Author Topic: [Done] 3K mile away support please help me  (Read 8215 times)

0 Members and 1 Guest are viewing this topic.

Offline mitch

  • Hero Member
  • *****
  • Posts: 729
    • View Profile
[Done] 3K mile away support please help me
« on: July 17, 2005, 12:50:53 AM »
got a lightweight friend on the right coast, and i live on the left coast.
we have been getting her computer set up
well a friend of hers had her go to a few sites and poof
note she is trying hard! and aaw had the latest ref file, also she has spywareblaster, but uses IE ;-(

this is what she started with
References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
180Solutions(TAC index:6):18 total references
EzuLa(TAC index:6):153 total references
Hijacker.TopConverting(TAC index:5):1 total references
MRU List(TAC index:0):3 total references
Other(TAC index:5):2 total references
Tracking Cookie(TAC index:3):14 total references
Zango(TAC index:6):11 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

using ccleaner aaw and norton we still have troubles
this is  her last log after a reboot
looks like one or two haave become friendly with her computer
i am assisting by e-mail so plese make the replies e-mailable ;-)
thanks


Ad-Aware SE Build 1.06r1
Logfile Created on:Saturday, July 16, 2005 8:46:31 PM
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R54 14.07.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
EzuLa(TAC index:6):23 total references
MRU List(TAC index:0):3 total references
Other(TAC index:5):1 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Definition File:
=========================
Definitions File Loaded:
Reference Number : SE1R54 14.07.2005
Internal build : 63
File location : C:\Program Files\Lavasoft\Ad-Aware SE Personal\defs.ref
File size : 496849 Bytes
Total size : 1499538 Bytes
Signature data size : 1467043 Bytes
Reference data size : 31983 Bytes
Signatures total : 41785
CSI Fingerprints total : 962
CSI data size : 33758 Bytes
Target categories : 15
Target families : 715


Memory + processor status:
==========================
Number of processors : 1
Processor architecture : Intel Pentium III
Memory available:57 %
Total physical memory:522160 kb
Available physical memory:297424 kb
Total page file size:883604 kb
Available on page file:699988 kb
Total virtual memory:2097024 kb
Available virtual memory:2046308 kb
OS:Microsoft Windows XP Home Edition Service Pack 2 (Build 2600)

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


7-16-2005 8:46:31 PM - Scan started. (Full System Scan)






Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
    FilePath           : \SystemRoot\System32\
    ProcessID          : 388
    ThreadCreationTime : 7-17-2005 12:26:42 AM
    BasePriority       : Normal


#:2 [csrss.exe]
    FilePath           : \??\C:\WINNT\system32\
    ProcessID          : 604
    ThreadCreationTime : 7-17-2005 12:26:46 AM
    BasePriority       : Normal


#:3 [winlogon.exe]
    FilePath           : \??\C:\WINNT\system32\
    ProcessID          : 628
    ThreadCreationTime : 7-17-2005 12:26:46 AM
    BasePriority       : High


#:4 [services.exe]
    FilePath           : C:\WINNT\system32\
    ProcessID          : 672
    ThreadCreationTime : 7-17-2005 12:26:46 AM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Services and Controller app
    InternalName       : services.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : services.exe

#:5 [lsass.exe]
    FilePath           : C:\WINNT\system32\
    ProcessID          : 684
    ThreadCreationTime : 7-17-2005 12:26:46 AM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : LSA Shell (Export Version)
    InternalName       : lsass.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : lsass.exe

#:6 [svchost.exe]
    FilePath           : C:\WINNT\system32\
    ProcessID          : 844
    ThreadCreationTime : 7-17-2005 12:26:48 AM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:7 [svchost.exe]
    FilePath           : C:\WINNT\system32\
    ProcessID          : 896
    ThreadCreationTime : 7-17-2005 12:26:48 AM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:8 [svchost.exe]
    FilePath           : C:\WINNT\System32\
    ProcessID          : 992
    ThreadCreationTime : 7-17-2005 12:26:48 AM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:9 [svchost.exe]
    FilePath           : C:\WINNT\System32\
    ProcessID          : 1040
    ThreadCreationTime : 7-17-2005 12:26:48 AM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:10 [svchost.exe]
    FilePath           : C:\WINNT\System32\
    ProcessID          : 1152
    ThreadCreationTime : 7-17-2005 12:26:49 AM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:11 [ccsetmgr.exe]
    FilePath           : C:\Program Files\Common Files\Symantec Shared\
    ProcessID          : 1280
    ThreadCreationTime : 7-17-2005 12:26:50 AM
    BasePriority       : Normal
    FileVersion        : 103.0.4.3
    ProductVersion     : 103.0.4.3
    ProductName        : Client and Host Security Platform
    CompanyName        : Symantec Corporation
    FileDescription    : Symantec Settings Manager Service
    InternalName       : ccSetMgr
    LegalCopyright     : Copyright (c) 2000-2004 Symantec Corporation. All
rights reserved.
    OriginalFilename   : ccSetMgr.exe

