Welcome to Tech Support Forum home to more then 136,000 problems solved. Issues have included: Spyware, Malware, Virus Issues, Windows, Microsoft, Linux, Networking, Security, Hardware, and Gaming Getting your problem solved is as easy as:
1. Registering for a free account
2. Asking your question
3. Receiving an answer

Registered members:
* Get free support
* Communicate privately with other members (PM).
* Removal of this message
* See fewer ads.
* And much more..

 


Want to know how to post a question? click here Having problems with spyware and pop-ups? First Steps
Go Back   Tech Support Forum > Security Center > Virus/Trojan/Spyware Help > Resolved HJT Threads
Reload this Page [SOLVED] PC being used for sending spam, Suspect: svchost.exe
User Name
Password
Site Map Register Donate Rules Blogs Mark Forums Read


Resolved HJT Threads Resolved spyware and popup issues.

 
 
LinkBack Thread Tools
Old 04-26-2008, 02:37 AM   #1 (permalink)
Registered User
 
Join Date: Apr 2008
Posts: 11
OS: Windows XP SP3


[SOLVED] PC being used for sending spam, Suspect: svchost.exe
Hello all,
I've found this forum after reading GianMarco thread. He apparently had the same problem as i do. For the last two months or so, my server would reject my IP when I tried to send emails saying that I had been blacklisted (spamcop site). Last week I had my port 25 blocked by my ISP. It is open now. I had BitDefender Internet Security installed, and the scans never detected anything. I also ran Kasperksy and Panda online scanners. Afterwards I installed RUBotted utility by Trend Micro, and eventually it would show an alert saying that some malicious software was trying to access my PC remotely. I then uninstalled BitDefender and Installed Trend Micro trial which i have running now. Today ther firewall showed that svchost.exe was suspect and was trying to access port 25. I blocked access and found this forum.
Following the first step i already ran dss.exe with this result:

Deckard's System Scanner v20071014.68
Run by Luis on 2008-04-26 10:10:47
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

System Restore is disabled; attempting to re-enable...success.


-- Last 1 Restore Point(s) --
1: 2008-04-26 08:10:49 UTC - RP1 - Punto de control del sistema


Backed up registry hives.
Performed disk cleanup.

Percentage of Memory in Use: 78% (more than 75%).


-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-04-26 10:14:08
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\FolderSize\FolderSizeSvc.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\Service.exe
C:\Archivos de programa\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Update Service\livesrv.exe
C:\Archivos de programa\Trend Micro\BM\TMBMSRV.exe
C:\Archivos de programa\Trend Micro\Internet Security\TmPfw.exe
C:\Archivos de programa\Trend Micro\Internet Security\TmProxy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\BitDefender\BitDefender 2008\bdagent.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Trend Micro\Internet Security\UfSeAgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\Archivos de programa\Yztoolbar\YzToolBar.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Last.fm\LastFMHelper.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\HP\HP Software Update\hpwuSchd2.exe
C:\Archivos de programa\RK Launcher\RKLauncher.exe
C:\Archivos de programa\Microsoft Office\Office12\OUTLOOK.EXE
C:\Archivos de programa\Microsoft Office\Office12\OUTLOOK.EXE
C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Update Service\upgrepl.exe
C:\WINDOWS\system32\3007WFP\LcdOSD.exe
C:\WINDOWS\system32\3007WFP\LcdOSD.exe
C:\Archivos de programa\Trend Micro\RUBotted\TMRUBottedLite.exe
C:\Documents and Settings\Luis\Escritorio\dss.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/ig?hl=es
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Archivos de programa\Scpad\scpsssh2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Archivos de programa\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Archivos de programa\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TMRUBottedTray] "C:\Archivos de programa\Trend Micro\RUBotted\TMRUBottedTray.exe"
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Archivos de programa\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: Acceso directo a YzToolBar.exe.lnk = C:\Archivos de programa\Yztoolbar\YzToolBar.exe
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Last.fm Helper.lnk = C:\Archivos de programa\Last.fm\LastFMHelper.exe
O4 - Startup: RKLauncher.lnk = C:\Archivos de programa\RK Launcher\RKLauncher.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Suitcase Startup.lnk = C:\Archivos de programa\Extensis\Suitcase\Suitcase.exe
O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish...an_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get.../ultrashim.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {DE22A7AB-A739-4C58-AD52-21F9CD6306B7} (CTAdjust Class) - http://download.microsoft.com/downlo...4/clearadj.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Archivos de programa\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Archivos de programa\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Archivos de programa\Archivos comunes\Skype\Skype4COM.dll
O18 - Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: AtiExtEvent - C:\WINDOWS\system32\
O20 - Winlogon Notify: ntvdmd32 - C:\WINDOWS\system32\ntvdmd32.dll
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Archivos de programa\Scpad\scpLIB.dll
O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Archivos de programa\Scpad\scpLIB.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Archivos de programa\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Archivos de programa\Archivos comunes\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
O23 - Service: Trend Micro RUBotted Service (RUBotted) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\RUBotted\TMRUBotted.exe
O23 - Service: Dell 3007WFP (Service) - Unknown owner - C:\WINDOWS\system32\Service.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\Internet Security\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\Internet Security\TmProxy.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Communicator\xcommsvr.exe
O24 - Desktop Component 0: - file:///C:/DOCUME~1/Luis/CONFIG~1/Temp/msohtmlclip1/01/clip_image002.gif

--
End of file - 16099 bytes

-- File Associations -----------------------------------------------------------

.bat - batfile - DefaultIcon - C:\Archivos de programa\Stardock\Object Desktop\IconPackager\Themes\ptheme\Panther hybrid.icl,48
.cmd - cmdfile - DefaultIcon - C:\Archivos de programa\Stardock\Object Desktop\IconPackager\Themes\ptheme\Panther hybrid.icl,48
.chm - chm.file - DefaultIcon - C:\Archivos de programa\Stardock\Object Desktop\IconPackager\Themes\ptheme\Panther hybrid.icl,59
.hlp - hlpfile - DefaultIcon - C:\Archivos de programa\Stardock\Object Desktop\IconPackager\Themes\ptheme\Panther hybrid.icl,65
.inf - inffile - DefaultIcon - C:\WINDOWS\system32\shell32.dll,69
.ini - inifile - DefaultIcon - C:\Archivos de programa\Stardock\Object Desktop\IconPackager\Themes\ptheme\Panther hybrid.icl,38
.js - JSFile - DefaultIcon - C:\Archivos de programa\Stardock\Object Desktop\IconPackager\Themes\ptheme\Panther hybrid.icl,74
.reg - regfile - DefaultIcon - H:\Drivers\icon_pack\Icons\Application Icons\Resource Hacker.ico,0
.scr - AutoCADScriptFile - shell\open\command - "C:\WINDOWS\system32\NOTEPAD.EXE" "%1"
.txt - txtfile - DefaultIcon - C:\Archivos de programa\Stardock\Object Desktop\IconPackager\Themes\ptheme\Panther hybrid.icl,49


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 sfdrv01 (StarForce Protection Environment Driver (version 1.x)) - c:\windows\system32\drivers\sfdrv01.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfhlp02 (StarForce Protection Helper Driver (version 2.x)) - c:\windows\system32\drivers\sfhlp02.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfsync02 (StarForce Protection Synchronization Driver (version 2.x)) - c:\windows\system32\drivers\sfsync02.sys <Not Verified; Protection Technology; StarForce Protection System>
R2 Sentinel - c:\windows\system32\drivers\sentinel.sys <Not Verified; SafeNet, Inc.; Sentinel System Driver>
R2 SSIPDDP (SSIPDDP Parallel port device driver) - c:\windows\system32\drivers\ssipddp.sys

S1 InCDPass - c:\windows\system32\drivers\incdpass.sys (file missing)
S1 InCDRm (InCD Reader) - c:\windows\system32\drivers\incdrm.sys (file missing)
S3 Ad-Watch Connect Filter (Ad-Watch Connect Kernel Filter) - c:\windows\system32\drivers\nsdriver.sys (file missing)
S3 PavSRK.sys - c:\windows\system32\pavsrk.sys (file missing)
S3 PavTPK.sys - c:\windows\system32\pavtpk.sys (file missing)
S3 SDTHOOK - c:\windows\system32\drivers\sdthook.sys <Not Verified; Panda Software; Panda® Antivirus>
S4 InCDFs (InCD File System) - c:\windows\system32\drivers\incdfs.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 Apple Mobile Device - "c:\archivos de programa\archivos comunes\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
R2 Bonjour Service (##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##) - "c:\archivos de programa\bonjour\mdnsresponder.exe" <Not Verified; Apple Computer, Inc.; Bonjour>
R2 FolderSize (Folder Size) - "c:\archivos de programa\foldersize\foldersizesvc.exe" <Not Verified; Brio; Folder Size for Windows>
R2 RichVideo (Cyberlink RichVideo Service(CRVS)) - "c:\archivos de programa\cyberlink\shared files\richvideo.exe" <Not Verified; ; RichVideo Module>
R2 Service (Dell 3007WFP) - c:\windows\system32\service.exe

