Tema: problema con spyware,archivos .exe imborrables (SOLUCIONADO)

[castufaman]

lei la conversacion q tuvisteis con otro xico,y aki os envio la informacion q le pedisteis a el para q me digais si se soluciona igual o tngo q acer algo diferente.

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup         

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup         

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon         

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit         

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run         

+ ATICCC   CLI Application (Command Line Interface)   (Not verified) ATI Technologies Inc.   c:\archivos de programa\ati technologies\ati.ace\cli.exe

+ ATIPTA   ATI Desktop Control Panel   (Not verified) ATI Technologies, Inc.   c:\archivos de programa\ati technologies\ati control panel\atiptaxx.exe

+ Getca   Set / Get WPA data to / from system      c:\archivos de programa\wmonitor\infomyca.exe

+ MessengerPlus3   Messenger Plus!   (Verified) Patchou   c:\archivos de programa\messengerplus! 3\msgplus.exe

+ nod32kui   NOD32 Control Center GUI   (Not verified) Eset    c:\archivos de programa\eset\nod32kui.exe

+ TrojanScanner   Trojan Scanner   (Not verified) Simply Super Software   c:\archivos de programa\trojan remover\trjscan.exe

+ VGAUtil   Menu MFC Application      c:\archivos de programa\gigabyte\vga utility manager\g-vga.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce         

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio         

+ Inicio rápido de Adobe Reader.lnk   Adobe Acrobat SpeedLauncher   (Not verified) Adobe Systems Incorporated   c:\archivos de programa\adobe\acrobat 7.0\reader\reader_sl.exe

+ VIA RAID TOOL.lnk   VIA RAID Tool   (Not verified) VIA Technologies   c:\archivos de programa\via\raid\raid_tool.exe

C:\Documents and Settings\rodriguez\Menú Inicio\Programas\Inicio         

+ ERUNT AutoBackup.lnk         c:\archivos de programa\erunt\autoback.exe

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load         

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run         

+ dcomcfg.exe         c:\windows\system32\dcomcfg.exe

+ kernel32.dll         File not found: C:\WINDOWS\system32\atmclk.exe

+ wininet.dll         c:\windows\system32\regperf.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run         

HKCU\Software\Microsoft\Windows\CurrentVersion\Run         

+ updateMgr   Adobe Update Manager   (Not verified) Adobe Systems Incorporated   c:\archivos de programa\adobe\acrobat 7.0\reader\adobeupdatemanager.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run         

HKLM\SOFTWARE\Classes\Protocols\Filter         

+ application/octet-stream   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ application/x-complus   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ application/x-msdownload   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

HKLM\SOFTWARE\Classes\Protocols\Handler         

+ ms-itss   Microsoft® InfoTech Storage System Library   (Not verified) Microsoft Corporation   c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll

+ msnim   MSN Messenger Protocol Handler   (Not verified) Microsoft Corporation   c:\archivos de programa\msn messenger\msgrapp.dll

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components         

HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad         

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad         

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks         

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved         

+ AlcoholShellEx   AXShlEx.dll   (Not verified) Alcohol Soft Development Team   c:\archivos de programa\alcohol soft\alcohol 120\axshlex.dll

+ Catalyst Context Menu extension   ACE Context Menu      c:\archivos de programa\ati technologies\ati.ace\atiacmxx.dll

+ Extensión de paneo de pantalla del Panel de control         File not found: deskpan.dll

+ Fusion Cache   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ IZArc DragDrop Menu         c:\archivos de programa\izarc\izarccm.dll

+ IZArc Shell Context Menu         c:\archivos de programa\izarc\izarccm.dll

+ NOD32 Context Menu Shell Extension   NOD32 - on-demand scanner   (Not verified) Eset    c:\archivos de programa\eset\nodshex.dll

+ Shell Icon Handler for Application References   Application Deployment Support Library   (Not verified) Microsoft Corporation   c:\windows\system32\dfshim.dll

+ ShellLink for Application References   Application Deployment Support Library   (Not verified) Microsoft Corporation   c:\windows\system32\dfshim.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved         

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers         

+ PDF Shell Extension   PDF Shell Extension   (Not verified) Adobe Systems, Inc.   c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects         

+ AcroIEHlprObj Class   Adobe Acrobat IE Helper Version 7.0 for ActiveX   (Verified) Adobe Systems, Incorporated   c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll

+ Nothing         File not found: C:\WINDOWS\system32\hp100.tmp

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks         

HKLM\Software\Microsoft\Internet Explorer\Toolbar         

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars         

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars         

HKCU\Software\Microsoft\Internet Explorer\Extensions         

HKLM\Software\Microsoft\Internet Explorer\Extensions         

Task Scheduler         

HKLM\System\CurrentControlSet\Services         

+ 54Mbps Wireless Network   Wireless LAN Service      c:\archivos de programa\wmonitor\wlservice.exe

