Firefox Problems (Virus causes popups and lag)

**ayemceee** · 13-04-2009

I was recently hit by this virus which causes my Firefox to lag, popups get past NoScript and Adblock and some are even from IE even though I never use IE. The virus also causes for my Gmail and other pages not to load.

Here's my hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:15:33 AM, on 4/13/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Dell Photo AIO Printer 942\memcard.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\AIM6\aim6.exe
C:\Archivos de programa\Viewpoint\Common\ViewpointService.exe
C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
C:\ARCHIV~1\MICROS~3\rapimgr.exe
C:\Archivos de programa\AIM6\aolsoftware.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Archivos de programa\Alwil Software\Avast4\ashSimpl.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Home - Road Runner
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 82.98.231.89 browser-security.microsoft.com
O1 - Hosts: 82.98.231.89 best-click-scanner.info
O1 - Hosts: 82.98.231.89 antivirus-xp-pro-2009.com
O1 - Hosts: 82.98.231.89 microsoft.infosecuritycenter.com
O1 - Hosts: 82.98.231.89 microsoft.softwaresecurityhelp.com
O1 - Hosts: 82.98.231.89 onlinenotifyq.net
O1 - Hosts: 82.98.231.89 antivirusxp-pro-2009.com
O1 - Hosts: 82.98.231.89 microsoft.browser-security-center.com
O2 - BHO: (no name) - {29352358-f45a-4b62-ac3e-5b496f837688} - C:\WINDOWS\system32\qoMfcYst.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9e91ef7b-6846-45c3-a8ab-67cf7c900783} - C:\WINDOWS\system32\hgGyvuTM.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.357 2\swg.dll
O2 - BHO: C:\WINDOWS\system32\jsne87fidgf.dll - {c5bf49a2-94f3-42bd-f434-3604812c897d} - C:\WINDOWS\system32\jsne87fidgf.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O2 - BHO: (no name) - {ff3c1b1d-6a3e-4b5f-8e18-d758a801884a} - C:\WINDOWS\system32\seratewa.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [xsjfn83jkemfofght] C:\DOCUME~1\familia\CONFIG~1\Temp\winlogin.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Dell Photo AIO Printer 942] "C:\Archivos de programa\Dell Photo AIO Printer 942\dlbubmgr.exe"
O4 - HKLM\..\Run: [DellMCM] "C:\Archivos de programa\Dell Photo AIO Printer 942\memcard.exe"
O4 - HKLM\..\Run: [DLBUCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLBUtim e.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [4c4a040a] rundll32.exe "C:\WINDOWS\system32\zifisehe.dll",b
O4 - HKLM\..\Run: [ribijugume] Rundll32.exe "C:\WINDOWS\system32\yiriyidi.dll",s
O4 - HKLM\..\Run: [CPM4f793796] Rundll32.exe "c:\windows\system32\bipehozo.dll",a
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [gadcom] "C:\Documents and Settings\familia\Datos de programa\gadcom\gadcom.exe" 61A847B5BBF728173599284503996897C881250221C8670836 AC4FA7C8833201749139
O4 - HKCU\..\Run: [xsjfn83jkemfofght] C:\DOCUME~1\familia\CONFIG~1\Temp\winlogin.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\familia\CONFIG~1\Temp\csrssc.exe
O4 - HKCU\..\Run: [Aim6] "C:\Archivos de programa\AIM6\aim6.exe" /d locale=en-US ee://aol/imApp
O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Documents and Settings\familia\Datos de programa\Microsoft\Windows\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [ribijugume] Rundll32.exe "C:\WINDOWS\system32\yiriyidi.dll",s (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1227401647711
O20 - AppInit_DLLs: qfqoob.dll usrkmd.dll C:\WINDOWS\system32\hutijezu.dll c:\windows\system32\bipehozo.dll
O20 - Winlogon Notify: hgGyvuTM - hgGyvuTM.dll (file missing)
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\bipehozo.dll
O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jsne87fidgf.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\bipehozo.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswupdsv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus (avast! antivirus) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner (avast! mail scanner) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner (avast! web scanner) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: dlbu_device - Dell - C:\WINDOWS\system32\dlbucoms.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Archivos de programa\Viewpoint\Common\ViewpointService.exe

--
End of file - 9392 bytes

**VopThis** · 13-04-2009

Get HostsXpert here:
http://www.funkytoad.com/download/HostsXpert.zip

Unzip it to a convenient place and run the program.
If you see red text (‘Make Writeable?’) then press the ‘Make Writeable?’ BUTTON.
Click ’Restore MS Hosts File’ BUTTON.
You will be asked to confirm ’Press OK to Restore Microsoft’s original Hosts File’. Click ’OK’ BUTTON.
Close the program.

