Autor Tema: AYUDA CON TROYANO "iubn1.exe" (Leído 15894 veces)

JaviJaén · « **Respuesta #10 en:** 21 de Septiembre de 2006, 05:29:29 pm »

Hola a todos:

He seguido los pasos que me indicais:

aquí están los logs que me pedís:

Logfile of HijackThis v1.99.1
Scan saved at 17:16:57, on 21/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\SafeSignCertReg.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MagicKey.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MulMouse.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\GyD (Ibérica)\SafeSignStatus\SafeSignStatus.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\OSD.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\a\Escritorio\hijackdisk\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icajaen.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: ERUNT AutoBackup.lnk = C:\Archivos de programa\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Activar combinación inalámbrica Labtec.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: StatusSafeSign.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O16 - DPF: {B0862117-8110-4CBA-B488-8DE204D7384B} (SAMIS.Client) - https://www.redabogacia.org/paseseg/clientes/wxp/SAMIS.CAB
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {F77BC333-CFFB-46E9-A684-8367C3336979} (LEXNETIESign.IESigner) - https://lexnetdemo.redabogacia.org/cabs/wxp/IESignerPrj.CAB
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)

Y DEL AUTORUNS:

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ avast!   avast! service GUI component   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashdisp.exe

+ CertificateRegistration   Certificate Registration Utility   (Not verified) A.E.T. Europe B.V.   c:\windows\system32\safesigncertreg.exe

+ gwiz         c:\windows\system32\ntsystem.exe

+ NeroFilterCheck   NeroCheck   (Not verified) Ahead Software Gmbh   c:\windows\system32\nerocheck.exe

+ RemoteControl   PowerDVD RC Service   (Not verified) Cyberlink Corp.   c:\archivos de programa\cyberlink\powerdvd\pdvdserv.exe

+ SiSUSBRG   SiSUSBrg   (Not verified) Silicon Integrated Systems Corp.   c:\windows\sisusbrg.exe

+ SunJavaUpdateSched   Java(TM) 2 Platform Standard Edition binary   (Not verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio

+ Activar combinación inalámbrica Labtec.lnk   Versato MFC Application      c:\archivos de programa\combinación inalámbrica labtec\magickey.exe

+ Adobe Reader Speed Launch.lnk   Adobe Acrobat SpeedLauncher   (Not verified) Adobe Systems Incorporated   c:\archivos de programa\adobe\acrobat 7.0\reader\reader_sl.exe

+ Microsoft Office.lnk   Microsoft Office 2000 component   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\osa9.exe

+ Puerto Symantec Fax Starter Edition.lnk   Symantec Fax Starter Edition Port Launcher   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\3082\olfsnt40.exe

+ StatusSafeSign.lnk   Aplicación MFC SafeSignStatus      c:\archivos de programa\gyd (ibérica)\safesignstatus\safesignstatus.exe

+ WinZip Quick Pick.lnk   WinZip Executable   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzqkpick.exe

C:\Documents and Settings\a\Menú Inicio\Programas\Inicio

+ ERUNT AutoBackup.lnk         c:\archivos de programa\erunt\autoback.exe

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

+ updateMgr   Adobe Update Manager   (Not verified) Adobe Systems Incorporated   c:\archivos de programa\adobe\acrobat 7.0\reader\adobeupdatemanager.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Classes\Protocols\Filter

HKLM\SOFTWARE\Classes\Protocols\Handler

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

+ 0         File not found: About:Home

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ avast   avast! Shell Extension   (Not verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashshell.dll

+ Microsoft Office Binder Unbind   Separador de documentos del Cuaderno de Microsoft Office   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\3082\unbind.dll

+ Microsoft Outlook Custom Icon Handler   Microsoft Outlook Shell Hook for Start/Find   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\olkfstub.dll

+ WayTech MultiMouse         c:\archivos de programa\combinación inalámbrica labtec\cpdll.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Carpetas Web         c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

