Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: JaviJaén en 24 de Agosto de 2006, 12:39:11 pm
-
Hola de nuvo a todos:
Ante todo gracias por vuestra gran ayuda en las ocasiones anteriores. Por eso acudo a vosotros cuando tengo un nuevo problema.
Me aparece un troyano "iubn1.exe" que no puedo eliminar con el Norton. Le paso el antispyware y no me lo detecta. Todo esto va unido a que el ratón va muy lento (como que le cuesta moverse) cuando quiero hacer algo en alguna página abierta de internet, sin embargo, fuera de lo que es la página me fuenciona correctamente.
Empiezo a estar un poquito harto de este ordenador porque parece que siempre está "resfriado". Muchas gracias de nuevo por vuestra ayuda.
Un saludo.
-
Hola:
Quizá lo hayas hecho exactamente asi, no obstante te lo señalo y ya nos dices..
Limpiar archivos temporales, cookies, etc (http://www.windowsfacil.com/manuales1/eliminar-cookies/eliminar-cookies.htm).. puedes utilizar para ello si quieres el programa
DisK CLeaner (http://www.destroyerweb.com/tutos/disk-cleaner/diskcleaner.htm)
A continuación pasar alguna combinacion de programas antispyware como:
ad aware (http://www.destroyerweb.com/tutos/ad-aware-se/manual-ad-aware-se.htm),
spybot (http://www.destroyerweb.com/tutos/spybot/spybot.htm),
a2-squared (http://www.destroyerweb.com/tutos/a2-squared/a2-squared.htm),
ewido (http://www.daboweb.com/index.php?option=com_content&task=view&id=395&Itemid=149),
y tu antivirus actualizado arrancando el pc en
modo seguro o a prueba de fallos (http://www.windowsfacil.com/manuales/modo-seguro/modo-seguro.htm)
Igualmente aunque limpies los archivos espia del pc recuerda que debes deshabilitar el Restaurar sistema (http://www.windowsfacil.com/manuales1/desactivar-restaurar-sistema/desactivar-restaurar-sistema.htm) antes por si alguna de las copias de restauración de windows Xp tambien estuviese afectada.
Puedes posteriormente escanear con algun antivirus online (http://www.destroyerweb.com/general/antionline.htm) por comprobar que resultados te indica
Ya nos comentas como va.
Un saludo
-
Gracias por las indicaciones.
Sin embargo, me vuelve a aparecer. No consigo eliminarlo y cada vez que navego se abre una venta de este tipo :
"looking for ............?
y otro mensaje "
Que hago?. Gracias
-
Pega un log de HijackThis (http://www.destroyerweb.com/tutos/hijackthis/hijackthis.htm).
Un Saludo
-
¿Como va el problema?
-
Hola a todos:
Gracias por vuestro interés.
Aquí va el Log:
Logfile of HijackThis v1.99.1
Scan saved at 18:57:41, on 20/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\SafeSignCertReg.exe
C:\Archivos de programa\Java\j2re1.4.2_02\bin\jusched.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MagicKey.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MulMouse.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\GyD (Ibérica)\SafeSignStatus\SafeSignStatus.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\OSD.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\a\Escritorio\hijackdisk\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icajaen.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {96B0F837-82C4-B06C-5D92-A5B608F62F94} - C:\WINDOWS\fwgak1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Activar combinación inalámbrica Labtec.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: StatusSafeSign.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B0862117-8110-4CBA-B488-8DE204D7384B} (SAMIS.Client) - https://www.redabogacia.org/paseseg/clientes/wxp/SAMIS.CAB
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4836/mcfscan.cab
O16 - DPF: {F77BC333-CFFB-46E9-A684-8367C3336979} (LEXNETIESign.IESigner) - https://lexnetdemo.redabogacia.org/cabs/wxp/IESignerPrj.CAB
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)
Le he pasado el Spyboot y nada, y el avast lo detecta pero no lo elimina, y le he pasado symantec online y tampoco.
Gracias por la ayuda
-
Haz una copia de seguridad del registro (te recomiendo el ERUNT), deshabilita el "Restaurar el sistema", reinicia en MODO SEGURO, ejecuta el HijackThis, selecciona la opción 'Do a system scan only', marca la casilla a la izquierda de las siguientes entradas y dale al botón Fix checked':
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {96B0F837-82C4-B06C-5D92-A5B608F62F94} - C:\WINDOWS\fwgak1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
Reinicia normal, actualiza el Avast y el Spybot S&D y pásalos reiniciando en MODO SEGURO... Saca un nuevo log del HijackThis y uno del Autoruns...
