SysSecuritySite - "Trojan-downloader-zlob"

Started by valve2020, July 01, 2006, 01:41:17 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Print
Go Down Pages1
User actions

valve2020

July 01, 2006, 01:41:17 PM
Hey, can someone direct me to or explain how to get rid of this trojan. It is officially called "Trojan Downloader Zlob", and has changed my home page to SysSecuritySite. Now, I have no icons on my desktop, cannot right click on the desktop, and some other settings have been changed. There is also a random noise programmed in it and I hear a sound every few minutes

Currently , I have Webroot Anti Spyware, it was unable to remove it. Second, I downloaded the latest version of Ad Aware and so far it cannot do anything (I am still running it)

I have Win XP and IE explorer 6.0.2900.2180 

An explanation or Link would be great! Thanks

valve2020

#1
July 01, 2006, 01:52:13 PM
*I also have no access to my toolbars at bottom :( *
Well, my modify post button disappeared on me, but here is my readout/log file from ad-aware:


Ad-Aware SE Build 1.06r1
Logfile Created on:Saturday, July 01, 2006 9:34:34 AM
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R113 28.06.2006
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):1 total references
SpywareQuake(TAC index:10):15 total references
WinAD(TAC index:7):1 total references
Zango(TAC index:6):11 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


7/1/2006 9:34:34 AM - Scan started. (Full System Scan)

MRU List Object Recognized!
    Location:          : S-1-5-21-3942243025-4282951562-813958858-1006\software\microsoft\internet explorer\typedurls
    Description        : list of recently entered addresses in microsoft internet explorer


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
    FilePath           : \SystemRoot\System32\
    ProcessID          : 604
    ThreadCreationTime : 7/1/2006 1:33:13 PM
    BasePriority       : Normal


#:2 [csrss.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 656
    ThreadCreationTime : 7/1/2006 1:33:15 PM
    BasePriority       : Normal


#:3 [winlogon.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 680
    ThreadCreationTime : 7/1/2006 1:33:16 PM
    BasePriority       : High


#:4 [services.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 724
    ThreadCreationTime : 7/1/2006 1:33:17 PM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Services and Controller app
    InternalName       : services.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : services.exe

#:5 [lsass.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 736
    ThreadCreationTime : 7/1/2006 1:33:17 PM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : LSA Shell (Export Version)
    InternalName       : lsass.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : lsass.exe

#:6 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 892
    ThreadCreationTime : 7/1/2006 1:33:18 PM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:7 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 972
    ThreadCreationTime : 7/1/2006 1:33:19 PM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:8 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1064
    ThreadCreationTime : 7/1/2006 1:33:19 PM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:9 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1108
    ThreadCreationTime : 7/1/2006 1:33:19 PM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:10 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1192
    ThreadCreationTime : 7/1/2006 1:33:20 PM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:11 [ccproxy.exe]
    FilePath           : C:\Program Files\Common Files\Symantec Shared\
    ProcessID          : 1368
    ThreadCreationTime : 7/1/2006 1:33:20 PM
    BasePriority       : Normal
    FileVersion        : 103.0.7.2
    ProductVersion     : 103.0.7.2
    ProductName        : Client and Host Security Platform
    CompanyName        : Symantec Corporation
    FileDescription    : Symantec Network Proxy Service
    InternalName       : ccProxy
    LegalCopyright     : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved.
    OriginalFilename   : ccProxy.exe

#:12 [ccsetmgr.exe]
    FilePath           : C:\Program Files\Common Files\Symantec Shared\
    ProcessID          : 1432
    ThreadCreationTime : 7/1/2006 1:33:22 PM
    BasePriority       : Normal
    FileVersion        : 103.0.7.2
    ProductVersion     : 103.0.7.2
    ProductName        : Client and Host Security Platform
    CompanyName        : Symantec Corporation
    FileDescription    : Symantec Settings Manager Service
    InternalName       : ccSetMgr
    LegalCopyright     : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved.
    OriginalFilename   : ccSetMgr.exe

#:13 [issvc.exe]
    FilePath           : C:\Program Files\Norton Internet Security\
    ProcessID          : 1484
    ThreadCreationTime : 7/1/2006 1:33:23 PM
    BasePriority       : Normal
    FileVersion        : 8.0.5.14
    ProductVersion     : 8.0
    ProductName        : Norton Internet Security
    CompanyName        : Symantec Corporation
    FileDescription    : IS Service
    InternalName       : ISSVC.exe
    LegalCopyright     : Copyright (c) 2004 Symantec Corporation
    OriginalFilename   : ISSVC.exe

#:14 [explorer.exe]
    FilePath           : C:\WINDOWS\
    ProcessID          : 1616
    ThreadCreationTime : 7/1/2006 1:33:24 PM
    BasePriority       : High
    FileVersion        : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 6.00.2900.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows Explorer
    InternalName       : explorer
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : EXPLORER.EXE

#:15 [spbbcsvc.exe]
    FilePath           : C:\Program Files\Common Files\Symantec Shared\SPBBC\
    ProcessID          : 1632
    ThreadCreationTime : 7/1/2006 1:33:24 PM
    BasePriority       : Normal
    FileVersion        : 1,0,1,47
    ProductVersion     : 1,0,1,47
    ProductName        : SPBBC
    CompanyName        : Symantec Corporation
    FileDescription    : SPBBC Service
    InternalName       : SPBBCSvc
    LegalCopyright     : Copyright (c) 2004 Symantec Corporation. All rights reserved.
    OriginalFilename   : SPBBCSvc.exe

#:16 [ccevtmgr.exe]
    FilePath           : C:\Program Files\Common Files\Symantec Shared\
    ProcessID          : 2036
    ThreadCreationTime : 7/1/2006 1:33:24 PM
    BasePriority       : Normal
    FileVersion        : 103.0.7.2
    ProductVersion     : 103.0.7.2
    ProductName        : Client and Host Security Platform
    CompanyName        : Symantec Corporation
    FileDescription    : Symantec Event Manager Service
    InternalName       : ccEvtMgr
    LegalCopyright     : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved.
    OriginalFilename   : ccEvtMgr.exe

#:17 [ad-aware.exe]
    FilePath           : C:\PROGRA~1\Lavasoft\AD-AWA~1\
    ProcessID          : 340
    ThreadCreationTime : 7/1/2006 1:33:26 PM
    BasePriority       : Normal
    FileVersion        : 6.2.0.236
    ProductVersion     : SE 106
    ProductName        : Lavasoft Ad-Aware SE
    CompanyName        : Lavasoft Sweden
    FileDescription    : Ad-Aware SE Core application
    InternalName       : Ad-Aware.exe
    LegalCopyright     : Copyright © Lavasoft AB Sweden
    OriginalFilename   : Ad-Aware.exe
    Comments           : All Rights Reserved

#:18 [spoolsv.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 472
    ThreadCreationTime : 7/1/2006 1:33:27 PM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)
    ProductVersion     : 5.1.2600.2696
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Spooler SubSystem App
    InternalName       : spoolsv.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : spoolsv.exe

#:19 [nvsvc32.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 932
    ThreadCreationTime : 7/1/2006 1:33:34 PM
    BasePriority       : Normal
    FileVersion        : 6.14.10.7772
    ProductVersion     : 6.14.10.7772
    ProductName        : NVIDIA Driver Helper Service, Version 77.72
    CompanyName        : NVIDIA Corporation
    FileDescription    : NVIDIA Driver Helper Service, Version 77.72
    InternalName       : NVSVC
    LegalCopyright     : (C) NVIDIA Corporation. All rights reserved.
    OriginalFilename   : nvsvc32.exe

#:20 [wrsssdk.exe]
    FilePath           : C:\Program Files\Webroot\Spy Sweeper\
    ProcessID          : 1168
    ThreadCreationTime : 7/1/2006 1:33:34 PM
    BasePriority       : Normal
    FileVersion        : 1,0,3,221
    ProductVersion     : 1, 0
    ProductName        : Spy Sweeper SDK
    CompanyName        : Webroot Software, Inc.
    FileDescription    : Spy Sweeper SDK
    LegalCopyright     : Copyright (C) 2002 - 2004, All Rights Reserved.
    LegalTrademarks    : Spy Sweeper is a trademark of Webroot Software, Inc.
    OriginalFilename   : SpySweeper.exe