+ PDF Shell Extension   PDF Shell Extension   (Not verified) Adobe Systems, Inc.   c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ Adobe PDF Reader Link Helper   Adobe Acrobat IE Helper Version 7.0 for ActiveX   (Verified) Adobe Systems, Incorporated   c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

HKLM\Software\Microsoft\Internet Explorer\Toolbar

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Extensions

HKLM\Software\Microsoft\Internet Explorer\Extensions

Task Scheduler

HKLM\System\CurrentControlSet\Services

+ aswUpdSv   Brinda actualizaciones automáticas para el antivirus avast!.   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\aswupdsv.exe

+ avast! Antivirus   Administra e implementa los servicios de antivirus avast! para este ordenador/computador/PC. Esto incluye protección residente, el baúl de virus y el programador de tareas.   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashserv.exe

HKLM\System\CurrentControlSet\Services

+ CO_Mon         c:\windows\system32\drivers\co_mon.sys

+ Defender         File not found: C:\Archivos de programa\SinEspias\Defender.sys

+ EntDrv51         File not found: C:\WINDOWS\system32\drivers\EntDrv51.sys

+ HSF_DP   HSF_DP driver   (Not verified) Conexant Systems   c:\windows\system32\drivers\hsf_dp.sys

+ HSFHWBS2   HSF_HWB2 WDM driver   (Not verified) Conexant Systems   c:\windows\system32\drivers\hsfhwbs2.sys

+ mdmxsdk   Diagnostic Interface DRIVER   (Not verified) Conexant   c:\windows\system32\drivers\mdmxsdk.sys

+ PavProc         File not found: C:\WINDOWS\system32\DRIVERS\PavProc.sys

+ SAQPIQGR         File not found: C:\WINDOWS\system32\saqpiqgr.fyt

+ StreamDispatcher   Conexant Stream Dispatcher   (Not verified) Conexant Systems   c:\windows\system32\drivers\strmdisp.sys

+ SymEvent         File not found: C:\Archivos de programa\Symantec\SYMEVENT.SYS

+ SYMREDRV         File not found: C:\WINDOWS\System32\Drivers\SYMREDRV.SYS

+ SYMTDI         File not found: C:\WINDOWS\System32\Drivers\SYMTDI.SYS

+ winachsf   WinACHSF driver   (Not verified) Conexant Systems   c:\windows\system32\drivers\hsf_cnxt.sys

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKLM\Software\Microsoft\Command Processor\Autorun

HKCU\Software\Microsoft\Command Processor\Autorun

HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL

+ aetgina1.dll   aetgina1   (Not verified) A.E..T. Europe B.V.   c:\windows\system32\aetgina1.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

HKCU\Control Panel\Desktop\Scrnsave.exe

HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

+ OLFax Ports   Symantec Fax Starter Edition Monitor DLL   (Not verified) Microsoft Corporation   c:\windows\system32\olfmnt40.dll

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

AGRADEZCO VUESTRA AYUDA.

YA ME DIREIS. UN SALUDO.

171278 · « **Respuesta #11 en:** 21 de Septiembre de 2006, 05:56:04 pm »

Desactiva la opcion de Restaurar sistema
Asegura que tu sistema Muestre los Archivos y Carpetas ocultos
Reinicia en Modo Seguro (Desconectate fisicamente de internet)
Ejecuta el HijackThis y da click en el boton "Do a system scan only"
Selecciona las casillas de las siguientes entradas y presiona el boton "Fix Checked":

O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe

Cierra el hijackthis, busca estos archivos o carpetas y eliminalos:

C:\WINDOWS\system32\ntsystem.exe

Reinicia y sigue estos pasos:
Actualiza tu sistema, Aqui
Pasale el Ewido. (Actualizalo)
Y esta aplicacion tambien, esta al final de la pagina (No necesita instalacion, dale si a todo)
ElistarA
Borra todas las cookies y el registro con CCleaner:

Pega un nuevo Log del Hijackthis, el Report del Ewido y ElistarA.

