Tech Support Forum - View Single Post

paul.hunt · 11-12-2008, 06:47 PM

combofix.txt:

ComboFix 08-11-06.01 - Ben 2008-11-07 12:48:05.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.649 [GMT -5:00]
Running from: c:\documents and settings\Ben\Desktop\ComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Amy\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML
c:\windows\cookies.ini
c:\windows\Fonts\ntp2.ini
c:\windows\IE4 Error Log.txt
c:\windows\system32\acbeg.bak1
c:\windows\system32\acbeg.ini
c:\windows\system32\ahpnbwde.ini
c:\windows\system32\amkyuqnf.ini
c:\windows\system32\antnkkbd.ini
c:\windows\system32\arjkvtmn.ini
c:\windows\system32\atgddgcl.ini
c:\windows\system32\auibnnqp.ini
c:\windows\system32\bblhduyx.ini
c:\windows\system32\bcwhpvka.ini
c:\windows\system32\beopcdmp.ini
c:\windows\system32\bgycaavl.ini
c:\windows\system32\bkqjmhnw.ini
c:\windows\system32\blbtxcym.ini
c:\windows\system32\bllaytwx.ini
c:\windows\system32\bnmlcwdk.ini
c:\windows\system32\bpfwibor.ini
c:\windows\system32\bsknvmfr.ini
c:\windows\system32\bszip.dll
c:\windows\system32\btntbpsc.ini
c:\windows\system32\bxmxkdnk.ini
c:\windows\system32\byahvyka.ini
c:\windows\system32\byhilodc.ini
c:\windows\system32\byrtolog.ini
c:\windows\system32\byycmgkk.ini
c:\windows\system32\ccxbtjss.ini
c:\windows\system32\cequojch.ini
c:\windows\system32\cgfofexj.ini
c:\windows\system32\cilhhrtp.ini
c:\windows\system32\cjfgpvas.ini
c:\windows\system32\ckhbyqxu.ini
c:\windows\system32\ckiqmtdg.ini
c:\windows\system32\cplufkie.ini
c:\windows\system32\cuygccbi.ini
c:\windows\system32\cvakwipm.ini
c:\windows\system32\cwvmgvfa.ini
c:\windows\system32\cxrjbiwi.ini
c:\windows\system32\dgwbqxot.ini
c:\windows\system32\dklcxepi.ini
c:\windows\system32\dktayqrp.ini
c:\windows\system32\dqyqxydx.ini
c:\windows\system32\drurvbtp.ini
c:\windows\system32\dsvrehts.ini
c:\windows\system32\dvsfolbl.ini
c:\windows\system32\dxxlqgif.ini
c:\windows\system32\eaefagjm.ini
c:\windows\system32\eaxlplnb.ini
c:\windows\system32\edbednjr.ini
c:\windows\system32\eijvkysq.ini
c:\windows\system32\ejqpskkx.ini
c:\windows\system32\elpcfemt.ini
c:\windows\system32\eoilwagg.ini
c:\windows\system32\etnaqabs.ini
c:\windows\system32\evubqvyy.ini
c:\windows\system32\excdsrdw.ini
c:\windows\system32\faldqfww.ini
c:\windows\system32\famnyrbc.ini
c:\windows\system32\fismdcrv.ini
c:\windows\system32\flhpakqu.ini
c:\windows\system32\frubmasf.ini
c:\windows\system32\fubqlajw.ini
c:\windows\system32\fwivoeiy.ini
c:\windows\system32\gaagmuav.ini
c:\windows\system32\ggjxcluj.ini
c:\windows\system32\ghciopak.ini
c:\windows\system32\ghcuwlwr.ini
c:\windows\system32\ghqjjueg.ini
c:\windows\system32\gpfqmqaq.ini
c:\windows\system32\gpjsgdxl.ini
c:\windows\system32\grvtedld.ini
c:\windows\system32\gwbpsalt.ini
c:\windows\system32\gxirfijt.ini
c:\windows\system32\hasqoiww.ini
c:\windows\system32\heobduki.ini
c:\windows\system32\hfxwfyhs.ini
c:\windows\system32\hhllyhgg.ini
c:\windows\system32\hhqrlysi.ini
c:\windows\system32\hhuncrqf.ini