#:21 [symlcsvc.exe]
    FilePath           : C:\Program Files\Common Files\Symantec Shared\CCPD-LC\
    ProcessID          : 1528
    ThreadCreationTime : 7/1/2006 1:33:37 PM
    BasePriority       : Normal
    FileVersion        : 1, 8, 54, 478
    ProductVersion     : 1, 8, 54, 478
    ProductName        : Symantec Core Component
    CompanyName        : Symantec Corporation
    FileDescription    : Symantec Core Component
    InternalName       : symlcsvc
    LegalCopyright     : Copyright (C) 2003
    OriginalFilename   : symlcsvc.exe

#:22 [wdfmgr.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1248
    ThreadCreationTime : 7/1/2006 1:33:37 PM
    BasePriority       : Normal
    FileVersion        : 5.2.3790.1230 built by: dnsrv(bld4act)
    ProductVersion     : 5.2.3790.1230
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows User Mode Driver Manager
    InternalName       : WdfMgr
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : WdfMgr.exe

#:23 [alg.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1116
    ThreadCreationTime : 7/1/2006 1:33:45 PM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Application Layer Gateway Service
    InternalName       : ALG.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : ALG.exe

#:24 [wmiprvse.exe]
    FilePath           : C:\WINDOWS\System32\wbem\
    ProcessID          : 1900
    ThreadCreationTime : 7/1/2006 1:33:53 PM
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : WMI
    InternalName       : Wmiprvse.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : Wmiprvse.exe

#:25 [wuauclt.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 2044
    ThreadCreationTime : 7/1/2006 1:34:25 PM
    BasePriority       : Normal
    FileVersion        : 5.8.0.2469 built by: lab01_n(wmbla)
    ProductVersion     : 5.8.0.2469
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Automatic Updates
    InternalName       : wuauclt.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : wuauclt.exe

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1



Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Zango Object Recognized!
    Type               : File
    Data               : A0079103.exe
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Object             : C:\System Volume Information\_restore{1536FC13-E172-47EA-ABF3-40B443C9C015}\RP156\
    FileVersion        : 7.0.175.0
    ProductVersion     : 7.0.175.0
    ProductName        : Zango
    CompanyName        : 180solutions, Inc.
    FileDescription    : Zango
    InternalName       : Boomerang
    LegalCopyright     : Copyright © 2005, 180solutions Inc.
    OriginalFilename   : Boomerang.exe


SpywareQuake Object Recognized!
    Type               : File
    Data               : A0081850.exe
    TAC Rating         : 10
    Category           : Malware
    Comment            :
    Object             : C:\System Volume Information\_restore{1536FC13-E172-47EA-ABF3-40B443C9C015}\RP162\
    FileVersion        : 2.0.0.0
    ProductVersion     : 2.0.0.0
    ProductName        : SpywareQuake
    CompanyName        : SpywareQuake.com
    FileDescription    : Anti- spyware and adware
    InternalName       : spywarequake.exe
    LegalCopyright     : (c) SpywareQuake.com.  All rights reserved.
    OriginalFilename   : spywarequake.exe


Zango Object Recognized!
    Type               : File
    Data               : A0082611.dll
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Object             : C:\System Volume Information\_restore{1536FC13-E172-47EA-ABF3-40B443C9C015}\RP163\
    FileVersion        : 1.0.0.1
    ProductVersion     : 1.0.0.1
    ProductName        : Zango Toolbar
    CompanyName        : Zango
    FileDescription    : Zango Toolbar lets you search directly from a browser toolbar
    InternalName       : Zango Toolbar.dll
    LegalCopyright     : (c) Zango. All rights reserved.
    OriginalFilename   : Zango Toolbar.dll


SpywareQuake Object Recognized!
    Type               : File
    Data               : A0082702.exe
    TAC Rating         : 10
    Category           : Malware
    Comment            :
    Object             : C:\System Volume Information\_restore{1536FC13-E172-47EA-ABF3-40B443C9C015}\RP164\
    FileVersion        : 2.0.0.0
    ProductVersion     : 2.0.0.0
    ProductName        : SpywareQuake
    CompanyName        : SpywareQuake.com
    FileDescription    : Anti- spyware and adware
    InternalName       : spywarequake.exe
    LegalCopyright     : (c) SpywareQuake.com.  All rights reserved.
    OriginalFilename   : spywarequake.exe