Un Saludo

JaviJaén · « **Respuesta #12 en:** 21 de Septiembre de 2006, 06:03:02 pm »

Por cierto, se me ha olvidado que cuando paso el avast me dice lo siguiente (por si cambia la caosa en cuanto a la eliminación del troyano):

"C:/ WINDOWS/Driver Cache/i386/driver.cab/ctgsx140.gpd = imposible de escanear. el archivo coprimido CAB está corrompido"

¿Hago lo que me has dicho antes?

171278 · « **Respuesta #13 en:** 21 de Septiembre de 2006, 07:00:58 pm »

Si hazlo igual.

Un Saludo

Mr_X · « **Respuesta #14 en:** 21 de Septiembre de 2006, 07:04:34 pm »

Si ya hiciste la copia de seguridad del registro, deshabilitaste el "Restaurar el sistema", entonces reinicia en MODO SEGURO, ejecuta el Autoruns, selecciona con el botón derecho las siguientes entradas y dale a "Delete":

Código: [Seleccionar]

+ gwiz         c:\windows\system32\ntsystem.exe

+ CO_Mon         c:\windows\system32\drivers\co_mon.sys

+ Defender         File not found: C:\Archivos de programa\SinEspias\Defender.sys

+ EntDrv51         File not found: C:\WINDOWS\system32\drivers\EntDrv51.sys

+ PavProc         File not found: C:\WINDOWS\system32\DRIVERS\PavProc.sys

+ SAQPIQGR         File not found: C:\WINDOWS\system32\saqpiqgr.fyt

+ SymEvent         File not found: C:\Archivos de programa\Symantec\SYMEVENT.SYS

+ SYMREDRV         File not found: C:\WINDOWS\System32\Drivers\SYMREDRV.SYS

+ SYMTDI         File not found: C:\WINDOWS\System32\Drivers\SYMTDI.SYS

... Reinicia, actualiza el Avast y pásalo... saca nuevos logs...

JaviJaén · « **Respuesta #15 en:** 25 de Septiembre de 2006, 12:40:57 pm »

Buenos días:

Gracias por la ayuda.

He recorrido todos los pasos hasta el fix chequed. Después he buscado el archivo C:\ WINDOWS\system32\ntsystem.exe pero no me deja eliminarlo: me dice que está protegido contra escriitura y que no le permite el acceso.

¿Qué hago entonces?

Gracias por vuestra ayuda

171278 · « **Respuesta #16 en:** 25 de Septiembre de 2006, 01:50:21 pm »

Baja Killbox:

http://www.downloads.subratam.org/KillBox.exe (No lo ejecutes)

Desactiva la opcion de Restaurar sistema
Asegura que tu sistema Muestre los Archivos y Carpetas ocultos
Reinicia en Modo Seguro (Desconectate fisicamente de internet)

Abre Kill Box sin reiniciar
Doble clic para que arranque ,marca “Standard File Kill.”
En” Full Path of File to Delete” pones la ruta del archivo...

EJEMPLO: C:\WINDOWS\system32\issearch.exe

Y pulsa el botón que parece un circulo rojo con una X :blanca en él. Cuando te pregunte si deseas reiniciar ahora ("Reboot now"), dile que NO hasta eliminar todas estas:

C:\ WINDOWS\system32\ntsystem.exe Si no te dejara, trata de Renombrarlo para eliminarlo, despues

Saca un nuevo log de HijackThis y Autoruns depues de reiniciar y activar restaurar el sistema.

Un Saludo

JaviJaén · « **Respuesta #17 en:** 25 de Septiembre de 2006, 05:15:59 pm »

Buenas tardes:

Bien, he seguido los pasos indicadods en el último mensaje. El archivo se ha borrado con darle únicamente al boton rojo con la x, sin que me haya dicho nada de reiniciar, ni de "reboot now". Directamente borrado.

Después he vuelto a reiniciar, activar restaurar sistema y he sacado los log.

