Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Pacits en 12 de Mayo de 2006, 04:33:43 am

Título: Archivos exe inborrables: atmclk.exe y regperf.exe (SOLUCIONADO)
Publicado por: Pacits en 12 de Mayo de 2006, 04:33:43 am
Chicos, necesito su ayuda una vez mas. En algun momento de confusion, me entraron varios archivos dañinos, que me abren paginas web de la nada y me muestran "alertas" de que tengo spyware y "consejos" para eliminarlos (q ironico, no?)

YA identifique por lo menos 2 de los archivos que se que estan causando esto, estan en el system 32 y se llaman atmclk.exe y regperf.exe

El NOD no me los reconoce y no los he podido borrar con nada. El Spybot me borro casi todos los otros archivos q me entraron, pero estos no los he podido eliminar...

AYUDA POR FAVOR!!!!

Muchisimas gracias, creo que son la unica pagina que no sacaria de mis favoritos...
Título: Re: Archivos exe inborrables: atmclk.exe y regperf.exe
Publicado por: Mr_X en 12 de Mayo de 2006, 07:10:50 am
Son parte del SpyFalcon... Regálanos un Log del Autoruns de Sysinternals (clic) (http://www.sysinternals.com/Utilities/Autoruns.html): descomprime el archivo, doble clic al archivo AUTORUNS.EXE, ve al menú "Options" y marca las tres primeras opciones y oprime la tecla F5, ve al menú "File", "Save as", dale un nombre y guárdalo, ahora abre el archivo en el Bloc de notas, copia el contenido y pégalo aquí...
Título: Re: Archivos exe inborrables: atmclk.exe y regperf.exe
Publicado por: Pacits en 12 de Mayo de 2006, 06:10:13 pm
Ok, aqui va


HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup         

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup         

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon         

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit         

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run         

+ ANIWZCSService   ANIWZCS launcher for Windows.   (Not verified) Alpha Networks Inc.   c:\archivos de programa\alpha networks\aniwzcs service\wzcsldr.exe

+ CeEKEY   Hot Key Utility   (Not verified) COMPAL ELECTRONIC INC.   c:\archivos de programa\toshiba\e-key\ceekey.exe

+ CeEPOWER   CeTray MFC Application   (Not verified) Compal Electronic Inc,   c:\archivos de programa\toshiba\power management\cepmtray.exe

+ D-Link Air Utility   D-Link Wireless LAN Monitor   (Not verified) D-Link   c:\archivos de programa\d-link\air utility\aircfg.exe

+ ezShieldProtector for Px   ezSP_Px MFC Application   (Not verified) Easy Systems Japan Ltd.   c:\windows\system32\ezsp_px.exe

+ iTunesHelper   iTunesHelper Module   (Not verified) Apple Computer, Inc.   c:\archivos de programa\itunes\ituneshelper.exe

+ IVPServiceMgr   IVP Service Manager Application   (Not verified) Toshiba Corporation   c:\toshiba\ivp\ism\ivpsvmgr.exe

+ LtMoh   LtMoh MFC Application   (Not verified) Agere Systems   c:\archivos de programa\ltmoh\ltmoh.exe

+ nod32kui         c:\archivos de programa\eset\nod32kui.exe

+ Pinger   Toshiba Pinger   (Not verified) Toshiba Corporation   c:\toshiba\ivp\ism\pinger.exe

+ QuickTime Task   QuickTime Task   (Not verified) Apple Computer, Inc.   c:\archivos de programa\quicktime\qttask.exe

+ SunJavaUpdateSched   Java(TM) 2 Platform Standard Edition binary   (Not verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.5.0_03\bin\jusched.exe

+ TkBellExe   RealNetworks Scheduler   (Not verified) RealNetworks, Inc.   c:\archivos de programa\archivos comunes\real\update_ob\realsched.exe

+ TPNF   TPTray Application   (Not verified) COMPAL ELECTRONIC INC.   c:\archivos de programa\toshiba\touchpad\tptray.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce         

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio         

+ Adobe Gamma Loader.lnk   Adobe Gamma Loader   (Not verified) Adobe Systems, Inc.   c:\archivos de programa\archivos comunes\adobe\calibration\adobe gamma loader.exe

