Help,smitfraud
Hello,I've found you across google. I hope that you can help me, because I'm desperate.
I've followed yours instructions and I've ran Ad-aware and Spybotsd,but I can't resolve
the problem. I continue with a blue screen with the message: "a fatal error in IE,ocurring
at 0028:0011e36 in VXD VMM (01)+00010E36.Caused by Trojan-SPY.HTML.SMITFRAUD C."
Every time that I reboot, my antivirus finds:
C:\WINNT\SYSTEM32\HPDFB1.TMP is the trojan horse TR/Click.Age.dj.5.c
C:\WINNT\SYSTEM32\HHK.DLL is the trojan horse TR/Puper.G.3
The trojan's names every time are the same,but in the first case,when reboot, the file's name
is ever changed (HPDFB1.TMP , HPE649.TMP , HPD31E.TMP........etc)
I try to delete,but in the next reboot they appears again.
Here is my log. Thanks so much
Logfile of HijackThis v1.99.0
Scan saved at 12:14:05, on 29/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\shnlog.exe
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\WINNT\system32\intmon.exe
C:\WINNT\System32\cidaemon.exe
C:\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = google.es
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://images.only-virgins.com/secure.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = google.es
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Online Service] C:\WINNT\svchost.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [xp_system] C:\WINNT\inetdata\services.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O12 - Plugin for .consultdocci: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for °)ÕÄbc: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab
O16 - DPF: {6986A6CF-9D58-11D6-91C2-00E02964E8E3} - http://www.webcamenvivo.com/xxx/pagomast.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28177.cab
O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe
O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe
O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe
I've followed yours instructions and I've ran Ad-aware and Spybotsd,but I can't resolve
the problem. I continue with a blue screen with the message: "a fatal error in IE,ocurring
at 0028:0011e36 in VXD VMM (01)+00010E36.Caused by Trojan-SPY.HTML.SMITFRAUD C."
Every time that I reboot, my antivirus finds:
C:\WINNT\SYSTEM32\HPDFB1.TMP is the trojan horse TR/Click.Age.dj.5.c
C:\WINNT\SYSTEM32\HHK.DLL is the trojan horse TR/Puper.G.3
The trojan's names every time are the same,but in the first case,when reboot, the file's name
is ever changed (HPDFB1.TMP , HPE649.TMP , HPD31E.TMP........etc)
I try to delete,but in the next reboot they appears again.
Here is my log. Thanks so much
Logfile of HijackThis v1.99.0
Scan saved at 12:14:05, on 29/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\shnlog.exe
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\WINNT\system32\intmon.exe
C:\WINNT\System32\cidaemon.exe
C:\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = google.es
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://images.only-virgins.com/secure.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = google.es
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Online Service] C:\WINNT\svchost.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [xp_system] C:\WINNT\inetdata\services.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O12 - Plugin for .consultdocci: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for °)ÕÄbc: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab
O16 - DPF: {6986A6CF-9D58-11D6-91C2-00E02964E8E3} - http://www.webcamenvivo.com/xxx/pagomast.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28177.cab
O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe
O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe
O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe
0
This discussion has been closed.
Comments
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = google.es
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://images.only-virgins.com/secure.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = google.es
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O4 - HKLM\..\Run: [Online Service] C:\WINNT\svchost.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe
O4 - HKCU\..\Run: [xp_system] C:\WINNT\inetdata\services.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {6986A6CF-9D58-11D6-91C2-00E02964E8E3} - http://www.webcamenvivo.com/xxx/pagomast.cab
Fix those entries then find and delete the following files:
C:\WINNT\svchost.exe (MAKE SURE YOU DELETE IT FROM WINNT, NOT SYSTEM32)
C:\WINNT\system32\msmsgs.exe
C:\WINNT\inetdata\services.exe
c:\explorer.cab
Then reboot and post a new log.
I've deleted C:\WINNT\system32\msmsgs.exe, but i haven't found the others. Is it possible?
My antivirus continues with the same trojans detection
Thanks again.
Here is my new log:
Logfile of HijackThis v1.99.0
Scan saved at 14:31:10, on 30/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\shnlog.exe
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\WINNT\system32\intmon.exe
C:\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O12 - Plugin for .consultdocci: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for °)ÕÄbc: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28177.cab
O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe
O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe
O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
Still in Safe Mode, find and delete this file:
C:\WINNT\system32\shnlog.exe
Then boot back into Normal Mode and post a new log.
same like the last post,but a good notice: now my antivirus doesn't find
trojans any more.
One more question, i hold up the deleted files in the recycle bin. Is it correct?