-
Gracias destroyer!
pero paso a paso, por favor. Cómo hago una copia de seguridad de registro?
-
No está Mr_X te dejo los manuales:
Copia del registro con Erunt: (http://www.nautopia.net/archives/es/varios_backups_y_recuperacion/backup_registro/creando_backups.php)
Deshabilitar restaurar sistema (http://www.windowsfacil.com/manuales1/desactivar-restaurar-sistema/desactivar-restaurar-sistema.htm)
Arrancar en modo seguro (http://www.windowsfacil.com/manuales/modo-seguro/modo-seguro.htm)
Log Autoruns: (http://www.daboweb.com/foros/index.php/topic,25707.0.html)
Un saludo
-
Ademas, desinstala JAVA e instala su ultima version, ya que si no la Actualizas corres el riesgo de infectarte.
http://www.java.com/es/download/index.jsp
Un Saludo
-
Hola a todos:
He seguido los pasos que me indicais:
aquí están los logs que me pedís:
Logfile of HijackThis v1.99.1
Scan saved at 17:16:57, on 21/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\SafeSignCertReg.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MagicKey.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MulMouse.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\GyD (Ibérica)\SafeSignStatus\SafeSignStatus.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\OSD.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\a\Escritorio\hijackdisk\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icajaen.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: ERUNT AutoBackup.lnk = C:\Archivos de programa\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Activar combinación inalámbrica Labtec.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: StatusSafeSign.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O16 - DPF: {B0862117-8110-4CBA-B488-8DE204D7384B} (SAMIS.Client) - https://www.redabogacia.org/paseseg/clientes/wxp/SAMIS.CAB
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {F77BC333-CFFB-46E9-A684-8367C3336979} (LEXNETIESign.IESigner) - https://lexnetdemo.redabogacia.org/cabs/wxp/IESignerPrj.CAB
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)
Y DEL AUTORUNS:
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ avast! avast! service GUI component (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashdisp.exe
+ CertificateRegistration Certificate Registration Utility (Not verified) A.E.T. Europe B.V. c:\windows\system32\safesigncertreg.exe
+ gwiz c:\windows\system32\ntsystem.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ RemoteControl PowerDVD RC Service (Not verified) Cyberlink Corp. c:\archivos de programa\cyberlink\powerdvd\pdvdserv.exe
+ SiSUSBRG SiSUSBrg (Not verified) Silicon Integrated Systems Corp. c:\windows\sisusbrg.exe
+ SunJavaUpdateSched Java(TM) 2 Platform Standard Edition binary (Not verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ Activar combinación inalámbrica Labtec.lnk Versato MFC Application c:\archivos de programa\combinación inalámbrica labtec\magickey.exe
+ Adobe Reader Speed Launch.lnk Adobe Acrobat SpeedLauncher (Not verified) Adobe Systems Incorporated c:\archivos de programa\adobe\acrobat 7.0\reader\reader_sl.exe
+ Microsoft Office.lnk Microsoft Office 2000 component (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\osa9.exe
+ Puerto Symantec Fax Starter Edition.lnk Symantec Fax Starter Edition Port Launcher (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\3082\olfsnt40.exe
+ StatusSafeSign.lnk Aplicación MFC SafeSignStatus c:\archivos de programa\gyd (ibérica)\safesignstatus\safesignstatus.exe
+ WinZip Quick Pick.lnk WinZip Executable (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzqkpick.exe
C:\Documents and Settings\a\Menú Inicio\Programas\Inicio
+ ERUNT AutoBackup.lnk c:\archivos de programa\erunt\autoback.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ updateMgr Adobe Update Manager (Not verified) Adobe Systems Incorporated c:\archivos de programa\adobe\acrobat 7.0\reader\adobeupdatemanager.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ avast avast! Shell Extension (Not verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashshell.dll