S3 AresChatServer (Ares Chatroom server) - c:\archivos de programa\ares\chatserver.exe <Not Verified; Ares Development Group; Ares Chat Server>
S3 FLEXnet Licensing Service - "c:\archivos de programa\archivos comunes\macrovision shared\flexnet publisher\fnplicensingservice.exe" <Not Verified; Macrovision Europe Ltd.; FLEXnet Publisher (32 bit)>
S3 InstallShield Licensing Service - "c:\archivos de programa\archivos comunes\installshield shared\service\installshield licensing service.exe" <Not Verified; Macrovision; FLEXnet Authentication Service>
S3 ServiceLayer - "c:\archivos de programa\pc connectivity solution\servicelayer.exe" <Not Verified; Nokia.; PC Connectivity Solution>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Nokia N81 8GB
Device ID: ROOT\WPD\0000
Manufacturer: Nokia
Name: Nokia N81 8GB
PNP Device ID: ROOT\WPD\0000
Service: WUDFRd


-- Scheduled Tasks -------------------------------------------------------------

2008-04-17 02:10:39 400 --a------ C:\WINDOWS\Tasks\GBM - Copia de Seguridad-Full.job


-- Files created between 2008-03-26 and 2008-04-26 -----------------------------

2008-04-15 11:56:09 0 d-------- C:\Archivos de programa\Trend Micro


-- Find3M Report ---------------------------------------------------------------

2008-04-26 10:08:28 0 d-------- C:\Archivos de programa\Trillian
2008-04-25 19:47:59 0 d-------- C:\Archivos de programa\Soulseek
2008-04-24 23:48:46 0 d-------- C:\Archivos de programa\Picasa2
2008-04-24 20:27:51 0 d-------- C:\Archivos de programa\Chattage
2008-04-23 23:50:10 0 d-------- C:\Archivos de programa\IconPackager
2008-04-23 18:18:05 0 d-------- C:\Archivos de programa\Archivos comunes
2008-04-23 18:16:07 81984 --a------ C:\WINDOWS\system32\bdod.bin
2008-04-22 20:03:51 2516 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2008-04-22 10:45:28 0 d-------- C:\Documents and Settings\Luis\Datos de programa\AdobeUM
2008-04-19 20:38:51 0 d-------- C:\Documents and Settings\Luis\Datos de programa\Ubisoft
2008-04-19 19:36:56 0 d--h----- C:\Archivos de programa\InstallShield Installation Information
2008-04-18 21:40:57 0 d-------- C:\Documents and Settings\Luis\Datos de programa\dvdcss
2008-04-17 21:50:40 0 d-------- C:\Documents and Settings\Luis\Datos de programa\Skype
2008-04-17 17:47:40 0 d-------- C:\Documents and Settings\Luis\Datos de programa\skypePM
2008-04-16 11:23:49 0 d-------- C:\Archivos de programa\AutoCAD 2008
2008-04-15 11:55:29 0 d-------- C:\Documents and Settings\Luis\Datos de programa\InstallShield
2008-04-12 03:03:48 509116 --a------ C:\WINDOWS\system32\perfh00A.dat
2008-04-12 03:03:48 91970 --a------ C:\WINDOWS\system32\perfc00A.dat
2008-04-06 23:31:14 0 d-------- C:\Archivos de programa\Mozilla Firefox 3 Beta 3
2008-04-04 16:49:21 0 d-------- C:\Archivos de programa\eMule
2008-03-24 23:16:37 0 d-------- C:\Archivos de programa\PDFCreator
2008-03-23 13:40:37 0 d-------- C:\Archivos de programa\Java
2008-03-22 15:12:21 0 d-------- C:\Archivos de programa\Ahead
2008-03-16 1711 0 d-------- C:\Archivos de programa\Medieval Software
2008-03-14 12:25:48 0 d-------- C:\Archivos de programa\Archivos comunes\Stardock
2008-03-14 12:25:45 0 d-------- C:\Archivos de programa\Stardock
2008-03-14 11:04:10 0 d-------- C:\Archivos de programa\Yztoolbar
2008-03-08 01:15:37 0 d-------- C:\Documents and Settings\Luis\Datos de programa\Adobe
2008-03-03 13:32:11 0 d-------- C:\Archivos de programa\Last.fm
2008-03-03 11:13:13 0 d-------- C:\Archivos de programa\High-Logic
2008-03-01 00:20:11 0 d-------- C:\Archivos de programa\Yahoo!
2008-02-29 01:32:23 0 d-------- C:\Archivos de programa\MSN Messenger
2008-02-29 01:31:32 0 d-------- C:\Archivos de programa\Windows Live
2008-02-29 01:30:57 0 d--hs--c- C:\Archivos de programa\Archivos comunes\WindowsLiveInstaller
2008-02-28 11:20:23 0 d-------- C:\Archivos de programa\iTunes
2008-02-28 11:20:16 0 d-------- C:\Archivos de programa\iPod
2008-02-28 11:18:57 0 d-------- C:\Archivos de programa\QuickTime
2008-02-27 17:47:53 0 d--h----- C:\Archivos de programa\Scpad
2008-02-27 17:47:52 0 d-------- C:\Archivos de programa\RK Launcher
2008-02-27 17:41:50 0 d-------- C:\Archivos de programa\Messenger
2008-02-27 17:31:35 0 d-------- C:\Archivos de programa\FolderSize
2008-02-27 17:31:07 0 d-------- C:\Archivos de programa\DAEMON Tools
2008-02-27 17:29:07 0 d-------- C:\Archivos de programa\Bonjour
2008-02-27 16:55:57 0 d-------- C:\Archivos de programa\Archivos comunes\Autodesk Shared
2008-02-26 19:16:40 0 d-------- C:\Archivos de programa\TGTSoft
2008-02-20 22:41:17 77824 --a------ C:\WINDOWS\system32\xcomm.dll <Not Verified; BitDefender; BitDefender Communicator>
2008-02-20 16:16:14 2413 --a------ C:\WINDOWS\mozver.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acceso directo a la página de propiedades de High Definition Audio"="HDAudPropShortcut.exe" [17/03/2004 16:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"ISUSPM Startup"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [11/08/2005 17:30]
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [11/08/2005 17:30]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09/07/2001 11:50]
"HP Component Manager"="C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe" [12/01/2005 15:54]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe" [22/02/2008 05:25]
"NSLauncher"="C:\Archivos de programa\Nokia\Nokia Software Launcher\NSLauncher.exe" [07/09/2007 15:44]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [18/12/2007 20:55]
"nwiz"="nwiz.exe" [18/12/2007 20:55 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [18/12/2007 20:55]
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" [07/12/2005 23:57]
"LanguageShortcut"="C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" [18/05/2006 12:29]
"BDAgent"="C:\Archivos de programa\BitDefender\BitDefender 2008\bdagent.exe" [14/03/2008 13:43]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [01/02/2008 00:13]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [19/02/2008 14:10]
"TMRUBottedTray"="C:\Archivos de programa\Trend Micro\RUBotted\TMRUBottedTray.exe" [19/12/2007 00:18]
"UfSeAgnt.exe"="C:\Archivos de programa\Trend Micro\Internet Security\UfSeAgnt.exe" [16/02/2008 00:56]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [08/05/2007 16:24]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 20:42]
"DAEMON Tools"="C:\Archivos de programa\DAEMON Tools\daemon.exe" [12/11/2006 12:48]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe" [28/10/2005 17:25]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.exe" [29/02/2008 01:55]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [13/10/2004 18:24]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Picasa Media Detector"=C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