Here is the log:
Logfile of HijackThis v1.99.0
Scan saved at 14:07:50, on 01/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Hijackthis\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O12 - Plugin for .consultdocci: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for °)ÕÄbc: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28177.cab
O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe
O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe
O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe
http://www.bleepingcomputer.com/files/reg/smitfraud.reg
Then double click it and select "Yes" at the prompt. Reboot your computer and report the results back.
PSGuard. I think it's dangerous, it sounds like Security IGuard.
My latest log
Logfile of HijackThis v1.99.0
Scan saved at 12:43:35, on 05/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\WINNT\System32\cidaemon.exe
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PSGuard] C:\Archivos de programa\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O12 - Plugin for .consultdocci: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for °)ÕÄbc: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28177.cab
O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe
O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe
O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe
Your HJT log is looking okay. Try running a free Panda online virus scan. There will be some items it cannot remove. Post the log of those items here.
www.pandasoftware.com/activescan/
The next message appears in the toolbar: "Error: no valid syntax"
Here are the activescan and HJT logs
Incident Status Location
Virus:W32/Smitfraud.B Disinfected Operating system
Adware:adware/psguard No disinfected C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\PSGuard.lnk
Adware:adware/cws.aboutblank No disinfected C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIN LOCAL\TEMP\q381275.exe
Adware:adware/cws.yexe No disinfected C:\WINNT\inetdata
Adware:adware/powerscan No disinfected HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\BANDREST
Adware:adware/ncase No disinfected HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\SEARCH BAR_BAK
Virus:Trj/Agent.WS Disinfected C:\1948_es.exe
Adware:Adware/Antivirus-gold No disinfected C:\Documents and Settings\Administrador\Configuración local\Temp\jbnd.exe
Virus:Trojan Horse Disinfected C:\Documents and Settings\Administrador\Configuración local\Temp\knmd.bat
Adware:Adware/Antivirus-gold No disinfected C:\Documents and Settings\Administrador\Configuración local\Temp\ngld.exe
Possible Virus. No disinfected C:\Documents and Settings\Administrador\Mis documentos\Pirateo\Calc IMEI.zip[Ultimate.exe]
Adware:Adware/PsGuard No disinfected C:\RECYCLER\S-1-5-21-682003330-790525478-725345543-500\Dc76\PSGuard.exe
Adware:Adware/PsGuard No disinfected C:\RECYCLER\S-1-5-21-682003330-790525478-725345543-500\Dc76\PSGuardSkin.dll
Adware:Adware/PsGuard No disinfected C:\RECYCLER\S-1-5-21-682003330-790525478-725345543-500\Dc76\Uninstall.exe
Adware:Adware/Popuper No disinfected C:\WINNT\system32\LogFiles\M6121600.so
Virus:W32/Gaobot.ZS.worm Disinfected C:\WINNT\system32\TFTP592
Virus:W32/Smitfraud.B Disinfected C:\WINNT\system32\wininet.dll
Logfile of HijackThis v1.99.0
Scan saved at 13:42:50, on 16/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\WINNT\System32\cidaemon.exe
C:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O12 - Plugin for .consultdocci: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for °)ÕÄbc: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28177.cab
O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe
O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe
O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe
C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\PSGuard.lnk
C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIN LOCAL\TEMP\q381275.exe
C:\WINNT\inetdata
C:\Documents and Settings\Administrador\Configuración local\Temp\jbnd.exe
C:\Documents and Settings\Administrador\Configuración local\Temp\ngld.exe
C:\Documents and Settings\Administrador\Mis documentos\Pirateo\Calc IMEI.zip
C:\RECYCLER\S-1-5-21-682003330-790525478-725345543-500\Dc76\PSGuard.exe
C:\RECYCLER\S-1-5-21-682003330-790525478-725345543-500\Dc76\PSGuardSkin.dll
C:\RECYCLER\S-1-5-21-682003330-790525478-725345543-500\Dc76\Uninstall.exe
C:\WINNT\system32\LogFiles\M6121600.so
Then reboot your computer, scan with Panda again, and post a new log.
One more time: Thanks for your work
Incident Status Location
Adware:adware/psguard No disinfected C:\DOCUMENTS AND SETTINGS\ALL USERS\MEN INICIO\PROGRAMAS\PSGuard
Adware:adware/powerscan No disinfected HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\BANDREST
Adware:adware/ncase No disinfected HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\SEARCH BAR_BAK
Virus:W32/Gaobot.ZS.worm Disinfected C:\Documents and Settings\Administrador\Configuración local\Temp\2BBB.tmp
Logfile of HijackThis v1.99.0
Scan saved at 0:12:07, on 18/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\WINNT\System32\cidaemon.exe
C:\WINNT\sllights.exe
C:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O12 - Plugin for .consultdocci: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for °)ÕÄbc: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28177.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D653FDE9-CAB3-494E-97FF-F763616C2F02}: NameServer = 195.235.113.3 195.235.96.90
O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe
O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe
O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe