Virus? Falta Ntdrl y Mensaje de Nerocheck (solucionado)

Cerrado
lhunha
Mensajes: 4
Registrado: 10 Feb 2005, 21:26

Virus? Falta Ntdrl y Mensaje de Nerocheck (solucionado)

Mensaje por lhunha » 10 Feb 2005, 21:38

Voy con mi 1º post en el foro, así q un saludo a todos :lol: .

Ayer ejecuté un *.exe con el q me salió un mensaje de nerocheck, q es el siguiente "the LowerFilter or UpperFilter registery key for CD-ROM was containing incorrect drivers. It has been corrected. You must reboot your computer in order the changes are effective. Until then, you may not be able to acess your CD-ROM drives". Hasta ahí bien, como no se correspondía con el tipo de programa q era, le pasé el antivirus (dio negativo) y lo borré.

Esta mañ y debido a eso q se ejecutó ayer, no arrancaba el XP. El mensaje es "Falta ntdrl". Copiando el archivo de otro ordenador a un disket, he conseguido q encienda XP, pero aunq copie los archivos a C:, me vuelve a pasar al reiniciar si no tengo el disket dentro.

Ya no sé cómo solucionarlo, pq los antivirus online no encuentran nada, y he leido algo en foros q relaciona el nerocheck con un gusano.

Os dejo mi log, por si veis algo raro, pq es la 1º vez q uso el hijackthis y no tengo ni idea.



Logfile of HijackThis v1.99.0

Scan saved at 20:35:31, on 10/02/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\windows\System32\smss.exe

C:\windows\SYSTEM32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\Ati2evxx.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

D:\Archivos de programa\Panda Software\Panda Platinum Internet Security\passrv.exe

D:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

C:\windows\SYSTEM32\Ati2evxx.exe

C:\windows\Explorer.EXE

D:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

C:\windows\system32\svchost.exe

D:\Archivos de programa\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE

C:\Archivos de programa\V-Stream\PVR Plus\TVR\Scheduled.exe

C:\WINDOWS\system32\NeroCheck.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver2\LVCOMS.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

D:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

D:\Archivos de programa\QuickTime\qttask.exe

C:\windows\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

D:\Archivos de programa\Sony Ericsson\Mobile\audevicemgr.exe

C:\Archivos de programa\V-Stream Multimedia\TV878 Utilities\C7XRCtl.exe

d:\ARCHIV~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE

d:\ARCHIV~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE

C:\WINDOWS\system32\monitorbk.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

D:\Archivos de programa\eMule\emule.exe

C:\WINDOWS\system32\wisptis.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\PRIVADO\CONFIG~1\Temp\Rar$EX00.000\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Archivos de programa\QuickSearch\QuickSearchBar1_27.dll (file missing)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Archivos de programa\QuickSearch\QuickSearchBar1_27.dll (file missing)

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)

O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll



Espero no haberme enrollado mucho, queria explicarlo bien.

Un saludo, y gracias de antemano. :wink:

Avatar de Usuario
caito
Mensajes: 1538
Registrado: 30 May 2004, 06:29
Ubicación: Argentina

Mensaje por caito » 10 Feb 2005, 22:46

Lo que veo en tu log no es tan grave como para provocar tal fallo:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)

O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Archivos de programa\QuickSearch\QuickSearchBar1_27.dll (file missing)

O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Archivos de programa\QuickSearch\QuickSearchBar1_27.dll (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)

O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

Haz tenido malwares pero están muertos, con el hijack This marca esas líneas y dale a Fix.

Salu2

Caito

lhunha
Mensajes: 4
Registrado: 10 Feb 2005, 21:26

Formatear

Mensaje por lhunha » 11 Feb 2005, 11:21

Bueno, pues borré las entradas q me dijiste, Caito, y sigo con el problema del ntrdl. :roll: Me parece que voy a formatear la unidad a ver si se soluciona el problema.

Gracias por contestar... y bueno, ya os diré como se ha solucionado.