#:12 [sndsrvc.exe]
    FilePath           : C:\Program Files\Common Files\Symantec Shared\
    ProcessID          : 1296
    ThreadCreationTime : 7-17-2005 12:26:50 AM
    BasePriority       : Normal
    FileVersion        : 5.5.1.6
    ProductVersion     : 5.5
    ProductName        : Symantec Security Drivers
    CompanyName        : Symantec Corporation
    FileDescription    : Network Driver Service
    InternalName       : SndSrvc
    LegalCopyright     : Copyright 2002, 2003, 2004 Symantec Corporation
    OriginalFilename   : SndSrvc.exe

#:13 [spbbcsvc.exe]
    FilePath           : C:\Program Files\Common Files\Symantec
Shared\SPBBC\
    ProcessID          : 1320
    ThreadCreationTime : 7-17-2005 12:26:50 AM
    BasePriority       : Normal
    FileVersion        : 1,0,1,47
    ProductVersion     : 1,0,1,47
    ProductName        : SPBBC
    CompanyName        : Symantec Corporation
    FileDescription    : SPBBC Service
    InternalName       : SPBBCSvc
    LegalCopyright     : Copyright (c) 2004 Symantec Corporation. All rights
reserved.
    OriginalFilename   : SPBBCSvc.exe

#:14 [ccevtmgr.exe]
    FilePath           : C:\Program Files\Common Files\Symantec Shared\
    ProcessID          : 1404
    ThreadCreationTime : 7-17-2005 12:26:51 AM
    BasePriority       : Normal
    FileVersion        : 103.0.4.3
    ProductVersion     : 103.0.4.3
    ProductName        : Client and Host Security Platform
    CompanyName        : Symantec Corporation
    FileDescription    : Symantec Event Manager Service
    InternalName       : ccEvtMgr
    LegalCopyright     : Copyright (c) 2000-2004 Symantec Corporation. All
rights reserved.
    OriginalFilename   : ccEvtMgr.exe

#:15 [spoolsv.exe]
    FilePath           : C:\WINNT\system32\
    ProcessID          : 1548
    ThreadCreationTime : 7-17-2005 12:26:51 AM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Spooler SubSystem App
    InternalName       : spoolsv.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : spoolsv.exe

#:16 [navapsvc.exe]
    FilePath           : C:\Program Files\Norton AntiVirus\
    ProcessID          : 1672
    ThreadCreationTime : 7-17-2005 12:26:52 AM
    BasePriority       : Normal
    FileVersion        : 11.0.9.16
    ProductVersion     : 11.0.9
    ProductName        : Norton AntiVirus
    CompanyName        : Symantec Corporation
    FileDescription    : Norton AntiVirus Auto-Protect Service
    InternalName       : NAVAPSVC
    LegalCopyright     : Norton AntiVirus 2005 for Windows 98/ME/2000/XP
Copyright © 2004 Symantec Corporation. All rights reserved.
    OriginalFilename   : NAVAPSVC.EXE

#:17 [npfmntor.exe]
    FilePath           : C:\Program Files\Norton AntiVirus\IWP\
    ProcessID          : 1696
    ThreadCreationTime : 7-17-2005 12:26:52 AM
    BasePriority       : Normal
    FileVersion        : 11.0.9.16
    ProductVersion     : 11.0.9
    ProductName        : Norton AntiVirus
    CompanyName        : Symantec Corporation
    FileDescription    : Norton AntiVirus Firewall Install Monitor
    InternalName       : NPFMonitor
    LegalCopyright     : Norton AntiVirus 2005 for Windows 98/ME/2000/XP
Copyright © 2004 Symantec Corporation. All rights reserved.
    OriginalFilename   : NPFMonitor.EXE