Aquí va el log del autoruns:

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ avast!   avast! service GUI component   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashdisp.exe

+ CertificateRegistration   Certificate Registration Utility   (Not verified) A.E.T. Europe B.V.   c:\windows\system32\safesigncertreg.exe

+ gwiz         File not found: C:\WINDOWS\system32\ntsystem.exe

+ NeroFilterCheck   NeroCheck   (Not verified) Ahead Software Gmbh   c:\windows\system32\nerocheck.exe

+ RemoteControl   PowerDVD RC Service   (Not verified) Cyberlink Corp.   c:\archivos de programa\cyberlink\powerdvd\pdvdserv.exe

+ SiSUSBRG   SiSUSBrg   (Not verified) Silicon Integrated Systems Corp.   c:\windows\sisusbrg.exe

+ SunJavaUpdateSched   Java(TM) 2 Platform Standard Edition binary   (Not verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio

+ Activar combinación inalámbrica Labtec.lnk   Versato MFC Application      c:\archivos de programa\combinación inalámbrica labtec\magickey.exe

+ Adobe Reader Speed Launch.lnk   Adobe Acrobat SpeedLauncher   (Not verified) Adobe Systems Incorporated   c:\archivos de programa\adobe\acrobat 7.0\reader\reader_sl.exe

+ Microsoft Office.lnk   Microsoft Office 2000 component   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\osa9.exe

+ Puerto Symantec Fax Starter Edition.lnk   Symantec Fax Starter Edition Port Launcher   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\3082\olfsnt40.exe

+ StatusSafeSign.lnk   Aplicación MFC SafeSignStatus      c:\archivos de programa\gyd (ibérica)\safesignstatus\safesignstatus.exe

+ WinZip Quick Pick.lnk   WinZip Executable   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzqkpick.exe

C:\Documents and Settings\a\Menú Inicio\Programas\Inicio

+ ERUNT AutoBackup.lnk         c:\archivos de programa\erunt\autoback.exe

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

+ updateMgr   Adobe Update Manager   (Not verified) Adobe Systems Incorporated   c:\archivos de programa\adobe\acrobat 7.0\reader\adobeupdatemanager.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Classes\Protocols\Filter

HKLM\SOFTWARE\Classes\Protocols\Handler

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

+ 0         File not found: About:Home

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ avast   avast! Shell Extension   (Not verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashshell.dll

+ Microsoft Office Binder Unbind   Separador de documentos del Cuaderno de Microsoft Office   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\3082\unbind.dll

+ Microsoft Outlook Custom Icon Handler   Microsoft Outlook Shell Hook for Start/Find   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\olkfstub.dll

+ WayTech MultiMouse         c:\archivos de programa\combinación inalámbrica labtec\cpdll.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Carpetas Web         c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

+ PDF Shell Extension   PDF Shell Extension   (Not verified) Adobe Systems, Inc.   c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ Adobe PDF Reader Link Helper   Adobe Acrobat IE Helper Version 7.0 for ActiveX   (Verified) Adobe Systems, Incorporated   c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

HKLM\Software\Microsoft\Internet Explorer\Toolbar

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Extensions

HKLM\Software\Microsoft\Internet Explorer\Extensions

Task Scheduler

HKLM\System\CurrentControlSet\Services

+ aswUpdSv   Brinda actualizaciones automáticas para el antivirus avast!.   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\aswupdsv.exe

+ avast! Antivirus   Administra e implementa los servicios de antivirus avast! para este ordenador/computador/PC. Esto incluye protección residente, el baúl de virus y el programador de tareas.   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashserv.exe

HKLM\System\CurrentControlSet\Services

+ CO_Mon         c:\windows\system32\drivers\co_mon.sys

+ Defender         File not found: C:\Archivos de programa\SinEspias\Defender.sys

+ EntDrv51         File not found: C:\WINDOWS\system32\drivers\EntDrv51.sys

+ HSF_DP   HSF_DP driver   (Not verified) Conexant Systems   c:\windows\system32\drivers\hsf_dp.sys