Salu2

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 11 Feb 2005, 11:55

Extraido de otro foro y parece que funciono



**********************************************



Bueno otro pc con el mismo error pero ya tengo la solución para los XP creo que para 2k tambien funciona. En un pc que este ok, formato un floppy tiene que ser un formateo desde un SO XP O 2k, luego copio los archivos boot.ini, ntldr, ntdtect.com al floppey (están en c:\ ocultos)

arranco la maquina dañada desde el floppy, gracias al diskette se carga el SO, luego copio los archivos boot.in, ntldr y ntdtect.com a c:\ de la máquina, reinicio y adiós problema"



***********************************************



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 11 Feb 2005, 11:56

Antes de formatear, mira si lo que dices en correcto:


[quote="lhunha"]


El mensaje es "Falta ntdrl"


[/quote]


Confirma si es así o lo que te dice es sobre el NTLDR , que es el NT LOADER (Cargador de NT)



Si es así, lo que has borrado es el fichero basico de carga del S.O., y si es NTFS, no puedes copiarlo sin arrancar, y sin el fichero no arrancas...



Como que el virus SHODI-C borraba otro fichero de arranque (NTDETECT), hicimos la utilidad TRANSFER para poder arrancar desde disquete, aun que esté en NTFS, debiendo crear este disco con dicha utilidad en otro ordenador con el mismo sistema, y luego trasladarlo al ordenador afectado, y arrancar con él:



A continuacion es cuestion de copiar el fichero NTLDR que hay en el disquete (está oculto) al disco duro y reiniciar el ordenador sacando el disquete.



El fichero RESTAURA del disquete no viene al caso, pues restaura el NTDETECT para el SHODI.C indicado.



Esta utilidad no es de las que hay en el foro para probar, pero te la he subido po si quieres probarla. Descargala de:



http://www.zonavirus.com/descargas/TRANSFER.EXE



Y si has formateado ya, muerto el perro...



saludos



ms, 11-02-2005

lhunha
Mensajes: 4
Registrado: 10 Feb 2005, 21:26

Mensaje por lhunha » 11 Feb 2005, 12:15

Gracias a todos. Maura63, gracias a lo de ese foro conseguir arrancar el ordenador pero no solucionar el problema. Entre otras pq el boot.ini no lo encuentro en ningun PC sino boot.ini.backup q fue el q añadi pero nada.



Mmsc hotline sat, aun no he formateado, asi q estoy a tiempo. Creo q tienes razón, es ntldr. Voy a intentar lo q me dices, y luego os cuento. Se supone q el archivo me lo ha borrado un programa q no lo detecta el ntivirus ni nada... mu raro.

Bueno, gracias a todos y hasta luego.

Deseadme suerte!! :D

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 11 Feb 2005, 12:35

En definitiva, esta utilidad TRANSFER hace lo que dice Maura63, pero automaticamente, y con el disquete, se "boota" desde él en lugar de hacerlo desde el MBR y BOOT del disco duro, se cargan los ficheros del NTLDR , BOOT.INI, y BOOTSECT.DOS y luego se pasa el control al disco duro, con lo que se arranca aparentemente desde disquete, lo cual no es cierto, porque a partir de lo indicado sigue arrancando pero del disco duro.



A partir de ahí es cuando puede copiarse el NTLDR del disquete, que es de sistema y está oculto, al disco duro, como indicaba.



Maura63, pruebalo tambien, y hazte un disco de los tres o cuatro sistemas que uses (W98, Me, WXP. W2000 por ejemplo), los etiquetas y guardas, y cuando un día te hagan falta, arranca con ellos según el sistema que tenga el ordenador.



Probadlo y comentarlo, gracias



saludos



ms, 11-02-2005

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 11 Feb 2005, 12:46

Para Msc:



No te acuerdas que ya los tengo :?: :wink: aunque los que tenemos estan en FAT32 incluidos los personales. Pero los tengo guardados por si algun dia me encuentro alguno en NTFS.



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 11 Feb 2005, 12:54

Bien hecho, Maura63, pues es lo que proponías manualmente, pero hecho automaticamente.



saludos



ms, 11-02-2005

lhunha
Mensajes: 4
Registrado: 10 Feb 2005, 21:26

GRACIAS

Mensaje por lhunha » 12 Feb 2005, 01:06

:D Ey!! No se cómo agraecéroslo. He conseguido volver a tener el Pc como antes. Lo he hecho con Restaura.exe, liándome un poco pero por falta de costumbre y torpeza mia, jejeje.

Bueno chic@s, pues lo dicho, muchas gracias... ya nos vemos por aki!! :wink:

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 14 Feb 2005, 10:25

Pues damos por solucionado el tema, y que alguien lo cierre :wink: .



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 14 Feb 2005, 13:16

Lo celebramos,. y como indica MAURA63, cerramos el tema



saludos



m,s, 14-02-2005

Cerrado

Volver a “Foro HijackThis - copia y pega tu log”