c:\windows\system32\huchbvwr.ini
c:\windows\system32\hwcogfyh.ini
c:\windows\system32\hxhjprlk.ini
c:\windows\system32\hxqksbld.ini
c:\windows\system32\hyjuelux.ini
c:\windows\system32\icmerwba.ini
c:\windows\system32\icyxdhbx.ini
c:\windows\system32\ieubelin.ini
c:\windows\system32\iiuaujti.ini
c:\windows\system32\ijjlm.bak1
c:\windows\system32\ijjlm.bak2
c:\windows\system32\ijjlm.ini
c:\windows\system32\ijjlm.ini2
c:\windows\system32\ijjlm.tmp
c:\windows\system32\ilqbfiwt.ini
c:\windows\system32\inmmrcnd.ini
c:\windows\system32\iqnoyrak.ini
c:\windows\system32\iufmridd.ini
c:\windows\system32\ivndlnwv.ini
c:\windows\system32\iywkjxcp.ini
c:\windows\system32\jafylfnd.ini
c:\windows\system32\japricsx.ini
c:\windows\system32\jdvtaybj.ini
c:\windows\system32\jiuydpsb.ini
c:\windows\system32\jnhoyvwt.ini
c:\windows\system32\jnsjcgeh.ini
c:\windows\system32\jsdigevb.ini
c:\windows\system32\jvsmknyg.ini
c:\windows\system32\jylusoip.ini
c:\windows\system32\jynjqcqx.ini
c:\windows\system32\kbfyyotu.ini
c:\windows\system32\kbloffih.ini
c:\windows\system32\kfawedjr.ini
c:\windows\system32\kgcrljuw.ini
c:\windows\system32\knecteqm.ini
c:\windows\system32\knpqkkhk.ini
c:\windows\system32\korepldf.ini
c:\windows\system32\kpksouci.ini
c:\windows\system32\kqgkdrhm.ini
c:\windows\system32\ktmasyqs.ini
c:\windows\system32\kyqonued.ini
c:\windows\system32\latoskxh.ini
c:\windows\system32\latsujun.ini
c:\windows\system32\lhhrylbe.ini
c:\windows\system32\ljbxpxni.ini
c:\windows\system32\lkcnonhh.ini
c:\windows\system32\lkyjoqci.ini
c:\windows\system32\llgyyyxm.ini
c:\windows\system32\lnajbhkb.ini
c:\windows\system32\logrvxwj.ini
c:\windows\system32\lojxqlxy.ini
c:\windows\system32\lrqxumpg.ini
c:\windows\system32\mabjhcgd.ini
c:\windows\system32\mbeomupp.ini
c:\windows\system32\mcgrqaaa.ini
c:\windows\system32\mcrh.tmp
c:\windows\system32\mhtowqpl.ini
c:\windows\system32\mkmqgkhr.ini
c:\windows\system32\mksseugp.ini
c:\windows\system32\mrpvbynd.ini
c:\windows\system32\mtqjnfjs.ini
c:\windows\system32\mwsojvbp.ini
c:\windows\system32\nbphwaxe.ini
c:\windows\system32\ncifgyrs.ini
c:\windows\system32\ndfgdmny.ini
c:\windows\system32\nekkftsi.ini
c:\windows\system32\nhsapfem.ini
c:\windows\system32\njjyioeh.ini
c:\windows\system32\nlgqpebf.ini
c:\windows\system32\noattktw.ini
c:\windows\system32\nrrwlyyh.ini
c:\windows\system32\nsiqtilb.ini
c:\windows\system32\nsiruoif.ini
c:\windows\system32\nsogahle.ini
c:\windows\system32\nsyppxgd.ini
c:\windows\system32\obdkirjq.ini
c:\windows\system32\ohykmfci.ini
c:\windows\system32\oigujvfl.ini
c:\windows\system32\onkgntap.ini
c:\windows\system32\osbsgkei.ini
c:\windows\system32\osfulmhk.ini
c:\windows\system32\oticfytr.ini
c:\windows\system32\owqnmqpg.ini
c:\windows\system32\oxjqsgqn.ini
c:\windows\system32\oxvufqex.ini
c:\windows\system32\oyhllxlm.ini
c:\windows\system32\pdxnssir.ini
c:\windows\system32\pfmanbrd.ini
c:\windows\system32\pjljwtuq.ini
c:\windows\system32\pmffsnne.ini
c:\windows\system32\pokckpvv.ini
c:\windows\system32\ppnbdtox.ini