Please follow instructions below exactly as given

Visit this page below to familiarize yourself to the tool below and download from one of the links provided.

A guide and tutorial on using ComboFix

If you have previously downloaded ComboFix,please delete that version now.

It is IMPORTANT that it is saved directly to your desktop

Close any open browsers.

Disconnect from the Internet.

Please do not re-connect your machine back to the Internet until Combofix has completely finished.

Disable your antivirus program and any realtime malware scanners and script blockers now

How To Disable

Double click on combofix.exe and follow the prompts.

When it's finished it will produce a log.
Post the entire contents of C:\ComboFix.txt into your next reply.

Note:
Do not mouseclick combofix’s window while it's running.

That may cause the program to freeze/hang.

Do NOT post the ComboFix-quarantined-files.txt unless I ask.

Re-enable your anti-virus and re-connect back to the internet and post the combofix log and a revised HijackThis LOG.

*Note*
In case your Antivirus or any other realtime scanner is displaying an alert after you downloaded Combofix or while you use Combofix, please disable your scanner and redownload Combofix again.
Some scanners may see some combofix related components as suspicious and block or delete them while there's nothing wrong with them.

ComboFix SHOULD NOT be used unless requested by a forum helper.

**ayemceee** · 13-04-2009

Here is the Combofix log:

ComboFix 09-04-13.A2 - familia 2009-04-13 14:26.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.3082.18.991.661 [GMT -4:00]
Running from: c:\documents and settings\familia\Escritorio\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090413-0] *On-access scanning disabled* (Updated)
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\archivos de programa\Mjcore
c:\archivos de programa\Mjcore\Mjcore.dll
c:\documents and settings\familia\Configuración local\Archivos temporales de Internet\fbk.sts
c:\documents and settings\familia\Datos de programa\gadcom
c:\documents and settings\familia\Datos de programa\inst.exe
c:\documents and settings\familia\Datos de programa\NI.GSCNS
c:\documents and settings\familia\Datos de programa\NI.GSCNS\dl.ini
c:\documents and settings\familia\Datos de programa\NI.GSCNS\settings.ini
c:\windows\system32\_000003_.tmp.dll
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\_000007_.tmp.dll
c:\windows\system32\_000008_.tmp.dll
c:\windows\system32\_000009_.tmp.dll
c:\windows\system32\_000010_.tmp.dll
c:\windows\system32\_000012_.tmp.dll
c:\windows\system32\_000013_.tmp.dll
c:\windows\system32\bipehozo.dll
c:\windows\system32\ehesifiz.ini
c:\windows\system32\hutijezu.dll
c:\windows\system32\iwajelik.ini
c:\windows\system32\jbqmlojf.ini
c:\windows\system32\jijuwajo.dll
c:\windows\system32\kilejawi.dll
c:\windows\system32\kitohulo.dll
c:\windows\system32\nepivoyi.dll
c:\windows\system32\pykpnatp.ini
c:\windows\system32\seratewa.dll
c:\windows\system32\tsYcfMoq.ini
c:\windows\system32\tsYcfMoq.ini2
c:\windows\system32\vodewenu.dll
c:\windows\system32\yiriyidi.dll
c:\windows\system32\zemavuda.dll
c:\windows\system32\zifisehe.dll
c:\windows\Tasks\drvshrda.job
c:\windows\Temp\tmp3.tmp

.
((((((((((((((((((((((((( Files Created from 2009-03-13 to 2009-04-13 )))))))))))))))))))))))))))))))
.

2009-04-13 04:14 . 2009-04-13 04:14 -------- d-----w c:\archivos de programa\Trend Micro
2009-04-03 01:34 . 2009-04-03 01:34 -------- d-----w C:\Programme
2009-04-03 01:31 . 2009-04-03 01:31 37 ----a-w c:\windows\iltwain.ini

