rundll32.exe (SOLUCIONADO)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
iseki
Mensajes: 28
Registrado: 11 Jun 2007, 06:51

rundll32.exe (SOLUCIONADO)

Mensaje por iseki » 18 Dic 2007, 16:27

hola, este es mi caso:



ayer ejecuté el NOD32 y me encontró el soundmix, le di eliminar y me salio el mensaje que no se eliminaría hasta que reiniciara. Apaqué, al rato volvi a prender el PC y:



problema tipico con el acceso a los programas (cualquiera) y aparece en muchas ocasiones: "c/windows/system32/rundll32.exe/. No se ha encontrado la aplicación"

- como busqué las soluciones anteriores, reinicié con modo seguro, etc. ejecuté el hijackthis y me salio:







Logfile of HijackThis v1.99.1

Scan saved at 09:27:07 a.m., on 18/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\system32\svchost.exe

C:\windows\Explorer.EXE

C:\Documents and Settings\Propietario\Escritorio\virus jota\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=C:\windows\system32\userinit.exe,C:\windows\system32\ODBCJET.exe,

O1 - Hosts: 61.129.115.198 http://www.xldd.com

O1 - Hosts: 61.129.115.198 http://www.ojiang.com

O1 - Hosts: 61.129.115.198 http://www.shuixian.net

O1 - Hosts: 61.129.115.198 http://www.xlarea.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197901576562

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197901744531

O20 - Winlogon Notify: WBSrv - C:\ARCHIV~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll

O20 - Winlogon Notify: WgaLogon - C:\windows\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe







ahora el problema es que volví a reiniciar con modo seguro (como 15 min. después) y ya ni ejecuta el hijackthis con el problemilla de "abrir con... y examinar". Para sacar este log con el hijackthis me pasó lo mismo: seleccioné el programa y pudo abrir, ahora le doy examinar, aceptar, etc y no sirve de nada. Y así pasa con cualquier programa que no esté en la lista de "Abrir con..."

Muchas Gracias
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 18 Dic 2007, 16:46

Estas cuatro claves redireccionan el HOSTS a una web de Shanghai:



O1 - Hosts: 61.129.115.198 http://www.xldd.com

O1 - Hosts: 61.129.115.198 http://www.ojiang.com

O1 - Hosts: 61.129.115.198 http://www.shuixian.net

O1 - Hosts: 61.129.115.198 http://www.xlarea.com



61.129.115.198 CN China 23 Shanghai Shanghai 31.0050 121.4086 Data Communication Division Shanghai Global Network Co., Ltd.



Si no conoce esta web destino, elimine dichas claves:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Aparte, envienos este fichero para analizar:



C:\windows\system32\ODBCJET.exe





Tras analizarlo, informaremos



saludos



ms, 18-12-2007





nota: y prueba estas utilidades:




[quote]
[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]
Última edición por msc hotline sat el 18 Dic 2007, 17:21, editado 1 vez en total.
Arriba
iseki
Mensajes: 28
Registrado: 11 Jun 2007, 06:51

Mensaje por iseki » 18 Dic 2007, 17:19

pero como hago... en modo seguro no quiere abrir el HJT:



"C:/Hijackthis.exe. Uno de los dispositivos vinculados al sistema no funciona."



Lo intenté con el sistema normal y ahí si abre comun y corriente. Lo ejecuto así?

Gracias
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 18 Dic 2007, 17:25

El HJT debe poder abrirse de todas formas, pero si lo que no puedes es arrancar en modo seguro, prueba el ELIBAGLA, pues el Bagle es un virus que cambia una clave del registro que no permite arrancar en dicho modo, pero que con el ELIBAGLA se neutraliza:





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 18-12-2007
Arriba
iseki
Mensajes: 28
Registrado: 11 Jun 2007, 06:51

perfecto

Mensaje por iseki » 18 Dic 2007, 19:26

perfecto! ya no hay problemas. este es el log del elibagle





Tue Dec 18 12:18:02 2007

EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Dec 18 12:22:02 2007

EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Dec 18 13:02:21 2007

EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Dec 18 13:02:28 2007

EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Dec 18 13:10:23 2007

EliTriIP v4.21 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Dec 18 13:10:35 2007

EliTriIP v4.21 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\







------------------------------------------



Muchas gracias xoxoxoxo
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 18 Dic 2007, 19:43

Pues debias haber tenido el bagle, aunque ya habias eliminado los ficheros, pero quedaron las claves modificadas por restaurar, lo cual se ha corregido con el ELIBAGLA, aunque no encontrara los ficheros.



Y ya que dices que se han solucionado los problemas con ello, damos el Tema por solucionado y procedemos a cerrarlo





Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 18-12-2007
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 19 Dic 2007, 11:06

Recibido postcierre fichero Odbcjet.cnt es de texto, no monitorizable, no es propio para analizar en SATINFO.



Si tiene problemas con él, abra nuevo Tema y postee su contenido en el foro, abriendolo dicho fichero con el Bloc de notas y copiar/pegar.



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms, 19-12-2007
Arriba
Cerrado

Volver a “Foro Virus - Cuentanos tu problema”