c:\windows\system32\pptxujtl.ini
c:\windows\system32\pqcvdnaf.ini
c:\windows\system32\prfgopgo.ini
c:\windows\system32\ptviocug.ini
c:\windows\system32\pubmnpcx.ini
c:\windows\system32\pvamfnwh.ini
c:\windows\system32\qcrretne.ini
c:\windows\system32\qcvooudx.ini
c:\windows\system32\qevgldsa.ini
c:\windows\system32\qhwdjtvu.ini
c:\windows\system32\qrnnbond.ini
c:\windows\system32\qupkylky.ini
c:\windows\system32\qxdflprp.ini
c:\windows\system32\rfoccuwj.ini
c:\windows\system32\rguuruke.ini
c:\windows\system32\rifdqcqh.ini
c:\windows\system32\rimfogio.ini
c:\windows\system32\rimwcnoy.ini
c:\windows\system32\rlgmdjno.ini
c:\windows\system32\rluqnboq.ini
c:\windows\system32\rqnkkjcn.ini
c:\windows\system32\rvnqpsya.ini
c:\windows\system32\sahcbpap.ini
c:\windows\system32\sfdbjthe.ini
c:\windows\system32\sfyxqlww.ini
c:\windows\system32\sgdipqui.ini
c:\windows\system32\shdokogx.ini
c:\windows\system32\shnykbag.ini
c:\windows\system32\sjturrip.ini
c:\windows\system32\smhrfnkk.ini
c:\windows\system32\snxnfleq.ini
c:\windows\system32\sqyutwqc.ini
c:\windows\system32\ssohlmsf.ini
c:\windows\system32\sswpryab.ini
c:\windows\system32\ststv.bak1
c:\windows\system32\ststv.ini
c:\windows\system32\svhoifwj.ini
c:\windows\system32\svvwa.bak1
c:\windows\system32\svvwa.bak2
c:\windows\system32\svvwa.ini
c:\windows\system32\svvwa.tmp
c:\windows\system32\svvwa.tmp2
c:\windows\system32\tfmeaxuu.ini
c:\windows\system32\tlwadjsx.ini
c:\windows\system32\tpomyvll.ini
c:\windows\system32\ttutv.bak1
c:\windows\system32\ttutv.bak2
c:\windows\system32\ttutv.ini
c:\windows\system32\ttutv.ini2
c:\windows\system32\ttutv.tmp
c:\windows\system32\twbtgmhj.ini
c:\windows\system32\twlirdvr.ini
c:\windows\system32\twqiogta.ini
c:\windows\system32\tywdinkq.ini
c:\windows\system32\upnnaibf.ini
c:\windows\system32\utglaxis.ini
c:\windows\system32\utwkjpiw.ini
c:\windows\system32\uyhmleso.ini
c:\windows\system32\vdxqnmau.ini
c:\windows\system32\vgsmlkih.ini
c:\windows\system32\vlygiruy.ini
c:\windows\system32\vsdrcomw.ini
c:\windows\system32\wljxcxci.ini
c:\windows\system32\wnqagpvm.ini
c:\windows\system32\woyvmsxx.ini
c:\windows\system32\wptkfcfb.ini
c:\windows\system32\wxrxnaum.ini
c:\windows\system32\xeuymqje.ini
c:\windows\system32\xfqqbwbj.ini
c:\windows\system32\xgbqhths.ini
c:\windows\system32\xgtxkixy.ini
c:\windows\system32\xgxjaoll.ini
c:\windows\system32\xibsheiu.ini
c:\windows\system32\xmrjdtmv.ini
c:\windows\system32\xnmcvhca.ini
c:\windows\system32\xqidudbw.ini
c:\windows\system32\xrfbrdyy.ini
c:\windows\system32\xyadd.bak1
c:\windows\system32\xyadd.ini
c:\windows\system32\ybkxfgdx.ini
c:\windows\system32\ydnbfjjr.ini
c:\windows\system32\yfcwhoht.ini
c:\windows\system32\yiafxhmm.ini
c:\windows\system32\yidvwwxl.ini
c:\windows\system32\yonjcpnv.ini
c:\windows\system32\yuinbxvl.ini
c:\windows\system32\ywpgtmgo.ini
c:\windows\system32\yyjssuxw.ini
c:\windows\system32\yytvusfg.ini

.
((((((((((((((((((((((((( Files Created from 2008-10-07 to 2008-11-07 )))))))))))))))))))))))))))))))
.

