touched error: retrieval of thokey failed (SOLUCIONADO)

[jj0604]

Hola



Despues de que miraran el pc portatil de Toshiba para arreglarme la conexion a internet, reinicie y desde entonces me da el siguiente error:



Touched error

Retrieval of Thokey failed

Error code

0x00031402, 0x00000002



He visto que hay gente que le ha pasado lo mismo por paginas de internet, pero no veo nada claro que lo pueda arreglar.



Pueden darme una idea??



Saludos

[msc hotline sat]

Con el mismo numero de error, 0x00031402, indican:


[quote]


It tells me that I have two nasties in C:\WINDOWS\system32.



They are atmclk.exe and dcomcfg.exe.
[/quote]

Veamos informacion de estos dos ficheros ...



El ATMCLK.EXE es un viejo conocido, y el DCOMCFG.EXE puede ser alguna variante del SPYFALCON





http://www.processlibrary.com/directory/files/dcomcfg



http://www.liutilities.com/products/wintaskspro/processlibrary/atmclk/



si el ELISTARA no los detecta y elimina, puede tratarse de una variante descontrolada.



Mira si con un Inicio -> Buscar enncuentras alguno de los dos (o los dos) y nos los envias para analizar:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 26-06-2007

[msc hotline sat]

Pero no veo que hayas pasado el ELISTARA !!!



antetodo:




[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]





saludos



ms, 26-06-2007

[jj0604]

[quote="msc hotline sat"]Pero no veo que hayas pasado el ELISTARA !!!



antetodo:




[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote] Los dos archivos q se mencionan no los veo en el pc, no aparecen.

He pasado el elistar como me dicen y lo q encontro es un troyano en el programa videotodo.exe pero nada más.

Este programa lo tengo hace un mes y anteriormente no lo detecto.

El mensaje motivo de este post sigue saliendo poco despues de iniciarse windows.

Adjunto el infosat como me dicen.



Saludos



saludos



ms, 26-06-2007[/quote]

[msc hotline sat]

Sigue las Normas del foro !!!



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



ms.

[jj0604]

[quote="msc hotline sat"]Sigue las Normas del foro !!!



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



ms.[/quote]

Mon Apr 17 15:17:07 2006

EliStartPage v11.52 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jul 18 01:29:48 2006

EliStartPage v11.52 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Tue Jul 18 01:33:06 2006

EliStartPage v11.52 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\eMule\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Juanjo Cadiz\Escritorio\Downloads\IRC\IRCAP-82.EXE --> AutoExtraible

C:\Documents and Settings\Juanjo Cadiz\Escritorio\Downloads\IRC\IRCAP-SKIN-AQUA.EXE --> AutoExtraible



Tue Jul 18 02:53:32 2006

EliStartPage v11.52 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jul 18 02:55:39 2006

EliStartPage v11.52 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\eMule\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Juanjo Cadiz\Escritorio\Downloads\IRC\IRCAP-82.EXE --> AutoExtraible

C:\Documents and Settings\Juanjo Cadiz\Escritorio\Downloads\IRC\IRCAP-SKIN-AQUA.EXE --> AutoExtraible



Tue Jul 18 13:11:51 2006

EliStartPage v11.52 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Tue Jul 18 13:12:20 2006

EliStartPage v11.52 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\eMule\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Juanjo Cadiz\Escritorio\Downloads\IRC\IRCAP-82.EXE --> AutoExtraible

C:\Documents and Settings\Juanjo Cadiz\Escritorio\Downloads\IRC\IRCAP-SKIN-AQUA.EXE --> AutoExtraible



Tue Jul 18 13:20:02 2006

EliStartPage v11.52 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\ERROR SAFE FREE\ERS.EXE --> Eliminado ErrorSafe

C:\ARCHIVOS DE PROGRAMA\ERROR SAFE FREE\FXCORE.DLL --> Eliminado ErrorSafe

C:\ARCHIVOS DE PROGRAMA\ERROR SAFE FREE\MMFX.DLL --> Eliminado ErrorSafe

C:\ARCHIVOS DE PROGRAMA\ERROR SAFE FREE\ESSPCHCK.DLL --> Eliminado ErrorSafe

C:\ARCHIVOS DE PROGRAMA\ERROR SAFE FREE\FWRAPER.DLL --> Eliminado ErrorSafe

C:\ARCHIV~1\ERRORS~1\FLFXR15.DLL --> Eliminado ErrorSafe

C:\Documents and Settings\Juanjo Cadiz\Escritorio\Error Safe.lnk --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Error Safe"="C:\Archivos de programa\Error Safe Free\ers.exe /scan"