+ HSFHWBS2   HSF_HWB2 WDM driver   (Not verified) Conexant Systems   c:\windows\system32\drivers\hsfhwbs2.sys

+ mdmxsdk   Diagnostic Interface DRIVER   (Not verified) Conexant   c:\windows\system32\drivers\mdmxsdk.sys

+ PavProc         File not found: C:\WINDOWS\system32\DRIVERS\PavProc.sys

+ SAQPIQGR         File not found: C:\WINDOWS\system32\saqpiqgr.fyt

+ StreamDispatcher   Conexant Stream Dispatcher   (Not verified) Conexant Systems   c:\windows\system32\drivers\strmdisp.sys

+ SymEvent         File not found: C:\Archivos de programa\Symantec\SYMEVENT.SYS

+ SYMREDRV         File not found: C:\WINDOWS\System32\Drivers\SYMREDRV.SYS

+ SYMTDI         File not found: C:\WINDOWS\System32\Drivers\SYMTDI.SYS

+ winachsf   WinACHSF driver   (Not verified) Conexant Systems   c:\windows\system32\drivers\hsf_cnxt.sys

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKLM\Software\Microsoft\Command Processor\Autorun

HKCU\Software\Microsoft\Command Processor\Autorun

HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL

+ aetgina1.dll   aetgina1   (Not verified) A.E..T. Europe B.V.   c:\windows\system32\aetgina1.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

HKCU\Control Panel\Desktop\Scrnsave.exe

HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

+ OLFax Ports   Symantec Fax Starter Edition Monitor DLL   (Not verified) Microsoft Corporation   c:\windows\system32\olfmnt40.dll

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

AQUI VA EL LOG DE HIJADISK:

Logfile of HijackThis v1.99.1
Scan saved at 17:18:34, on 25/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\SafeSignCertReg.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MagicKey.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MulMouse.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\GyD (Ibérica)\SafeSignStatus\SafeSignStatus.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Combinación inalámbrica Labtec\OSD.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\a\Escritorio\hijackdisk\autoruns.exe
C:\Documents and Settings\a\Escritorio\hijackdisk\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icajaen.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {96B0F837-82C4-B06C-5D92-A5B608F62F94} - C:\WINDOWS\fwgak1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: ERUNT AutoBackup.lnk = C:\Archivos de programa\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Activar combinación inalámbrica Labtec.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: StatusSafeSign.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O16 - DPF: {B0862117-8110-4CBA-B488-8DE204D7384B} (SAMIS.Client) - https://www.redabogacia.org/paseseg/clientes/wxp/SAMIS.CAB
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {F77BC333-CFFB-46E9-A684-8367C3336979} (LEXNETIESign.IESigner) - https://lexnetdemo.redabogacia.org/cabs/wxp/IESignerPrj.CAB
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)

¿Que pasos he de seguir ahora?.

Espero vuestras instrucciones porque el troyano sigue ahí. Gracias y un saludo

Mr_X · « **Respuesta #18 en:** 26 de Septiembre de 2006, 04:12:04 am »

Haz copia de seguridad del registro, asegúrate de tener deshabilitado el "Restaurar el sistema", reinicia en Modo seguro, ejecuta el Autoruns, selecciona las siguientes entradas con el botón derecho y dale a "Delete":

Código: [Seleccionar]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run         

+ gwiz         File not found: C:\WINDOWS\system32\ntsystem.exe


HKLM\System\CurrentControlSet\Services         

+ CO_Mon         c:\windows\system32\drivers\co_mon.sys

+ Defender         File not found: C:\Archivos de programa\SinEspias\Defender.sys

+ EntDrv51         File not found: C:\WINDOWS\system32\drivers\EntDrv51.sys

+ PavProc         File not found: C:\WINDOWS\system32\DRIVERS\PavProc.sys

+ SAQPIQGR         File not found: C:\WINDOWS\system32\saqpiqgr.fyt

+ SymEvent         File not found: C:\Archivos de programa\Symantec\SYMEVENT.SYS

+ SYMREDRV         File not found: C:\WINDOWS\System32\Drivers\SYMREDRV.SYS

+ SYMTDI         File not found: C:\WINDOWS\System32\Drivers\SYMTDI.SYS

Reinicia normal, actualiza el Avast y pásalo reiniciando en Modo seguro... Saca nuevos logs...

