Ayuda, Win ME marca error en archivo ayvapi32.dll(Solucionad

[efraingh]

Hola, un amigo tiene una PC HP PAvilion 6751 con sistema operativo Win Me, aunque es obsoleto ya, pero aun anda, o parecia pero ahora marca el error que les comento en el titulo del post.



Arranca y despues de cargar el escritorio marca la ventana de que en el explorer ocurrio un error y marca el archivo ayvapi32.dll, sin embargo he pasado el spybot actualizado (act. de marzo), el ad-aware tambien actualizado al veititantos de marzo, y me encontraron varios espias pero que tengan relacion con el ayvapi32 no, de hecho he trabajado en modo a prueba de fallos que es donde deja trabajar mas, pero tambien sale el error, si le doy cerrar a la ventana se cierra todo el escritorio y no queda mas que dar cltr+alt+supr para dar apagar sistema. Busque el archivo en el sistema y me lo encuentra con propiedades de oculto en la carpeta c:\windows\system (se me hace raro que este oculto), lo trate de buscar en otra pc con win me pero no lo tiene.



Tambien busque en el foro para algun problema con ese archivo pero no hay informacion al respecto, he buscado en google ese nombre de archivo y me dice que me debi haber equivocado y que debi haber dicho advapi32.dll, sera que algun espia o virus haya cambiando ese archivo o renombrado el archivo y por eso este marcando error (ademas de que pueda haberlo alterado porque es raro que marque el error, si esta ahi con otro nombre y si el sistema lo jala, deberia funcionar sin marcar error)



Lo unico que no he hecho es pasar antivirus, aunque veo que trae uno de mcafee algo asi como mcafee shield y el clinic o algo si veo en agregar o quitar programas no lo he ejecutado ya que no se si este actualizado y si pueda correr en prueba de fallos.



Ustedes con la experiencia puediera ser que me dieran algunas sugerencias de si es virus o la manera de solucionar el problema.



Creen que instalando encima de esa instalacion de win Me (claro con el mismo Win Me) se pueda corregir el problema?, yo lo dudo ya que la carga del archivo aun seguiria ahi, no?



Busque tambien en el registro del sistema y encontre en dos partes el nombre de ayvapi32 pero dice predeterminado y no es una rama comun aparte que tal vez sea del sistema por eso aun no lo elimino.



Finalmente en modo normal o prueba de fallos, marca el error pero no lo cierro, para que me siga dejando andar en el sistema porque como menciono, si le doy cerrar se queda sin forma de andar, mas que ctrl+alt+spr para apagar, ahora que en modo normal, si doy a administrador de dispositivos se queda sin responder (en modo a prueba de fallos entro al administrador de dispositivos, pero hay varios dispositivos del mismo hardware, es decir por ejemplo el video hay 2 o 3 tarjetas que se ven puestas en la rama del video, asi que no se cual es la que realmente funciona para poder borrar las otras, o podre borrarlas y que las vuelva a cargar el sistema, pero no tengo el disco de drivers, ese es el problema), como que se pone al 100% el CPU, pero de repente vuelve a responder y asi al rato con algun otro comando como que se va al 100% y luego responde. Si lo creen conveniente les puedo poner un reporte del hijack, tambien he pasado un visor de procesos y si veo que el explorer es quien carga el ayvapi32.dll y cuando se va al 100% que lo marca es cuando no me responde.



Saludos



Efrain

[flacoroo]

bajate el buscareg y pones el nombre de ese archivo [b]Ayvapi32.dll [/b]y checas su ruta y nos las das....ya que el original dice [b]Advapi32.dll [/b](ver link de referencia http://support.microsoft.com/default.aspx?scid=kb;es;194177 )

y es parte de IE......

[msc hotline sat]

Para descargar el BUSCAREG.EXE indicado por Flacoroo, dadas las caracteristicas de la nueva version v3 del foro, puede hacerse desde:



http://www.zonavirus.com/descargas/buscareg.asp



saludos



ms, 5-04-2005

[efraingh]

Hola, ok, vere si lo puedo hacer de esa manera, pero ya he logrado instalar el Norton 2004 despues de algunos problemas.



Y encontro que tenia algunos espias mas, que el ad-aware y spybot no detectaron, el norton me encontro aparte del ayvapi32.dll que esta en la ruta c:\windows\system (para el caso de win Me), otros que son tambien dll que corresponden al adaware.look2me pero de los que encuentra que me parece que son 40 archivos dañinos, elimina 28 (entre look2me, dontnet, etc), pero aun quedan restos que no pueden ser eliminados, en el que se encuentra el ayvapi32.dll y no es el que pensaba que era advapi32.dll, ya que ese si esta en la pc y es mas pequeño, en un principio el ayvapi32.dll era de 360Kb al igual que otros dll ocultos por lo que me llamaba la atencion, ahora se han hecho de 320Kb, pero sigue ahi, no se quiere retirar el ayvapi32.dll



Tratare a mano, o ver alguna informacion mas, ya que ahora tengo identificado el problema, por lo que espero que se vea mas clara la solucion.