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-04-13 17:16 . 2009-01-13 17:16 63488 --sha-w c:\windows\system32\tavahozu.exe
2009-04-13 17:16 . 2009-01-13 17:16 63488 --sha-w c:\windows\system32\tavahozu.exe
2009-04-13 03:47 . 2007-05-26 21:54 -------- d-----w c:\documents and settings\All Users\Datos de programa\Google Updater
2009-04-13 00:59 . 2009-01-13 00:59 62976 --sha-w c:\windows\system32\raferafo.exe
2009-04-13 00:59 . 2009-01-13 00:59 62976 --sha-w c:\windows\system32\raferafo.exe
2009-04-12 06:21 . 2009-01-12 06:21 62976 --sha-w c:\windows\system32\kiseluzo.exe
2009-04-12 06:21 . 2009-01-12 06:21 62976 --sha-w c:\windows\system32\kiseluzo.exe
2009-04-11 18:21 . 2009-01-11 18:21 62464 --sha-w c:\windows\system32\bakivige.exe
2009-04-11 18:21 . 2009-01-11 18:21 62464 --sha-w c:\windows\system32\bakivige.exe
2009-04-11 04:29 . 2009-01-11 04:29 61952 --sha-w c:\windows\system32\siduvuni.exe
2009-04-11 04:29 . 2009-01-11 04:29 61952 --sha-w c:\windows\system32\siduvuni.exe
2009-04-10 05:40 . 2007-05-28 17:15 1220 ----a-w C:\sti.log
2009-04-08 02:12 . 2007-06-22 06:35 -------- d-----w c:\archivos de programa\Graffiti Studio 2.0
2009-04-01 19:25 . 2007-05-28 16:58 -------- d-----w c:\archivos de programa\Dl_cats
2009-03-28 01:27 . 2009-01-19 06:57 -------- d-----w c:\archivos de programa\Last.fm
2009-03-08 11:58 . 2001-08-24 16:00 67060 ----a-w c:\windows\system32\perfc00A.dat
2009-03-08 11:58 . 2001-08-24 16:00 457964 ----a-w c:\windows\system32\perfh00A.dat
2009-02-23 03:38 . 2007-05-26 22:01 55224 ----a-w c:\documents and settings\familia\Configuración local\Datos de programa\GDIPFONTCACHEV1.DAT
2009-02-13 08:28 . 2009-02-13 08:28 -------- d-----w c:\documents and settings\familia\Datos de programa\ArcSoft
2009-02-13 08:26 . 2007-05-28 17:12 -------- d--h--w c:\archivos de programa\InstallShield Installation Information
2009-02-13 08:25 . 2007-06-24 06:34 -------- d-----w c:\archivos de programa\Archivos comunes\Nikon
2009-02-13 08:24 . 2009-02-13 08:24 -------- d-----w c:\archivos de programa\Archivos comunes\muvee Technologies
2009-02-13 08:24 . 2009-02-13 08:24 -------- d-----w c:\archivos de programa\Nikon
2009-02-13 08:23 . 2009-02-13 08:23 -------- d-----w c:\archivos de programa\ArcSoft
2008-12-28 08:41 . 2007-06-24 06:37 20 ---h--w c:\documents and settings\All Users\Datos de programa\PKP_DLec.DAT
2008-12-04 05:30 . 2008-12-04 05:30 47360 ----a-w c:\documents and settings\familia\Datos de programa\pcouffin.sys
2007-05-27 01:00 . 2007-05-27 01:00 136 ----a-w c:\documents and settings\familia\Configuración local\Datos de programa\fusioncache.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ares"="c:\archivos de programa\Ares\Ares.exe" [2007-05-14 964608]
"H/PC Connection Agent"="c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"Aim6"="c:\archivos de programa\AIM6\aim6.exe" [2008-06-12 50528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"AudioDeck"="c:\archivos de programa\VIAudioi\SBADeck\ADeck.exe" [2005-03-04 512000]
"SunJavaUpdateSched"="c:\archivos de programa\Java\jre6\bin\jusched.exe" [2008-12-07 136600]
"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" [2007-06-29 286720]
"iTunesHelper"="c:\archivos de programa\iTunes\iTunesHelper.exe" [2007-05-26 257088]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avast!"="c:\archiv~1\ALWILS~1\Avast4\ashDisp. exe" [2009-02-05 81000]
"Dell Photo AIO Printer 942"="c:\archivos de programa\Dell Photo AIO Printer 942\dlbubmgr.exe" [2005-02-03 294912]
"DellMCM"="c:\archivos de programa\Dell Photo AIO Printer 942\memcard.exe" [2004-07-27 262144]
"DLBUCATS"="c:\windows\System32\spool\DRIVERS\W32X 86\3\DLBUtime.dll" [2004-11-09 69632]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
"MySpaceIM"="c:\archivos de programa\MySpace\IM\MySpaceIM.exe" [2008-12-12 9555968]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
NkbMonitor.exe.lnk - c:\archivos de programa\Nikon\PictureProject\NkbMonitor.exe [2009-02-13 118784]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Google Updater.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Logitech SetPoint.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^NkbMonitor.exe.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\NkbMonitor.exe.lnk
backup=c:\windows\pss\NkbMonitor.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
--a------ 2007-05-14 18:37 964608 c:\archivos de programa\Ares\Ares.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative WebCam Tray]
--a------ 2004-04-29 10:59 245760 c:\archivos de programa\Creative\Shared Files\CamTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2006-11-13 13:39 1289000 c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-13 22:19 1695232 c:\archivos de programa\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:54 5674352 c:\archivos de programa\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kernel and hardware abstraction layer]
--a------ 2007-04-11 15:32 56080 c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\logitech hardware abstraction layer]
--a------ 2007-04-11 15:32 56080 c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVGEMS"=2 (0x2)
"Avg7UpdSvc"=2 (0x2)
"Avg7Alrt"=2 (0x2)
"AresChatServer"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Last.fm\\LastFM.exe"=
"c:\\Archivos de programa\\Ares\\Ares.exe"=
"c:\\Archivos de programa\\AIM\\aim.exe"=
"c:\\Archivos de programa\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Archivos de programa\\Archivos comunes\\AOL\\Loader\\aolload.exe"=
"c:\\Archivos de programa\\AIM6\\aim6.exe"=
"c:\archivos de programa\Microsoft ActiveSync\rapimgr.exe"= c:\archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe"= c:\archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= c:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"c:\\Archivos de programa\\MySpace\\IM\\MySpaceIM.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:*