JaviJaén · « **Respuesta #19 en:** 26 de Septiembre de 2006, 07:25:50 pm »

Buenas tardes:

he hecho todo lo que me pides. Cuando le paso el Avast me sale el siguiente mensaje:

"C:/ WINDOWS/Driver Cache/i386/driver.cab/ctgsx140.gpd = imposible de escanear. el archivo coprimido CAB está corrompido"

es el mismo mensaje que antes de hacer todo lo que me pedias.

Aquí van los log:

Logfile of HijackThis v1.99.1
Scan saved at 19:24:19, on 26/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\SafeSignCertReg.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MagicKey.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MulMouse.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\GyD (Ibérica)\SafeSignStatus\SafeSignStatus.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Combinación inalámbrica Labtec\OSD.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\a\Escritorio\hijackdisk\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icajaen.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {96B0F837-82C4-B06C-5D92-A5B608F62F94} - C:\WINDOWS\fwgak1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: ERUNT AutoBackup.lnk = C:\Archivos de programa\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Activar combinación inalámbrica Labtec.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: StatusSafeSign.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O16 - DPF: {B0862117-8110-4CBA-B488-8DE204D7384B} (SAMIS.Client) - https://www.redabogacia.org/paseseg/clientes/wxp/SAMIS.CAB
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {F77BC333-CFFB-46E9-A684-8367C3336979} (LEXNETIESign.IESigner) - https://lexnetdemo.redabogacia.org/cabs/wxp/IESignerPrj.CAB
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)

Y aquí el del autoruns:

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ avast!   avast! service GUI component   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashdisp.exe

+ CertificateRegistration   Certificate Registration Utility   (Not verified) A.E.T. Europe B.V.   c:\windows\system32\safesigncertreg.exe

+ NeroFilterCheck   NeroCheck   (Not verified) Ahead Software Gmbh   c:\windows\system32\nerocheck.exe

+ RemoteControl   PowerDVD RC Service   (Not verified) Cyberlink Corp.   c:\archivos de programa\cyberlink\powerdvd\pdvdserv.exe

+ SiSUSBRG   SiSUSBrg   (Not verified) Silicon Integrated Systems Corp.   c:\windows\sisusbrg.exe

+ SunJavaUpdateSched   Java(TM) 2 Platform Standard Edition binary   (Not verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio

+ Activar combinación inalámbrica Labtec.lnk   Versato MFC Application      c:\archivos de programa\combinación inalámbrica labtec\magickey.exe

+ Adobe Reader Speed Launch.lnk   Adobe Acrobat SpeedLauncher   (Not verified) Adobe Systems Incorporated   c:\archivos de programa\adobe\acrobat 7.0\reader\reader_sl.exe

+ Microsoft Office.lnk   Microsoft Office 2000 component   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\osa9.exe

+ Puerto Symantec Fax Starter Edition.lnk   Symantec Fax Starter Edition Port Launcher   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\3082\olfsnt40.exe

+ StatusSafeSign.lnk   Aplicación MFC SafeSignStatus      c:\archivos de programa\gyd (ibérica)\safesignstatus\safesignstatus.exe

+ WinZip Quick Pick.lnk   WinZip Executable   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzqkpick.exe

C:\Documents and Settings\a\Menú Inicio\Programas\Inicio

+ ERUNT AutoBackup.lnk         c:\archivos de programa\erunt\autoback.exe

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

+ updateMgr   Adobe Update Manager   (Not verified) Adobe Systems Incorporated   c:\archivos de programa\adobe\acrobat 7.0\reader\adobeupdatemanager.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Classes\Protocols\Filter