+ Microsoft Office Binder Unbind Separador de documentos del Cuaderno de Microsoft Office (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\3082\unbind.dll
+ Microsoft Outlook Custom Icon Handler Microsoft Outlook Shell Hook for Start/Find (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\olkfstub.dll
+ WayTech MultiMouse c:\archivos de programa\combinación inalámbrica labtec\cpdll.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Carpetas Web c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Adobe PDF Reader Link Helper Adobe Acrobat IE Helper Version 7.0 for ActiveX (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
HKLM\System\CurrentControlSet\Services
+ aswUpdSv Brinda actualizaciones automáticas para el antivirus avast!. (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\aswupdsv.exe
+ avast! Antivirus Administra e implementa los servicios de antivirus avast! para este ordenador/computador/PC. Esto incluye protección residente, el baúl de virus y el programador de tareas. (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashserv.exe
HKLM\System\CurrentControlSet\Services
+ CO_Mon c:\windows\system32\drivers\co_mon.sys
+ Defender File not found: C:\Archivos de programa\SinEspias\Defender.sys
+ EntDrv51 File not found: C:\WINDOWS\system32\drivers\EntDrv51.sys
+ HSF_DP HSF_DP driver (Not verified) Conexant Systems c:\windows\system32\drivers\hsf_dp.sys
+ HSFHWBS2 HSF_HWB2 WDM driver (Not verified) Conexant Systems c:\windows\system32\drivers\hsfhwbs2.sys
+ mdmxsdk Diagnostic Interface DRIVER (Not verified) Conexant c:\windows\system32\drivers\mdmxsdk.sys
+ PavProc File not found: C:\WINDOWS\system32\DRIVERS\PavProc.sys
+ SAQPIQGR File not found: C:\WINDOWS\system32\saqpiqgr.fyt
+ StreamDispatcher Conexant Stream Dispatcher (Not verified) Conexant Systems c:\windows\system32\drivers\strmdisp.sys
+ SymEvent File not found: C:\Archivos de programa\Symantec\SYMEVENT.SYS
+ SYMREDRV File not found: C:\WINDOWS\System32\Drivers\SYMREDRV.SYS
+ SYMTDI File not found: C:\WINDOWS\System32\Drivers\SYMTDI.SYS
+ winachsf WinACHSF driver (Not verified) Conexant Systems c:\windows\system32\drivers\hsf_cnxt.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
+ aetgina1.dll aetgina1 (Not verified) A.E..T. Europe B.V. c:\windows\system32\aetgina1.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
+ OLFax Ports Symantec Fax Starter Edition Monitor DLL (Not verified) Microsoft Corporation c:\windows\system32\olfmnt40.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
AGRADEZCO VUESTRA AYUDA.
YA ME DIREIS. UN SALUDO.
-
Desactiva la opcion de Restaurar sistema (http://www.windowsfacil.com/manuales1/desactivar-restaurar-sistema/desactivar-restaurar-sistema.htm)
Asegura que tu sistema Muestre los Archivos y Carpetas ocultos (http://www.windowsfacil.com/manuales/archivos-ocultos/archivos-ocultos.htm)
Reinicia en Modo Seguro (http://www.windowsfacil.com/manuales/modo-seguro/modo-seguro.htm) (Desconectate fisicamente de internet)
Ejecuta el HijackThis y da click en el boton "Do a system scan only"
Selecciona las casillas de las siguientes entradas y presiona el boton "Fix Checked":
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
Cierra el hijackthis, busca estos archivos o carpetas y eliminalos:
C:\WINDOWS\system32\ntsystem.exe
Reinicia y sigue estos pasos:
Actualiza tu sistema, Aqui (http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=es)
Pasale el Ewido (http://www.daboweb.com/foros/index.php/topic,26738.0.html). (Actualizalo)
Y esta aplicacion tambien, esta al final de la pagina (No necesita instalacion, dale si a todo)
ElistarA (http://www.zonavirus.com/datos/descargas/78/EliStarA.asp)
Borra todas las cookies y el registro con CCleaner (http://www.daboweb.com/index.php?option=com_content&task=view&id=598&Itemid=149):
Pega un nuevo Log del Hijackthis, el Report del Ewido y ElistarA.
Un Saludo
-
Por cierto, se me ha olvidado que cuando paso el avast me dice lo siguiente (por si cambia la caosa en cuanto a la eliminación del troyano):
"C:/ WINDOWS/Driver Cache/i386/driver.cab/ctgsx140.gpd = imposible de escanear. el archivo coprimido CAB está corrompido"
¿Hago lo que me has dicho antes?
-
Si hazlo igual.
