Spy Sheriff is getting me crazy!!!, It´s gone but I still have issues..... Options

[El Chino Carlos]

Hello friends!!!! Recently I become a Sheriff´s victim and I already performed all procedures listed.

*******************************************************************

Ad-Aware didn´t discover anything new.....

*******************************************************************

Here´s my SmitRem logfile:

smitRem © log file
version 2.8
by noahdfear

Microsoft Windows XP [Versi¢n 5.1.2600]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
checking for ShudderLTD key

ShudderLTD key not present!
checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!
spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright© 2002-2003 Craig.Peaco*k@beyondlogic.org
Killing PID 772 'explorer.exe'

Starting registry repairs
Deleting files

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN! :)

****************************************************************

HERE IS MY HIJACKTHIS LOGFILE:

Logfile of HijackThis v1.99.1
Scan saved at 01:06:26 p.m., on 18/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\AvidSDMService.exe
F:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
E:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
E:\WINDOWS\system32\cisvc.exe
E:\WINDOWS\System32\CTsvcCDA.exe
F:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
E:\Archivos de programa\Norton Internet Security Professional\NISUM.EXE
E:\WINDOWS\System32\oodag.exe
E:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
E:\WINDOWS\System32\svchost.exe
E:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\System32\MsPMSPSv.exe
E:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
E:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
E:\Archivos de programa\Norton Internet Security Professional\ccPxySvc.exe
E:\WINDOWS\system32\CTHELPER.EXE
C:\DEMAS ARCHIVOS\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
E:\WINDOWS\VM_STI.EXE
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE
C:\DEMAS ARCHIVOS\Archivos de programa\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\DEMAS ARCHIVOS\Archivos de programa\VolumeTray\VolumeTray.exe
F:\Archivos de programa\FreeMem Professional\fmempro.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Archivos de programa\Google\Google Talk\googletalk.exe
E:\ARCHIV~1\MSNMES~1\msnmsgr.exe
E:\Archivos de programa\Google\Web Accelerator\GoogleWebAccWarden.exe
E:\Archivos de programa\Google\Web Accelerator\googlewebaccclient.exe
E:\Archivos de programa\Norton AntiVirus\navapsvc.exe
E:\WINDOWS\system32\cidaemon.exe
E:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
E:\WINDOWS\explorer.exe
E:\WINDOWS\system32\wisptis.exe
F:\Archivos de programa\ewido anti-malware\SecuritySuite.exe
C:\DEMAS ARCHIVOS\Archivos de programa\Kalender\Kalender.exe
F:\Archivos de programa\HijackThis v1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:9100/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - E:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DEMASA~1\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - E:\Archivos de programa\Google\Web Accelerator\GoogleWebAccToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - E:\Archivos de programa\Google\Web Accelerator\GoogleWebAccToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "E:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "E:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] E:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\DEMAS ARCHIVOS\Archivos de programa\Creative\SBAudigy\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\DEMAS ARCHIVOS\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BigDogPath] E:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x
O4 - HKLM\..\Run: [EPSON Stylus C63 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE /P23 "EPSON Stylus C63 Series" /O5 "LPT1:" /M "Stylus C63"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [0wao0o9s.dll] RUNDLL32.EXE 0wao0o9s.dll,b 9105468
O4 - HKLM\..\Run: [Picasa Media Detector] E:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\DEMAS ARCHIVOS\Archivos de programa\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - HKCU\..\Run: [Volume Tray] C:\DEMAS ARCHIVOS\Archivos de programa\VolumeTray\VolumeTray.exe
O4 - HKCU\..\Run: [FreeMem Pro] "F:\Archivos de programa\FreeMem Professional\fmempro.exe" autostart
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\DEMAS ARCHIVOS\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [googletalk] "E:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [Kalender] C:\DEMAS ARCHIVOS\Archivos de programa\Kalender\Kalender.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\ARCHIV~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] E:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Post-it® Software Notes.lnk = C:\DEMAS ARCHIVOS\Archivos de programa\3M\psn.exe
O4 - Global Startup: Run Google Web Accelerator.lnk = E:\Archivos de programa\Google\Web Accelerator\GoogleWebAccWarden.exe
O8 - Extra context menu item: &Google Search - res://e:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://e:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Yahoo! Search - file:///E:\Archivos de programa\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Abrir enlace destino en Firefox - file://E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html
O8 - Extra context menu item: Backward Links - res://e:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://e:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\DEMASA~1\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - F:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Similar Pages - res://e:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://e:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Ver esta pagina en Firefox - file://E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html
O8 - Extra context menu item: Web&2Pic Pro - F:\Archivos de programa\Anloer\Web2Pic Pro\dll\web2pic_url.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///E:\Archivos de programa\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///E:\Archivos de programa\Yahoo!\Common/ycmap.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - E:\Archivos de programa\Yahoo!\Messenger\yhexbmesus.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - E:\Archivos de programa\Yahoo!\Messenger\yhexbmesus.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\DEMASA~1\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - E:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - E:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1119169953886
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by105fd.bay105.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {FE5B9F54-7764-4C01-89F0-4862601EE954} (DigWebHelper Class) - http://photos.msn.es/resources/neutral/con....cab?10,0,910,0
O17 - HKLM\System\CCS\Services\Tcpip\..\{381BCB53-E68E-4C0E-BB18-73A9A08146AC}: NameServer = 200.48.225.130 200.48.225.146
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: fldrsys - {FB2680C1-72D8-4C75-97BC-82D9B79364BB} - fldrsys.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - E:\WINDOWS\system32\AvidSDMService.exe
O23 - Service: Avid Startup (AvidStartup) - Unknown owner - E:\WINDOWS\system32\AvidStartup.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - F:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - E:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - E:\Archivos de programa\Norton Internet Security Professional\ccPxySvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - E:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - F:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - E:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - E:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Professional Accounts Manager (NISUM) - Symantec Corporation - E:\Archivos de programa\Norton Internet Security Professional\NISUM.EXE
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - E:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: O&O Defrag - O&O Software GmbH - E:\WINDOWS\System32\oodag.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - E:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - E:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - E:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\DEMAS ARCHIVOS\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe

***************************************************************

HERE IS MY EWIDO LOGFILE:

---------------------------------------------------------
ewido anti-malware - Report de exploración
---------------------------------------------------------

+ Creado en: 11:31:34 a.m., 18/01/2006
+ Report-Checksum: A71BA35D

+ Scan result:

C:\DEMAS ARCHIVOS\Archivos de programa\JUEGOS\bejeweled.deluxe.1.861.loader-rev.zip/bejeweled.deluxe.1.861.loader-rev/Loader.exe -> Not-A-Virus.VirTool.Patcher.a : Ignorado
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msctl32.dll -> Adware.SpySheriff : Limpio con backup
:mozilla.17:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies-1.txt -> Spyware.Cookie.Revenue : Limpio con backup
:mozilla.49:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies-1.txt -> Spyware.Cookie.Casalemedia : Limpio con backup
:mozilla.50:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies-1.txt -> Spyware.Cookie.Casalemedia : Limpio con backup
:mozilla.51:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies-1.txt -> Spyware.Cookie.Casalemedia : Limpio con backup
:mozilla.52:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies-1.txt -> Spyware.Cookie.Casalemedia : Limpio con backup
:mozilla.53:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies-1.txt -> Spyware.Cookie.Casalemedia : Limpio con backup
:mozilla.68:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies-1.txt -> Spyware.Cookie.Statcounter : Limpio con backup
:mozilla.85:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies-1.txt -> Spyware.Cookie.Adbrite : Limpio con backup
:mozilla.98:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies-1.txt -> Spyware.Cookie.Onestat : Limpio con backup
:mozilla.99:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies-1.txt -> Spyware.Cookie.Onestat : Limpio con backup
:mozilla.108:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies-1.txt -> Spyware.Cookie.Yieldmanager : Limpio con backup
:mozilla.109:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies-1.txt -> Spyware.Cookie.Yieldmanager : Limpio con backup
:mozilla.112:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies-1.txt -> Spyware.Cookie.Clickhype : Limpio con backup
E:\WINDOWS\system32\paytime.exe -> Hijacker.StartPage.ahf : Limpio con backup
E:\WINDOWS\tool2.exe -> Not-A-Virus.Hoax.Win32.Renos.al : Limpio con backup
E:\WINDOWS\toolbar.exe -> Downloader.Adload.j : Limpio con backup


::Fin Report


******************************************************************

"Next go to Control Panel click Display > Desktop > Customize Desktop > Web > Uncheck "Security Info" if present." (Sorry but i did´n find anything checked) :boh:

***************************************************************

Panda ActiveScan shortcut didn´t run By the way

****************************************************************

But, even though I performed those procedures, I still got three bad issues:

1.- Every time I start Windows XP, then appears two windows concerning Run32.dll. I don´t know why.

