Autor Tema: AYUDA CON TROYANO "iubn1.exe" (Leído 17001 veces)

JaviJaén · « **Respuesta #20 en:** 27 de Septiembre de 2006, 04:22:29 pm »

Buenas tardes:

Siento ser un pesado, pero: ¿Qué hago?. A ver si soy capaz de arreglar ésto con vuestra ayuda.

Gracias.

171278 · « **Respuesta #21 en:** 28 de Septiembre de 2006, 05:12:18 pm »

Desactiva la opcion de Restaurar sistema
Asegura que tu sistema Muestre los Archivos y Carpetas ocultos
Reinicia en Modo Seguro (Desconectate fisicamente de internet)
Ejecuta el HijackThis y da click en el boton "Do a system scan only"
Selecciona las casillas de las siguientes entradas y presiona el boton "Fix Checked":

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {96B0F837-82C4-B06C-5D92-A5B608F62F94} - C:\WINDOWS\fwgak1.dll (file missing)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

Reinicia y activa Restaurar el sistema, saca y pega a continuacion un nuevo Log del Hijackthis.

JaviJaén · « **Respuesta #22 en:** 28 de Septiembre de 2006, 05:39:06 pm »

Buenas tardes:

Gracias por seguir ahí.

Ya he realizado lo que me has dicho.

estos son los LOG:

Logfile of HijackThis v1.99.1
Scan saved at 17:43:36, on 28/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\SafeSignCertReg.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MagicKey.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MulMouse.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\GyD (Ibérica)\SafeSignStatus\SafeSignStatus.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Combinación inalámbrica Labtec\OSD.EXE
C:\Documents and Settings\a\Escritorio\hijackdisk\autoruns.exe
C:\Documents and Settings\a\Escritorio\hijackdisk\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icajaen.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: ERUNT AutoBackup.lnk = C:\Archivos de programa\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Activar combinación inalámbrica Labtec.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: StatusSafeSign.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O16 - DPF: {B0862117-8110-4CBA-B488-8DE204D7384B} (SAMIS.Client) - https://www.redabogacia.org/paseseg/clientes/wxp/SAMIS.CAB
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {F77BC333-CFFB-46E9-A684-8367C3336979} (LEXNETIESign.IESigner) - https://lexnetdemo.redabogacia.org/cabs/wxp/IESignerPrj.CAB
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)

Y EL DEL AUTORUNS:

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ avast!   avast! service GUI component   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashdisp.exe

+ CertificateRegistration   Certificate Registration Utility   (Not verified) A.E.T. Europe B.V.   c:\windows\system32\safesigncertreg.exe

+ NeroFilterCheck   NeroCheck   (Not verified) Ahead Software Gmbh   c:\windows\system32\nerocheck.exe

+ RemoteControl   PowerDVD RC Service   (Not verified) Cyberlink Corp.   c:\archivos de programa\cyberlink\powerdvd\pdvdserv.exe

+ SiSUSBRG   SiSUSBrg   (Not verified) Silicon Integrated Systems Corp.   c:\windows\sisusbrg.exe

+ SunJavaUpdateSched   Java(TM) 2 Platform Standard Edition binary   (Not verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio

+ Activar combinación inalámbrica Labtec.lnk   Versato MFC Application      c:\archivos de programa\combinación inalámbrica labtec\magickey.exe

+ Adobe Reader Speed Launch.lnk   Adobe Acrobat SpeedLauncher   (Not verified) Adobe Systems Incorporated   c:\archivos de programa\adobe\acrobat 7.0\reader\reader_sl.exe

+ Microsoft Office.lnk   Microsoft Office 2000 component   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\osa9.exe

+ Puerto Symantec Fax Starter Edition.lnk   Symantec Fax Starter Edition Port Launcher   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\3082\olfsnt40.exe

+ StatusSafeSign.lnk   Aplicación MFC SafeSignStatus      c:\archivos de programa\gyd (ibérica)\safesignstatus\safesignstatus.exe

+ WinZip Quick Pick.lnk   WinZip Executable   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzqkpick.exe

C:\Documents and Settings\a\Menú Inicio\Programas\Inicio

+ ERUNT AutoBackup.lnk         c:\archivos de programa\erunt\autoback.exe

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

+ updateMgr   Adobe Update Manager   (Not verified) Adobe Systems Incorporated   c:\archivos de programa\adobe\acrobat 7.0\reader\adobeupdatemanager.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Classes\Protocols\Filter

HKLM\SOFTWARE\Classes\Protocols\Handler

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

+ 0         File not found: About:Home

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ avast   avast! Shell Extension   (Not verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashshell.dll