Eliminada Class, "{06170642-FA65-4FB6-AC79-5F235CB99BC2}" -> C:\Archivos de programa\Error Safe Free\FxCore.dll

Eliminada Class, "{1640DE0E-75E4-4A83-B5D1-2492BC7EBA8F}" -> C:\Archivos de programa\Error Safe Free\MMFx.dll

Eliminada Class, "{38EF2B7F-E291-4101-8553-E1B7C4A0C3F6}" -> C:\Archivos de programa\Error Safe Free\MMFx.dll

Eliminada Class, "{647B8364-79E0-48E2-A4CA-233ABADA0C2D}" -> C:\Archivos de programa\Error Safe Free\ESSPChck.dll

Eliminada Class, "{9E87077C-380C-407D-8DAB-EEDAD95C0A5D}" -> C:\Archivos de programa\Error Safe Free\FWraper.dll

Eliminada Class, "{CCAABCDD-7C16-4215-B12E-150BFB994CF0}" -> C:\Archivos de programa\Error Safe Free\FxCore.dll

Eliminada Class, "{F63E3B76-F82F-46EB-851C-8C0A221686BB}" -> C:\ARCHIV~1\ERRORS~1\FlFxr15.dll

Eliminada Carpeta "%ProgMenuInicio%\Error Safe Unregistered Version"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Oct 23 21:37:34 2006

EliStartPage v12.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed May 09 23:07:03 2007

EliStartPage v13.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu May 10 20:55:30 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu May 10 20:56:30 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\WINDOWS\oemdrv\Win2000\IGFXHK.DLL --> Eliminado, MediaBack (BHO)

C:\WINDOWS\system32\IGFXHK.DLL --> Acceso Denegado, MediaBack (BHO)



Thu May 10 22:14:34 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Thu May 10 22:14:38 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Juanjo Cadiz\Escritorio\Downloads\Office 2007 Standard Edition\AUTORUN.INF --> Eliminado, BackDoor.CMQ (inf)



Thu May 10 23:24:46 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu May 10 23:25:45 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu May 10 23:25:46 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu May 10 23:27:32 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Thu May 10 23:27:34 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\IGFXHK.DLL.VIR --> Eliminado, MediaBack (BHO)



Fri May 11 14:42:17 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Fri May 11 14:42:23 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri May 11 14:42:59 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri May 11 14:43:03 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri May 11 14:43:17 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Jun 26 23:28:25 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminados Ficheros Temporales del IE



Tue Jun 26 23:32:38 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Tue Jun 26 23:32:58 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Juanjo Cadiz\Escritorio\Downloads\Imagen\videotodo\VIDEOTODO.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)

[msc hotline sat]

Pues si estas seguro de que este fichero es correcto, vuelvelo a instalar y envianos muestra indicando que es un FALSO POSITIVO, y mientras para pasar el ELISTARA desmarca la casilla de ELIMINAR FICHEROS AUTOMATICAMENTE, asi te preguntará si quieres eliminar en cada detecion que haga, y cuando sea el caso de este dile que no, claro.



Tras la recepcion de la muestra de FALSO POSITIVO ya lo excluiremos de la detecciom escogiendo otra cadena que tenga el virus pero no este fichero.



saludos



ms, 27-06-2007

[msc hotline sat]

Como que los ficheros que te pediamos pueden tener atributos de oculto o de sistema, mira de buscartlos con un INICIO -> BUSCAR :


[quote]It tells me that I have two nasties in C:\WINDOWS\system32.



They are atmclk.exe and dcomcfg.exe. [/quote]

y nos informas del resultado, gracias



saludos



ms, 27-06-2007

[jj0604]

[quote="msc hotline sat"]Como que los ficheros que te pediamos pueden tener atributos de oculto o de sistema, mira de buscartlos con un INICIO -> BUSCAR :


[quote]It tells me that I have two nasties in C:\WINDOWS\system32.



