámaras.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k imgsvc
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Adquisición de imágenes de Windows (WIA)
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SwPrv
Administra instantáneas de volumen basadas en software y tomadas por el Servicio de instantáneas de volumen. Si se detiene el servicio, no se podrán administrar las instantáneas de volumen basadas en software. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependen explícitamente de él.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{96C92507-83F1-42A8-B3C8-9FC1D425B50A}
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : MS Software Shadow Copy Provider
DEPENDENCIES : rpcss
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Symantec Core LC
Symantec Core LC
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Symantec Core LC
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SysmonLog
Recopila información de rendimiento de equipos locales o remotos de acuerdo a parámetros de programación configurados previamente, luego guarda la información en un registro o emite una alerta. Si se detiene el servicio, no se recopilará la información de rendimiento. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\smlogsvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Registros y alertas de rendimiento
DEPENDENCIES :
SERVICE_START_NAME: NT Authority\NetworkService

SERVICE_NAME: TapiSrv
Ofrece compatibilidad con la API de telefonía (TAPI) para programas que controlan dispositivos de telefonía y conexiones de voz basadas en IP en el equipo local y, a través de la LAN, en servidores que utilizan también el servicio.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Telefonía
DEPENDENCIES : PlugPlay
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: TermService
Permite que varios usuarios se conecten de forma interactiva a un equipo y que se muestren los escritorios y aplicaciones de equipos remotos. El acoplamiento de Escritorio remoto (incluido Escritorio remoto para administradores), Cambio rápido de usuarios, Asistencia remota y Terminal Server.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost -k DComLaunch
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicios de Terminal Server
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Themes
Proporciona administración de temas de experiencia de usuario.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : UIGroup
TAG : 0
DISPLAY_NAME : Temas
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
: None DELAY: 0 seconds

SERVICE_NAME: TrkWks
Mantiene vínculos entre archivos NTFS dentro de un equipo o entre equipos en un dominio de red.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Cliente de seguimiento de vinculos distribuidos
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: UMWdf
Habilita los controladores en modo de usuario de Windows
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\wdfmgr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows User Mode Driver Framework
DEPENDENCIES : RpcSs
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: upnphost
Proporciona compatibilidad para albergar dispositivos Plug and Play universales.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Host de dispositivo Plug and Play universal
DEPENDENCIES : SSDPSRV
: HTTP
SERVICE_START_NAME: NT AUTHORITY\LocalService
FAIL_RESET_PERIOD : -1 seconds
FAILURE_ACTIONS : Restart DELAY: 0 seconds

SERVICE_NAME: UPS
Administra un sistema de alimentación ininterrumpida (UPS) conectado al equipo.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\ups.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Sistema de alimentación ininterrumpida
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: VSS
Administra e implementa Instantáneas de volumen usadas para copias de seguridad y otros propósitos. Si este servicio se detiene, las instantáneas se deshabilitarán para la copia de seguridad y ésta dará un error. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\vssvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Instantáneas de volumen
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: W32Time
Mantiene la sincronización de fecha y hora en todos los clientes y servidores de la red. Si se detiene este servicio, no estará disponible la sincronización de fecha y hora. Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependen explícitamente de él.


TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Horario de Windows
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 5 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds

SERVICE_NAME: WebClient
Habilita los programas basados en Windows para que creen, tengan acceso y modifiquen archivos basados en Internet. Si este servicio se detiene, estas funciones no estarán disponibles. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Cliente Web
DEPENDENCIES : MRxDAV
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: winmgmt
Proporciona una interfaz común y un modelo de objeto para tener acceso a la información de administración acerca de un sistema operativo, dispositivos, aplicaciones y servicios. Si se detiene este servicio, la mayoría del software basado en Windows no funcionará correctamente. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Instrumental de administración de Windows
DEPENDENCIES : RPCSS
: Eventlog
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds

SERVICE_NAME: WmdmPmSN
Recupera el número de serie de cualquier reproductor de medio portátil conectado al equipo. Si este servicio se interrumpe, puede que los contenidos protegidos no se descarguen en el dispositivo.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicio del número de serie de medio portátil
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WmiApSrv
Proporciona información de la biblioteca de rendimiento desde los proveedores HiPerf de WMI.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\wbem\wmiapsrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Adaptador de rendimiento de WMI
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: wscsvc
Supervisa las configuraciones de seguridad del sistema.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Centro de seguridad
DEPENDENCIES : RpcSs
: winmgmt
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: wuauserv
Habilita la descarga e instalación de actualizaciones de Windows. Si este servicio se deshabilita, el equipo no podrá usar la característica Actualizaciones automáticas ni el sitio Web de Windows Update.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Actualizaciones automáticas
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WZCSVC
Proporciona configuración automática para los adaptadores 802.11
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Configuración inalámbrica rápida
DEPENDENCIES : RpcSs
: Ndisuio
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: xmlprov
Administra los archivos de configuración XML en cada dominio para el aprovisionamiento de red automático.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Servicio de aprovisionamiento de red
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
  • 0






Similar Topics

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

As Featured On:

Microsoft Yahoo BBC MSN PC Magazine Washington Post HP