Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: constantine en 20 de Julio de 2006, 08:17:03 am
-
ok aqui esta lo que marca el registro del autorun
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ Advanced Tools Check Norton AntiVirus Advanced Tools Integrity Checker (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\advtools\advchk.exe
+ ccApp Common Client User Session (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccapp.exe
+ HP Component Manager HP Framework Component Manager Service (Not verified) Hewlett-Packard Company c:\archivos de programa\hp\hpcoretech\hpcmpmgr.exe
+ HP Software Update hpwuSchd (Not verified) Hewlett-Packard c:\archivos de programa\hp\hp software update\hpwuschd.exe
+ MessengerPlus3 Messenger Plus! (Verified) Patchou c:\archivos de programa\messengerplus! 3\msgplus.exe
+ SsAAD.exe SonicStage Atrac Hard Disk Monitor c:\archivos de programa\sony\sonicstage\ssaad.exe
+ Symantec NetDriver Monitor Symantec Security Drivers Install Monitor (Verified) Symantec Corporation c:\archivos de programa\symnetdrv\sndmon.exe
+ SystemDoctor 2006 Free File not found: C:\Archivos de programa\SystemDoctor 2006 Free\sd2006.exe
+ type32 Type32.exe (Not verified) Microsoft Corporation c:\archivos de programa\microsoft intellitype pro\type32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ HP Digital Imaging Monitor.lnk HP Digital Imaging Monitor (CUE) (Not verified) Hewlett-Packard Co. c:\archivos de programa\hp\digital imaging\bin\hpqtra08.exe
+ WinZip Quick Pick.lnk WinZip Executable (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzqkpick.exe
C:\Documents and Settings\COMPAQ\Menú Inicio\Programas\Inicio
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ BitTorrent c:\archivos de programa\bittorrent\bittorrent.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
+ application/octet-stream Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-complus Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-msdownload Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
HKLM\SOFTWARE\Classes\Protocols\Handler
+ cetihpz HPCETIUI Protocol Handler Module (Not verified) Hewlett-Packard Company c:\archivos de programa\hp\hpcoretech\comp\hpuiprot.dll
+ ms-itss Microsoft® InfoTech Storage System Library (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll
+ msnim MSN Messenger Protocol Handler (Not verified) Microsoft Corporation c:\archivos de programa\msn messenger\msgrapp.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
+ n/a Microsoft .NET IE SECURITY REGISTRATION (Not verified) Microsoft Corporation c:\windows\system32\mscories.dll
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
+ cholecyst File not found: C:\WINDOWS\system32\mzoeut.dll
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ dBpowerAMP Music Converter dMCShell Module c:\archivos de programa\illustrate\dbpoweramp\dmcshell.dll
+ dBpowerAMP Music Converter 1 dBShell Module c:\archivos de programa\illustrate\dbpoweramp\dbshell.dll
+ Extensión de paneo de pantalla del Panel de control File not found: deskpan.dll
+ Fusion Cache Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ IntelliType Pro Key Settings Control Panel Property Page itcplkey.dll (Not verified) Microsoft Corporation c:\archivos de programa\microsoft intellitype pro\itcplkey.dll
+ IntelliType Pro Scrolling Control Panel Property Page itcplwhl (Not verified) Microsoft Corporation c:\archivos de programa\microsoft intellitype pro\itcplwhl.dll
+ IntelliType Pro Wireless Control Panel Property Page itcplwir (Not verified) Microsoft Corporation c:\archivos de programa\microsoft intellitype pro\itcplwir.dll
+ IntelliType Pro Zooming Control Panel Property Page itcplzm.dll (Not verified) Microsoft Corporation c:\archivos de programa\microsoft intellitype pro\itcplzm.dll
+ WinRAR shell extension c:\archivos de programa\winrar\rarext.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzshlstb.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ dBpShell Class dBShell Module c:\archivos de programa\illustrate\dbpoweramp\dbshell.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ AcroIEHlprObj Class Adobe Acrobat IE Helper Version 6.0 for ActivieX (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\acrobat 6.0\reader\activex\acroiehelper.dll
+ CNavExtBho Class Norton AntiVirusNAVShellExt Module (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\navshext.dll
+ Yahoo! Toolbar Helper Yahoo! Toolbar (Verified) Yahoo! Inc. c:\archivos de programa\yahoo!\companion\installs\cpn\yt.dll
+ {53707962-6F74-2D53-2644-206D7942484F} Bad download blocker (Verified) Safer Networking Ltd. c:\archivos de programa\spybot - search & destroy\sdhelper.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
+ Norton AntiVirus Norton AntiVirusNAVShellExt Module (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\navshext.dll
+ yt.dll Yahoo! Toolbar (Verified) Yahoo! Inc. c:\archivos de programa\yahoo!\companion\installs\cpn\yt.dll
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
+ Norton AntiVirus - Analizar el equipo.job Norton AntiVirus Scanner Module (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\navw32.exe