HKLM\SOFTWARE\Classes\Protocols\Handler

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

+ 0         File not found: About:Home

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ avast   avast! Shell Extension   (Not verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashshell.dll

+ Microsoft Office Binder Unbind   Separador de documentos del Cuaderno de Microsoft Office   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\3082\unbind.dll

+ Microsoft Outlook Custom Icon Handler   Microsoft Outlook Shell Hook for Start/Find   (Not verified) Microsoft Corporation   c:\archivos de programa\microsoft office\office\olkfstub.dll

+ WayTech MultiMouse         c:\archivos de programa\combinación inalámbrica labtec\cpdll.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

+ WinZip   WinZip Shell Extension DLL   (Not verified) WinZip Computing LP   c:\archivos de programa\winzip\wzshlstb.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Carpetas Web         c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

+ PDF Shell Extension   PDF Shell Extension   (Not verified) Adobe Systems, Inc.   c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ Adobe PDF Reader Link Helper   Adobe Acrobat IE Helper Version 7.0 for ActiveX   (Verified) Adobe Systems, Incorporated   c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

HKLM\Software\Microsoft\Internet Explorer\Toolbar

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Extensions

HKLM\Software\Microsoft\Internet Explorer\Extensions

Task Scheduler

HKLM\System\CurrentControlSet\Services

+ aswUpdSv   Brinda actualizaciones automáticas para el antivirus avast!.   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\aswupdsv.exe

+ avast! Antivirus   Administra e implementa los servicios de antivirus avast! para este ordenador/computador/PC. Esto incluye protección residente, el baúl de virus y el programador de tareas.   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashserv.exe

HKLM\System\CurrentControlSet\Services

+ HSF_DP   HSF_DP driver   (Not verified) Conexant Systems   c:\windows\system32\drivers\hsf_dp.sys

+ HSFHWBS2   HSF_HWB2 WDM driver   (Not verified) Conexant Systems   c:\windows\system32\drivers\hsfhwbs2.sys

+ mdmxsdk   Diagnostic Interface DRIVER   (Not verified) Conexant   c:\windows\system32\drivers\mdmxsdk.sys

+ StreamDispatcher   Conexant Stream Dispatcher   (Not verified) Conexant Systems   c:\windows\system32\drivers\strmdisp.sys

+ winachsf   WinACHSF driver   (Not verified) Conexant Systems   c:\windows\system32\drivers\hsf_cnxt.sys

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKLM\Software\Microsoft\Command Processor\Autorun

HKCU\Software\Microsoft\Command Processor\Autorun

HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL

+ aetgina1.dll   aetgina1   (Not verified) A.E..T. Europe B.V.   c:\windows\system32\aetgina1.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

HKCU\Control Panel\Desktop\Scrnsave.exe

HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

+ OLFax Ports   Symantec Fax Starter Edition Monitor DLL   (Not verified) Microsoft Corporation   c:\windows\system32\olfmnt40.dll

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

. Ya me direis. UN SALUDO

Noticias:

Autor Tema: AYUDA CON TROYANO "iubn1.exe" (Leído 15894 veces)

JaviJaén

Re: AYUDA CON TROYANO "iubn1.exe"

171278

Re: AYUDA CON TROYANO "iubn1.exe"

JaviJaén

Re: AYUDA CON TROYANO "iubn1.exe"

171278

Re: AYUDA CON TROYANO "iubn1.exe"

Mr_X

Re: AYUDA CON TROYANO "iubn1.exe"

JaviJaén

Re: AYUDA CON TROYANO "iubn1.exe"

171278

Re: AYUDA CON TROYANO "iubn1.exe"

JaviJaén

Re: AYUDA CON TROYANO "iubn1.exe"

Mr_X

Re: AYUDA CON TROYANO "iubn1.exe"

JaviJaén

Re: AYUDA CON TROYANO "iubn1.exe"