isabled:@xpsp2res.dll,-22009

R1 c23574db;c23574db; [x]
R3 BS_Flash;BS_Flash; [x]
S1 aswsp;avast! Self Protection; [x]
S1 BS_I2cIo;BS_I2cIo;c:\windows\system32\drivers\BS_I 2cIo.sys [2008-06-16 6272]
S2 aswfsblk;aswfsblk;c:\windows\system32\DRIVERS\aswF sBlk.sys [2009-02-05 20560]
S2 Viewpoint Manager Service;Viewpoint Manager Service;c:\archivos de programa\Viewpoint\Common\ViewpointService.exe [2007-01-04 24652]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{79612b80-b50c-11dd-8ec3-00e04c9d8439}]
\shell\autorun\command - .\Encryption Tool\MaxtorEncryption.exe
.
Contents of the 'Scheduled Tasks' folder

2009-04-13 c:\windows\Tasks\Google Software Updater.job
- c:\archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 14:57]
.
- - - - ORPHANS REMOVED - - - -

BHO-{29352358-f45a-4b62-ac3e-5b496f837688} - c:\windows\system32\qoMfcYst.dll
BHO-{ff3c1b1d-6a3e-4b5f-8e18-d758a801884a} - c:\windows\system32\seratewa.dll
HKLM-Explorer_Run-Lsass Service - c:\documents and settings\familia\Datos de programa\Microsoft\Windows\lsass.exe
Notify-hgGyvuTM - hgGyvuTM.dll
MSConfigStartUp-4c4a040a - c:\windows\system32\ptanpkyp.dll

.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.rr.com/
IE: E&xport to Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\familia\Datos de programa\Mozilla\Firefox\Profiles\sy0lqgts.default \
FF - component: c:\documents and settings\familia\Datos de programa\Mozilla\Firefox\Profiles\sy0lqgts.default \extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes. dll
FF - plugin: c:\archivos de programa\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npitunes.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npViewpoint.dll
FF - plugin: c:\archivos de programa\Viewpoint\Viewpoint Media Player\npViewpoint.dll
.

************************************************** ************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-13 14:41
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DLBUCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\DLBUtim e.dll,_RunDLLEntry@16????????????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ??????????????????????????????????????????????????
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run
Lsass Service = c:\documents and settings\familia\Datos de programa\Microsoft\Windows\lsass.exe???????4?????? ???????????????????P?P???P???@????

scanning hidden files ...

************************************************** ************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1606980848-1957994488-854245398-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{A835A6A4-0DFC-8C50-B338-CC2A9D3217DD}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iaoodiohcchomeafjk"=hex:6b,61,6b,6c,6d,65,62,6f,6 5,70,70,61,62,61,6e,67,6e,6c,
62,66,67,6e,00,00
"haaojhajhpeoaldd"=hex:6a,61,6a,6c,6a,64,6e,70,69, 67,6c,6f,64,6f,67,69,6d,6b,
66,70,00,6a
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(3556)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
c:\archivos de programa\Alwil Software\Avast4\ashServ.exe
c:\archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\archivos de programa\Java\jre6\bin\jqs.exe
c:\archivos de programa\Dell Photo AIO Printer 942\dlbubmon.exe
c:\archivos de programa\iPod\bin\iPodService.exe
c:\archiv~1\MICROS~3\rapimgr.exe
c:\archivos de programa\AIM6\aolsoftware.exe
c:\windows\system32\wscntfy.exe
c:\archivos de programa\Viewpoint\Viewpoint Manager\ViewMgr.exe
.
************************************************** ************************
.
Completion time: 2009-04-13 14:46 - machine was rebooted
ComboFix-quarantined-files.txt 2009-04-13 18:45