+ Symantec NetDetect.job Symantec NetDetect (Verified) Symantec Corporation c:\archivos de programa\symantec\liveupdate\ndetect.exe
HKLM\System\CurrentControlSet\Services
+ ccEvtMgr Symantec Event Manager (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccevtmgr.exe
+ ccSetMgr Symantec Settings Manager (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccsetmgr.exe
+ navapsvc Gestiona los eventos de Auto-Protect de Norton AntiVirus. (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\navapsvc.exe
+ NetMDSB MD Simple Burner (Not verified) Sony Corporation c:\archivos de programa\sony\md simple burner\netmdsb.exe
+ NProtectService Norton Protection Status (Not verified) Symantec Corporation c:\archivos de programa\norton antivirus\advtools\nprotect.exe
+ SAVScan Handles Norton AntiVirus Auto-Protect Archive Scanning (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\savscan.exe
+ SBService ScriptBlocking registration (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\script blocking\sbserv.exe
HKLM\System\CurrentControlSet\Services
+ NAVENG AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20060719.024\naveng.sys
+ NAVEX15 AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20060719.024\navex15.sys
+ NPDriver Norton Protection Driver (Not verified) Symantec Corporation c:\windows\system32\drivers\npdriver.sys
+ PxHelp20 Px Engine Device Driver for Windows 2000/XP (Not verified) Sonic Solutions c:\windows\system32\drivers\pxhelp20.sys
+ SAVRT AutoProtect (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\savrt.sys
+ SAVRTPEL SAVRTPEL (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\savrtpel.sys
+ SymEvent Symantec Event Library (Verified) Symantec Corporation c:\archivos de programa\symantec\symevent.sys
+ SYMREDRV Redirector Filter Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symredrv.sys
+ SYMTDI Network Dispatch Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symtdi.sys
+ usbser USB Modem Driver (Not verified) Microsoft Corporation c:\windows\system32\drivers\usbser.sys
+ windrvNT c:\windows\system32\windrvnt.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
+ autocheck autochk * Programa de comprobación automática (Not verified) Microsoft Corporation c:\windows\system32\autochk.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
+ advapi32 API base de Windows 32 avanzado (Not verified) Microsoft Corporation c:\windows\system32\advapi32.dll
+ comdlg32 DLL de diálogos comunes (Not verified) Microsoft Corporation c:\windows\system32\comdlg32.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
+ logonui.exe Interfaz de usuario de inicio d sesión de Windows (Not verified) Microsoft Corporation c:\windows\system32\logonui.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ crypt32chain Crypto API32 (Not verified) Microsoft Corporation c:\windows\system32\crypt32.dll
+ cryptnet Crypto Network Related API (Not verified) Microsoft Corporation c:\windows\system32\cryptnet.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
-
Haz copia de seguridad del registro (te recomiendo el ERUNT), deshabilita el "Restaurar el sistema", reinicia en Modo seguro, ejecuta el Autoruns, selecciona con el botón derecho las siguientes entradas y dale a "Delete":
+ SystemDoctor 2006 Free File not found: C:\Archivos de programa\SystemDoctor 2006 Free\sd2006.exe
+ 0 File not found: About:Home
+ cholecyst File not found: C:\WINDOWS\system32\mzoeut.dll
Reinicia normal, actualiza el Norton y pásalo reiniciando en Modo seguro... Baja, instala, actualiza y ejecuta el Spybot S&D, el Adaware y el Spywareblaster... Saca un nuevo Log...
-
oye para sacar una copia de seguridad del registro , en el ERUNT como se utiliza o es màs recomendable utilizar el spybot search & destroy en le modo seguro , ya que el atmclk.exe lo pude eliminar usandolo en modo normal y el regperf.exe lo elmine entrando en el modo seguro y eliminandolo directamente en pc sysm32 y elminarlo .
Lo ùnico que aun continua apareciendo es la pag de inicio y que algunas configuraciones estan cambiadas .
La neta te ageradecerìa bastante y voy a probar que rollo con lo que dices y otra cosa como se descativa el restaurar sistema .
-
Hola:
Te dejo unos manuales.
Desactivar restaurar sistema:
http://www.windowsfacil.com/manuales1/desactivar-restaurar-sistema/desactivar-restaurar-sistema.htm
Copia del registro desde windows:
http://www.destroyerweb.com/tutos/copia-registro-win/registro.htm
Copia registro con ERUNT:
http://www.nautopia.net/archives/es/varios_backups_y_recuperacion/backup_registro/creando_backups.php
Un saudo
-
Lo ùnico que aun continua apareciendo es la pag de inicio y que algunas configuraciones estan cambiadas .
Clic... (http://support.microsoft.com/?scid=kb%3Bes%3B895339&x=6&y=17)...
-
si es cierto , el problema que tenia con el atmclk.exe lo pude
eliminar , ya me dejaron de aprecer los pop-ups y pantallas y mi
pag de inicio ya no se cambia ni nada .
Cosa que por cierto no agradecì , la neta gracias por la ayuda y la info ,
ese era "mi primera vez grave" con un virus , la neta gracias .
http://www.daboweb.com/foros/index.php/topic,26488.msg220815.html#msg220815
Damos el tema por solucionado.
Un saludo