-
onic
- Mensajes: 48
- Registrado: 09 Mar 2006, 19:27
Mensaje
por onic » 04 Nov 2007, 11:52
Hola compañeros de fatigas a continuación voy a explicar mi problema.
Resulta que des de hace un tiempo estoy viendo que al abrir la aplicación messenger me da un error " error al abrir loader.exe bla bla bla" y me deja entrar igual pero siempre me da el mismo error.
He intentado entrar a modo prueba de fallos y escanear todo con ad-aware,spybot y ccleaner pero nada sigue ahi el error.
Por eso recurro a vosotros, los profesionales de los virus.
PD :( estoy pasando el elistara ahora mismo )
-
lucl
- Mensajes: 6324
- Registrado: 17 Ene 2006, 18:09
- Ubicación: España
-
Contactar:
Mensaje
por lucl » 04 Nov 2007, 11:58
pues peganos el log resultante que tendras en C infosat.txt saludos
-
onic
- Mensajes: 48
- Registrado: 09 Mar 2006, 19:27
Mensaje
por onic » 04 Nov 2007, 12:02
Mon Sep 17 16:11:21 2007
EliTriIP v3.89 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\AUTORUN.INF --> Eliminado
Mon Sep 17 16:11:28 2007
EliTriIP v3.89 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Mon Sep 17 16:15:14 2007
EliTriIP v3.89 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Mon Sep 17 16:15:18 2007
EliTriIP v3.89 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
E:\important\programes\Comunicacion\Windows.Live.Messenger-MSN.Messenger.v8.0.0290.Español.Con Parche\Traduccion.exe --> Eliminado, Bifrose (dropper)
E:\important\programes\OTROS\Recuperacion\Handy Recovery 2.0\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)
E:\important\programes\SOS\Todo.En.Uno.V6.By.BoRrasS.PARTE3.darketernal.net\NRMEFPP_ES\AUTORUN.INF --> Eliminado, BackDoor.CMQ (inf)
E:\important\programes\SOS\Todo.En.Uno.V6.By.BoRrasS.PARTE3.darketernal.net\WXPPER_ES\AUTORUN.INF --> Eliminado, BackDoor.CMQ (inf)
E:\important\programes\SOS\Todo.En.Uno.V6.By.BoRrasS.PARTE3.darketernal.net\WXPVOL_ES\AUTORUN.INF --> Eliminado, BackDoor.CMQ (inf)
E:\important\programes\SOS\Todo.En.Uno.V6.By.BoRrasS.PARTE3.darketernal.net\XPMC2K5\AUTORUN.INF --> Eliminado, BackDoor.CMQ (inf)
E:\important\programes\SOS\Todo.En.Uno.V6.By.BoRrasS.PARTE3.darketernal.net\ZRMPOEM_ES\AUTORUN.INF --> Eliminado, BackDoor.CMQ (inf)
E:\important\programes\Utilidades\Compresores\WinRAR v3.40.exe --> Eliminado, KillAV.FX
Sun Nov 04 11:47:01 2007
EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sun Nov 04 11:50:24 2007
EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 4338
Nº Total de Ficheros: 36818
Nº de Ficheros Analizados: 8401
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Sun Nov 04 11:54:17 2007
EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
E:\programes\Varios\Macromedia Studio 8 Español - Spanish Completo con KeyGen { joja }\KEYGEN.EXE --> Eliminado, KeyGen.ZWT
E:\programes\[PC]Encarta.2008[Spanish].[BajandoXvid.CoM\LRNGESSL\SETUP.EXE --> Eliminado, 180Solutions
Nº Total de Directorios: 2580
Nº Total de Ficheros: 55362
Nº de Ficheros Analizados: 1760
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
-
lucl
- Mensajes: 6324
- Registrado: 17 Ene 2006, 18:09
- Ubicación: España
-
Contactar:
Mensaje
por lucl » 04 Nov 2007, 12:06
Reinicia ahora que has pasado las herramientas e intenta entrar en modo a prueba de fallos ynos dices si puedes, saludos
-
onic
- Mensajes: 48
- Registrado: 09 Mar 2006, 19:27
Mensaje
por onic » 04 Nov 2007, 12:14
Me da el error igualmente, ademas estas ultimas cosas que me ha eliminado el elistara no tienen nada que ver con mi error creo.