Un Saludo
-
Si ya hiciste la copia de seguridad del registro, deshabilitaste el "Restaurar el sistema", entonces reinicia en MODO SEGURO, ejecuta el Autoruns, selecciona con el botón derecho las siguientes entradas y dale a "Delete":
+ gwiz c:\windows\system32\ntsystem.exe
+ CO_Mon c:\windows\system32\drivers\co_mon.sys
+ Defender File not found: C:\Archivos de programa\SinEspias\Defender.sys
+ EntDrv51 File not found: C:\WINDOWS\system32\drivers\EntDrv51.sys
+ PavProc File not found: C:\WINDOWS\system32\DRIVERS\PavProc.sys
+ SAQPIQGR File not found: C:\WINDOWS\system32\saqpiqgr.fyt
+ SymEvent File not found: C:\Archivos de programa\Symantec\SYMEVENT.SYS
+ SYMREDRV File not found: C:\WINDOWS\System32\Drivers\SYMREDRV.SYS
+ SYMTDI File not found: C:\WINDOWS\System32\Drivers\SYMTDI.SYS
... Reinicia, actualiza el Avast y pásalo... saca nuevos logs...
-
Buenos días:
Gracias por la ayuda.
He recorrido todos los pasos hasta el fix chequed. Después he buscado el archivo C:\ WINDOWS\system32\ntsystem.exe pero no me deja eliminarlo: me dice que está protegido contra escriitura y que no le permite el acceso.
¿Qué hago entonces?
Gracias por vuestra ayuda
-
Baja Killbox:
http://www.downloads.subratam.org/KillBox.exe (No lo ejecutes)
Desactiva la opcion de Restaurar sistema (http://www.windowsfacil.com/manuales1/desactivar-restaurar-sistema/desactivar-restaurar-sistema.htm)
Asegura que tu sistema Muestre los Archivos y Carpetas ocultos (http://www.windowsfacil.com/manuales/archivos-ocultos/archivos-ocultos.htm)
Reinicia en Modo Seguro (http://www.windowsfacil.com/manuales/modo-seguro/modo-seguro.htm) (Desconectate fisicamente de internet)
Abre Kill Box sin reiniciar
Doble clic para que arranque ,marca “Standard File Kill.”
En” Full Path of File to Delete” pones la ruta del archivo...
EJEMPLO: C:\WINDOWS\system32\issearch.exe
Y pulsa el botón que parece un circulo rojo con una X :blanca en él. Cuando te pregunte si deseas reiniciar ahora ("Reboot now"), dile que NO hasta eliminar todas estas:
C:\ WINDOWS\system32\ntsystem.exe Si no te dejara, trata de Renombrarlo para eliminarlo, despues
Saca un nuevo log de HijackThis y Autoruns depues de reiniciar y activar restaurar el sistema.
Un Saludo
-
Buenas tardes:
Bien, he seguido los pasos indicadods en el último mensaje. El archivo se ha borrado con darle únicamente al boton rojo con la x, sin que me haya dicho nada de reiniciar, ni de "reboot now". Directamente borrado.
Después he vuelto a reiniciar, activar restaurar sistema y he sacado los log.
Aquí va el log del autoruns:
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ avast! avast! service GUI component (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashdisp.exe
+ CertificateRegistration Certificate Registration Utility (Not verified) A.E.T. Europe B.V. c:\windows\system32\safesigncertreg.exe
+ gwiz File not found: C:\WINDOWS\system32\ntsystem.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ RemoteControl PowerDVD RC Service (Not verified) Cyberlink Corp. c:\archivos de programa\cyberlink\powerdvd\pdvdserv.exe
+ SiSUSBRG SiSUSBrg (Not verified) Silicon Integrated Systems Corp. c:\windows\sisusbrg.exe
+ SunJavaUpdateSched Java(TM) 2 Platform Standard Edition binary (Not verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ Activar combinación inalámbrica Labtec.lnk Versato MFC Application c:\archivos de programa\combinación inalámbrica labtec\magickey.exe
+ Adobe Reader Speed Launch.lnk Adobe Acrobat SpeedLauncher (Not verified) Adobe Systems Incorporated c:\archivos de programa\adobe\acrobat 7.0\reader\reader_sl.exe
+ Microsoft Office.lnk Microsoft Office 2000 component (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\osa9.exe
+ Puerto Symantec Fax Starter Edition.lnk Symantec Fax Starter Edition Port Launcher (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\3082\olfsnt40.exe
+ StatusSafeSign.lnk Aplicación MFC SafeSignStatus c:\archivos de programa\gyd (ibérica)\safesignstatus\safesignstatus.exe
+ WinZip Quick Pick.lnk WinZip Executable (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzqkpick.exe
C:\Documents and Settings\a\Menú Inicio\Programas\Inicio