2008-11-06 09:56 . 2008-11-06 13:17 <DIR> d--h----- C:\$AVG8.VAULT$
2008-11-06 09:52 . 2008-11-07 12:37 <DIR> d-------- c:\windows\system32\drivers\Avg
2008-11-06 09:52 . 2008-11-06 09:59 <DIR> d-------- c:\documents and settings\Ben\Application Data\AVGTOOLBAR
2008-11-06 09:52 . 2008-11-06 09:52 97,928 --a------ c:\windows\system32\drivers\avgldx86.sys
2008-11-06 09:52 . 2008-11-06 09:52 10,520 --a------ c:\windows\system32\avgrsstx.dll
2008-11-06 09:51 . 2008-11-06 09:51 <DIR> d-------- c:\program files\AVG
2008-11-06 09:51 . 2008-11-06 09:51 <DIR> d-------- c:\documents and settings\All Users\Application Data\avg8
2008-11-06 09:51 . 2008-11-06 09:51 76,040 --a------ c:\windows\system32\drivers\avgtdix.sys
2008-11-06 09:30 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-11-06 09:30 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\dllcache\usbccgp.sys
2008-11-06 09:30 . 2004-08-04 00:56 21,504 --a------ c:\windows\system32\hidserv.dll
2008-11-06 09:30 . 2004-08-04 00:56 21,504 --a------ c:\windows\system32\dllcache\hidserv.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-06 14:48 --------- d-----w c:\documents and settings\All Users\Application Data\McAfee.com
2008-11-03 01:49 --------- d-----w c:\documents and settings\Ben\Application Data\AdobeUM
2007-04-29 14:29 800,272 ----a-w c:\documents and settings\Ben\ppctl.dll
2007-08-24 23:27 1,135 --sh--w c:\windows\Fonts\ntp2.ini2
2007-02-18 19:41 88 --sh--r c:\windows\system32\D47D29D109.sys
2007-02-18 19:41 3,350 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{10708868-CEF5-49E5-A211-A8339B8F7188}]
2008-03-10 17:21 98048 --a------ c:\windows\system32\dsoun.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-10-14 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-10-14 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-10-14 114688]
"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 32881]
"DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-06-14 98304]
"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-06-10 249856]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-06-10 81920]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-03 29744]
"EPSON Stylus Photo 820 Series (Copy 1)"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S0EIC1.EXE" [2002-04-10 74240]
"MSKDetectorExe"="c:\program files\McAfee\SpamKiller\MSKDetct.exe" [2006-11-07 1121280]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-08-26 185896]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-06 1234712]
"SigmatelSysTrayApp"="stsystra.exe" [2005-03-22 c:\windows\stsystra.exe]

c:\documents and settings\LocalService\Start Menu\Programs\Startup\
updtpcps.bat [2003-02-27 39]

c:\documents and settings\NetworkService\Start Menu\Programs\Startup\
updtpcps.bat [2003-02-27 39]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Acrobat Assistant.lnk - c:\program files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 217193]
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2004-10-20 113664]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-06-14 24576]
QuickBooks Update Agent.lnk - c:\program files\Common Files\Intuit\QuickBooks\QBUpdate\qbupdate.exe [2004-11-11 806912]
Service Manager.lnk - c:\program files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2005-05-03 81920]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=

R0 edpwofvk;edpwofvk;c:\windows\system32\drivers\megvtacw.dat [ ]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-11-06 97928]
R2 AdobeActiveFileMonitor;Adobe Active File Monitor;c:\program files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [2004-10-20 98304]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2008-11-06 875288]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-06 231704]
R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2008-11-06 76040]
R2 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;c:\program files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [2004-10-20 118784]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2008-09-03 29744]
S3 PPCtlPriv;PPCtlPriv;c:\program files\CA\CA Internet Security Suite\CA Anti-Spyware\PPCtlPriv.exe [ ]
.
Contents of the 'Scheduled Tasks' folder

2008-10-31 c:\windows\Tasks\McAfee.com Scan for Viruses - My Computer (DH08H5B1-Amy).job
- c:\program files\mcafee.com\vso\mcmnhdlr.exe []
.
- - - - ORPHANS REMOVED - - - -

Notify-awvvs - c:\windows\system32\awvvs.dll
Notify-ddayx - c:\windows\system32\ddayx.dll
Notify-disknet - c:\windows\fonts\disknet.dll
Notify-gebyy - c:\windows\system32\gebyy.dll
Notify-mljji - c:\windows\system32\mljji.dll
Notify-vtsts - c:\windows\system32\vtsts.dll
Notify-vtutt - c:\windows\system32\vtutt.dll
Notify-efcbxvt - efcbxvt.dll

.
------- Supplementary Scan -------
.