Zango Object Recognized!
    Type               : File
    Data               : A0083608.exe
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Object             : C:\System Volume Information\_restore{1536FC13-E172-47EA-ABF3-40B443C9C015}\RP170\
    FileVersion        : 7.0.175.0
    ProductVersion     : 7.0.175.0
    ProductName        : Zango
    CompanyName        : 180solutions, Inc.
    FileDescription    : Zango
    InternalName       : Boomerang
    LegalCopyright     : Copyright © 2005, 180solutions Inc.
    OriginalFilename   : Boomerang.exe


Zango Object Recognized!
    Type               : File
    Data               : A0089113.exe
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Object             : C:\System Volume Information\_restore{1536FC13-E172-47EA-ABF3-40B443C9C015}\RP180\
    FileVersion        : 7.0.175.0
    ProductVersion     : 7.0.175.0
    ProductName        : Zango
    CompanyName        : 180solutions, Inc.
    FileDescription    : Zango
    InternalName       : Boomerang
    LegalCopyright     : Copyright © 2005, 180solutions Inc.
    OriginalFilename   : Boomerang.exe


Zango Object Recognized!
    Type               : File
    Data               : A0093484.dll
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Object             : C:\System Volume Information\_restore{1536FC13-E172-47EA-ABF3-40B443C9C015}\RP180\
    FileVersion        : 1.0.0.1
    ProductVersion     : 1.0.0.1
    ProductName        : Zango Toolbar
    CompanyName        : Zango
    FileDescription    : Zango Toolbar lets you search directly from a browser toolbar
    InternalName       : Zango Toolbar.dll
    LegalCopyright     : (c) Zango. All rights reserved.
    OriginalFilename   : Zango Toolbar.dll


Zango Object Recognized!
    Type               : File
    Data               : A0097975.exe
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Object             : C:\System Volume Information\_restore{1536FC13-E172-47EA-ABF3-40B443C9C015}\RP184\
    FileVersion        : 7.0.175.0
    ProductVersion     : 7.0.175.0
    ProductName        : Zango
    CompanyName        : 180solutions, Inc.
    FileDescription    : Zango
    InternalName       : Boomerang
    LegalCopyright     : Copyright © 2005, 180solutions Inc.
    OriginalFilename   : Boomerang.exe


Zango Object Recognized!
    Type               : File
    Data               : A0101242.dll
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Object             : C:\System Volume Information\_restore{1536FC13-E172-47EA-ABF3-40B443C9C015}\RP184\
    FileVersion        : 1.0.0.1
    ProductVersion     : 1.0.0.1
    ProductName        : Zango Toolbar
    CompanyName        : Zango
    FileDescription    : Zango Toolbar lets you search directly from a browser toolbar
    InternalName       : Zango Toolbar.dll
    LegalCopyright     : (c) Zango. All rights reserved.
    OriginalFilename   : Zango Toolbar.dll


Zango Object Recognized!
    Type               : File
    Data               : A0125150.dll
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Object             : C:\System Volume Information\_restore{1536FC13-E172-47EA-ABF3-40B443C9C015}\RP232\
    FileVersion        : 1.0.0.1
    ProductVersion     : 1.0.0.1
    ProductName        : Zango Toolbar
    CompanyName        : Zango
    FileDescription    : Zango Toolbar lets you search directly from a browser toolbar
    InternalName       : Zango Toolbar.dll
    LegalCopyright     : (c) Zango. All rights reserved.
    OriginalFilename   : Zango Toolbar.dll


Zango Object Recognized!
    Type               : File
    Data               : ClientAX.dll
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Object             : C:\WINDOWS\Downloaded Program Files\
    FileVersion        : 7.51.103.0
    ProductVersion     : 7.51.103.0
    ProductName        : Zango
    CompanyName        : 180solutions, Inc.
    FileDescription    : Zango
    InternalName       : ClientAX.dll
    LegalCopyright     : Copyright © 2005, 180solutions Inc.
    OriginalFilename   : ClientAX.dll


WinAD Object Recognized!
    Type               : File
    Data               : ide21201.vxd
    TAC Rating         : 7
    Category           : Malware
    Comment            :
    Object             : C:\WINDOWS\SYSTEM32\