C:\Documents and Settings\Luis\Men£ Inicio\Programas\Inicio\
Acceso directo a YzToolBar.exe.lnk - C:\Archivos de programa\Yztoolbar\YzToolBar.exe [14/03/2008 11:04:00]
Adobe Gamma.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [16/03/2005 20:16:50]
Last.fm Helper.lnk - C:\Archivos de programa\Last.fm\LastFMHelper.exe [03/03/2008 13:32:08]
RKLauncher.lnk - C:\Archivos de programa\RK Launcher\RKLauncher.exe [24/01/2007 15:53:08]
Yahoo! Widgets.lnk - C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe [12/12/2007 0:34:48]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Acrobat Assistant.lnk - C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe [24/10/2003 6:37:56]
Adobe Gamma Loader.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [16/03/2005 20:16:50]
Google Updater.lnk - C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe [10/10/2007 23:15:01]
Suitcase Startup.lnk - C:\Archivos de programa\Extensis\Suitcase\Suitcase.exe [27/10/2007 13:09:45]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{A3717295-941D-416F-9384-ED1736729F1C}"= C:\Archivos de programa\Scpad\scpLIB.dll [27/03/2007 01:29 128512]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"CompIBBrd"= {A3717295-941D-416F-9384-ED1736729F1C} - C:\Archivos de programa\Scpad\scpLIB.dll [27/03/2007 01:29 128512]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ntvdmd32]
ntvdmd32.dll 13/07/2004 08:52 8192 C:\WINDOWS\system32\ntvdmd32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx scan


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43d39669-bd78-11dc-9517-000fea8cf1a6}]
AutoRun\command- J:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3045d3e-ab84-11db-92ec-000fea8cf1a6}]
AutoRun\command- I:\autorun.exe

*Newly Created Service* - PML_DRIVER_HPZ12



-- End of Deckard's System Scanner: finished at 2008-04-26 10:15:00 ------------

So I beg you for help, i am totally lost and quite bothered with BitDefender efficiency. Thank you so much in advance.
At your command.
Attached Files
File Type: txt extra.txt (41.1 KB, 1 views)
MouseOnMars is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Important Information
Join the #1 Tech Support Forum Today - It's Totally Free!

TechSupportForum.com is a leading support website for your computer needs. We offer free, friendly and personalized computer support. Why pay to have your computer fixed when you can do it for free.

Join TechSupportforum.com Today - Click Here

Old 04-26-2008, 09:27 AM   #2 (permalink)
Registered User
 
Join Date: Apr 2008
Posts: 11
OS: Windows XP SP3


UPDATED DSS.EXE Results. Re: PC being used for sending spam, Suspect: svchost.exe
Hello again,
I saw that I hadn't completely removed BitDefender and that Outlook was still running in the background. I closed all programs now. Cleaned the registry with CCleaner and here are the results, i hope it makes it a bit easier for you gurus. Sorry for the first attempt.

Deckard's System Scanner v20071014.68
Run by Luis on 2008-04-26 17:22:18
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-04-26 17:22:57
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\FolderSize\FolderSizeSvc.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\Service.exe
C:\Archivos de programa\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\3007WFP\LcdOSD.exe
C:\WINDOWS\system32\3007WFP\LcdOSD.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Archivos de programa\Trend Micro\BM\TMBMSRV.exe
C:\Archivos de programa\Trend Micro\Internet Security\UfSeAgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\HP\HP Software Update\hpwuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\Archivos de programa\Yztoolbar\YzToolBar.exe
C:\Archivos de programa\Last.fm\LastFMHelper.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\RUBotted\TMRUBottedLite.exe
C:\Archivos de programa\Trend Micro\Internet Security\TmPfw.exe
C:\Archivos de programa\Trend Micro\Internet Security\TmProxy.exe
C:\Documents and Settings\Luis\Escritorio\dss.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/ig?hl=es
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Archivos de programa\Scpad\scpsssh2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Archivos de programa\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TMRUBottedTray] "C:\Archivos de programa\Trend Micro\RUBotted\TMRUBottedTray.exe"
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Archivos de programa\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: Acceso directo a YzToolBar.exe.lnk = C:\Archivos de programa\Yztoolbar\YzToolBar.exe
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Last.fm Helper.lnk = C:\Archivos de programa\Last.fm\LastFMHelper.exe
O4 - Startup: RKLauncher.lnk = C:\Archivos de programa\RK Launcher\RKLauncher.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Suitcase Startup.lnk = C:\Archivos de programa\Extensis\Suitcase\Suitcase.exe
O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} () - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish...an_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} () - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get.../ultrashim.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} () - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {DE22A7AB-A739-4C58-AD52-21F9CD6306B7} () - http://download.microsoft.com/downlo...4/clearadj.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Archivos de programa\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Archivos de programa\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Archivos de programa\Archivos comunes\Skype\Skype4COM.dll
O18 - Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: AtiExtEvent - C:\WINDOWS\system32\
O20 - Winlogon Notify: ntvdmd32 - C:\WINDOWS\system32\ntvdmd32.dll
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Archivos de programa\Scpad\scpLIB.dll
O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Archivos de programa\Scpad\scpLIB.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Archivos de programa\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Archivos de programa\Archivos comunes\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
O23 - Service: Trend Micro RUBotted Service (RUBotted) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\RUBotted\TMRUBotted.exe
O23 - Service: Dell 3007WFP (Service) - Unknown owner - C:\WINDOWS\system32\Service.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\Internet Security\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\Internet Security\TmProxy.exe
O24 - Desktop Component 0: - file:///C:/DOCUME~1/Luis/CONFIG~1/Temp/msohtmlclip1/01/clip_image002.gif

--
End of file - 14848 bytes

-- Files created between 2008-03-26 and 2008-04-26 -----------------------------

2008-04-15 11:56:09 0 d-------- C:\Archivos de programa\Trend Micro


-- Find3M Report ---------------------------------------------------------------

2008-04-26 17:05:28 0 d-------- C:\Archivos de programa\Trillian
2008-04-25 19:47:59 0 d-------- C:\Archivos de programa\Soulseek
2008-04-24 23:48:46 0 d-------- C:\Archivos de programa\Picasa2
2008-04-24 20:27:51 0 d-------- C:\Archivos de programa\Chattage
2008-04-23 23:50:10 0 d-------- C:\Archivos de programa\IconPackager
2008-04-23 18:18:05 0 d-------- C:\Archivos de programa\Archivos comunes
2008-04-23 18:16:07 81984 --a------ C:\WINDOWS\system32\bdod.bin
2008-04-22 20:03:51 2516 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2008-04-22 10:45:28 0 d-------- C:\Documents and Settings\Luis\Datos de programa\AdobeUM
2008-04-19 20:38:51 0 d-------- C:\Documents and Settings\Luis\Datos de programa\Ubisoft
2008-04-19 19:36:56 0 d--h----- C:\Archivos de programa\InstallShield Installation Information
2008-04-18 21:40:57 0 d-------- C:\Documents and Settings\Luis\Datos de programa\dvdcss
2008-04-17 21:50:40 0 d-------- C:\Documents and Settings\Luis\Datos de programa\Skype
2008-04-17 17:47:40 0 d-------- C:\Documents and Settings\Luis\Datos de programa\skypePM
2008-04-16 11:23:49 0 d-------- C:\Archivos de programa\AutoCAD 2008
2008-04-15 11:55:29 0 d-------- C:\Documents and Settings\Luis\Datos de programa\InstallShield
2008-04-12 03:03:48 509116 --a------ C:\WINDOWS\system32\perfh00A.dat
2008-04-12 03:03:48 91970 --a------ C:\WINDOWS\system32\perfc00A.dat
2008-04-06 23:31:14 0 d-------- C:\Archivos de programa\Mozilla Firefox 3 Beta 3
2008-04-04 16:49:21 0 d-------- C:\Archivos de programa\eMule
2008-03-24 23:16:37 0 d-------- C:\Archivos de programa\PDFCreator
2008-03-23 13:40:37 0 d-------- C:\Archivos de programa\Java
2008-03-22 15:12:21 0 d-------- C:\Archivos de programa\Ahead
2008-03-16 1711 0 d-------- C:\Archivos de programa\Medieval Software
2008-03-14 12:25:48 0 d-------- C:\Archivos de programa\Archivos comunes\Stardock
2008-03-14 12:25:45 0 d-------- C:\Archivos de programa\Stardock
2008-03-14 11:04:10 0 d-------- C:\Archivos de programa\Yztoolbar
2008-03-08 01:15:37 0 d-------- C:\Documents and Settings\Luis\Datos de programa\Adobe
2008-03-03 13:32:11 0 d-------- C:\Archivos de programa\Last.fm
2008-03-03 11:13:13 0 d-------- C:\Archivos de programa\High-Logic
2008-03-01 00:20:11 0 d-------- C:\Archivos de programa\Yahoo!
2008-02-29 01:32:23 0 d-------- C:\Archivos de programa\MSN Messenger
2008-02-29 01:31:32 0 d-------- C:\Archivos de programa\Windows Live
2008-02-29 01:30:57 0 d--hs--c- C:\Archivos de programa\Archivos comunes\WindowsLiveInstaller
2008-02-28 11:20:23 0 d-------- C:\Archivos de programa\iTunes
2008-02-28 11:20:16 0 d-------- C:\Archivos de programa\iPod
2008-02-28 11:18:57 0 d-------- C:\Archivos de programa\QuickTime
2008-02-27 17:47:53 0 d--h----- C:\Archivos de programa\Scpad
2008-02-27 17:47:52 0 d-------- C:\Archivos de programa\RK Launcher
2008-02-27 17:41:50 0 d-------- C:\Archivos de programa\Messenger
2008-02-27 17:31:35 0 d-------- C:\Archivos de programa\FolderSize
2008-02-27 17:31:07 0 d-------- C:\Archivos de programa\DAEMON Tools
2008-02-27 17:29:07 0 d-------- C:\Archivos de programa\Bonjour
2008-02-27 16:55:57 0 d-------- C:\Archivos de programa\Archivos comunes\Autodesk Shared
2008-02-26 19:16:40 0 d-------- C:\Archivos de programa\TGTSoft
2008-02-20 16:16:14 2413 --a------ C:\WINDOWS\mozver.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acceso directo a la página de propiedades de High Definition Audio"="HDAudPropShortcut.exe" [17/03/2004 16:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"ISUSPM Startup"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [11/08/2005 17:30]
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [11/08/2005 17:30]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09/07/2001 11:50]
"HP Component Manager"="C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe" [12/01/2005 15:54]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe" [22/02/2008 05:25]
"NSLauncher"="C:\Archivos de programa\Nokia\Nokia Software Launcher\NSLauncher.exe" [07/09/2007 15:44]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [18/12/2007 20:55]
"nwiz"="nwiz.exe" [18/12/2007 20:55 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [18/12/2007 20:55]
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" [07/12/2005 23:57]
"LanguageShortcut"="C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" [18/05/2006 12:29]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [01/02/2008 00:13]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [19/02/2008 14:10]
"TMRUBottedTray"="C:\Archivos de programa\Trend Micro\RUBotted\TMRUBottedTray.exe" [19/12/2007 00:18]
"UfSeAgnt.exe"="C:\Archivos de programa\Trend Micro\Internet Security\UfSeAgnt.exe" [16/02/2008 00:56]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [08/05/2007 16:24]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 20:42]
"DAEMON Tools"="C:\Archivos de programa\DAEMON Tools\daemon.exe" [12/11/2006 12:48]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe" [28/10/2005 17:25]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.exe" [29/02/2008 01:55]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [13/10/2004 18:24]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Picasa Media Detector"=C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

C:\Documents and Settings\Luis\Men£ Inicio\Programas\Inicio\
Acceso directo a YzToolBar.exe.lnk - C:\Archivos de programa\Yztoolbar\YzToolBar.exe [14/03/2008 11:04:00]
Adobe Gamma.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [16/03/2005 20:16:50]
Last.fm Helper.lnk - C:\Archivos de programa\Last.fm\LastFMHelper.exe [03/03/2008 13:32:08]
RKLauncher.lnk - C:\Archivos de programa\RK Launcher\RKLauncher.exe [24/01/2007 15:53:08]
Yahoo! Widgets.lnk - C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe [12/12/2007 0:34:48]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Acrobat Assistant.lnk - C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe [24/10/2003 6:37:56]
Adobe Gamma Loader.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [16/03/2005 20:16:50]
Google Updater.lnk - C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe [10/10/2007 23:15:01]
Suitcase Startup.lnk - C:\Archivos de programa\Extensis\Suitcase\Suitcase.exe [27/10/2007 13:09:45]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{A3717295-941D-416F-9384-ED1736729F1C}"= C:\Archivos de programa\Scpad\scpLIB.dll [27/03/2007 01:29 128512]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"CompIBBrd"= {A3717295-941D-416F-9384-ED1736729F1C} - C:\Archivos de programa\Scpad\scpLIB.dll [27/03/2007 01:29 128512]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ntvdmd32]
ntvdmd32.dll 13/07/2004 08:52 8192 C:\WINDOWS\system32\ntvdmd32.dll


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43d39669-bd78-11dc-9517-000fea8cf1a6}]
AutoRun\command- J:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3045d3e-ab84-11db-92ec-000fea8cf1a6}]
AutoRun\command- I:\autorun.exe




-- End of Deckard's System Scanner: finished at 2008-04-26 17:23:33 ------------
MouseOnMars is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Old 04-28-2008, 08:02 AM   #3 (permalink)
Assistant Manager, TSF Academy; Moderator/Analyst Security Team
 
Ried's Avatar
 
Join Date: Jan 2005
Location: Ohio
Posts: 26,798
OS: WinXP and Vista


Re: PC being used for sending spam, Suspect: svchost.exe
Hello MouseOnMars and welcome,

Did your online scans at Panda and/or Kaspersky report any infections?

Please go to: VirusTotal
  • On the page you'll find a "Browse" button.
  • Next to the browse button you'll see a box to enter text.
  • Please copy/paste the following file path into that box:

    C:\WINDOWS\system32\ntvdmd32.dll

  • Then click the "Send File " button just below.
  • This will scan the file. Please be patient.
  • Once scanned, copy and paste the results in your next reply.
__________________

Member of ASAP since 2005
Member of UNITE since 2006

"It is one life whether we spend it laughing or weeping." "Take the time to laugh--it is the music of the soul."
Ried is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Old 04-28-2008, 12:23 PM   #4 (permalink)
Registered User
 
Join Date: Apr 2008
Posts: 11
OS: Windows XP SP3


Re: PC being used for sending spam, Suspect: svchost.exe
Nope, they didn't report any infection, just some cookies.

I've done the Virus Total upload.

7 bad things found.

AntiVir 7.8.0.10 2008.04.28 TR/Hijacker.Gen
AVG 7.5.0.516 2008.04.28 Downloader.Small.60.AO
Ikarus T3.1.1.26 2008.04.28 Virus.Win32.Small.IKB
Microsoft 1.3408 2008.04.22 VirTool:Win32/Obfuscator.L
Sophos 4.28.0 2008.04.28 Sus/Behav-1021
VirusBuster 4.3.26:9 2008.04.28 Trojan.Global.Gen
Webwasher-Gateway 6.6.2 2008.04.28 Trojan.Hijacker.Gen

There was also another file called like that library:
ntvdm.exe

But no virus was found in it.

What should i do next?


Thank you!
Last edited by MouseOnMars; 04-28-2008 at 12:40 PM.
MouseOnMars is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Old 04-28-2008, 07:01 PM   #5 (permalink)
Assistant Manager, TSF Academy; Moderator/Analyst Security Team
 
Ried's Avatar
 
Join Date: Jan 2005
Location: Ohio
Posts: 26,798
OS: WinXP and Vista


Re: PC being used for sending spam, Suspect: svchost.exe
Hi MouseonMars,

No--do not do anything with the C:\Windows\System32\ntvdm.exe you found--it's legit.

Please copy this page to Notepad and save to your desktop for reference as you will not have any browsers open while you are carrying out portions of these instructions.

It's IMPORTANT to carry out the instructions in the sequence listed below.

***************************************************

Download Combofix from any of the links below, and save it to your desktop.

Link 1
Link 2


**Note: It is important that it is saved directly to your desktop**

--------------------------------------------------------------------

Before we go any further, let's ensure the Recovery Console installed on this system. The Windows recovery console will allow you to boot up into a special recovery/repair mode that will allow us to more easily help you should your computer have a problem after an attempted removal of malware.


Go to Microsoft's website => http://support.microsoft.com/kb/310994
Select the download that's appropriate for your Operating System




Download the file & save it as it's originally named, next to ComboFix.exe.






Now close all open windows and programs, including all anti virus and anti malware programs so they do not interfere with the running of ComboFix.
  • Drag the setup package onto ComboFix.exe and drop it.
  • Follow the prompts to start ComboFix and when prompted, agree to the End-User License Agreement to install the Microsoft Recovery Console.
  • At the next prompt, click ' NO' to exit ComboFix--we do not want a full system scan yet.