Pre-Run: 9,228,734,464 bytes libres
Post-Run: 13,059,911,680 bytes libres

235 --- E O F --- 2008-11-22 16:14

**ayemceee** · 13-04-2009

And here is a hijackthis log after runnign combofix:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:50:34 PM, on 4/13/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Viewpoint\Common\ViewpointService.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Dell Photo AIO Printer 942\dlbubmgr.exe
C:\Archivos de programa\Dell Photo AIO Printer 942\memcard.exe
C:\Archivos de programa\Dell Photo AIO Printer 942\dlbubmon.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\AIM6\aim6.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\ARCHIV~1\MICROS~3\rapimgr.exe
C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
C:\Archivos de programa\AIM6\aolsoftware.exe
C:\Archivos de programa\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Home - Road Runner
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.357 2\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Dell Photo AIO Printer 942] "C:\Archivos de programa\Dell Photo AIO Printer 942\dlbubmgr.exe"
O4 - HKLM\..\Run: [DellMCM] "C:\Archivos de programa\Dell Photo AIO Printer 942\memcard.exe"
O4 - HKLM\..\Run: [DLBUCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLBUtim e.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Aim6] "C:\Archivos de programa\AIM6\aim6.exe" /d locale=en-US ee://aol/imApp
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MySpaceIM] C:\Archivos de programa\MySpace\IM\MySpaceIM.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1227401647711
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswupdsv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus (avast! antivirus) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner (avast! mail scanner) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner (avast! web scanner) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: dlbu_device - Dell - C:\WINDOWS\system32\dlbucoms.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Archivos de programa\Viewpoint\Common\ViewpointService.exe

--
End of file - 7263 bytes

**VopThis** · 14-04-2009

Currently, you have one or more files that yield very limited or no search results. Often such files could be a variant or random name variation of files that can be determined to be malware:

Submit files to VirusTotal – multiple language support (38 antivirus/anti-malware engines):

Go to VirusTotal - Free Online Virus and Malware Scan
Copy each of the following lines into the white textbox (OR navigate/browse to the file in question):

>[Full Path]\Suspect File<
c:\windows\system32\tavahozu.exe
c:\windows\system32\raferafo.exe
c:\windows\system32\kiseluzo.exe
c:\windows\system32\bakivige.exe
c:\windows\system32\siduvuni.exe

[also might right-click located file>properties - for potential relevant or suspect vendor details, etc.]

Click ‘Send File’.
Please post the results of each scan to this thread or state if the results are all basically similar.

* Please download Malwarebytes' Anti-Malware from HERE or HERE

Double Click mbam-setup.exe to install the application.

Make sure a checkmark is placed next to Update Malwarebytes' Anti-Malware and Launch Malwarebytes Anti-Malware, then click Finish.
Run the scan in SAFEMODE (tapping the F8 key on bootup), if necessary.
If an update is found, it will download and install the latest version.
If you encounter any problems while downloading the updates, manually download them from HERE and just double-click on mbam-rules.exe to install.
Once the program has loaded, you can initially select the often highly productive "Perform Quick Scan", then click Scan.
….. AND/OR go straight to the longer but more comprehensive scan:
It is also highly advisable to run the longer ”Full Scan” in addition to the above scan.
The scan may take some time to finish, so please be patient.
When the scan is complete, click OK, then Show Results to view the results.
Make sure that everything is checked , and click Remove Selected.
When disinfection is completed , a log will open in Notepad and you may be prompted to Restart(See Extra Note).
A run log is automatically saved by MBAM and can be viewed by clicking the Logs TAB in MBAM.
Copy&Paste the entire report(s) in your next reply .
Please post any current revised observations - how your computer is now doing.

Extra Note:
If MBAM encounters a file that is difficult to remove, you will be presented with 1 of 2 prompts, click OK to either and let MBAM proceed with the disinfection process, if asked to restart the computer, please do so immediately.

Firefox Problems (Virus causes popups and lag)

Firefox Problems (Virus causes popups and lag)

Similar Threads

Adware, google redirects, random popups in Firefox.

Computer very slow, popups, virus alerts and such.(RESOLVED)

Malware/virus closing and opening Firefox/IE among other problems!

Random Internet Explorer Popups, Even though I use Firefox all the time. HTJlog.