Zango Object Recognized!
    Type               : File
    Data               : uzmh.exe
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Object             : C:\WINDOWS\
    FileVersion        : 7.0.175.0
    ProductVersion     : 7.0.175.0
    ProductName        : Zango
    CompanyName        : 180solutions, Inc.
    FileDescription    : Zango
    InternalName       : Boomerang
    LegalCopyright     : Copyright © 2005, 180solutions Inc.
    OriginalFilename   : Boomerang.exe


Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 14


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 14




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Zango Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 6
    Category           : Data Miner
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : lmgr180.wmdrmax

SpywareQuake Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 10
    Category           : Malware
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\windows\currentversion\app paths\spyware-quake.exe

SpywareQuake Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 10
    Category           : Malware
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\windows\currentversion\uninstall\spywarequake.com

SpywareQuake Object Recognized!
    Type               : RegValue
    Data               :
    TAC Rating         : 10
    Category           : Malware
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\windows\currentversion\uninstall\spywarequake.com
    Value              : UninstallString

SpywareQuake Object Recognized!
    Type               : RegValue
    Data               :
    TAC Rating         : 10
    Category           : Malware
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\windows\currentversion\uninstall\spywarequake.com
    Value              : DisplayIcon

SpywareQuake Object Recognized!
    Type               : RegValue
    Data               :
    TAC Rating         : 10
    Category           : Malware
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\windows\currentversion\uninstall\spywarequake.com
    Value              : DisplayVersion

SpywareQuake Object Recognized!
    Type               : RegValue
    Data               :
    TAC Rating         : 10
    Category           : Malware
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\windows\currentversion\uninstall\spywarequake.com
    Value              : NSIS:StartMenuDir

SpywareQuake Object Recognized!
    Type               : RegValue
    Data               :
    TAC Rating         : 10
    Category           : Malware
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\windows\currentversion\uninstall\spywarequake.com
    Value              : URLInfoAbout

SpywareQuake Object Recognized!
    Type               : RegValue
    Data               :
    TAC Rating         : 10
    Category           : Malware
    Comment            :
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\windows\currentversion\uninstall\spywarequake.com
    Value              : Publisher

SpywareQuake Object Recognized!
    Type               : Folder
    TAC Rating         : 10
    Category           : Malware
    Comment            : SpywareQuake
    Object             : C:\Program Files\SpywareQuake

SpywareQuake Object Recognized!
    Type               : Folder
    TAC Rating         : 10
    Category           : Malware
    Comment            : SpywareQuake
    Object             : C:\Documents and Settings\Brad\Start Menu\Programs\SpywareQuake.com

SpywareQuake Object Recognized!
    Type               : File
    Data               : SpywareQuake.com 2.1.lnk
    TAC Rating         : 10
    Category           : Malware
    Comment            :
    Object             : C:\Documents and Settings\Brad\Application Data\\microsoft\internet explorer\quick launch\



SpywareQuake Object Recognized!
    Type               : File
    Data               : SpywareQuake.com.lnk
    TAC Rating         : 10
    Category           : Malware
    Comment            :
    Object             : C:\Documents and Settings\Brad\Desktop\



SpywareQuake Object Recognized!
    Type               : File
    Data               : SpywareQuake.com 2.1.lnk
    TAC Rating         : 10
    Category           : Malware
    Comment            :
    Object             : C:\Documents and Settings\Brad\Start Menu\



Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 14
Objects found so far: 28

9:55:44 AM Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:21:10.0
Objects scanned:274558
Objects identified:27
Objects ignored:0
New critical objects:27




valve2020

#2
July 01, 2006, 02:58:50 PM
Here is the read out from Webroot:

=======================================================

TROJAN HORSE Description:

Name:
Trojan-Downloader-Zlob

Author:


Category:
Trojan Horse

Threat Assessment:
Critical




Description:

Trojan-Downloader-Zlob is a downloader that may download other threats on your computer.

Characteristics:

Trojan-Downloader-Zlob is a type of Trojan horse that downloads other applications onto your computer. It can run in the background, hiding its presence.

Method of Infection:

Trojan-Downloader-Zlob is usually disguised as a harmless software program and is generally distributed as an e-mail attachment. Opening the attachment may cause an auto-installation process that loads the downloader onto your computer without your knowledge or consent.