---------------------------------------------------------------------

Open notepad and copy/paste the text in the code box below into it:

Code:
http://www.techsupportforum.com/security-center/hijackthis-log-help/243892-pc-being-used-sending-spam-suspect-svchost-exe-post1457257.html#post1457257

Collect::
C:\WINDOWS\system32\ntvdmd32.dll

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ntvdmd32]
Save this as CFScript.txt




Refering to the picture above, drag CFScript.txt into ComboFix.exe

When finished, it shall produce a log for you. Post that log in your next reply.

**Note**

When ComboFix finishes running, the ComboFix log will open along with a message box--do not be alarmed. With the above script, ComboFix will capture files to submit for analysis.
  • Ensure you are connected to the internet and click OK on the message box.
  • A browser will open.
  • Simply follow the instructions to copy/paste/send the requested file.
---------------------------------------------------------------------

It's important to run this online scan to search for any remnants. It can take some time, so please be patient and allow it to run it's full course:

Using Internet Explorer, visit http://www.kaspersky.com/kos/eng/par...avwebscan.html

Answer Yes, when prompted to install an ActiveX component.
  • The program will then begin downloading the latest definition files.
  • Once the files have been downloaded click on NEXT
  • Locate the Scan Settings button & configure to:
    • Scan using the following Anti-Virus database:
      • Extended
    • Scan Options:
      • Scan Archives
      • Scan Mail Bases
  • Click OK & have it scan My Computer
  • Once the scan is complete, it will display if your system has been infected. It does not provide an option to clean/disinfect. We only require a report from it.



  • Click the Save as Text button to save the file to your desktop so that you may post it in your next reply

**Note**

To optimize scanning time and produce a more sensible report for review:
  • Close any open programs
  • Turn off the real time scanner of any existing antivirus program while performing the online scan

---------------------------------------------------------------

Run a new scan with HijackThis.exe and save the log.

---------------------------------------------------------------

Please include the following in your next reply:

C:\ComboFix.txt
Kaspersky results
New HijackThis log
Update on system behavior
__________________

Member of ASAP since 2005
Member of UNITE since 2006

"It is one life whether we spend it laughing or weeping." "Take the time to laugh--it is the music of the soul."
Ried is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Old 04-29-2008, 12:32 PM   #6 (permalink)
Registered User
 
Join Date: Apr 2008
Posts: 11
OS: Windows XP SP3


Re: PC being used for sending spam, Suspect: svchost.exe
Hello,

First of all thank you for your help. I've proceeded with the steps you set in your reply, but there has been some small differences with the expected procedure.

When I dropped the CFScript.txt into ComboFix.exe, it started showing some messages:

Completed Stage_23
Completed Stage_24
Completed Stage_25
Completed Stage_26...

About stage thirty something (I cannot be sure, could even be 40) the PC suddenly restarted. So no log file was produced. I rewrote
the CFScript.txt file -because it had disappeared- and dropped it again.
Then it finally produced the next log.txt file (i paste it next) but it never showed any message box and it didn't open any browser
to upload files.

ComboFix 08-04-28.2 - Luis 2008-04-29 10:56:35.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.1491 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\Luis\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Luis\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\system32\ntvdmd32.dll

.
(((((((((((((((((( Archivos creados desde 2008-03-28 - 2008-04-29 )))))))))))))))))))))))))))))))))
.

2008-04-28 21:00 . 2008-04-28 23:34 <DIR> d-------- C:\Archivos de programa\Windows Live Safety Center
2008-04-28 10:50 . 2008-04-28 10:50 <DIR> d-------- C:\WINDOWS\system32\FxsTmp
2008-04-28 10:50 . 2004-12-02 11:00 1,793 --a------ C:\WINDOWS\system32\fxsperf.ini
2008-04-28 10:50 . 2004-12-02 11:00 1,361 --a------ C:\WINDOWS\system32\fxscount.h
2008-04-28 10:50 . 2008-04-28 10:50 590 --a------ C:\WINDOWS\system32\mapisvc.inf
2008-04-26 10:10 . 2008-04-26 10:10 <DIR> d-------- C:\Deckard
2008-04-23 19:12 . 2008-04-23 19:12 85,520 --a------ C:\WINDOWS\system32\drivers\bdfndisf.sys
2008-04-23 18:24 . 2008-04-23 18:24 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Trend Micro
2008-04-23 18:24 . 2008-02-15 23:39 138,384 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-04-23 18:24 . 2008-02-15 23:39 52,496 --a------ C:\WINDOWS\system32\drivers\tmactmon.sys
2008-04-23 18:24 . 2008-02-15 23:39 52,240 --a------ C:\WINDOWS\system32\drivers\tmevtmgr.sys
2008-04-19 20:38 . 2008-04-19 20:38 <DIR> d-------- C:\Documents and Settings\Luis\Datos de programa\Ubisoft
2008-04-19 20:34 . 2008-04-19 20:34 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Ubisoft
2008-04-19 17:04 . 2008-04-21 08:17 <DIR> d-------- C:\Documents and Settings\Luis\.housecall6.6
2008-04-15 11:56 . 2008-04-23 18:24 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-04-15 11:56 . 2007-11-27 22:51 35,216 --a------ C:\WINDOWS\system32\drivers\TMPassthru.sys
2008-04-15 11:55 . 2008-04-15 11:55 <DIR> d-------- C:\Documents and Settings\Luis\Datos de programa\InstallShield
2008-04-09 02:01 . 2008-04-09 02:04 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-03-30 14:26 . 2008-04-29 10:52 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-30 14:26 . 2008-03-30 14:26 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-29 08:31 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-04-28 23:49 --------- d-----w C:\Archivos de programa\Trillian
2008-04-28 10:29 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2008-04-28 08:42 --------- d-----w C:\Documents and Settings\Luis\Datos de programa\Skype
2008-04-28 08:38 --------- d-----w C:\Documents and Settings\Luis\Datos de programa\skypePM
2008-04-27 14:02 --------- d-----w C:\Archivos de programa\Soulseek
2008-04-24 21:48 --------- d-----w C:\Archivos de programa\Picasa2
2008-04-24 18:27 --------- d-----w C:\Archivos de programa\Chattage
2008-04-23 21:50 --------- d-----w C:\Archivos de programa\IconPackager
2008-04-23 16:16 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-04-22 08:45 --------- d-----w C:\Documents and Settings\Luis\Datos de programa\AdobeUM
2008-04-19 17:36 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-04-18 19:40 --------- d-----w C:\Documents and Settings\Luis\Datos de programa\dvdcss
2008-04-16 09:23 --------- d-----w C:\Archivos de programa\AutoCAD 2008
2008-04-09 00:04 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2008-04-06 21:31 --------- d-----w C:\Archivos de programa\Mozilla Firefox 3 Beta 3
2008-04-04 15:50 --------- d-----w C:\Documents and Settings\Internet\Datos de programa\Skype
2008-04-04 14:49 --------- d-----w C:\Archivos de programa\eMule
2008-04-04 14:40 --------- d-----w C:\Documents and Settings\Internet\Datos de programa\skypePM
2008-03-25 12:40 --------- d-----w C:\Documents and Settings\Internet\Datos de programa\Talkback
2008-03-24 21:16 --------- d-----w C:\Archivos de programa\PDFCreator
2008-03-23 11:40 --------- d-----w C:\Archivos de programa\Java
2008-03-22 13:12 --------- d-----w C:\Archivos de programa\Ahead
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-16 15:06 --------- d-----w C:\Archivos de programa\Medieval Software
2008-03-14 10:25 --------- d-----w C:\Archivos de programa\Stardock
2008-03-14 10:25 --------- d-----w C:\Archivos de programa\Archivos comunes\Stardock
2008-03-14 09:04 --------- d-----w C:\Archivos de programa\Yztoolbar
2008-03-03 11:33 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Last.fm
2008-03-03 11:32 --------- d-----w C:\Archivos de programa\Last.fm
2008-03-03 09:13 --------- d-----w C:\Archivos de programa\High-Logic
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-29 22:20 --------- d-----w C:\Archivos de programa\Yahoo!
2008-02-28 23:32 --------- d-----w C:\Archivos de programa\MSN Messenger
2008-02-28 23:31 --------- d-----w C:\Archivos de programa\Windows Live
2008-02-28 23:30 --------- dcsh--w C:\Archivos de programa\Archivos comunes\WindowsLiveInstaller
2008-02-28 23:30 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\WLInstaller
2008-02-28 09:20 --------- d-----w C:\Archivos de programa\iTunes
2008-02-28 09:20 --------- d-----w C:\Archivos de programa\iPod
2008-02-28 09:18 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2008-02-28 09:18 --------- d-----w C:\Archivos de programa\QuickTime
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-01-08 14:46 22,328 ----a-w C:\Documents and Settings\Luis\Datos de programa\PnkBstrK.sys
2007-11-16 08:36 32 ----a-w C:\Documents and Settings\All Users\Datos de programa\ezsid.dat
2007-05-29 17:02 90,606 ----a-w C:\Documents and Settings\All Users\Datos de programa\firstlsp.reg.dat
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 20:42 15360]
"DAEMON Tools"="C:\Archivos de programa\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe" [2005-10-28 17:25 94208]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.exe" [2008-02-29 01:55 5724184]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acceso directo a la página de propiedades de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"ISUSPM Startup"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [2005-08-11 17:30 249856]
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2005-08-11 17:30 81920]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"HP Component Manager"="C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 15:54 241664]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"NSLauncher"="C:\Archivos de programa\Nokia\Nokia Software Launcher\NSLauncher.exe" [2007-09-07 15:44 3100672]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-18 20:55 8523776]
"nwiz"="nwiz.exe" [2007-12-18 20:55 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-18 20:55 81920]
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 23:57 30208]
"LanguageShortcut"="C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 12:29 49152]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"TMRUBottedTray"="C:\Archivos de programa\Trend Micro\RUBotted\TMRUBottedTray.exe" [2007-12-19 00:18 288088]
"UfSeAgnt.exe"="C:\Archivos de programa\Trend Micro\Internet Security\UfSeAgnt.exe" [2008-02-16 00:56 1398024]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 20:42 15360]
"Picasa Media Detector"="C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe" [2008-02-26 03:23 443968]