+ Adobe Reader Speed Launch.lnk   Adobe Acrobat SpeedLauncher   (Not verified) Adobe Systems Incorporated   c:\archivos de programa\adobe\acrobat 7.0\reader\reader_sl.exe

+ Exif Launcher.lnk   Exif Launcher   (Not verified) FUJI PHOTO FILM CO., LTD.   c:\program files\exif launcher\quickdcf.exe

C:\Documents and Settings\M Elena Gana\Menú Inicio\Programas\Inicio         

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load         

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run         

+ kernel32.dll         c:\windows\system32\atmclk.exe

+ wininet.dll         c:\windows\system32\regperf.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run         

HKCU\Software\Microsoft\Windows\CurrentVersion\Run         

+ MsnMsgr   MSN Messenger   (Not verified) Microsoft Corporation   c:\archivos de programa\msn messenger\msnmsgr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run         

HKLM\SOFTWARE\Classes\Protocols\Filter         

HKLM\SOFTWARE\Classes\Protocols\Handler         

+ cdo   Microsoft SharePoint Portal Server Object Model   (Not verified) Microsoft Corporation   c:\archivos de programa\archivos comunes\microsoft shared\web folders\pkmcdo.dll

+ ms-itss   Microsoft® InfoTech Storage System Library   (Not verified) Microsoft Corporation   c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll

+ msnim   MSN Messenger Protocol Handler   (Not verified) Microsoft Corporation   c:\archivos de programa\msn messenger\msgrapp.dll

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components         

HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler         

+ AppManager         File not found: C:\WINDOWS\System32\appmagr.dll

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad         

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad         

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks         

+ ewido shell guard         c:\archivos de programa\ewido anti-malware\shellhook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved         

+ Carpetas Web   Microsoft Web Folders   (Not verified) Microsoft Corporation   c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll

+ CePMTab Property Sheet   CePMTab Module   (Not verified) Compal   c:\windows\system32\cepmtab.dll

+ Extensión de paneo de pantalla del Panel de control         File not found: deskpan.dll

+ iTunes   iTunes Mini Player DLL   (Not verified) Apple Computer, Inc.   c:\archivos de programa\itunes\itunesminiplayer.dll

+ NOD32 Context Menu Shell Extension         c:\archivos de programa\eset\nodshex.dll

+ Shell Extensions for RealOne Player   RealPlayer Shell Extensions   (Not verified) RealNetworks, Inc.   c:\archivos de programa\real\realplayer\rpshell.dll

+ TouchPad Property Sheet   TPprop Module   (Not verified) COMPAL ELECTRONIC INC.   c:\windows\system32\tpprop.dll

+ WinRAR shell extension         c:\archivos de programa\winrar\rarext.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved         

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers         

+ PDF Shell Extension   PDF Shell Extension   (Not verified) Adobe Systems, Inc.   c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects         

+ Google Toolbar Helper   Google IE Client Toolbar   (Verified) Google Inc   c:\archivos de programa\google\googletoolbar2.dll

+ Nothing         File not found: C:\WINDOWS\System32\hp9779.tmp

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks         

HKLM\Software\Microsoft\Internet Explorer\Toolbar         

+ googletoolbar2.dll   Google IE Client Toolbar   (Verified) Google Inc   c:\archivos de programa\google\googletoolbar2.dll

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars         

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars         

HKCU\Software\Microsoft\Internet Explorer\Extensions         

HKLM\Software\Microsoft\Internet Explorer\Extensions         

Task Scheduler         

HKLM\System\CurrentControlSet\Services         

+ ewido security suite control   ewido control   (Not verified) ewido networks   c:\archivos de programa\ewido anti-malware\ewidoctrl.exe

+ MDM   Manages local and remote debugging for Visual Studio debuggers   (Not verified) Microsoft Corporation   c:\archivos de programa\archivos comunes\microsoft shared\vs7debug\mdm.exe

+ NOD32krn         c:\archivos de programa\eset\nod32krn.exe

HKLM\System\CurrentControlSet\Services         

+ AMON   Amon monitor   (Not verified) Eset   c:\windows\system32\drivers\amon.sys

+ ANIO   ANIO (NT5) Driver    (Not verified) Alpha Networks Inc.   c:\windows\system32\anio.sys