Additional Comments:

=============================================================================

GR@PH;<'S

#3
July 01, 2006, 07:40:34 PM
valve2020,
please can you clear out your cache folder ie: temporary internet folder There are some free programs that you can use that will do that for you if needed like ;)
CCleaner
(Note in CCleaner: go to >options > advanced > Uncheck "Only delete files in Windows Temp folders older than 48 hours"). but see CCleaner Set up
also in the settup of CCleaner The LS Staff would perfuer if you un-tick (un-check) "Utilities" (i.e., Ad-Aware, ewido and other security program logs.)at leat till your pc is clean of spyware/malware
now use the WebUpDate
(to make sure you are upto date) if you want to clean your PC then scan by doing a  "Full Scan" then and once the scan has finished
mark and remove the items then  Reboot (ie: Re-start your PC)
Then re-scan  doing a  "Full Scan" and then post your logfile here by using the Add-Reply Feature .

GR@PH;<'S   :breakkie:
press Enter then have a Brandy then if the problem is still there have another Brandy
Q: does it work
A: It does seem to for a few hours at least.

Corrine

#4
July 06, 2006, 12:25:36 AM
Whew!  SpywareQuake has certainly done a job on your PC, valve2020. 

After following GR@PH;<'s instructions -- which will lighten the load for the next step, please do the following:

PRINT or SAVE these instructions to text where you can access them in safe mode as you will not be connected to the internet durng this time. 

Please follow the instructions in the order given.

INSTRUCTIONS:

A.  Download and/or update the following programs.  Install them but do NOT run them yet.

  • Please download HijackThis (© Merijn) from:  http://www.thespykiller.co.uk/files/HJTsetup.exe

    Note:  This is a complete installer that installs HijackThis to your computer at C:\Program Files\HijackThis, making an entry in the start menu and also providing a desktop shortcut.  If HijackThis is used from a temp folder, it is in danger of being accidentally deleted by clean up tools.

    At the download prompt, choose "Save".  After the download is complete, navigate to the C:\Program Files\HijackThis folder and double-click it to complete the installation. 

  • Download SmitfraudFix (© S!Ri) to your Desktop from http://siri.urz.free.fr/Fix/SmitfraudFix.zip .  Extract all the files to your Desktop and a folder named SmitfraudFix will be created on your Desktop.
B.  Restart your computer in Safe Mode.

  • If the computer is running, shut down Windows, and then turn off the power.
  • Wait 30 seconds, and then turn the computer on.
  • Start tapping the F8 key. The Windows Advanced Options Menu will appear. If you begin tapping the F8 key too soon, some computers display a "keyboard error" message. To resolve this, restart the computer and try again.
  • Ensure that the Safe Mode option is selected.
  • Press Enter. The computer then begins to start in Safe Mode.
  • Login on your usual account.
    If you need further assistance with Safe Mode, see Symantec
C.  Open the SmitfraudFix folder

  • Double-click smitfraudfix.cmd file to start the tool.
  • Select option #2 - Clean by typing 2 and press Enter.
    Warning : running option #2 on a uninfected computer will remove your Desktop background.
  • Wait for the tool to complete and disk cleanup to finish.
  • You will be prompted : "Registry cleaning - Do you want to clean the registry?"

    • Answer Yes by typing Y
    • Hit Enter.

  • The tool will also check if wininet.dll is infected. If a clean version is found, you will be prompted to replace wininet.dll.

    • Answer Yes to the question "Replace infected file?" by typing Y
    • Hit Enter.
  • A reboot may be needed to finish the cleaning process.  If your computer does not restart automatically please do it yourself manually.
  • Restart in Safe Mode as instructed above.
  • The tool will create a log named rapport.txt in the root of your drive, eg: Local Disk C: or partition where your operating system is installed. Please post that log along with all others requested in your next reply.
F.Restart in Normal Mode and double-click the HijackThis icon on your desktop.  Choose "Do a system scan and save logfile".  Also run a full system scan with Ad-Aware. 

G.  Post a reply with the following logs:

  • C:\rapport.txt
  • HijackThis log
  • Ad-Aware SE log
Please let us know if any problems persist.


Take a walk through the "Security Garden" -- Where Everything is Coming up Roses!

Remember - A day without laughter is a day wasted.
May the wind sing to you and the sun rise in your heart.
Print
Go Up Pages1
User actions