Gracias luci y un saludo.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 04 Nov 2007, 12:34
Pues el Prorat, el Ajax, el Trojan Notneeded , y otros usan el LODAER.EXE , pero puede que sea un simple cargador de algun ejecutable malicioso que se haya eliminado, y que ahora su ejecucion presente dicho error.
Veamos el log del HJT y obraremos en consecuencia:
[b]
[color=yellow]HJT : (HiJackThis)[/color][/b]
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]
Tras analizarlo, informaremos
saludos
ms, 4-11-2007
-
onic
- Mensajes: 48
- Registrado: 09 Mar 2006, 19:27
Mensaje
por onic » 04 Nov 2007, 12:53
Gracias una vez mas, vuestros conocimientos son infinitos cada vez me quedo mas estupefacto de todo vuestro trabajo.
Aqui posteo el log del hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 12:52:11, on 04/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\mIRC\mirc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Gracias y un saludo.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 04 Nov 2007, 13:07
En cada terreno, los especialistas saben de su oficio, pero en este no hay manera de saberlo todo, porque en cuanto dominas un bicho nuevo ya han salido 10 mas... y en este caso lo tenemos crudo, pues el log del HJT está limpio, no figura la utilizacion de este LOADER.EXE en ninguna clave y además no hay ningun rastro vírico.
Claro que usas mozilla y ni el HJT ni el ELISTARA lo contemplan. Tiene menos vulnerabilidades que el I.E. (porque no se dedican a buscarle las cosquillas, al dedicarse al de microsoft por ser el de mayormente usado) pero la contrapartida es que las que tiene no son tan conocidas ni controladas.
Bueno, creo que el problema está en que quiere usar un LOADER.EXE que no encuentra, pues buscalo en el registro y elimina la clave en el que lo usa, para lo que puedes probar el BUSCAREG.EXE
[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATInfo)
Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.
[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]
saludos
ms, 4-11-2007
-
onic
- Mensajes: 48
- Registrado: 09 Mar 2006, 19:27
Mensaje
por onic » 04 Nov 2007, 13:18
He buscado mediante el buscareg "loader.exe" me ha encontrado dos entradas y las he eliminado. He reiniciado y he vuelto abrir el messenger y me sigue dando el mismo error, intentare instalar otra versión del msn o algo porque es muy raro lo que esta sucediendo.
aquí pongo una imagen del error:
http://img257.imageshack.us/my.php?image=dibujorv0.jpg
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 04 Nov 2007, 13:33
Pues si en el registro no está, solo cabe que alguna aplicacion lo llame, y vete a saber cual, pero si está relacionado con el MSN, efectivamente, reinstala una nueva version a ver si asi se soluciona
Y por si encontraran algo, lanza estos AVONLINE y noc comentas elr esultado, gracias
[url=https://www.eset.es/analisis-online/][b][color=Darknesred]AV ONLINE aconsejado[/color][/b][/url]
y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:
[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/][b][color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]
nos cuentas el resultado, gracias
saludos
ms, 4-11-2007
-
onic
- Mensajes: 48
- Registrado: 09 Mar 2006, 19:27
Mensaje
por onic » 04 Nov 2007, 20:58
Yasta, problema resuelto reinstalando del programa, perdón por tantos calvarios porque era una tontería pero ya tengo la solución.
jeje gracias por todo.
-
lucl
- Mensajes: 6324
- Registrado: 17 Ene 2006, 18:09
- Ubicación: España
-
Contactar:
Mensaje
por lucl » 04 Nov 2007, 22:05
Muy bien pues entonces cerramos el tema dandolo por solucionado, vuelve cuando quieras, saludos
msc hotline sat Virus Research Engineer