Help Please

franrafa91
franrafa91
in Malware talk

I have a adware problem with my computer. Every 10 minutes, a popup appears in the low right corner of the screen, which tells me that my computer is at risk and has virus, and that if I click on the popup it will redirect me to a page where I can download software to delete the virus. When I click the popup it redirects me to a page called http://www.virprotect.com/?aff=1012. I ran bitdefender, spyware doctor, and ad-aware, but the problem remains unsolved. I will upload a hijackthis log.

/applications/core/interface/file/attachment.php?id=1305" data-fileid="1305" rel="">log.txt

/applications/core/interface/file/attachment.php?id=1306" data-fileid="1306" rel="">log.txt

Comments

  • franrafa91
    franrafa91
    Logfile of Trend Micro HijackThis v2.0.2


    Scan saved at 09:24:57 p.m., on 10/01/2008


    Platform: Windows XP SP2 (WinNT 5.01.2600)


    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


    Boot mode: Normal


    Running processes:


    C:\WINDOWS\System32\smss.exe


    C:\WINDOWS\system32\winlogon.exe


    C:\WINDOWS\system32\services.exe


    C:\WINDOWS\system32\lsass.exe


    C:\WINDOWS\system32\Ati2evxx.exe


    C:\WINDOWS\system32\svchost.exe


    C:\WINDOWS\System32\svchost.exe


    C:\WINDOWS\system32\Ati2evxx.exe


    C:\WINDOWS\Explorer.EXE


    C:\WINDOWS\system32\spoolsv.exe


    C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe


    C:\Archivos de programa\PowerISO\PWRISOVM.EXE


    C:\Archivos de programa\BitDefender\BitDefender 2008\bdagent.exe


    C:\Archivos de programa\VibrateGameDeviceDriver\RFPIcon.exe


    C:\archivos de programa\powerstrip\pstrip.exe


    C:\WINDOWS\system32\ctfmon.exe


    C:\Archivos de programa\uTorrent\uTorrent.exe


    C:\Archivos de programa\Launchy\Launchy.exe


    C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe


    C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe


    C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE


    C:\WINDOWS\system32\PnkBstrA.exe


    C:\Archivos de programa\Archivos comunes\Protexis\License Service\PSIService.exe


    C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe


    C:\WINDOWS\system32\svchost.exe


    C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Communicator\xcommsvr.exe


    C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Update Service\livesrv.exe


    C:\Archivos de programa\BitDefender\BitDefender 2008\vsserv.exe


    C:\WINDOWS\System32\svchost.exe


    C:\Archivos de programa\MSN Messenger\usnsvc.exe


    C:\Archivos de programa\Adobe\Reader 8.0\Reader\AcroRd32.exe


    C:\Archivos de programa\MSN Messenger\msnmsgr.exe


    C:\Archivos de programa\Mozilla Firefox 3 Beta 2\firefox.exe


    C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank


    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos


    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll


    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Archivos de programa\Real\RealPlayer\rpbrowserrecordplugin.dll


    O2 - BHO: UltraEdit Toolbar - {4E7BD74F-2B8D-469E-85AA-FD60BB9AAE22} - C:\ARCHIV~1\UE_TOO~1\UE_TOO~1.DLL


    O2 - BHO: (no name) - {69B98C68-D2B8-4A4E-9CB7-E85B6F3A7014} - C:\Archivos de programa\Video Add-on\isfmdl.dll (file missing)


    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL


    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll


    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


    O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Archivos de programa\Helper\turbosearchsite.dll


    O3 - Toolbar: UltraEdit Toolbar - {4E7BD74F-2B8D-469E-85AA-FD60BB9AAE22} - C:\ARCHIV~1\UE_TOO~1\UE_TOO~1.DLL


    O3 - Toolbar: IE Custom Tools - {F2BADA0D-FD61-45EF-A994-64A073FD6613} - C:\Archivos de programa\Video Add-on\ictmdl.dll (file missing)


    O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Archivos de programa\BitDefender\BitDefender 2008\IEToolbar.dll


    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC


    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName


    O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE


    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe


    O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"


    O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Archivos de programa\PowerISO\PWRISOVM.EXE


    O4 - HKLM\..\Run: [bDAgent] "C:\Archivos de programa\BitDefender\BitDefender 2008\bdagent.exe"


    O4 - HKLM\..\Run: [RTBatteryMeter] C:\Archivos de programa\VibrateGameDeviceDriver\RFPIcon.exe


    O4 - HKLM\..\Run: [PowerStrip] c:\archivos de programa\powerstrip\pstrip.exe


    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k


    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe


    O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"


    O4 - HKCU\..\Run: [uTorrent] "C:\Archivos de programa\uTorrent\uTorrent.exe"


    O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background


    O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount


    O4 - HKLM\..\Policies\Explorer\Run: [waultc] C:\WINDOWS\system32\waultc.exe


    O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Archivos de programa\Video Add-on\isfmntr.exe


    O4 - Global Startup: Launchy.lnk = C:\Archivos de programa\Launchy\Launchy.exe


    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000


    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000


    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll


    O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll


    O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll


    O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll


    O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.updatesgate.com/redirect.php (file missing)


    O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.updatesgate.com/redirect.php (file missing)


    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL


    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Archivos de programa\PartyGaming\PartyPoker\RunApp.exe (file missing)


    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Archivos de programa\PartyGaming\PartyPoker\RunApp.exe (file missing)


    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe


    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe


    O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15030/CTSUEng.cab


    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15030/CTPID.cab


    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL


    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL


    O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL


    O22 - SharedTaskScheduler: ficklety - {e31f5c72-8e0d-4921-8375-9573746c170c} - C:\WINDOWS\system32\ezzhjmt.dll


    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe


    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe


    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe


    O23 - Service: Diskeeper - Diskeeper Corporation - C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe


    O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Archivos de programa\HP Games\My HP Game Console\GameConsoleService.exe


    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe


    O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe


    O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Update Service\livesrv.exe


    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe


    O23 - Service: ProtexisLicensing - Unknown owner - C:\Archivos de programa\Archivos comunes\Protexis\License Service\PSIService.exe


    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Archivos de programa\WinPcap\rpcapd.exe


    O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe


    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe


    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe


    O23 - Service: SSH Tectia Server (SSHTectiaServer) - Unknown owner - C:\Archivos de programa\SSH Communications Security\SSH Tectia\SSH Tectia Server\ssh-server-g3.exe


    O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe


    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe


    O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Archivos de programa\BitDefender\BitDefender 2008\vsserv.exe


    O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\xampp\service.exe (file missing)


    O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Communicator\xcommsvr.exe


    --


    End of file - 10030 bytes

  • Unknown
    Unknown
    edited January 2008

    Dear Fr3,


    it seems you are infected with a new variant of Trojan.Zlob. Please attach in a password protected all the files from C:\Archivos de programa\Video Add-on\ (disable the on-acccess file shield, create the archive with the password infected, attach it here, reenable the shield).

  • franrafa91
    franrafa91

    But why is this trojan so difficult to spot?

    /applications/core/interface/file/attachment.php?id=1314" data-fileid="1314" rel="">infected.zip

  • Cd-MaN
    Cd-MaN

    Detection will be available after the update with the name "Trojan.Zlob.GK". Complete detection is difficult because this is a family of malware which morphes any time AV companies start to detect it.


    Also, please send the file "C:\WINDOWS\system32\ezzhjmt.dll", because it looks phishy too.


    Best regards.

All Time Leaders

Categories

Defenders of the month