+ ERUNT AutoBackup.lnk c:\archivos de programa\erunt\autoback.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ updateMgr Adobe Update Manager (Not verified) Adobe Systems Incorporated c:\archivos de programa\adobe\acrobat 7.0\reader\adobeupdatemanager.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ avast avast! Shell Extension (Not verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashshell.dll
+ Microsoft Office Binder Unbind Separador de documentos del Cuaderno de Microsoft Office (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\3082\unbind.dll
+ Microsoft Outlook Custom Icon Handler Microsoft Outlook Shell Hook for Start/Find (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\olkfstub.dll
+ WayTech MultiMouse c:\archivos de programa\combinación inalámbrica labtec\cpdll.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Carpetas Web c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Adobe PDF Reader Link Helper Adobe Acrobat IE Helper Version 7.0 for ActiveX (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
HKLM\System\CurrentControlSet\Services
+ aswUpdSv Brinda actualizaciones automáticas para el antivirus avast!. (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\aswupdsv.exe
+ avast! Antivirus Administra e implementa los servicios de antivirus avast! para este ordenador/computador/PC. Esto incluye protección residente, el baúl de virus y el programador de tareas. (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashserv.exe
HKLM\System\CurrentControlSet\Services
+ CO_Mon c:\windows\system32\drivers\co_mon.sys
+ Defender File not found: C:\Archivos de programa\SinEspias\Defender.sys
+ EntDrv51 File not found: C:\WINDOWS\system32\drivers\EntDrv51.sys
+ HSF_DP HSF_DP driver (Not verified) Conexant Systems c:\windows\system32\drivers\hsf_dp.sys
+ HSFHWBS2 HSF_HWB2 WDM driver (Not verified) Conexant Systems c:\windows\system32\drivers\hsfhwbs2.sys
+ mdmxsdk Diagnostic Interface DRIVER (Not verified) Conexant c:\windows\system32\drivers\mdmxsdk.sys
+ PavProc File not found: C:\WINDOWS\system32\DRIVERS\PavProc.sys
+ SAQPIQGR File not found: C:\WINDOWS\system32\saqpiqgr.fyt
+ StreamDispatcher Conexant Stream Dispatcher (Not verified) Conexant Systems c:\windows\system32\drivers\strmdisp.sys
+ SymEvent File not found: C:\Archivos de programa\Symantec\SYMEVENT.SYS
+ SYMREDRV File not found: C:\WINDOWS\System32\Drivers\SYMREDRV.SYS
+ SYMTDI File not found: C:\WINDOWS\System32\Drivers\SYMTDI.SYS
+ winachsf WinACHSF driver (Not verified) Conexant Systems c:\windows\system32\drivers\hsf_cnxt.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
+ aetgina1.dll aetgina1 (Not verified) A.E..T. Europe B.V. c:\windows\system32\aetgina1.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
+ OLFax Ports Symantec Fax Starter Edition Monitor DLL (Not verified) Microsoft Corporation c:\windows\system32\olfmnt40.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
AQUI VA EL LOG DE HIJADISK:
Logfile of HijackThis v1.99.1
Scan saved at 17:18:34, on 25/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\SafeSignCertReg.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MagicKey.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MulMouse.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\GyD (Ibérica)\SafeSignStatus\SafeSignStatus.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Combinación inalámbrica Labtec\OSD.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\a\Escritorio\hijackdisk\autoruns.exe
C:\Documents and Settings\a\Escritorio\hijackdisk\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icajaen.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {96B0F837-82C4-B06C-5D92-A5B608F62F94} - C:\WINDOWS\fwgak1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: ERUNT AutoBackup.lnk = C:\Archivos de programa\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Activar combinación inalámbrica Labtec.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: StatusSafeSign.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O16 - DPF: {B0862117-8110-4CBA-B488-8DE204D7384B} (SAMIS.Client) - https://www.redabogacia.org/paseseg/clientes/wxp/SAMIS.CAB
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {F77BC333-CFFB-46E9-A684-8367C3336979} (LEXNETIESign.IESigner) - https://lexnetdemo.redabogacia.org/cabs/wxp/IESignerPrj.CAB
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)
¿Que pasos he de seguir ahora?.