FireFox -: Profile - c:\documents and settings\Ben\Application Data\Mozilla\Firefox\Profiles\zelqwdyd.default\
FF -: plugin - c:\program files\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
FF -: plugin - c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-07 13:01:29
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\edpwofvk]
"ImagePath"="system32\drivers\megvtacw.dat"
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
c:\windows\system32\wdfmgr.exe
c:\program files\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Completion time: 2008-11-07 13:04:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-11-07 18:04:16

Pre-Run: 56,067,465,216 bytes free
Post-Run: 58,160,807,936 bytes free

398 --- E O F --- 2008-10-25 02:37:56

11-12-2008, 06:47 PM	#5 (permalink)
paul.hunt Registered User Join Date: Nov 2008 Posts: 14 OS: Windows XP Home SP2	Re: Downloader.Delf.12.AN combofix.txt: ComboFix 08-11-06.01 - Ben 2008-11-07 12:48:05.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.649 [GMT -5:00] Running from: c:\documents and settings\Ben\Desktop\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\Amy\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML c:\windows\cookies.ini c:\windows\Fonts\ntp2.ini c:\windows\IE4 Error Log.txt c:\windows\system32\acbeg.bak1 c:\windows\system32\acbeg.ini c:\windows\system32\ahpnbwde.ini c:\windows\system32\amkyuqnf.ini c:\windows\system32\antnkkbd.ini c:\windows\system32\arjkvtmn.ini c:\windows\system32\atgddgcl.ini c:\windows\system32\auibnnqp.ini c:\windows\system32\bblhduyx.ini c:\windows\system32\bcwhpvka.ini c:\windows\system32\beopcdmp.ini c:\windows\system32\bgycaavl.ini c:\windows\system32\bkqjmhnw.ini c:\windows\system32\blbtxcym.ini c:\windows\system32\bllaytwx.ini c:\windows\system32\bnmlcwdk.ini c:\windows\system32\bpfwibor.ini c:\windows\system32\bsknvmfr.ini c:\windows\system32\bszip.dll c:\windows\system32\btntbpsc.ini c:\windows\system32\bxmxkdnk.ini c:\windows\system32\byahvyka.ini c:\windows\system32\byhilodc.ini c:\windows\system32\byrtolog.ini c:\windows\system32\byycmgkk.ini c:\windows\system32\ccxbtjss.ini c:\windows\system32\cequojch.ini c:\windows\system32\cgfofexj.ini c:\windows\system32\cilhhrtp.ini c:\windows\system32\cjfgpvas.ini c:\windows\system32\ckhbyqxu.ini c:\windows\system32\ckiqmtdg.ini c:\windows\system32\cplufkie.ini c:\windows\system32\cuygccbi.ini c:\windows\system32\cvakwipm.ini c:\windows\system32\cwvmgvfa.ini c:\windows\system32\cxrjbiwi.ini c:\windows\system32\dgwbqxot.ini c:\windows\system32\dklcxepi.ini c:\windows\system32\dktayqrp.ini c:\windows\system32\dqyqxydx.ini c:\windows\system32\drurvbtp.ini c:\windows\system32\dsvrehts.ini c:\windows\system32\dvsfolbl.ini c:\windows\system32\dxxlqgif.ini c:\windows\system32\eaefagjm.ini c:\windows\system32\eaxlplnb.ini c:\windows\system32\edbednjr.ini c:\windows\system32\eijvkysq.ini c:\windows\system32\ejqpskkx.ini c:\windows\system32\elpcfemt.ini c:\windows\system32\eoilwagg.ini c:\windows\system32\etnaqabs.ini c:\windows\system32\evubqvyy.ini c:\windows\system32\excdsrdw.ini c:\windows\system32\faldqfww.ini c:\windows\system32\famnyrbc.ini c:\windows\system32\fismdcrv.ini c:\windows\system32\flhpakqu.ini c:\windows\system32\frubmasf.ini c:\windows\system32\fubqlajw.ini c:\windows\system32\fwivoeiy.ini c:\windows\system32\gaagmuav.ini c:\windows\system32\ggjxcluj.ini c:\windows\system32\ghciopak.ini c:\windows\system32\ghcuwlwr.ini c:\windows\system32\ghqjjueg.ini c:\windows\system32\gpfqmqaq.ini c:\windows\system32\gpjsgdxl.ini c:\windows\system32\grvtedld.ini c:\windows\system32\gwbpsalt.ini c:\windows\system32\gxirfijt.ini c:\windows\system32\hasqoiww.ini c:\windows\system32\heobduki.ini c:\windows\system32\hfxwfyhs.ini c:\windows\system32\hhllyhgg.ini c:\windows\system32\hhqrlysi.ini c:\windows\system32\hhuncrqf.ini c:\windows\system32\huchbvwr.ini c:\windows\system32\hwcogfyh.ini c:\windows\system32\hxhjprlk.ini c:\windows\system32\hxqksbld.ini c:\windows\system32\hyjuelux.ini c:\windows\system32\icmerwba.ini