#:18 [nprotect.exe]
    FilePath           : C:\Program Files\Norton AntiVirus\AdvTools\
    ProcessID          : 1728
    ThreadCreationTime : 7-17-2005 12:26:52 AM
    BasePriority       : Normal
    FileVersion        : 16.00.0.22
    ProductVersion     : 16.00.0.22
    ProductName        : Norton Utilities
    CompanyName        : Symantec Corporation
    FileDescription    : Norton Protection Status
    InternalName       : NPROTECT
    LegalCopyright     : Copyright (C) 2003 Symantec Corporation
    LegalTrademarks    : Norton Utilities
    OriginalFilename   : NPROTECT.EXE

#:19 [svchost.exe]
    FilePath           : C:\WINNT\System32\
    ProcessID          : 1868
    ThreadCreationTime : 7-17-2005 12:26:52 AM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:20 [symlcsvc.exe]
    FilePath           : C:\Program Files\Common Files\Symantec
Shared\CCPD-LC\
    ProcessID          : 1928
    ThreadCreationTime : 7-17-2005 12:26:52 AM
    BasePriority       : Normal
    FileVersion        : 1, 8, 54, 478
    ProductVersion     : 1, 8, 54, 478
    ProductName        : Symantec Core Component
    CompanyName        : Symantec Corporation
    FileDescription    : Symantec Core Component
    InternalName       : symlcsvc
    LegalCopyright     : Copyright (C) 2003
    OriginalFilename   : symlcsvc.exe

#:21 [alg.exe]
    FilePath           : C:\WINNT\System32\
    ProcessID          : 1112
    ThreadCreationTime : 7-17-2005 12:27:01 AM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Application Layer Gateway Service
    InternalName       : ALG.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : ALG.exe

#:22 [gwmdmmsg.exe]
    FilePath           : C:\WINNT\
    ProcessID          : 1920
    ThreadCreationTime : 7-17-2005 12:27:20 AM
    BasePriority       : Normal
    FileVersion        :  3.4.16 05/06/2002 19:12:44
    ProductVersion     :  3.4.16 05/06/2002 19:12:44
    ProductName        : GTW Modem Messaging Applet
    CompanyName        : GTW
    FileDescription    : Modem Messaging Applet
    InternalName       : smdmstat.exe
    LegalCopyright     : Copyright © GTW 1998-2000
    OriginalFilename   : smdmstat.exe

#:23 [explorer.exe]
    FilePath           : C:\WINNT\
    ProcessID          : 2124
    ThreadCreationTime : 7-17-2005 12:28:23 AM
    BasePriority       : Normal
    FileVersion        : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 6.00.2900.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows Explorer
    InternalName       : explorer
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : EXPLORER.EXE

#:24 [realsched.exe]
    FilePath           : C:\Program Files\Common Files\Real\Update_OB\
    ProcessID          : 2200
    ThreadCreationTime : 7-17-2005 12:28:26 AM
    BasePriority       : Normal
    FileVersion        : 0.1.0.3034
    ProductVersion     : 0.1.0.3034
    ProductName        : RealPlayer (32-bit)
    CompanyName        : RealNetworks, Inc.
    FileDescription    : RealNetworks Scheduler
    InternalName       : schedapp
    LegalCopyright     : Copyright © RealNetworks, Inc. 1995-2004
    LegalTrademarks    : RealAudio(tm) is a trademark of RealNetworks, Inc.
    OriginalFilename   : realsched.exe

#:25 [e_fati9ea.exe]
    FilePath           : C:\WINNT\System32\spool\DRIVERS\W32X86\3\
    ProcessID          : 2216
    ThreadCreationTime : 7-17-2005 12:28:26 AM
    BasePriority       : Normal
    FileVersion        : 3.00
    ProductVersion     : 3.00
    ProductName        : EPSON Status Monitor 3
    CompanyName        : SEIKO EPSON CORPORATION
    FileDescription    : EPSON Status Monitor 3
    InternalName       : E_S5I2E1
    LegalCopyright     : Copyright (C) SEIKO EPSON CORP. 2004
    OriginalFilename   : E_S5I2E1.EXE