Espero vuestras instrucciones porque el troyano sigue ahí. Gracias y un saludo
-
Haz copia de seguridad del registro, asegúrate de tener deshabilitado el "Restaurar el sistema", reinicia en Modo seguro, ejecuta el Autoruns, selecciona las siguientes entradas con el botón derecho y dale a "Delete":
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ gwiz File not found: C:\WINDOWS\system32\ntsystem.exe
HKLM\System\CurrentControlSet\Services
+ CO_Mon c:\windows\system32\drivers\co_mon.sys
+ Defender File not found: C:\Archivos de programa\SinEspias\Defender.sys
+ EntDrv51 File not found: C:\WINDOWS\system32\drivers\EntDrv51.sys
+ PavProc File not found: C:\WINDOWS\system32\DRIVERS\PavProc.sys
+ SAQPIQGR File not found: C:\WINDOWS\system32\saqpiqgr.fyt
+ SymEvent File not found: C:\Archivos de programa\Symantec\SYMEVENT.SYS
+ SYMREDRV File not found: C:\WINDOWS\System32\Drivers\SYMREDRV.SYS
+ SYMTDI File not found: C:\WINDOWS\System32\Drivers\SYMTDI.SYS
Reinicia normal, actualiza el Avast y pásalo reiniciando en Modo seguro... Saca nuevos logs...
-
Buenas tardes:
he hecho todo lo que me pides. Cuando le paso el Avast me sale el siguiente mensaje:
"C:/ WINDOWS/Driver Cache/i386/driver.cab/ctgsx140.gpd = imposible de escanear. el archivo coprimido CAB está corrompido"
es el mismo mensaje que antes de hacer todo lo que me pedias.
Aquí van los log:
Logfile of HijackThis v1.99.1
Scan saved at 19:24:19, on 26/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\SafeSignCertReg.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MagicKey.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MulMouse.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\GyD (Ibérica)\SafeSignStatus\SafeSignStatus.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Combinación inalámbrica Labtec\OSD.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\a\Escritorio\hijackdisk\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icajaen.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {96B0F837-82C4-B06C-5D92-A5B608F62F94} - C:\WINDOWS\fwgak1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: ERUNT AutoBackup.lnk = C:\Archivos de programa\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Activar combinación inalámbrica Labtec.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: StatusSafeSign.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O16 - DPF: {B0862117-8110-4CBA-B488-8DE204D7384B} (SAMIS.Client) - https://www.redabogacia.org/paseseg/clientes/wxp/SAMIS.CAB
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {F77BC333-CFFB-46E9-A684-8367C3336979} (LEXNETIESign.IESigner) - https://lexnetdemo.redabogacia.org/cabs/wxp/IESignerPrj.CAB
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)
Y aquí el del autoruns:
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ avast! avast! service GUI component (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashdisp.exe
+ CertificateRegistration Certificate Registration Utility (Not verified) A.E.T. Europe B.V. c:\windows\system32\safesigncertreg.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ RemoteControl PowerDVD RC Service (Not verified) Cyberlink Corp. c:\archivos de programa\cyberlink\powerdvd\pdvdserv.exe
+ SiSUSBRG SiSUSBrg (Not verified) Silicon Integrated Systems Corp. c:\windows\sisusbrg.exe
+ SunJavaUpdateSched Java(TM) 2 Platform Standard Edition binary (Not verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ Activar combinación inalámbrica Labtec.lnk Versato MFC Application c:\archivos de programa\combinación inalámbrica labtec\magickey.exe
+ Adobe Reader Speed Launch.lnk Adobe Acrobat SpeedLauncher (Not verified) Adobe Systems Incorporated c:\archivos de programa\adobe\acrobat 7.0\reader\reader_sl.exe
+ Microsoft Office.lnk Microsoft Office 2000 component (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\osa9.exe
+ Puerto Symantec Fax Starter Edition.lnk Symantec Fax Starter Edition Port Launcher (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\3082\olfsnt40.exe
+ StatusSafeSign.lnk Aplicación MFC SafeSignStatus c:\archivos de programa\gyd (ibérica)\safesignstatus\safesignstatus.exe
+ WinZip Quick Pick.lnk WinZip Executable (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzqkpick.exe
C:\Documents and Settings\a\Menú Inicio\Programas\Inicio
+ ERUNT AutoBackup.lnk c:\archivos de programa\erunt\autoback.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ updateMgr Adobe Update Manager (Not verified) Adobe Systems Incorporated c:\archivos de programa\adobe\acrobat 7.0\reader\adobeupdatemanager.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ avast avast! Shell Extension (Not verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashshell.dll