c:\windows\system32\icyxdhbx.ini c:\windows\system32\ieubelin.ini c:\windows\system32\iiuaujti.ini c:\windows\system32\ijjlm.bak1 c:\windows\system32\ijjlm.bak2 c:\windows\system32\ijjlm.ini c:\windows\system32\ijjlm.ini2 c:\windows\system32\ijjlm.tmp c:\windows\system32\ilqbfiwt.ini c:\windows\system32\inmmrcnd.ini c:\windows\system32\iqnoyrak.ini c:\windows\system32\iufmridd.ini c:\windows\system32\ivndlnwv.ini c:\windows\system32\iywkjxcp.ini c:\windows\system32\jafylfnd.ini c:\windows\system32\japricsx.ini c:\windows\system32\jdvtaybj.ini c:\windows\system32\jiuydpsb.ini c:\windows\system32\jnhoyvwt.ini c:\windows\system32\jnsjcgeh.ini c:\windows\system32\jsdigevb.ini c:\windows\system32\jvsmknyg.ini c:\windows\system32\jylusoip.ini c:\windows\system32\jynjqcqx.ini c:\windows\system32\kbfyyotu.ini c:\windows\system32\kbloffih.ini c:\windows\system32\kfawedjr.ini c:\windows\system32\kgcrljuw.ini c:\windows\system32\knecteqm.ini c:\windows\system32\knpqkkhk.ini c:\windows\system32\korepldf.ini c:\windows\system32\kpksouci.ini c:\windows\system32\kqgkdrhm.ini c:\windows\system32\ktmasyqs.ini c:\windows\system32\kyqonued.ini c:\windows\system32\latoskxh.ini c:\windows\system32\latsujun.ini c:\windows\system32\lhhrylbe.ini c:\windows\system32\ljbxpxni.ini c:\windows\system32\lkcnonhh.ini c:\windows\system32\lkyjoqci.ini c:\windows\system32\llgyyyxm.ini c:\windows\system32\lnajbhkb.ini c:\windows\system32\logrvxwj.ini c:\windows\system32\lojxqlxy.ini c:\windows\system32\lrqxumpg.ini c:\windows\system32\mabjhcgd.ini c:\windows\system32\mbeomupp.ini c:\windows\system32\mcgrqaaa.ini c:\windows\system32\mcrh.tmp c:\windows\system32\mhtowqpl.ini c:\windows\system32\mkmqgkhr.ini c:\windows\system32\mksseugp.ini c:\windows\system32\mrpvbynd.ini c:\windows\system32\mtqjnfjs.ini c:\windows\system32\mwsojvbp.ini c:\windows\system32\nbphwaxe.ini c:\windows\system32\ncifgyrs.ini c:\windows\system32\ndfgdmny.ini c:\windows\system32\nekkftsi.ini c:\windows\system32\nhsapfem.ini c:\windows\system32\njjyioeh.ini c:\windows\system32\nlgqpebf.ini c:\windows\system32\noattktw.ini c:\windows\system32\nrrwlyyh.ini c:\windows\system32\nsiqtilb.ini c:\windows\system32\nsiruoif.ini c:\windows\system32\nsogahle.ini c:\windows\system32\nsyppxgd.ini c:\windows\system32\obdkirjq.ini c:\windows\system32\ohykmfci.ini c:\windows\system32\oigujvfl.ini c:\windows\system32\onkgntap.ini c:\windows\system32\osbsgkei.ini c:\windows\system32\osfulmhk.ini c:\windows\system32\oticfytr.ini c:\windows\system32\owqnmqpg.ini c:\windows\system32\oxjqsgqn.ini c:\windows\system32\oxvufqex.ini c:\windows\system32\oyhllxlm.ini c:\windows\system32\pdxnssir.ini c:\windows\system32\pfmanbrd.ini c:\windows\system32\pjljwtuq.ini c:\windows\system32\pmffsnne.ini c:\windows\system32\pokckpvv.ini c:\windows\system32\ppnbdtox.ini c:\windows\system32\pptxujtl.ini c:\windows\system32\pqcvdnaf.ini c:\windows\system32\prfgopgo.ini c:\windows\system32\ptviocug.ini c:\windows\system32\pubmnpcx.ini c:\windows\system32\pvamfnwh.ini c:\windows\system32\qcrretne.ini c:\windows\system32\qcvooudx.ini c:\windows\system32\qevgldsa.ini c:\windows\system32\qhwdjtvu.ini c:\windows\system32\qrnnbond.ini c:\windows\system32\qupkylky.ini c:\windows\system32\qxdflprp.ini c:\windows\system32\rfoccuwj.ini c:\windows\system32\rguuruke.ini c:\windows\system32\rifdqcqh.ini c:\windows\system32\rimfogio.ini c:\windows\system32\rimwcnoy.ini c:\windows\system32\rlgmdjno.ini c:\windows\system32\rluqnboq.ini c:\windows\system32\rqnkkjcn.ini c:\windows\system32\rvnqpsya.ini c:\windows\system32\sahcbpap.ini c:\windows\system32\sfdbjthe.ini c:\windows\system32\sfyxqlww.ini c:\windows\system32\sgdipqui.ini c:\windows\system32\shdokogx.ini c:\windows\system32\shnykbag.ini c:\windows\system32\sjturrip.ini c:\windows\system32\smhrfnkk.ini c:\windows\system32\snxnfleq.ini c:\windows\system32\sqyutwqc.ini c:\windows\system32\ssohlmsf.ini c:\windows\system32\sswpryab.ini c:\windows\system32\ststv.bak1 c:\windows\system32\ststv.ini c:\windows\system32\svhoifwj.ini