#:26 [qttask.exe]
    FilePath           : C:\Program Files\QuickTime\
    ProcessID          : 2224
    ThreadCreationTime : 7-17-2005 12:28:26 AM
    BasePriority       : Normal
    FileVersion        : 6.5.1
    ProductVersion     : QuickTime 6.5.1
    ProductName        : QuickTime
    CompanyName        : Apple Computer, Inc.
    InternalName       : QuickTime Task
    LegalCopyright     : © Apple Computer, Inc. 2001-2004
    OriginalFilename   : QTTask.exe

#:27 [ccapp.exe]
    FilePath           : C:\Program Files\Common Files\Symantec Shared\
    ProcessID          : 2236
    ThreadCreationTime : 7-17-2005 12:28:26 AM
    BasePriority       : Normal
    FileVersion        : 103.0.4.3
    ProductVersion     : 103.0.4.3
    ProductName        : Client and Host Security Platform
    CompanyName        : Symantec Corporation
    FileDescription    : Symantec User Session
    InternalName       : ccApp
    LegalCopyright     : Copyright (c) 2000-2004 Symantec Corporation. All
rights reserved.
    OriginalFilename   : ccApp.exe

#:28 [wdbtnmgr.exe]
    FilePath           : C:\WINNT\system32\
    ProcessID          : 2256
    ThreadCreationTime : 7-17-2005 12:28:27 AM
    BasePriority       : Normal
    FileVersion        : 1, 0, 15, 0
    ProductVersion     : 1, 0, 15, 0
    ProductName        : WD Button Manager
    CompanyName        : Western Digital Technologies, Inc.
    FileDescription    : WD Button Manager
    InternalName       : WD Button Manager
    LegalCopyright     : Copyright (C) 2003-2004
    OriginalFilename   : WDBtnMgr.exe

#:29 [gwmdmmsg.exe]
    FilePath           : C:\WINNT\
    ProcessID          : 2264
    ThreadCreationTime : 7-17-2005 12:28:27 AM
    BasePriority       : Normal
    FileVersion        :  3.4.16 05/06/2002 19:12:44
    ProductVersion     :  3.4.16 05/06/2002 19:12:44
    ProductName        : GTW Modem Messaging Applet
    CompanyName        : GTW
    FileDescription    : Modem Messaging Applet
    InternalName       : smdmstat.exe
    LegalCopyright     : Copyright © GTW 1998-2000
    OriginalFilename   : smdmstat.exe

#:30 [msmsgs.exe]
    FilePath           : C:\Program Files\Messenger\
    ProcessID          : 2272
    ThreadCreationTime : 7-17-2005 12:28:27 AM
    BasePriority       : Normal
    FileVersion        : 4.7.3001
    ProductVersion     : Version 4.7.3001
    ProductName        : Messenger
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows Messenger
    InternalName       : msmsgs
    LegalCopyright     : Copyright (c) Microsoft Corporation 2004
    LegalTrademarks    : Microsoft(R) is a registered trademark of Microsoft
Corporation in the U.S. and/or other countries.
    OriginalFilename   : msmsgs.exe

#:31 [wuauclt.exe]
    FilePath           : C:\WINNT\system32\
    ProcessID          : 2836
    ThreadCreationTime : 7-17-2005 12:28:37 AM
    BasePriority       : Normal
    FileVersion        : 5.8.0.2469 built by: lab01_n(wmbla)
    ProductVersion     : 5.8.0.2469
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Automatic Updates
    InternalName       : wuauclt.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : wuauclt.exe

#:32 [ad-aware.exe]
    FilePath           : C:\Program Files\Lavasoft\Ad-Aware SE Personal\
    ProcessID          : 4084
    ThreadCreationTime : 7-17-2005 12:45:44 AM
    BasePriority       : Normal
    FileVersion        : 6.2.0.236
    ProductVersion     : SE 106
    ProductName        : Lavasoft Ad-Aware SE
    CompanyName        : Lavasoft Sweden
    FileDescription    : Ad-Aware SE Core application
    InternalName       : Ad-Aware.exe
    LegalCopyright     : Copyright © Lavasoft AB Sweden
    OriginalFilename   : Ad-Aware.exe
    Comments           : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : interface\{370f6327-41c4-4fa6-a2df-1ba57ee0fbb9}