+ Microsoft Office Binder Unbind Separador de documentos del Cuaderno de Microsoft Office (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\3082\unbind.dll
+ Microsoft Outlook Custom Icon Handler Microsoft Outlook Shell Hook for Start/Find (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\olkfstub.dll
+ WayTech MultiMouse c:\archivos de programa\combinación inalámbrica labtec\cpdll.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Carpetas Web c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Adobe PDF Reader Link Helper Adobe Acrobat IE Helper Version 7.0 for ActiveX (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
HKLM\System\CurrentControlSet\Services
+ aswUpdSv Brinda actualizaciones automáticas para el antivirus avast!. (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\aswupdsv.exe
+ avast! Antivirus Administra e implementa los servicios de antivirus avast! para este ordenador/computador/PC. Esto incluye protección residente, el baúl de virus y el programador de tareas. (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashserv.exe
HKLM\System\CurrentControlSet\Services
+ HSF_DP HSF_DP driver (Not verified) Conexant Systems c:\windows\system32\drivers\hsf_dp.sys
+ HSFHWBS2 HSF_HWB2 WDM driver (Not verified) Conexant Systems c:\windows\system32\drivers\hsfhwbs2.sys
+ mdmxsdk Diagnostic Interface DRIVER (Not verified) Conexant c:\windows\system32\drivers\mdmxsdk.sys
+ StreamDispatcher Conexant Stream Dispatcher (Not verified) Conexant Systems c:\windows\system32\drivers\strmdisp.sys
+ winachsf WinACHSF driver (Not verified) Conexant Systems c:\windows\system32\drivers\hsf_cnxt.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
+ aetgina1.dll aetgina1 (Not verified) A.E..T. Europe B.V. c:\windows\system32\aetgina1.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
+ OLFax Ports Symantec Fax Starter Edition Monitor DLL (Not verified) Microsoft Corporation c:\windows\system32\olfmnt40.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
. Ya me direis. UN SALUDO
-
Buenas tardes:
Siento ser un pesado, pero: ¿Qué hago?. A ver si soy capaz de arreglar ésto con vuestra ayuda.
Gracias.
-
Desactiva la opcion de Restaurar sistema (http://www.windowsfacil.com/manuales1/desactivar-restaurar-sistema/desactivar-restaurar-sistema.htm)
Asegura que tu sistema Muestre los Archivos y Carpetas ocultos (http://www.windowsfacil.com/manuales/archivos-ocultos/archivos-ocultos.htm)
Reinicia en Modo Seguro (http://www.windowsfacil.com/manuales/modo-seguro/modo-seguro.htm) (Desconectate fisicamente de internet)
Ejecuta el HijackThis y da click en el boton "Do a system scan only"
Selecciona las casillas de las siguientes entradas y presiona el boton "Fix Checked":
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {96B0F837-82C4-B06C-5D92-A5B608F62F94} - C:\WINDOWS\fwgak1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
Reinicia y activa Restaurar el sistema, saca y pega a continuacion un nuevo Log del Hijackthis.
-
Buenas tardes:
Gracias por seguir ahí.
Ya he realizado lo que me has dicho.
estos son los LOG:
Logfile of HijackThis v1.99.1
Scan saved at 17:43:36, on 28/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\SafeSignCertReg.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MagicKey.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Combinación inalámbrica Labtec\MulMouse.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\GyD (Ibérica)\SafeSignStatus\SafeSignStatus.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Combinación inalámbrica Labtec\OSD.EXE
C:\Documents and Settings\a\Escritorio\hijackdisk\autoruns.exe
C:\Documents and Settings\a\Escritorio\hijackdisk\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icajaen.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: ERUNT AutoBackup.lnk = C:\Archivos de programa\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Activar combinación inalámbrica Labtec.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: StatusSafeSign.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O16 - DPF: {B0862117-8110-4CBA-B488-8DE204D7384B} (SAMIS.Client) - https://www.redabogacia.org/paseseg/clientes/wxp/SAMIS.CAB
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {F77BC333-CFFB-46E9-A684-8367C3336979} (LEXNETIESign.IESigner) - https://lexnetdemo.redabogacia.org/cabs/wxp/IESignerPrj.CAB
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)
Y EL DEL AUTORUNS:
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ avast! avast! service GUI component (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashdisp.exe