+ Microsoft Office Binder Unbind   Separador de documentos del Cuaderno de Microsoft Office   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\3082\unbind.dll

+ Microsoft Outlook Custom Icon Handler   Microsoft Outlook Shell Hook for Start/Find   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\olkfstub.dll

+ WayTech MultiMouse         c:\archivos de programa\combinación inalámbrica labtec\cpdll.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Carpetas Web         c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

+ PDF Shell Extension   PDF Shell Extension   (Not verified) Adobe Systems, Inc.   c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ Adobe PDF Reader Link Helper   Adobe Acrobat IE Helper Version 7.0 for ActiveX   (Verified) Adobe Systems, Incorporated   c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

HKLM\Software\Microsoft\Internet Explorer\Toolbar

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Extensions

HKLM\Software\Microsoft\Internet Explorer\Extensions

Task Scheduler

HKLM\System\CurrentControlSet\Services

+ aswUpdSv   Brinda actualizaciones automáticas para el antivirus avast!.   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\aswupdsv.exe

+ avast! Antivirus   Administra e implementa los servicios de antivirus avast! para este ordenador/computador/PC. Esto incluye protección residente, el baúl de virus y el programador de tareas.   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashserv.exe

HKLM\System\CurrentControlSet\Services

+ HSF_DP   HSF_DP driver   (Not verified) Conexant Systems   c:\windows\system32\drivers\hsf_dp.sys

+ HSFHWBS2   HSF_HWB2 WDM driver   (Not verified) Conexant Systems   c:\windows\system32\drivers\hsfhwbs2.sys

+ mdmxsdk   Diagnostic Interface DRIVER   (Not verified) Conexant   c:\windows\system32\drivers\mdmxsdk.sys

+ StreamDispatcher   Conexant Stream Dispatcher   (Not verified) Conexant Systems   c:\windows\system32\drivers\strmdisp.sys

+ winachsf   WinACHSF driver   (Not verified) Conexant Systems   c:\windows\system32\drivers\hsf_cnxt.sys

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKLM\Software\Microsoft\Command Processor\Autorun

HKCU\Software\Microsoft\Command Processor\Autorun

HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL

+ aetgina1.dll   aetgina1   (Not verified) A.E..T. Europe B.V.   c:\windows\system32\aetgina1.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

HKCU\Control Panel\Desktop\Scrnsave.exe

HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

+ OLFax Ports   Symantec Fax Starter Edition Monitor DLL   (Not verified) Microsoft Corporation   c:\windows\system32\olfmnt40.dll

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

YA ME CONTAREIS QUE SIGO HACIENDO PORQUE EL TROYANO SIGUE AHÍ.

GRACIAS DE NUEVO, UN SALUDO

171278 · « **Respuesta #23 en:** 28 de Septiembre de 2006, 06:02:34 pm »

Tu log de hijackThis esta limpio, espera haber que dice Mr-X del de Autoruns.
¿Porque dices que el troyano sigue hay?¿Que te lo detecta y donde?

Un Saludo.

JaviJaén · « **Respuesta #24 en:** 29 de Septiembre de 2006, 09:51:41 am »

Buenos días:

Gracias por tu ayuda. El troyano sigue ahí porque el Avast me sigue dando la alerta cuando concecto el Pc. No sé.

Si dices que está limpio, dejo de hacerle caso.

Espero vuestra respuesta. Un saludo y gracias de nuevo.

171278 · « **Respuesta #25 en:** 29 de Septiembre de 2006, 01:48:21 pm »

No te da la ruta del archivo? Pegala.

Haz un par de Scan on line

http://www.pandasoftware.com/products/acti...n_principal.htm
http://www.kaspersky.com/beta?product=161744315
http://housecall.trendmicro.com/
http://www.bitdefender.com/scan8/
http://www.ravantivirus.com/scan/
http://www.windowsecurity.com/trojanscan/
http://us.mcafee.com/root/mfs/default.asp
http://security.symantec.com/sscv6/default...id=ie&venid=sym

Pega los resultados de los Scan y un nuevo log de HiajckThis.

Un Saludo

Noticias:

Autor Tema: AYUDA CON TROYANO "iubn1.exe" (Leído 17001 veces)

JaviJaén

Re: AYUDA CON TROYANO "iubn1.exe"

171278

Re: AYUDA CON TROYANO "iubn1.exe"

JaviJaén

Re: AYUDA CON TROYANO "iubn1.exe"

171278

Re: AYUDA CON TROYANO "iubn1.exe"

JaviJaén

Re: AYUDA CON TROYANO "iubn1.exe"

171278

Re: AYUDA CON TROYANO "iubn1.exe"