+ ATI Smart   ATI Smart      c:\windows\system32\ati2sgag.exe

+ NOD32krn   NOD32 Kernel Service   (Not verified) Eset    c:\archivos de programa\eset\nod32krn.exe

HKLM\System\CurrentControlSet\Services         

+ a347bus   Plug and Play BIOS Extension   (Not verified)     c:\windows\system32\drivers\a347bus.sys

+ a347scsi   SCSI miniport   (Not verified)     c:\windows\system32\drivers\a347scsi.sys

+ AMON   Amon monitor   (Not verified) Eset    c:\windows\system32\drivers\amon.sys

+ atapi         c:\windows\system32\drivers\atapi.sys

+ BlueletAudio         File not found: system32\DRIVERS\blueletaudio.sys

+ BlueletSCOAudio         File not found: system32\DRIVERS\BlueletSCOAudio.sys

+ BT         File not found: system32\DRIVERS\btnetdrv.sys

+ Btcsrusb         File not found: System32\Drivers\btcusb.sys

+ BTHidEnum         File not found: system32\DRIVERS\vbtenum.sys

+ BTHidMgr         File not found: System32\Drivers\BTHidMgr.sys

+ GTNDIS5   PCAUSA NDIS 5.0 Protocol Driver   (Not verified) Printing Communications Assoc., Inc. (PCAUSA)   c:\windows\system32\gtndis5.sys

+ mbmiodrvr   MBMIO Driver   (Not verified) [email protected]   c:\windows\system32\mbmiodrvr.sys

+ MDC8021X   AEGIS Protocol (IEEE 802.1x) v2.3.1.9   (Not verified) Meetinghouse Data Communications   c:\windows\system32\drivers\mdc8021x.sys

+ NPF         File not found: C:\WINDOWS\system32\drivers\packet.sys

+ Secdrv   SafeDisc driver      c:\windows\system32\drivers\secdrv.sys

+ VComm         File not found: system32\DRIVERS\VComm.sys

+ VcommMgr         File not found: System32\Drivers\VcommMgr.sys

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute         

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options         

HKLM\Software\Microsoft\Command Processor\Autorun         

HKCU\Software\Microsoft\Command Processor\Autorun         

HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls         

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman         

HKCU\Control Panel\Desktop\Scrnsave.exe         

+ shrek2~1.scr      (Not verified) ScreensaverShot Inc   c:\windows\system32\shrek2 screen saver.scr

HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName         

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9         

+ NOD32   NOD32 IMON - Internet scanning support   (Not verified) Eset    c:\windows\system32\imon.dll

+ NOD32 protected [MSAFD Tcpip [RAW/IP]]   NOD32 IMON - Internet scanning support   (Not verified) Eset    c:\windows\system32\imon.dll

+ NOD32 protected [MSAFD Tcpip [TCP/IP]]   NOD32 IMON - Internet scanning support   (Not verified) Eset    c:\windows\system32\imon.dll

+ NOD32 protected [MSAFD Tcpip [UDP/IP]]   NOD32 IMON - Internet scanning support   (Not verified) Eset    c:\windows\system32\imon.dll

+ NOD32 protected [RSVP TCP Service Provider]   NOD32 IMON - Internet scanning support   (Not verified) Eset    c:\windows\system32\imon.dll

+ NOD32 protected [RSVP UDP Service Provider]   NOD32 IMON - Internet scanning support   (Not verified) Eset    c:\windows\system32\imon.dll

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages         

[Mr_X]

Haz copia de seguridad del registro, deshabilita el "Restaurar el sistema", reinicia en Modo seguro, ejecuta el Autoruns, selecciona con el botón derecho las siguientes entradas y dale a "Delete":

Código: [Seleccionar]

+ dcomcfg.exe         c:\windows\system32\dcomcfg.exe

+ kernel32.dll         File not found: C:\WINDOWS\system32\atmclk.exe

+ wininet.dll         c:\windows\system32\regperf.exe

+ Nothing         File not found: C:\WINDOWS\system32\hp100.tmp

Reinicia en modo normal, actualiza el NOD32 y pásalo... Saca un nuevo Log...

[castufaman]

la copia de seguridad la ago con el erunt,no?pero como desabilito restaurar el sistema?soy un novato en estas cosas

[Mr_X]

la copia de seguridad la ago con el erunt,no?pero como desabilito restaurar el sistema?soy un novato en estas cosas

Si, la copia con el ERUNT, y para deshabilitar el "Restaurar el sistema": botón derecho a Mi PC-->Restaurar el sistema-->marca "deshabilitar el Restaurar el sistema en todas las unidades"...

[castufaman]

muxas gracias,despues de acer to eso,pase el nod32 y pude eliminar los arxivos esos raros.

[destroyer]

Hola:
bienvenido al foro.

Gracias por comentarlo,  damos el tema por solucionado