Mensaje sospechoso al inicio windows

[bigeddu]

DLL C:\WINDOWS\System32... no es una imagen de windows válida. Compruebe esto contra su disco de instalación.

Algo parecido es el mensaje de advertencia que me aparece cada vez que inicio windows. Sospecho de algún troyano pero necesito que algún alma caritativa me eche una mano. Muchas gracias por adelantado. Aquí adjunto mi log:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:22:09, on 31/03/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

C:\WINDOWS\System32\GEARSec.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS\System32\svchost.exe

G:\Grabación\BurnAware Free\NMSAccess32.exe

G:\Herramientas\Ghost\Agent\VProSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Cyberlink\Shared files\RichVideo.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

C:\Archivos de programa\Canon\CAL\CALMAIN.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

G:\Herramientas\Ghost\Agent\GhostTray.exe

C:\Archivos de programa\CyberLink\PowerCinema\PCMService.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Huawei technologies\Vodafone Mobile Connect Modem\VodafoneUSBPP.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

C:\Archivos de programa\Archivos comunes\Logishrd\KHAL2\KHALMNPR.EXE

C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

G:\Internet\Firefox\firefox.exe

C:\Documents and Settings\Eduardo\Configuración local\Temp\McInstallTemp\Install.exe

C:\Documents and Settings\Eduardo\Configuración local\Temp\McInstallTemp\SelfProtect\Win32\aploader.exe

C:\Archivos de programa\McAfee\VirusScan\McInsUpd.exe

C:\Archivos de programa\Archivos comunes\Mcafee\McSvcHost\McSvHost.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\McAfee\SystemCore\mfefire.exe

C:\Archivos de programa\Archivos comunes\McAfee\SystemCore\mfevtps.exe

c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\Archivos comunes\McAfee\SystemCore\mcshield.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\Archivos comunes\McAfee\SystemCore\ScriptSn.20100331131353.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\archiv~1\mcafee\sitead~1\mcieplg.dll

O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\archiv~1\mcafee\sitead~1\mcieplg.dll

O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Norton Ghost 10.0] "G:\Herramientas\Ghost\Agent\GhostTray.exe"

O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\CyberLink\PowerCinema\PCMService.exe"

O4 - HKLM\..\Run: [mcui_exe] "C:\Archivos de programa\McAfee.com\Agent\mcagent.exe" /runkey

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [VodafoneUSBPP.exe] C:\Archivos de programa\Huawei technologies\Vodafone Mobile Connect Modem\VodafoneUSBPP.exe windows

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: AutoStart IR.lnk = C:\Archivos de programa\WinTV\Ir.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\OFIMTI~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\OFIMTI~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.mcafee.com

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1269631940421

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1269642355765

O17 - HKLM\System\CCS\Services\Tcpip\..\{27CF4733-8EEF-42E3-BDC5-023A2432E71D}: NameServer = 212.73.32.3 212.73.32.67

O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\archiv~1\mcafee\sitead~1\mcieplg.dll

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\archiv~1\mcafee\sitead~1\mcieplg.dll

O23 - Service: McAfee Application Installer Cleanup (0166371270034055) (0166371270034055mcinstcleanup) - McAfee, Inc. - C:\DOCUME~1\Eduardo\CONFIG~1\Temp\016637~1.EXE

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Archivos de programa\Archivos comunes\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\Mcafee\McSvcHost\McSvHost.exe

O23 - Service: McAfee Personal Firewall (McMPFSvc) - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\Mcafee\McSvcHost\McSvHost.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\Mcafee\McSvcHost\McSvHost.exe

O23 - Service: McAfee VirusScan Announcer (McNaiAnn) - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\Mcafee\McSvcHost\McSvHost.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\Mcafee\McSvcHost\McSvHost.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan\mcods.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\Mcafee\McSvcHost\McSvHost.exe

O23 - Service: McShield - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\SystemCore\\mcshield.exe

O23 - Service: McAfee Firewall Core Service (mfefire) - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\SystemCore\\mfefire.exe

O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\SystemCore\mfevtps.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NMSAccess - Unknown owner - G:\Grabación\BurnAware Free\NMSAccess32.exe

O23 - Service: Norton Ghost - Symantec Corporation - G:\Herramientas\Ghost\Agent\VProSvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\Cyberlink\Shared files\RichVideo.exe

O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe



--

End of file - 11315 bytes

[msc hotline sat]

pUES VEMOS ESTOS DOS FICHEROS SOSPECHOSOS, ENVIENOSLOS PARA ANALIZAR:



C:\Documents and Settings\Eduardo\Configuración local\Temp\McInstallTemp\Install.exe



C:\Documents and Settings\Eduardo\Configuración local\Temp\McInstallTemp\SelfProtect\Win32\aploader.exe





Y APARTE VEMOS INSTALADOS SYMANTEC Y MCAFEE



Solo debe haber un antivirus para evitar colisiones y ralentizacion, escoja uno y desinstale totalmente el otro:



por ejemplo: O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"



O23 - Service: McShield - McAfee, Inc. - C:Archivos de programaArchivos comunesMcAfeeSystemCore\mcshield.exe



saludos



ms, 31-3-2010











[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

[bigeddu]

Lo primero de todo: agradecerte tu inestimable ayuda.



CCleaner hizo su trabajo y eliminó los temporales de MCAffee que era MCinstall. El programa que tengo instalado de Symantec no es el antivirus, es Norton Ghost así que no tengo problemas ni conflictos.



Creo que ninguno de estos archivos eran la causa de ese mensajito de error que me aparece al inicio. He leído muchos foros y creo que el problema es uno de estos dos:



1. Un virus de estos que se instalan en los archivos de inicio de las carpetas o discos duros que el antivirus eliminó y windows no inicia bien.



2. Algún fallo en la instalación de windows live messenger (me inclino más por este). Ya que cada vez que intento instalarlo el asistente (cuando lleva un par de minutos copiando archivos) me dice que no se puede instalar.



Como dije antes te agradezco mucho tu ayuda y te invito a continuar buscando la causa de este mensaje de error. Yo ya estoy preparando mi disco de Windows para empezar a formatear pero ya es algo personal entre el ordenador y yo ;-) y me j**e mucho tener que formatear sin antes conocer la causa.

[lucl]

Tienes una forma facil de saber si es el windows live mesenger, desinstalalo reinicia y comprueba si te sale el aviso y como va el pc. Y nos comentas, saludos.

[msc hotline sat]

No te dijimos que usaras el Ccleaner... Mala faena te ha hecho con lo que dices de :



[b][i]CCleaner hizo su trabajo y eliminó los temporales de MCAffee que era MCinstall.[/i][/b]



El Mcinstall es de McAfee y no debía borrarlo



Desinstala el McAfee desde Agregar o quitar programas y luego instalalo de nuevo, y no vuelvas a pasar el Ccleaner...



Y cuando recibamos las muestras que ya te pedimos al prinicipio, las analizaremos e informaremos



saludos



ms, 6-4-2010



NOTA : Y efectivamente, el ccapp.exe es comun tanto en el antivirus como el el Ghost. Es posible que lo instalara este último. ms.