C:\Documents and Settings\iPod\Men£ Inicio\Programas\Inicio\
Last.fm Helper.lnk - C:\Archivos de programa\Last.fm\LastFMHelper.exe [2008-03-03 13:32:08 106496]

C:\Documents and Settings\Luis\Men£ Inicio\Programas\Inicio\
Acceso directo a YzToolBar.exe.lnk - C:\Archivos de programa\Yztoolbar\YzToolBar.exe [2008-03-14 11:04:00 90112]
Adobe Gamma.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50 113664]
Last.fm Helper.lnk - C:\Archivos de programa\Last.fm\LastFMHelper.exe [2008-03-03 13:32:08 106496]
RKLauncher.lnk - C:\Archivos de programa\RK Launcher\RKLauncher.exe [2007-01-24 15:53:08 368640]
Yahoo! Widgets.lnk - C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe [2007-12-12 00:34:48 3746856]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Acrobat Assistant.lnk - C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 06:37:56 217194]
Adobe Gamma Loader.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50 113664]
Google Updater.lnk - C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe [2007-10-10 23:15:01 125624]
Suitcase Startup.lnk - C:\Archivos de programa\Extensis\Suitcase\Suitcase.exe [2007-10-27 13:09:45 1613824]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{A3717295-941D-416F-9384-ED1736729F1C}"= C:\Archivos de programa\Scpad\scpLIB.dll [2007-03-27 01:29 128512]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"CompIBBrd"= {A3717295-941D-416F-9384-ED1736729F1C} - C:\Archivos de programa\Scpad\scpLIB.dll [2007-03-27 01:29 128512]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Archivos de programa\\eMule\\emule.exe"=
"C:\\Archivos de programa\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Archivos de programa\\Ares\\Ares.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"H:\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"H:\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"H:\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Archivos de programa\\Soulseek\\slsk.exe"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=

R2 SSIPDDP;SSIPDDP Parallel port device driver;C:\WINDOWS\system32\DRIVERS\SSIPDDP.SYS [2000-05-17 17:24]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 15:39]
R3 TMPassthruMP;TMPassthruMP;C:\WINDOWS\system32\DRIVERS\TMPassthru.sys [2007-11-27 22:51]
S2 RUBotted;Trend Micro RUBotted Service;"C:\Archivos de programa\Trend Micro\RUBotted\TMRUBotted.exe" [2007-12-19 00:18]
S3 PavSRK.sys;PavSRK.sys;C:\WINDOWS\system32\PavSRK.sys []
S3 PavTPK.sys;PavTPK.sys;C:\WINDOWS\system32\PavTPK.sys []
S3 TMPassthru;Trend Micro Passthru Ndis Service;C:\WINDOWS\system32\DRIVERS\TMPassthru.sys [2007-11-27 22:51]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3045d3e-ab84-11db-92ec-000fea8cf1a6}]
\Shell\AutoRun\command - I:\autorun.exe

.
Contenido de carpeta 'Tareas Programadas'
"2008-04-29 00:15:43 C:\WINDOWS\Tasks\GBM - Copia de Seguridad-Full.job"
- C:\Archivos de programa\Genie-Soft\GBMPro8\GBM8.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-29 10:59:26
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
Tiempo completado: 2008-04-29 11:00:25
ComboFix-quarantined-files.txt 2008-04-29 09:00:06

10 dirs 7,963,099,136 bytes libres
13 dirs 8,024,379,392 bytes libres

180 --- E O F --- 2008-04-12 01:07:35



---------------------------------------------------------------------------------------
Afterwards I ran the Kaspersky scanner, and no virus was detected, however, I must remind you that Kaspersky online antivirus didn't detect
the virus before, and its detection engine didn't detect anything in the file I uploaded to virus-total (ntvdmd32.dll).

Here is the log:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Tuesday, April 29, 2008 1:55:07 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 29/04/2008
Kaspersky Anti-Virus database records: 730230
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
K:\
L:\

Scan Statistics:
Total number of scanned objects: 232568
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 02:41:00

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\HP\hpcoretech\hpcmerr.log Object is locked skipped
C:\Archivos de programa\Trillian\users\default\logs\YAHOO\Query\crisgayes.log Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Luis\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Documents and Settings\Luis\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Luis\Configuración local\Datos de programa\Last.fm\Client\LastFmHelper.log Object is locked skipped
C:\Documents and Settings\Luis\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Luis\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Luis\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Luis\Configuración local\Historial\History.IE5\MSHist012008042920080430\index.dat Object is locked skipped
C:\Documents and Settings\Luis\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Luis\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Luis\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{EE0A6436-5336-4856-9EE5-036F7AA3C854}\RP7\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\ODiag.evt Object is locked skipped
C:\WINDOWS\system32\config\OSession.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
-----------------------------------------------------------------------------------------------

So I ran the Microsoft live online scan too. Just in case (it did detect the infected dll when i used VirusTotal). Sorry because i know this wasn't among your directions.
It detected the following:

VirTool:Win32/Obfuscator.L
C:\system volume information\_restore{ee0a6436-5336-4856-9ee5-036f7aa3c854}\rp6\a0000848.dll
C:\documents and settings\luis\escritorio\[4]-submit_2008-04-29@10.46.zip

The zip file i guess it was maybe the file i was supposed to upload but i never got the chance. Can I upload it manually somehow?


Then I ran the HijackThis.exe with this result:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:28:31, on 29/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\FolderSize\FolderSizeSvc.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\Archivos de programa\Last.fm\LastFMHelper.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Trend Micro\RUBotted\TMRUBottedLite.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Luis\Escritorio\HiJackThis.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMIndexStoreSvr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/ig?hl=es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Archivos de programa\Scpad\scpsssh2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Archivos de programa\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TMRUBottedTray] "C:\Archivos de programa\Trend Micro\RUBotted\TMRUBottedTray.exe"
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Archivos de programa\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Acceso directo a YzToolBar.exe.lnk = C:\Archivos de programa\Yztoolbar\YzToolBar.exe
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Last.fm Helper.lnk = C:\Archivos de programa\Last.fm\LastFMHelper.exe
O4 - Startup: RKLauncher.lnk = C:\Archivos de programa\RK Launcher\RKLauncher.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Suitcase Startup.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...lscbase370.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Archivos de programa\Scpad\scpLIB.dll
O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Archivos de programa\Scpad\scpLIB.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Archivos de programa\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Archivos de programa\Archivos comunes\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
O23 - Service: Trend Micro RUBotted Service (RUBotted) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\RUBotted\TMRUBotted.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\Internet Security\TmProxy.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Luis/CONFIG~1/Temp/msohtmlclip1/01/clip_image002.gif

--
End of file - 12609 bytes


So i think this is all, i the virus remains in the Zip file and in the system restore hidden folder.

What to do next??

Thank you!