2.- My IE Starting Homepage has been changed (and it refuses to be modified) from www.google.com to c:\secure32.html. Why "c:\secure32.html" ???????? I don´t find anything there..... in fact... that´s the reason of my third bad issue:

3.- I can´t enter my system root folder in Windows Explorer because it crashes down. Hopefully my HD is partitioned ;)

I´m using Firefox 1.5 instead and i got no problems using it.

Could you help me with those issues please....???? I don´t wanna format my HD again......


THANKS!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

[Bobbi Flekman]

Hi El Chino Carlos,

Secure32.html can also be CWS so we'll start with that one since Smitrem wasn't the answer. Please download CoolWebShredder, from http://www.trendmicro.com/cwshredder/
Extract CWShredder to its own folder. Restart in Safe Mode (How do I Safe Boot my computer?) and run the program.

Be sure all open windows are closed. Click the "Fix ->" button.

Make sure you let it fix all CWS Remnants.

Afterwards restart your computer and post a fresh HijackThis log in this thread.

[El Chino Carlos]

Thanks for your dedication! You are a machine!!!

[Bobbi Flekman]

Eh.... you are not clean yet... Please follow the instructions and return.

[El Chino Carlos]

Hello friends!!!! Hello Mr. Flekman! This is my HIJACKTHIS LOGFILE

Logfile of HijackThis v1.99.1
Scan saved at 10:03:42 a.m., on 23/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\AvidSDMService.exe
F:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
E:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
E:\WINDOWS\system32\cisvc.exe
E:\WINDOWS\System32\CTsvcCDA.exe
F:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
E:\Archivos de programa\Norton Internet Security Professional\NISUM.EXE
E:\WINDOWS\System32\oodag.exe
E:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
E:\WINDOWS\System32\svchost.exe
E:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
E:\WINDOWS\System32\MsPMSPSv.exe
E:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
E:\Archivos de programa\Norton Internet Security Professional\ccPxySvc.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\CTHELPER.EXE
C:\DEMAS ARCHIVOS\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
E:\WINDOWS\VM_STI.EXE
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE
E:\WINDOWS\system32\ctfmon.exe
E:\Archivos de programa\Google\Web Accelerator\GoogleWebAccWarden.exe
E:\Archivos de programa\Google\Web Accelerator\googlewebaccclient.exe
E:\Archivos de programa\MSN Messenger\msnmsgr.exe
E:\Archivos de programa\Windows NT\Accesorios\WORDPAD.EXE
E:\Archivos de programa\Norton AntiVirus\navapsvc.exe
E:\WINDOWS\system32\cidaemon.exe
E:\Archivos de programa\Mozilla Firefox\firefox.exe
E:\WINDOWS\system32\wuauclt.exe
F:\Archivos de programa\HijackThis v1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:9100/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - E:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DEMASA~1\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - E:\Archivos de programa\Google\Web Accelerator\GoogleWebAccToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - E:\Archivos de programa\Google\Web Accelerator\GoogleWebAccToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "E:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "E:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] E:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\DEMAS ARCHIVOS\Archivos de programa\Creative\SBAudigy\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\DEMAS ARCHIVOS\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BigDogPath] E:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x
O4 - HKLM\..\Run: [EPSON Stylus C63 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE /P23 "EPSON Stylus C63 Series" /O5 "LPT1:" /M "Stylus C63"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Volume Tray] C:\DEMAS ARCHIVOS\Archivos de programa\VolumeTray\VolumeTray.exe
O4 - HKCU\..\Run: [FreeMem Pro] "F:\Archivos de programa\FreeMem Professional\fmempro.exe" autostart
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\DEMAS ARCHIVOS\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Kalender] C:\DEMAS ARCHIVOS\Archivos de programa\Kalender\Kalender.exe
O4 - HKCU\..\Run: [googletalk] "E:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [msnmsgr] "E:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Post-it® Software Notes.lnk = C:\DEMAS ARCHIVOS\Archivos de programa\3M\psn.exe
O4 - Global Startup: Run Google Web Accelerator.lnk = E:\Archivos de programa\Google\Web Accelerator\GoogleWebAccWarden.exe
O8 - Extra context menu item: &Google Search - res://e:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://e:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Yahoo! Search - file:///E:\Archivos de programa\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Abrir enlace destino en Firefox - file://E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html
O8 - Extra context menu item: Backward Links - res://e:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://e:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\DEMASA~1\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - F:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Similar Pages - res://e:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://e:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Ver esta pagina en Firefox - file://E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html
O8 - Extra context menu item: Web&2Pic Pro - F:\Archivos de programa\Anloer\Web2Pic Pro\dll\web2pic_url.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///E:\Archivos de programa\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///E:\Archivos de programa\Yahoo!\Common/ycmap.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - E:\Archivos de programa\Yahoo!\Messenger\yhexbmesus.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - E:\Archivos de programa\Yahoo!\Messenger\yhexbmesus.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\DEMASA~1\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - E:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - E:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1119169953886
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by105fd.bay105.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {FE5B9F54-7764-4C01-89F0-4862601EE954} (DigWebHelper Class) - http://photos.msn.es/resources/neutral/con....cab?10,0,910,0
O17 - HKLM\System\CCS\Services\Tcpip\..\{381BCB53-E68E-4C0E-BB18-73A9A08146AC}: NameServer = 200.48.225.130 200.48.225.146
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: fldrsys - {FB2680C1-72D8-4C75-97BC-82D9B79364BB} - fldrsys.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - E:\WINDOWS\system32\AvidSDMService.exe
O23 - Service: Avid Startup (AvidStartup) - Unknown owner - E:\WINDOWS\system32\AvidStartup.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - F:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - E:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - E:\Archivos de programa\Norton Internet Security Professional\ccPxySvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - E:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - F:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - E:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - E:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Professional Accounts Manager (NISUM) - Symantec Corporation - E:\Archivos de programa\Norton Internet Security Professional\NISUM.EXE
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - E:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: O&O Defrag - O&O Software GmbH - E:\WINDOWS\System32\oodag.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - E:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - E:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - E:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\DEMAS ARCHIVOS\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe

********************************************************************
This is my Ewido report:

---------------------------------------------------------
ewido anti-malware - Report de exploración
---------------------------------------------------------

+ Creado en: 02:16:06 a.m., 23/01/2006
+ Report-Checksum: 5854CB60

+ Scan result:

C:\windows\winsysupd.exe -> Hijacker.StartPage.ahg : Limpio con backup
:mozilla.57:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies.txt -> Spyware.Cookie.Com : Limpio con backup
:mozilla.58:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies.txt -> Spyware.Cookie.Com : Limpio con backup
:mozilla.66:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Limpio con backup
:mozilla.67:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Limpio con backup
:mozilla.68:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Limpio con backup
:mozilla.69:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Limpio con backup
:mozilla.75:E:\Documents and Settings\Carlos\Datos de programa\Mozilla\Firefox\Profiles\adkj6ys7.default\cookies.txt -> Spyware.Cookie.Statcounter : Limpio con backup


::Fin Report

*****************************************************************

CWShredder Didn´t find anything......



*******************************************************************
Now I have not any IE Startup homepages..... But Recently, after i run Ewido, I can´t set up any image as wallpaper in my desktop..... :boh:

What could it be????

Thanks in advance...!!!!

[Bobbi Flekman]

Hi El Chino Carlos,

Launch Notepad, and copy/paste the box below into a new text file. Save it as fixme.reg and save it on your Desktop.

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"Wallpaper"=-

Locate fixme.reg on your Desktop and double-click on it.
You will receive a prompt similar to: "Do you wish to merge the information into the registry?".
Answer "Yes" and wait for a message to appear similar to "Merged Successfully".

The above Registry file was written specifically for this infection on this person's computer. It is NOT to be used on another computer, as it may cause damage that could result in a format!

Run HijackThis, click on "Scan" and check the boxes next to all these items.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

Then close all windows, and browsers, except HijackThis. Tell HijackThis to "Fix checked". Restart your computer and post a new log in this thread.

Can you check whether you can change your wallpaper?