Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Pacits en 12 de Mayo de 2006, 04:33:43 am
-
Chicos, necesito su ayuda una vez mas. En algun momento de confusion, me entraron varios archivos dañinos, que me abren paginas web de la nada y me muestran "alertas" de que tengo spyware y "consejos" para eliminarlos (q ironico, no?)
YA identifique por lo menos 2 de los archivos que se que estan causando esto, estan en el system 32 y se llaman atmclk.exe y regperf.exe
El NOD no me los reconoce y no los he podido borrar con nada. El Spybot me borro casi todos los otros archivos q me entraron, pero estos no los he podido eliminar...
AYUDA POR FAVOR!!!!
Muchisimas gracias, creo que son la unica pagina que no sacaria de mis favoritos...
-
Son parte del SpyFalcon... Regálanos un Log del Autoruns de Sysinternals (clic) (http://www.sysinternals.com/Utilities/Autoruns.html): descomprime el archivo, doble clic al archivo AUTORUNS.EXE, ve al menú "Options" y marca las tres primeras opciones y oprime la tecla F5, ve al menú "File", "Save as", dale un nombre y guárdalo, ahora abre el archivo en el Bloc de notas, copia el contenido y pégalo aquí...
-
Ok, aqui va
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ ANIWZCSService ANIWZCS launcher for Windows. (Not verified) Alpha Networks Inc. c:\archivos de programa\alpha networks\aniwzcs service\wzcsldr.exe
+ CeEKEY Hot Key Utility (Not verified) COMPAL ELECTRONIC INC. c:\archivos de programa\toshiba\e-key\ceekey.exe
+ CeEPOWER CeTray MFC Application (Not verified) Compal Electronic Inc, c:\archivos de programa\toshiba\power management\cepmtray.exe
+ D-Link Air Utility D-Link Wireless LAN Monitor (Not verified) D-Link c:\archivos de programa\d-link\air utility\aircfg.exe
+ ezShieldProtector for Px ezSP_Px MFC Application (Not verified) Easy Systems Japan Ltd. c:\windows\system32\ezsp_px.exe
+ iTunesHelper iTunesHelper Module (Not verified) Apple Computer, Inc. c:\archivos de programa\itunes\ituneshelper.exe
+ IVPServiceMgr IVP Service Manager Application (Not verified) Toshiba Corporation c:\toshiba\ivp\ism\ivpsvmgr.exe
+ LtMoh LtMoh MFC Application (Not verified) Agere Systems c:\archivos de programa\ltmoh\ltmoh.exe
+ nod32kui c:\archivos de programa\eset\nod32kui.exe
+ Pinger Toshiba Pinger (Not verified) Toshiba Corporation c:\toshiba\ivp\ism\pinger.exe
+ QuickTime Task QuickTime Task (Not verified) Apple Computer, Inc. c:\archivos de programa\quicktime\qttask.exe
+ SunJavaUpdateSched Java(TM) 2 Platform Standard Edition binary (Not verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.5.0_03\bin\jusched.exe
+ TkBellExe RealNetworks Scheduler (Not verified) RealNetworks, Inc. c:\archivos de programa\archivos comunes\real\update_ob\realsched.exe
+ TPNF TPTray Application (Not verified) COMPAL ELECTRONIC INC. c:\archivos de programa\toshiba\touchpad\tptray.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ Adobe Gamma Loader.lnk Adobe Gamma Loader (Not verified) Adobe Systems, Inc. c:\archivos de programa\archivos comunes\adobe\calibration\adobe gamma loader.exe
+ Adobe Reader Speed Launch.lnk Adobe Acrobat SpeedLauncher (Not verified) Adobe Systems Incorporated c:\archivos de programa\adobe\acrobat 7.0\reader\reader_sl.exe
+ Exif Launcher.lnk Exif Launcher (Not verified) FUJI PHOTO FILM CO., LTD. c:\program files\exif launcher\quickdcf.exe
C:\Documents and Settings\M Elena Gana\Menú Inicio\Programas\Inicio
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
+ kernel32.dll c:\windows\system32\atmclk.exe
+ wininet.dll c:\windows\system32\regperf.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ MsnMsgr MSN Messenger (Not verified) Microsoft Corporation c:\archivos de programa\msn messenger\msnmsgr.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
+ cdo Microsoft SharePoint Portal Server Object Model (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\web folders\pkmcdo.dll
+ ms-itss Microsoft® InfoTech Storage System Library (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll
+ msnim MSN Messenger Protocol Handler (Not verified) Microsoft Corporation c:\archivos de programa\msn messenger\msgrapp.dll
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
+ AppManager File not found: C:\WINDOWS\System32\appmagr.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
+ ewido shell guard c:\archivos de programa\ewido anti-malware\shellhook.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Carpetas Web Microsoft Web Folders (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll
+ CePMTab Property Sheet CePMTab Module (Not verified) Compal c:\windows\system32\cepmtab.dll
+ Extensión de paneo de pantalla del Panel de control File not found: deskpan.dll
+ iTunes iTunes Mini Player DLL (Not verified) Apple Computer, Inc. c:\archivos de programa\itunes\itunesminiplayer.dll
+ NOD32 Context Menu Shell Extension c:\archivos de programa\eset\nodshex.dll
+ Shell Extensions for RealOne Player RealPlayer Shell Extensions (Not verified) RealNetworks, Inc. c:\archivos de programa\real\realplayer\rpshell.dll
+ TouchPad Property Sheet TPprop Module (Not verified) COMPAL ELECTRONIC INC. c:\windows\system32\tpprop.dll
+ WinRAR shell extension c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Google Toolbar Helper Google IE Client Toolbar (Verified) Google Inc c:\archivos de programa\google\googletoolbar2.dll
+ Nothing File not found: C:\WINDOWS\System32\hp9779.tmp
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
+ googletoolbar2.dll Google IE Client Toolbar (Verified) Google Inc c:\archivos de programa\google\googletoolbar2.dll
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
HKLM\System\CurrentControlSet\Services
+ ewido security suite control ewido control (Not verified) ewido networks c:\archivos de programa\ewido anti-malware\ewidoctrl.exe
+ MDM Manages local and remote debugging for Visual Studio debuggers (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\vs7debug\mdm.exe
+ NOD32krn c:\archivos de programa\eset\nod32krn.exe
HKLM\System\CurrentControlSet\Services
+ AMON Amon monitor (Not verified) Eset c:\windows\system32\drivers\amon.sys
+ ANIO ANIO (NT5) Driver (Not verified) Alpha Networks Inc. c:\windows\system32\anio.sys
+ EPOWER E-POWER (Not verified) Compal Electronic Inc. c:\windows\system32\drivers\hkdrv.sys
+ ewido security suite driver c:\archivos de programa\ewido anti-malware\guard.sys
+ GEARAspiWDM CDRom Class Filter Driver (Verified) GEAR Software Inc. c:\windows\system32\drivers\gearaspiwdm.sys
+ pfc Padus(R) ASPI Shell (Not verified) Padus, Inc. c:\windows\system32\drivers\pfc.sys
+ PxHelp20 PxHelper Device Driver for Windows 2000 (Not verified) VERITAS Software, Inc. c:\windows\system32\drivers\pxhelp20.sys
+ SrvcEKIOMngr IoManager Application (Not verified) COMPAL ELECTRONIC INC. c:\windows\system32\drivers\ekiomngr.sys
+ SrvcEPIOMngr c:\windows\system32\drivers\epiomngr.sys
+ SrvcSSIOMngr IoManager Application (Not verified) COMPAL ELECTRONIC INC. c:\windows\system32\drivers\ssiomngr.sys
+ SrvcTPIOMngr c:\windows\system32\drivers\tpiomngr.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
+ autocheck autochk * Programa de comprobación automática (Not verified) Microsoft Corporation c:\windows\system32\autochk.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
+ advapi32 API base de Windows 32 avanzado (Not verified) Microsoft Corporation c:\windows\system32\advapi32.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ winfbz32 File not found: winfbz32.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
+ NOD32 c:\windows\system32\imon.dll
+ NOD32 protected [MSAFD Tcpip [RAW/IP]] c:\windows\system32\imon.dll
+ NOD32 protected [MSAFD Tcpip [TCP/IP]] c:\windows\system32\imon.dll
+ NOD32 protected [MSAFD Tcpip [UDP/IP]] c:\windows\system32\imon.dll
+ NOD32 protected [RSVP TCP Service Provider] c:\windows\system32\imon.dll
+ NOD32 protected [RSVP UDP Service Provider] c:\windows\system32\imon.dll
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
Please ayuda!!!
-
Haz una copia de seguridad del registro (te recomiendo el ERUNT (http://www.larshederer.homepage.t-online.de/erunt/index.htm)); reinicia en Modo seguro, ejecuta el Autoruns, clic con el botón derecho a las siguientes entradas y dale a "Delete":
+ kernel32.dll c:\windows\system32\atmclk.exe
+ wininet.dll c:\windows\system32\regperf.exe
+ AppManager File not found: C:\WINDOWS\System32\appmagr.dll
+ Nothing File not found: C:\WINDOWS\System32\hp9779.tmp
+ winfbz32 File not found: winfbz32.dll
Reinicia normal y pasa el antivirus actualizado...
-
Ok, baje el erun, ahora una pregunta un poso idiota... como lo reinicio en modo seguro en win xp?
-
http://windowsfacil.com/manuales/modo-seguro/modo-seguro.htm :)
-
Problema solucionado, me quedo todo limpio
Muchas gracias una vez mas!!!
-
A tí por comentarlo.
Un saludo :)