PS: The PC works fine so far. I haven't noticed anything, but i barely detected any odd behaviour before, other than i was blacklisted as a spammer and that my ISP blocked my port 25.
MouseOnMars is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Old 04-29-2008, 08:14 PM   #7 (permalink)
Assistant Manager, TSF Academy; Moderator/Analyst Security Team
 
Ried's Avatar
 
Join Date: Jan 2005
Location: Ohio
Posts: 26,798
OS: WinXP and Vista


Re: PC being used for sending spam, Suspect: svchost.exe
You're welcome MouseOnMars, : )

Quote:
About stage thirty something (I cannot be sure, could even be 40) the PC suddenly restarted. So no log file was produced. I rewrote
the CFScript.txt file -because it had disappeared- and dropped it again.
Then it finally produced the next log.txt file (i paste it next) but it never showed any message box and it didn't open any browser
to upload files.
That's because even though CF rebooted 'prematurely', it did delete that file during that first run--so it wasn't there to delete on your second attempt:
Quote:
---- Previous Run -------
.
C:\WINDOWS\system32\ntvdmd32.dll
Quote:
The zip file i guess it was maybe the file i was supposed to upload but i never got the chance. Can I upload it manually somehow?
Correct--the file was indeed captured for submission.

Yes, kindly visit this site and follow the instructions for uploading the [4]-submit_2008-04-29@10.46.zip

I'll await the receipt of that zip file before I provide you with final instructions.
__________________

Member of ASAP since 2005
Member of UNITE since 2006

"It is one life whether we spend it laughing or weeping." "Take the time to laugh--it is the music of the soul."
Last edited by Ried; 04-29-2008 at 08:15 PM. Reason: ack..typo
Ried is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Old 04-30-2008, 02:23 AM   #8 (permalink)
Registered User
 
Join Date: Apr 2008
Posts: 11
OS: Windows XP SP3


Re: PC being used for sending spam, Suspect: svchost.exe
Hello,
I am away for a business trip until Friday evening, so I won't be able to upload the file until saturday.
Thank you for your patience!
MouseOnMars is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Old 04-30-2008, 09:14 PM   #9 (permalink)
Assistant Manager, TSF Academy; Moderator/Analyst Security Team
 
Ried's Avatar
 
Join Date: Jan 2005
Location: Ohio
Posts: 26,798
OS: WinXP and Vista


Re: PC being used for sending spam, Suspect: svchost.exe
Thanks for letting me know. I'll remain subscribed.
__________________

Member of ASAP since 2005
Member of UNITE since 2006

"It is one life whether we spend it laughing or weeping." "Take the time to laugh--it is the music of the soul."
Ried is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Old 05-02-2008, 03:06 PM   #10 (permalink)
Registered User
 
Join Date: Apr 2008
Posts: 11
OS: Windows XP SP3


Re: PC being used for sending spam, Suspect: svchost.exe
Ok, I've sent the file. I'll wait for your instructions.

Thanks again!
MouseOnMars is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Old 05-02-2008, 06:48 PM   #11 (permalink)
Assistant Manager, TSF Academy; Moderator/Analyst Security Team
 
Ried's Avatar
 
Join Date: Jan 2005
Location: Ohio
Posts: 26,798
OS: WinXP and Vista


Re: PC being used for sending spam, Suspect: svchost.exe
File received, thank you. It was indeed, malware.

I feel confident that your logs are clean, but as it's been a few days, I'd like to see a fresh main.txt. Please run a new scan with dss.exe and post the contents of that report.
__________________

Member of ASAP since 2005
Member of UNITE since 2006

"It is one life whether we spend it laughing or weeping." "Take the time to laugh--it is the music of the soul."
Ried is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Old 05-03-2008, 12:51 AM   #12 (permalink)
Registered User
 
Join Date: Apr 2008
Posts: 11
OS: Windows XP SP3


Re: PC being used for sending spam, Suspect: svchost.exe
Ok, here is the new main.txt log:

Deckard's System Scanner v20071014.68
Run by Luis on 2008-05-03 08:47:00
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Luis.exe) ------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:47:07, on 03/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\FolderSize\FolderSizeSvc.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\Archivos de programa\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Archivos de programa\Trend Micro\BM\TMBMSRV.exe
C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\Archivos de programa\Trend Micro\Internet Security\TmProxy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Yztoolbar\YzToolBar.exe
C:\Archivos de programa\Last.fm\LastFMHelper.exe
C:\Archivos de programa\Trend Micro\RUBotted\TMRUBottedLite.exe
C:\Documents and Settings\Luis\Escritorio\dss.exe
C:\DOCUME~1\Luis\ESCRIT~1\Luis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/ig?hl=es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Archivos de programa\Scpad\scpsssh2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Archivos de programa\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TMRUBottedTray] "C:\Archivos de programa\Trend Micro\RUBotted\TMRUBottedTray.exe"
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Archivos de programa\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Acceso directo a YzToolBar.exe.lnk = C:\Archivos de programa\Yztoolbar\YzToolBar.exe
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Last.fm Helper.lnk = C:\Archivos de programa\Last.fm\LastFMHelper.exe
O4 - Startup: RKLauncher.lnk = C:\Archivos de programa\RK Launcher\RKLauncher.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Suitcase Startup.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...lscbase370.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Archivos de programa\Scpad\scpLIB.dll
O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Archivos de programa\Scpad\scpLIB.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Archivos de programa\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Archivos de programa\Archivos comunes\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
O23 - Service: Trend Micro RUBotted Service (RUBotted) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\RUBotted\TMRUBotted.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\Internet Security\TmProxy.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Luis/CONFIG~1/Temp/msohtmlclip1/01/clip_image002.gif

--
End of file - 12811 bytes

-- Files created between 2008-04-03 and 2008-05-03 -----------------------------

2008-04-29 10:45:36 260272 --a------ C:\cmldr
2008-04-29 10:45:33 0 d-------- C:\cmdcons
2008-04-29 10:44:14 68096 --a------ C:\WINDOWS\zip.exe
2008-04-29 10:44:14 49152 --a------ C:\WINDOWS\VFind.exe
2008-04-29 10:44:14 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-04-29 10:44:14 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-04-29 10:44:14 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-04-29 10:44:14 98816 --a------ C:\WINDOWS\sed.exe
2008-04-29 10:44:14 80412 --a------ C:\WINDOWS\grep.exe
2008-04-29 10:44:14 73728 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-04-28 21:00:21 0 d-------- C:\Archivos de programa\Windows Live Safety Center
2008-04-28 10:50:09 0 d-------- C:\WINDOWS\system32\FxsTmp
2008-04-15 11:56:09 0 d-------- C:\Archivos de programa\Trend Micro