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : interface\{c03351a3-6755-11d4-8a73-0050da2ee1be}

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : typelib\{baf13496-8f72-47a1-9cee-09238efc75f0}

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : appid\ezulabootexe.exe

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : appid\{c0335198-6755-11d4-8a73-0050da2ee1be}

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : clsid\{9cfa26c0-81da-4c9d-a501-f144a4a000fa}

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : clsid\{c03351a4-6755-11d4-8a73-0050da2ee1be}

EzuLa Object Recognized!
    Type               : RegValue
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : clsid\{c03351a4-6755-11d4-8a73-0050da2ee1be}
    Value              : AppID

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : ezulabootexe.installctrl

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : ezulabootexe.installctrl.1

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : interface\{9cfa26c2-81da-4c9d-a501-f144a4a000fa}

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : typelib\{9cfa26c1-81da-4c9d-a501-f144a4a000fa}

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : typelib\{c0335197-6755-11d4-8a73-0050da2ee1be}

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\classes\appid\ezulabootexe.exe

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             :
software\classes\appid\{c0335198-6755-11d4-8a73-0050da2ee1be}

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             :
software\classes\clsid\{c03351a4-6755-11d4-8a73-0050da2ee1be}

EzuLa Object Recognized!
    Type               : RegValue
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             :
software\classes\clsid\{c03351a4-6755-11d4-8a73-0050da2ee1be}
    Value              : AppID

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\classes\ezulabootexe.installctrl

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\classes\ezulabootexe.installctrl.1

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             :
software\classes\interface\{c03351a3-6755-11d4-8a73-0050da2ee1be}

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             :
software\classes\typelib\{c0335197-6755-11d4-8a73-0050da2ee1be}

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 21
Objects found so far: 24


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 24


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 24



Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 24


Scanning Hosts file......
Hosts file location:"C:\WINNT\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 24




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

EzuLa Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\downloadmanager

EzuLa Object Recognized!
    Type               : File
    Data               : ezStub.exe
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Object             : C:\WINNT\system32\
    FileVersion        : 3, 0, 80, 20
    ProductVersion     : 1, 0, 0, 1
    ProductName        : eZstub Module
    CompanyName        : CliprexWOInt
    FileDescription    : eZstub Module
    InternalName       : eZstub
    LegalCopyright     : Copyright 2000
    OriginalFilename   : eZstub.EXE


Other Object Recognized!
    Type               : File
    Data               : EZSTUB.EXE-0D3A7282.pf
    TAC Rating         : 7
    Category           : Malware
    Comment            :
    Object             : C:\WINNT\prefetch\



Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 3
Objects found so far: 27

8:59:17 PM Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:12:45.390
Objects scanned:120140
Objects identified:25
Objects ignored:0
New critical objects:25



Offline cannymum

  • LandzDown Team
  • Full Member
  • *****
  • Posts: 91
    • View Profile
Re: 3K mile away support please help me
« Reply #1 on: July 17, 2005, 01:14:21 AM »
G'day mitch,


Could you  please try the following:

Please launch Ad-Aware SE and click on the gear to access the Configuration Menu. 

Click on Tweak > Cleaning Engine > UNcheck "Always try to unload modules before deletion" > Click Proceed.

Disconnect from the internet (for broadband/cable users, it is recommended that you  disconnect the cable connection) and close all open browsers or other programs you have running. 

Important:  check that your last scan was a "Full System Scan".  If not, please select that option and start a scan, cancelling the scan after it starts.  The object is to ensure that a full system scan will run in the following step. 

Please run Ad-Aware SE just a bit differently, using the command line below:

Click "Start" (the Windows start button) > select "Run" > type the text shown in bold below (including the quotation marks and with the same spacing as shown)

"C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" +procnuke

Click OK.

When Ad-AwareSE launches, please click the Scan Now button.

    1. When the scan has completed, select Next.
    2. In the Scanning Results window, select the "Scan Summary" tab.
    3. Check the box next to each "target family" you wish to remove.
    4. Click next, Click OK.

Please shutdown/restart your computer after removal, run a new full scan and post the results as a reply.

If the items are still present, please run HJT and post the log file in the HJT forum.  Instructions for downloading and running HJT can be found here:  http://www.landzdown.com/index.php?topic=423.0


Hope this helps. :)
Procrastinate now....Don't put it off !!