c:\windows\system32\svvwa.bak1 c:\windows\system32\svvwa.bak2 c:\windows\system32\svvwa.ini c:\windows\system32\svvwa.tmp c:\windows\system32\svvwa.tmp2 c:\windows\system32\tfmeaxuu.ini c:\windows\system32\tlwadjsx.ini c:\windows\system32\tpomyvll.ini c:\windows\system32\ttutv.bak1 c:\windows\system32\ttutv.bak2 c:\windows\system32\ttutv.ini c:\windows\system32\ttutv.ini2 c:\windows\system32\ttutv.tmp c:\windows\system32\twbtgmhj.ini c:\windows\system32\twlirdvr.ini c:\windows\system32\twqiogta.ini c:\windows\system32\tywdinkq.ini c:\windows\system32\upnnaibf.ini c:\windows\system32\utglaxis.ini c:\windows\system32\utwkjpiw.ini c:\windows\system32\uyhmleso.ini c:\windows\system32\vdxqnmau.ini c:\windows\system32\vgsmlkih.ini c:\windows\system32\vlygiruy.ini c:\windows\system32\vsdrcomw.ini c:\windows\system32\wljxcxci.ini c:\windows\system32\wnqagpvm.ini c:\windows\system32\woyvmsxx.ini c:\windows\system32\wptkfcfb.ini c:\windows\system32\wxrxnaum.ini c:\windows\system32\xeuymqje.ini c:\windows\system32\xfqqbwbj.ini c:\windows\system32\xgbqhths.ini c:\windows\system32\xgtxkixy.ini c:\windows\system32\xgxjaoll.ini c:\windows\system32\xibsheiu.ini c:\windows\system32\xmrjdtmv.ini c:\windows\system32\xnmcvhca.ini c:\windows\system32\xqidudbw.ini c:\windows\system32\xrfbrdyy.ini c:\windows\system32\xyadd.bak1 c:\windows\system32\xyadd.ini c:\windows\system32\ybkxfgdx.ini c:\windows\system32\ydnbfjjr.ini c:\windows\system32\yfcwhoht.ini c:\windows\system32\yiafxhmm.ini c:\windows\system32\yidvwwxl.ini c:\windows\system32\yonjcpnv.ini c:\windows\system32\yuinbxvl.ini c:\windows\system32\ywpgtmgo.ini c:\windows\system32\yyjssuxw.ini c:\windows\system32\yytvusfg.ini . ((((((((((((((((((((((((( Files Created from 2008-10-07 to 2008-11-07 ))))))))))))))))))))))))))))))) . 2008-11-06 09:56 . 2008-11-06 13:17 <DIR> d--h----- C:\$AVG8.VAULT$ 2008-11-06 09:52 . 2008-11-07 12:37 <DIR> d-------- c:\windows\system32\drivers\Avg 2008-11-06 09:52 . 2008-11-06 09:59 <DIR> d-------- c:\documents and settings\Ben\Application Data\AVGTOOLBAR 2008-11-06 09:52 . 2008-11-06 09:52 97,928 --a------ c:\windows\system32\drivers\avgldx86.sys 2008-11-06 09:52 . 2008-11-06 09:52 10,520 --a------ c:\windows\system32\avgrsstx.dll 2008-11-06 09:51 . 2008-11-06 09:51 <DIR> d-------- c:\program files\AVG 2008-11-06 09:51 . 2008-11-06 09:51 <DIR> d-------- c:\documents and settings\All Users\Application Data\avg8 2008-11-06 09:51 . 2008-11-06 09:51 76,040 --a------ c:\windows\system32\drivers\avgtdix.sys 2008-11-06 09:30 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys 2008-11-06 09:30 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\dllcache\usbccgp.sys 2008-11-06 09:30 . 2004-08-04 00:56 21,504 --a------ c:\windows\system32\hidserv.dll 2008-11-06 09:30 . 2004-08-04 00:56 21,504 --a------ c:\windows\system32\dllcache\hidserv.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-06 14:48 --------- d-----w c:\documents and settings\All Users\Application Data\McAfee.com 2008-11-03 01:49 --------- d-----w c:\documents and settings\Ben\Application Data\AdobeUM 2007-04-29 14:29 800,272 ----a-w c:\documents and settings\Ben\ppctl.dll 2007-08-24 23:27 1,135 --sh--w c:\windows\Fonts\ntp2.ini2 2007-02-18 19:41 88 --sh--r c:\windows\system32\D47D29D109.sys 2007-02-18 19:41 3,350 --sha-w c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . Note empty entries & legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{10708868-CEF5-49E5-A211-A8339B8F7188}] 2008-03-10 17:21 98048 --a------ c:\windows\system32\dsoun.