+ CertificateRegistration Certificate Registration Utility (Not verified) A.E.T. Europe B.V. c:\windows\system32\safesigncertreg.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ RemoteControl PowerDVD RC Service (Not verified) Cyberlink Corp. c:\archivos de programa\cyberlink\powerdvd\pdvdserv.exe
+ SiSUSBRG SiSUSBrg (Not verified) Silicon Integrated Systems Corp. c:\windows\sisusbrg.exe
+ SunJavaUpdateSched Java(TM) 2 Platform Standard Edition binary (Not verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ Activar combinación inalámbrica Labtec.lnk Versato MFC Application c:\archivos de programa\combinación inalámbrica labtec\magickey.exe
+ Adobe Reader Speed Launch.lnk Adobe Acrobat SpeedLauncher (Not verified) Adobe Systems Incorporated c:\archivos de programa\adobe\acrobat 7.0\reader\reader_sl.exe
+ Microsoft Office.lnk Microsoft Office 2000 component (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\osa9.exe
+ Puerto Symantec Fax Starter Edition.lnk Symantec Fax Starter Edition Port Launcher (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\3082\olfsnt40.exe
+ StatusSafeSign.lnk Aplicación MFC SafeSignStatus c:\archivos de programa\gyd (ibérica)\safesignstatus\safesignstatus.exe
+ WinZip Quick Pick.lnk WinZip Executable (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzqkpick.exe
C:\Documents and Settings\a\Menú Inicio\Programas\Inicio
+ ERUNT AutoBackup.lnk c:\archivos de programa\erunt\autoback.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ updateMgr Adobe Update Manager (Not verified) Adobe Systems Incorporated c:\archivos de programa\adobe\acrobat 7.0\reader\adobeupdatemanager.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ avast avast! Shell Extension (Not verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashshell.dll
+ Microsoft Office Binder Unbind Separador de documentos del Cuaderno de Microsoft Office (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\3082\unbind.dll
+ Microsoft Outlook Custom Icon Handler Microsoft Outlook Shell Hook for Start/Find (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\olkfstub.dll
+ WayTech MultiMouse c:\archivos de programa\combinación inalámbrica labtec\cpdll.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Carpetas Web c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Adobe PDF Reader Link Helper Adobe Acrobat IE Helper Version 7.0 for ActiveX (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
HKLM\System\CurrentControlSet\Services
+ aswUpdSv Brinda actualizaciones automáticas para el antivirus avast!. (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\aswupdsv.exe
+ avast! Antivirus Administra e implementa los servicios de antivirus avast! para este ordenador/computador/PC. Esto incluye protección residente, el baúl de virus y el programador de tareas. (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashserv.exe
HKLM\System\CurrentControlSet\Services
+ HSF_DP HSF_DP driver (Not verified) Conexant Systems c:\windows\system32\drivers\hsf_dp.sys
+ HSFHWBS2 HSF_HWB2 WDM driver (Not verified) Conexant Systems c:\windows\system32\drivers\hsfhwbs2.sys
+ mdmxsdk Diagnostic Interface DRIVER (Not verified) Conexant c:\windows\system32\drivers\mdmxsdk.sys
+ StreamDispatcher Conexant Stream Dispatcher (Not verified) Conexant Systems c:\windows\system32\drivers\strmdisp.sys
+ winachsf WinACHSF driver (Not verified) Conexant Systems c:\windows\system32\drivers\hsf_cnxt.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
+ aetgina1.dll aetgina1 (Not verified) A.E..T. Europe B.V. c:\windows\system32\aetgina1.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
+ OLFax Ports Symantec Fax Starter Edition Monitor DLL (Not verified) Microsoft Corporation c:\windows\system32\olfmnt40.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
YA ME CONTAREIS QUE SIGO HACIENDO PORQUE EL TROYANO SIGUE AHÍ.
GRACIAS DE NUEVO, UN SALUDO
-
Tu log de hijackThis esta limpio, espera haber que dice Mr-X del de Autoruns.
¿Porque dices que el troyano sigue hay?¿Que te lo detecta y donde?
Un Saludo.
-
Buenos días:
Gracias por tu ayuda. El troyano sigue ahí porque el Avast me sigue dando la alerta cuando concecto el Pc. No sé.
Si dices que está limpio, dejo de hacerle caso.
Espero vuestra respuesta. Un saludo y gracias de nuevo.
-
No te da la ruta del archivo? Pegala.
Haz un par de Scan on line
http://www.pandasoftware.com/products/acti...n_principal.htm
http://www.kaspersky.com/beta?product=161744315
http://housecall.trendmicro.com/
http://www.bitdefender.com/scan8/
http://www.ravantivirus.com/scan/
http://www.windowsecurity.com/trojanscan/
http://us.mcafee.com/root/mfs/default.asp
http://security.symantec.com/sscv6/default...id=ie&venid=sym
Pega los resultados de los Scan y un nuevo log de HiajckThis.
Un Saludo