Proud Member Since 2004

Offline mitch

  • Hero Member
  • *****
  • Posts: 729
    • View Profile
Re: 3K mile away support please help me
« Reply #2 on: July 17, 2005, 03:17:34 PM »
ok, we're working on the procnuke part now

hit a snag with "file not found"???
so trying to do it by cut and paste
and uncheck the hidden files and we'll see what happens

thanks

Offline mitch

  • Hero Member
  • *****
  • Posts: 729
    • View Profile
Re: 3K mile away support please help me
« Reply #3 on: July 17, 2005, 07:07:23 PM »
UPDATE ON THINGS

the clean log is below
she is now using firefox
she now knows about spyware first hand and is using aaw.spywareblaster and ccleaner and keeping current on all
and she sent this


Quote
Dear XXXXXX:

Please extend a HUGE Thank You!!!! to the lovely ladies Miz Cannymum 
and Miz Corrine  on my behalf--I can't thank you all enough for your
immediate and *very* kind attention to my computer infection. I was hit hard
but with your detailed care and many, many hours of labor (with trusty Mitch
at my side, via telephone), I seem to be alright now. As Mitch told you, I
am truly a "lightweight," but I'm trying my best to climb this very steep
learning curve, so thanks for the helping hand, Ladies and Gentleman!

Evidencediva

and here is her latest scan after a reboot

Ad-Aware SE Build 1.06r1
Logfile Created on:Sunday, July 17, 2005 11:46:08 AM
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R54 14.07.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):3 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Definition File:
=========================
Definitions File Loaded:
Reference Number : SE1R54 14.07.2005
Internal build : 63
File location : C:\Program Files\Lavasoft\Ad-Aware SE Personal\defs.ref
File size : 496849 Bytes
Total size : 1499538 Bytes
Signature data size : 1467043 Bytes
Reference data size : 31983 Bytes
Signatures total : 41785
CSI Fingerprints total : 962
CSI data size : 33758 Bytes
Target categories : 15
Target families : 715


Memory + processor status:
==========================
Number of processors : 1
Processor architecture : Non Intel
Memory available:74 %
Total physical memory:1015140 kb
Available physical memory:749992 kb
Total page file size:1436964 kb
Available on page file:1257412 kb
Total virtual memory:2097024 kb
Available virtual memory:2046216 kb
OS:Microsoft Windows XP Home Edition Service Pack 2 (Build 2600)

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Search for low-risk threats
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan within archives
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Reanalyze results after scanning before displaying results lists
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


7/17/2005 11:46:08 AM - Scan started. (Full System Scan)

 MRU List Object Recognized!
    Location:          : C:\Documents and Settings\surfer\recent
    Description        : list of recently opened documents


 MRU List Object Recognized!
    Location:          : software\microsoft\directdraw\mostrecentapplication
    Description        : most recent application to use microsoft directdraw


 MRU List Object Recognized!
    Location:          : S-1-5-21-1614895754-115176313-682003330-1006\software\microsoft\windows media\wmsdk\general
    Description        : windows media sdk


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [explorer.exe]
    FilePath           : C:\WINDOWS\
    ProcessID          : 1708
    ThreadCreationTime : 7/17/2005 6:45:00 PM
    BasePriority       : Normal
    FileVersion        : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 6.00.2900.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows Explorer
    InternalName       : explorer
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : EXPLORER.EXE

#:2 [point32.exe]
    FilePath           : C:\Program Files\Microsoft Hardware\Mouse\
    ProcessID          : 1904
    ThreadCreationTime : 7/17/2005 6:45:01 PM
    BasePriority       : Normal


#:3 [avgcc.exe]
    FilePath           : C:\PROGRA~1\Grisoft\AVGFRE~1\
    ProcessID          : 1928
    ThreadCreationTime : 7/17/2005 6:45:02 PM
    BasePriority       : Normal
    FileVersion        : 7,1,0,321
    ProductVersion     : 7.1.0.321
    ProductName        : AVG Anti-Virus System
    CompanyName        : GRISOFT, s.r.o.
    FileDescription    : AVG Control Center
    InternalName       : AvgCC
    LegalCopyright     : Copyright © 2005, GRISOFT, s.r.o.
    OriginalFilename   : AvgCC.EXE