+ EPOWER   E-POWER   (Not verified) Compal Electronic Inc.   c:\windows\system32\drivers\hkdrv.sys

+ ewido security suite driver         c:\archivos de programa\ewido anti-malware\guard.sys

+ GEARAspiWDM   CDRom Class Filter Driver   (Verified) GEAR Software Inc.   c:\windows\system32\drivers\gearaspiwdm.sys

+ pfc   Padus(R) ASPI Shell   (Not verified) Padus, Inc.   c:\windows\system32\drivers\pfc.sys

+ PxHelp20   PxHelper Device Driver for Windows 2000   (Not verified) VERITAS Software, Inc.   c:\windows\system32\drivers\pxhelp20.sys

+ SrvcEKIOMngr   IoManager Application   (Not verified) COMPAL ELECTRONIC INC.   c:\windows\system32\drivers\ekiomngr.sys

+ SrvcEPIOMngr         c:\windows\system32\drivers\epiomngr.sys

+ SrvcSSIOMngr   IoManager Application   (Not verified) COMPAL ELECTRONIC INC.   c:\windows\system32\drivers\ssiomngr.sys

+ SrvcTPIOMngr         c:\windows\system32\drivers\tpiomngr.sys

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute         

+ autocheck autochk *   Programa de comprobación automática   (Not verified) Microsoft Corporation   c:\windows\system32\autochk.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options         

HKLM\Software\Microsoft\Command Processor\Autorun         

HKCU\Software\Microsoft\Command Processor\Autorun         

HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls         

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls         

+ advapi32   API base de Windows 32 avanzado   (Not verified) Microsoft Corporation   c:\windows\system32\advapi32.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify         

+ winfbz32         File not found: winfbz32.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman         

HKCU\Control Panel\Desktop\Scrnsave.exe         

HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName         

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9         

+ NOD32         c:\windows\system32\imon.dll

+ NOD32 protected [MSAFD Tcpip [RAW/IP]]         c:\windows\system32\imon.dll

+ NOD32 protected [MSAFD Tcpip [TCP/IP]]         c:\windows\system32\imon.dll

+ NOD32 protected [MSAFD Tcpip [UDP/IP]]         c:\windows\system32\imon.dll

+ NOD32 protected [RSVP TCP Service Provider]         c:\windows\system32\imon.dll

+ NOD32 protected [RSVP UDP Service Provider]         c:\windows\system32\imon.dll

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages         




Please ayuda!!!
Título: Re: Archivos exe inborrables: atmclk.exe y regperf.exe
Publicado por: Mr_X en 12 de Mayo de 2006, 07:46:30 pm
Haz una copia de seguridad del registro (te recomiendo el ERUNT (http://www.larshederer.homepage.t-online.de/erunt/index.htm)); reinicia en Modo seguro, ejecuta el Autoruns, clic con el botón derecho a las siguientes entradas y dale a "Delete":

Código: [Seleccionar]
+ kernel32.dll         c:\windows\system32\atmclk.exe

+ wininet.dll         c:\windows\system32\regperf.exe

+ AppManager         File not found: C:\WINDOWS\System32\appmagr.dll

+ Nothing         File not found: C:\WINDOWS\System32\hp9779.tmp

+ winfbz32         File not found: winfbz32.dll

Reinicia normal y pasa el antivirus actualizado...
Título: Re: Archivos exe inborrables: atmclk.exe y regperf.exe
Publicado por: Pacits en 12 de Mayo de 2006, 08:49:33 pm
Ok, baje el erun, ahora una pregunta un poso idiota... como lo reinicio en modo seguro en win xp?
Título: Re: Archivos exe inborrables: atmclk.exe y regperf.exe
Publicado por: Liamngls en 12 de Mayo de 2006, 08:56:44 pm
http://windowsfacil.com/manuales/modo-seguro/modo-seguro.htm :)
Título: Re: Archivos exe inborrables: atmclk.exe y regperf.exe
Publicado por: Pacits en 15 de Mayo de 2006, 10:08:50 pm
Problema solucionado, me quedo todo limpio

Muchas gracias una vez mas!!!
Título: Re: Archivos exe inborrables: atmclk.exe y regperf.exe
Publicado por: Liamngls en 15 de Mayo de 2006, 10:10:05 pm
A tí por comentarlo.

Un saludo :)