-- Find3M Report ---------------------------------------------------------------

2008-05-03 08:46:15 0 d-------- C:\Archivos de programa\Trillian
2008-04-29 20:21:10 0 d-------- C:\Documents and Settings\Luis\Datos de programa\AdobeUM
2008-04-28 12:29:58 2516 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2008-04-28 10:50:13 510458 --a------ C:\WINDOWS\system32\perfh00A.dat
2008-04-28 10:50:13 92642 --a------ C:\WINDOWS\system32\perfc00A.dat
2008-04-28 10:42:23 0 d-------- C:\Documents and Settings\Luis\Datos de programa\Skype
2008-04-28 10:38:20 0 d-------- C:\Documents and Settings\Luis\Datos de programa\skypePM
2008-04-27 16:02:37 0 d-------- C:\Archivos de programa\Soulseek
2008-04-24 23:48:46 0 d-------- C:\Archivos de programa\Picasa2
2008-04-24 20:27:51 0 d-------- C:\Archivos de programa\Chattage
2008-04-23 23:50:10 0 d-------- C:\Archivos de programa\IconPackager
2008-04-23 18:18:05 0 d-------- C:\Archivos de programa\Archivos comunes
2008-04-23 18:16:07 81984 --a------ C:\WINDOWS\system32\bdod.bin
2008-04-19 20:38:51 0 d-------- C:\Documents and Settings\Luis\Datos de programa\Ubisoft
2008-04-19 19:36:56 0 d--h----- C:\Archivos de programa\InstallShield Installation Information
2008-04-18 21:40:57 0 d-------- C:\Documents and Settings\Luis\Datos de programa\dvdcss
2008-04-16 11:23:49 0 d-------- C:\Archivos de programa\AutoCAD 2008
2008-04-15 11:55:29 0 d-------- C:\Documents and Settings\Luis\Datos de programa\InstallShield
2008-04-06 23:31:14 0 d-------- C:\Archivos de programa\Mozilla Firefox 3 Beta 3
2008-04-04 16:49:21 0 d-------- C:\Archivos de programa\eMule
2008-03-24 23:16:37 0 d-------- C:\Archivos de programa\PDFCreator
2008-03-23 13:40:37 0 d-------- C:\Archivos de programa\Java
2008-03-22 15:12:21 0 d-------- C:\Archivos de programa\Ahead
2008-03-16 1711 0 d-------- C:\Archivos de programa\Medieval Software
2008-03-14 12:25:48 0 d-------- C:\Archivos de programa\Archivos comunes\Stardock
2008-03-14 12:25:45 0 d-------- C:\Archivos de programa\Stardock
2008-03-14 11:04:10 0 d-------- C:\Archivos de programa\Yztoolbar
2008-03-08 01:15:37 0 d-------- C:\Documents and Settings\Luis\Datos de programa\Adobe
2008-03-03 13:32:11 0 d-------- C:\Archivos de programa\Last.fm
2008-03-03 11:13:13 0 d-------- C:\Archivos de programa\High-Logic
2008-02-20 16:16:14 2413 --a------ C:\WINDOWS\mozver.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acceso directo a la página de propiedades de High Definition Audio"="HDAudPropShortcut.exe" [17/03/2004 16:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"ISUSPM Startup"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [11/08/2005 17:30]
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [11/08/2005 17:30]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09/07/2001 11:50]
"HP Component Manager"="C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe" [12/01/2005 15:54]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe" [22/02/2008 05:25]
"NSLauncher"="C:\Archivos de programa\Nokia\Nokia Software Launcher\NSLauncher.exe" [07/09/2007 15:44]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [18/12/2007 20:55]
"nwiz"="nwiz.exe" [18/12/2007 20:55 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [18/12/2007 20:55]
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" [07/12/2005 23:57]
"LanguageShortcut"="C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" [18/05/2006 12:29]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [01/02/2008 00:13]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [19/02/2008 14:10]
"TMRUBottedTray"="C:\Archivos de programa\Trend Micro\RUBotted\TMRUBottedTray.exe" [19/12/2007 00:18]
"UfSeAgnt.exe"="C:\Archivos de programa\Trend Micro\Internet Security\UfSeAgnt.exe" [16/02/2008 00:56]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [08/05/2007 16:24]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 20:42]
"DAEMON Tools"="C:\Archivos de programa\DAEMON Tools\daemon.exe" [12/11/2006 12:48]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe" [28/10/2005 17:25]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.exe" [29/02/2008 01:55]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [13/10/2004 18:24]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Picasa Media Detector"=C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

C:\Documents and Settings\Luis\Men£ Inicio\Programas\Inicio\
Acceso directo a YzToolBar.exe.lnk - C:\Archivos de programa\Yztoolbar\YzToolBar.exe [14/03/2008 11:04:00]
Adobe Gamma.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [16/03/2005 20:16:50]
Last.fm Helper.lnk - C:\Archivos de programa\Last.fm\LastFMHelper.exe [03/03/2008 13:32:08]
RKLauncher.lnk - C:\Archivos de programa\RK Launcher\RKLauncher.exe [24/01/2007 15:53:08]
Yahoo! Widgets.lnk - C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe [12/12/2007 0:34:48]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Acrobat Assistant.lnk - C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe [24/10/2003 6:37:56]
Adobe Gamma Loader.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [16/03/2005 20:16:50]
Google Updater.lnk - C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe [10/10/2007 23:15:01]
Suitcase Startup.lnk - C:\Archivos de programa\Extensis\Suitcase\Suitcase.exe [27/10/2007 13:09:45]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=1 (0x1)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=1 (0x1)
"HideStartupScripts"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{A3717295-941D-416F-9384-ED1736729F1C}"= C:\Archivos de programa\Scpad\scpLIB.dll [27/03/2007 01:29 128512]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"CompIBBrd"= {A3717295-941D-416F-9384-ED1736729F1C} - C:\Archivos de programa\Scpad\scpLIB.dll [27/03/2007 01:29 128512]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43d39669-bd78-11dc-9517-000fea8cf1a6}]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3045d3e-ab84-11db-92ec-000fea8cf1a6}]




-- End of Deckard's System Scanner: finished at 2008-05-03 08:47:37 ------------

Please, remember I still have that zip file on my desktop and there is the dll file also somewhere hidden in a System Restore folder. How can I remove them completely?

May I ask if I should change from BitDefender Internet Security to something else since it didn't identify or stop this malware in the moment or infection or anytime after that?

Thank you for all your help and patience!!
MouseOnMars is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Old 05-03-2008, 08:37 PM   #13 (permalink)
Assistant Manager, TSF Academy; Moderator/Analyst Security Team
 
Ried's Avatar
 
Join Date: Jan 2005
Location: Ohio
Posts: 26,798
OS: WinXP and Vista


Re: PC being used for sending spam, Suspect: svchost.exe
Hi MouseOnMars,

No single Anti Virus program will see everything--each has it's strengths. In this case, the file that made it to your system is 'new'. Bear in mind that AV's and anti malware programs are always a step or two behind--it's a cat and mouse game. New infections arrive, the AV's get notified, then it gets added to their databases.

Your logs are clean. We'll take care of tidying up now.

Go ahead and delete that .zip file on your desktop.

The following procedure will clear out the backups and quarantines created by the fix. It will also reset your System Restore by flushing out previous restore points (which contain the infections) and create a new restore point.

Click Start > Run and copy/paste, or type the following bolded text into the Run box and click OK:

ComboFix /u

--------------------------------------------------------------------


To help protect your computer in the future I recommend that you get the following free programs if you do not already have them:

McAfee Site Advisor--free version. The folks there check out websites and based on their findings, rate it as Safe, Unknown, Caution, or Bad.

SpywareBlaster 3.5.1 to help prevent spyware from installing in the first place. Install & update SpywareBlaster with the latest definitions. After you have updated, click the button - enable protection for all unprotected items.
  • It will block any bad ActiveX from running in Internet Explorer and Firefox if it's listed in their database (which you should update frequently). To view their database and list of restricted sites, launch the program and click on each of the tabs on the main display page.

IESpyAD Zoned Out to block access to malicious websites so you cannot be redirected to them from an infected site or email. This severely impairs attempts to infect your system as it basically prevents any downloads (Cookies etc) from the sites listed, although you will still be able to connect to the sites.


Update, and scan with your onboard Anti Malware and Anti Virus programs regularly. Without regular updates you will not be protected when new malicious programs are released.


In light of your recent issue, I'm sure you'd like to avoid any future infections. Please take a look at these well written articles:

PC Safety and Security--What Do I Need?

HOW DID I GET INFECTED IN THE FIRST PLACE? by Tony Klein
MAKING INTERNET EXPLORER SAFER
Understanding and Using Firewalls

**Be very wary with any security software that is advertised in popups or in other ways. They are not only usually of no use, but often have malware in them.

-----------------------------------------------------

Follow the list above and the potential for infection will reduce dramatically.

**Kindly respond one more time and let me know if we may consider this thread resolved.
__________________

Member of ASAP since 2005
Member of UNITE since 2006

"It is one life whether we spend it laughing or weeping." "Take the time to laugh--it is the music of the soul."
Ried is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Old 05-04-2008, 08:21 AM   #14 (permalink)
Registered User
 
Join Date: Apr 2008
Posts: 11
OS: Windows XP SP3


Re: PC being used for sending spam, Suspect: svchost.exe
Well, my most sincere gratitude. I believe everything works fine now, i've installed some of the software you recommended. It's been a pleasure to follow your precise, and extremely well explained directions. And yes, thanks to you we can consider this thread resolved satisfactorily.

Thank you very much!
MouseOnMars is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
Old 05-04-2008, 10:40 AM   #15 (permalink)
Assistant Manager, TSF Academy; Moderator/Analyst Security Team
 
Ried's Avatar
 
Join Date: Jan 2005
Location: Ohio
Posts: 26,798
OS: WinXP and Vista


Re: [SOLVED] PC being used for sending spam, Suspect: svchost.exe
You're quite welcome. It's been a pleasure working with you as well, MouseOnMars.

Take care.
__________________

Member of ASAP since 2005
Member of UNITE since 2006

"It is one life whether we spend it laughing or weeping." "Take the time to laugh--it is the music of the soul."
Ried is offline  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Reddit!
 

« Previous Thread | Next Thread »

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are Off
Pingbacks are Off
Refbacks are Off



All times are GMT -7. The time now is 05:05 PM.

Contact Us - Tech Support Forum - Archive - Privacy Statement - Top


Copyright 2001 - 2009, Tech Support Forum
Home Tips Plus | Outdoor Basecamp | Automotive Support Forum

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85