#:4 [avgemc.exe]
    FilePath           : C:\PROGRA~1\Grisoft\AVGFRE~1\
    ProcessID          : 1956
    ThreadCreationTime : 7/17/2005 6:45:02 PM
    BasePriority       : Normal
    FileVersion        : 7,1,0,321
    ProductVersion     : 7.1.0.321
    ProductName        : AVG Anti-Virus System
    CompanyName        : GRISOFT, s.r.o.
    FileDescription    : AVG E-Mail Scanner
    InternalName       : avgemc
    LegalCopyright     : Copyright © 2005, GRISOFT, s.r.o.
    OriginalFilename   : avgemc.exe

#:5 [gcasserv.exe]
    FilePath           : C:\Program Files\Microsoft AntiSpyware\
    ProcessID          : 1980
    ThreadCreationTime : 7/17/2005 6:45:02 PM
    BasePriority       : Idle
    FileVersion        : 1.00.0614
    ProductVersion     : 1.00.0614
    ProductName        : Microsoft AntiSpyware (Beta 1)
    CompanyName        : Microsoft Corporation
    FileDescription    : Microsoft AntiSpyware Service
    InternalName       : gcasServ
    LegalCopyright     : Copyright © 2004-2005 Microsoft Corporation. All rights reserved.
    LegalTrademarks    : Microsoft® and Windows® are registered trademarks of Microsoft Corporation. SpyNet(tm) is a trademark of Microsoft Corporation.
    OriginalFilename   : gcasServ.exe

#:6 [gcasdtserv.exe]
    FilePath           : C:\Program Files\Microsoft AntiSpyware\
    ProcessID          : 200
    ThreadCreationTime : 7/17/2005 6:45:06 PM
    BasePriority       : Normal
    FileVersion        : 1.00.0614
    ProductVersion     : 1.00.0614
    ProductName        : Microsoft AntiSpyware (Beta 1)
    CompanyName        : Microsoft Corporation
    FileDescription    : Microsoft AntiSpyware Data Service
    InternalName       : gcasDtServ
    LegalCopyright     : Copyright © 2004-2005 Microsoft Corporation. All rights reserved.
    LegalTrademarks    : Microsoft® and Windows® are registered trademarks of Microsoft Corporation. SpyNet(tm) is a trademark of Microsoft Corporation.
    OriginalFilename   : gcasDtServ.exe

#:7 [ad-aware.exe]
    FilePath           : C:\Program Files\Lavasoft\Ad-Aware SE Personal\
    ProcessID          : 1272
    ThreadCreationTime : 7/17/2005 6:45:21 PM
    BasePriority       : Normal
    FileVersion        : 6.2.0.236
    ProductVersion     : SE 106
    ProductName        : Lavasoft Ad-Aware SE
    CompanyName        : Lavasoft Sweden
    FileDescription    : Ad-Aware SE Core application
    InternalName       : Ad-Aware.exe
    LegalCopyright     : Copyright © Lavasoft AB Sweden
    OriginalFilename   : Ad-Aware.exe
    Comments           : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3



Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3


Deep scanning and examining files (D:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3


Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3

11:48:57 AM Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:02:48.969
Objects scanned:82789
Objects identified:0
Objects ignored:0
New critical objects:0

Offline Corrine

  • The Mystical Rose
  • Administrator
  • Hero Member
  • *****
  • Posts: 19469
  • "Stronger than the past, united in our goal."
    • View Profile
    • Security Garden
Re: 3K mile away support please help me
« Reply #4 on: July 17, 2005, 09:22:31 PM »
Cannymum is "on the road" going to visit Cannydaughter but I am sure she will be most happy to see this when she gets back online.  Credit goes to you, Mitch and to Evidencediva.  You did all the hard work!!!


Take a walk through the "Security Garden" -- Where Everything is Coming up Roses!

Remember - A day without laughter is a day wasted.
May the wind sing to you and the sun rise in your heart.

Offline cannymum

  • LandzDown Team
  • Full Member
  • *****
  • Posts: 91
    • View Profile
Re: [Done] 3K mile away support please help me
« Reply #5 on: July 18, 2005, 11:41:27 PM »
I most surely am "most happy"!!!!!!!  Glad everything is ok again.
Procrastinate now....Don't put it off !!

Proud Member Since 2004