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-10-14 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-10-14 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-10-14 114688] "SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 32881] "DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-06-14 98304] "ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-06-10 249856] "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-06-10 81920] "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-03 29744] "EPSON Stylus Photo 820 Series (Copy 1)"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S0EIC1.EXE" [2002-04-10 74240] "MSKDetectorExe"="c:\program files\McAfee\SpamKiller\MSKDetct.exe" [2006-11-07 1121280] "TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-08-26 185896] "AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-06 1234712] "SigmatelSysTrayApp"="stsystra.exe" [2005-03-22 c:\windows\stsystra.exe] c:\documents and settings\LocalService\Start Menu\Programs\Startup\ updtpcps.bat [2003-02-27 39] c:\documents and settings\NetworkService\Start Menu\Programs\Startup\ updtpcps.bat [2003-02-27 39] c:\documents and settings\All Users\Start Menu\Programs\Startup\ Acrobat Assistant.lnk - c:\program files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 217193] Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2004-10-20 113664] Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-06-14 24576] QuickBooks Update Agent.lnk - c:\program files\Common Files\Intuit\QuickBooks\QBUpdate\qbupdate.exe [2004-11-11 806912] Service Manager.lnk - c:\program files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2005-05-03 81920] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Real\\RealPlayer\\realplay.exe"= "c:\\Program Files\\AVG\\AVG8\\avgemc.exe"= "c:\\Program Files\\AVG\\AVG8\\avgupd.exe"= R0 edpwofvk;edpwofvk;c:\windows\system32\drivers\megvtacw.dat [ ] R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-11-06 97928] R2 AdobeActiveFileMonitor;Adobe Active File Monitor;c:\program files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [2004-10-20 98304] R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2008-11-06 875288] R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-06 231704] R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2008-11-06 76040] R2 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;c:\program files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [2004-10-20 118784] S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2008-09-03 29744] S3 PPCtlPriv;PPCtlPriv;c:\program files\CA\CA Internet Security Suite\CA Anti-Spyware\PPCtlPriv.exe [ ] . Contents of the 'Scheduled Tasks' folder 2008-10-31 c:\windows\Tasks\McAfee.com Scan for Viruses - My Computer (DH08H5B1-Amy).job - c:\program files\mcafee.com\vso\mcmnhdlr.exe [] . - - - - ORPHANS REMOVED - - - - Notify-awvvs - c:\windows\system32\awvvs.dll Notify-ddayx - c:\windows\system32\ddayx.dll Notify-disknet - c:\windows\fonts\disknet.dll Notify-gebyy - c:\windows\system32\gebyy.dll Notify-mljji - c:\windows\system32\mljji.dll Notify-vtsts - c:\windows\system32\vtsts.dll Notify-vtutt - c:\windows\system32\vtutt.dll Notify-efcbxvt - efcbxvt.dll . ------- Supplementary Scan ------- . FireFox -: Profile - c:\documents and settings\Ben\Application Data\Mozilla\Firefox\Profiles\zelqwdyd.default\ FF -: plugin - c:\program files\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll FF -: plugin - c:\program files\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll FF -: plugin - c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll . ************************************************************************ catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-07 13:01:29 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ********************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\edpwofvk] "ImagePath"="system32\drivers\megvtacw.dat" . ------------------------ Other Running Processes ------------------------ . c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE c:\program files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe c:\windows\system32\wdfmgr.exe c:\program files\AVG\AVG8\avgrsx.exe . ************************************************************************ . Completion time: 2008-11-07 13:04:22 - machine was rebooted ComboFix-quarantined-files.txt 2008-11-07 18:04:16 Pre-Run: 56,067,465,216 bytes free Post-Run: 58,160,807,936 bytes free 398 --- E O F --- 2008-10-25 02:37:56