They are atmclk.exe and dcomcfg.exe. [/quote]

y nos informas del resultado, gracias



saludos



ms, 27-06-2007[/quote]Ya los busque con inicio - buscar, y no encuentra nada.



Con el buscareg puse "touched" y me salen muchos registros pero no me deja copiar y pegar para ponerlo aqui.



Al poner "thotkey" me sale lo siguiente escribiendolo a mano:

"item"="00thotkey"

"comand"="C:\\windows\\system32\\00THotkey.exe"

C:\\windows\\system32\\00THotkey.exe"="thokey"



Saludos

[msc hotline sat]

No hombre no, co el BUSCAREG debes buscar el nombre de los ficheros que buscas:



"They are atmclk.exe and dcomcfg.exe."



ya que si no los encuentras y son lanzados desde el registro, dichas claves pueden ser el problema



saludos



ms, 28-06.2007

[jj0604]

[quote="msc hotline sat"]No hombre no, con el BUSCAREG debes buscar el nombre de los ficheros que buscas:



"They are atmclk.exe and dcomcfg.exe."



ya que si no los encuentras y son lanzados desde el registro, dichas claves pueden ser el problema



saludos



ms, 28-06.2007[/quote] el buscareg me ha encontrado:



"000"="ATMCLK.EXE" y lo he eliminado del tiron.

el otro no lo ha encontrado.



Tendria que hacer algo mas??



Saludos

[jj0604]

[quote="jj0604"][quote="msc hotline sat"]No hombre no, co el BUSCAREG debes buscar el nombre de los ficheros que buscas:



"They are atmclk.exe and dcomcfg.exe."



ya que si no los encuentras y son lanzados desde el registro, dichas claves pueden ser el problema



saludos



ms, 28-06.2007[/quote] el buscareg me ha encontrado:



"000"="ATMCLK.EXE" y lo he eliminado del tiron.

el otro no lo ha encontrado.



Tendria que hacer algo mas??



Saludos[/quote] he reiniciado y el error sigue saliendo igual

[msc hotline sat]

Bueno, pues buscando un poco mas he encontrado que los Toshiba tienen esta particularidad:



http://www.malwhere.com/processes/thotkey.exe.html



Buscar el fichero THOTKEY.EXE, y tras ejecutarlo mira de desactivarlo !



A ver si así se soluciona... Ahora que si es eso, los Sres de Toshiba que le arreglaron el portatil debian saberlo ...



Saludos



ms, 28-06-2007

[jj0604]

[quote="msc hotline sat"]Bueno, pues buscando un poco mas he encontrado que los Toshiba tienen esta particularidad:



http://www.malwhere.com/processes/thotkey.exe.html



Buscar el fichero THOTKEY.EXE, y tras ejecutarlo mira de desactivarlo !



A ver si así se soluciona... Ahora que si es eso, los Sres de Toshiba que le arreglaron el portatil debian saberlo ...



Saludos



ms, 28-06-2007[/quote]Bueno, primero decir que no lleve el portatil a arreglar, sino que un amigo me estuvo configurando el wifi en el portatil toshiba. Tambien elimino con msconfig algun programa que segun me dijo parecia dañino... no se si eso es lo que produce que salte el error, y el esta de viaje asi que no puede decirme lo que quito concretamente.



En cuanto al enlace que me dices de hotkey, todo lo que encuentro son programitas para troyanos que cuando ya estan instalados me dicen que necesito el serial o crack por lo que no me fio.



Por último, como desactivo el hotkey????



Saludos

[msc hotline sat]

Ejecutalo, a ver qué dice.



Yo no tengo un Toshiba para verlo...



saludos



ms, 29-06-2007

[jj0604]

[quote="msc hotline sat"]Ejecutalo, a ver qué dice.



Yo no tengo un Toshiba para verlo...



saludos



ms, 29-06-2007[/quote]Me ha dado por mirar más detenidamente en msconfig y veo que hay varios procesos activados que se llaman touched y un proceso desactivado que se llama 00Thokey.exe, he probado a activarlo y al reiniciar ya no ha dado problemas.



Supongo que mi amigo lo desactivo ya que por el nombre tiene toda la pinta de un troyano....



Así que problema resuelto.



Saludos y gracias.

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]





Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 3 de Julio de 2007