He traido el log del hijackthis, antes de eliminar algunas entradas, asi como algunos dll, que veo que aunque los copie a otra carpeta y renombre (no todos, porque algunos los marca ocupados por el sistema aun estando en modo a prueba de fallos), se pierden, o cambian de nombre los archivos, esta medio raro el funcionamiento de ese adware.



Si quieren les puedo enviar las muestras en zip, tal como me dejo copiarlas a otra carpeta, y renombrados algunos.



Espero su respuesta, para ver si lo envio, saludos y gracias.



Efrain

[efraingh]

Saludos de nuevo, creo que he dado con la solucion al problema, y es que segun leo, este bicho se aloja en el explorer por lo que es dificil de eliminar, ademas de existir muchas variantes.



Pero todo lo que leo, parece coincidir con lo que he visto hasta ahora, al menos la parte del registro, que dice que se localizan 2 llaves y son las que encuentro, aunque no se si coincidan los lugares.



Aparte que no he observado archivos del tipo que manejan en la solucion, pero los buscare.



De cualquier manera les dejo el link (información en ingles):

http://www.pchell.com/support/look2me.shtml



Si da resultado les aviso y entonces trabajare en la traduccion del documento para anexarlo en el foro.



Pero aun no canto victoria, puede que no sea la version que coincida con el problema y entonces tendre que regresar a su ayuda o buscar mas informacion en la web.



Efrain

[efraingh]

Hola, siento la tardanza, pero aqui tengo tanto la respuesta al problema como la traduccion por si a alguien mas le interesa la forma de eliminar el ayvapi32.dll que corresponde al look2me.



Pues bien, con esta informacion que a continuación pongo traducida solucione el problema, aclarando que no lleve a cabo todos los puntos, ya que no correspondia al sistema operativo o la variante del look2me no correspondia.



Solo lleve a cabo la eliminación a mano del look2me con los 12 pasos que manejan, y pase las utilerias vx2finder9x.exe (debido a que el sistema era win me) el cual no encontro mas archivos que eliminar y el kill2me.exe que tampoco encontro elementos que eliminar.



Con eso elimine el error que aparecia del ayvapi32.dll despues de cargar el escritorio, pero aun asi, quedaron algunos otros errores como el mmsystem.dll y que no cargaba todos los colores de la tarjeta de video, asi que reinstale encima de la instalacion que estaba para no perder informacion y programas, pero que creara de nuevo el system.ini ya que no tenia muchas lineas que algunas son de los drivers, ignoro si se perdieron por el mismo adware o por algun otro virus anterior, pero ya no detectado; y despues de hacer todo eso, el sistema ha quedado funcionando.



Aun asi pongo entre corchetes informacion que me parece deberia funcionar pero no lo probe, solo teoricamente, esto porque algunas partes solo se basan en sistemas win XP/2000, no asi en los 9x.







------------------------------------------

Traducción de la informacion ubicada en:

http://www.pchell.com/support/look2me.shtml





Instrucciones y ayuda para remover Look2me



¿Que es Look2Me?



Look2Me es una red de información y anuncios que usa una extensión del shell para unirse así mismo a Windows y desplegar anuncios en forma de pop up o ventanas emergentes para sus clientes. El cliente monitorea los sitios web visitados y somete esta información al servidor.



¿Cómo remuevo Look2Me?



Debido a que el software así mismo se integra altamente con el Explorer, puede ser difícil removerlo. Lo abajo incluido es un método manual básico de remoción para Look2Me así como también es incluido un excelente Script de Visual Basic que puede ser ejecutado para ayudar a removerlo.



Enlace a Programa de remoción automático para Look2me: http://www.look2me.com/cgi-bin/UnInstaller



Sigue en las líneas de abajo las instrucciones para remover manualmente Look2Me (en este procedimiento, se debe tener precaución a la hora de manejar las claves del registro o todo el sistema puede quedar estropeado, solo ir a la parte que se indica, antes que nada se recomienda hacer un respaldo del sistema)



1. Click en Inicio, Ejecutar, y escribe REGEDIT y click Ok o Aceptar para iniciar el Editor de Registro.

2. Ahora abre el Administrador de Tareas de Windows.



En Windows 95/98/ME, Presiona CTRL+ATL+DEL

En Windows NT/2000/XP, Presiona CTRL+ALT+DEL, Selecciona el Administrador de Tareas si es necesario, y click sobre la pestaña Procesos



3. En la lista de programas, click en EXPLORER.EXE y selecciona Finalizar Tarea o Finalizar Proceso. Repite este procedimiento hasta que el proceso explorer.exe no este corriendo (El Menú Inicio, Barra de Tareas, y Bandeja del Sistema desaparecerán)

4. Selecciona el Editor de Registro (quizá tengas que presionar ALT + Tab)

5. Borra las siguientes llaves de registro si existen:



HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {DDFFA75A-E81D-4454-89FC-B9FD0631E726}



HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ShellExtensions \ Approved \ {DDFFA75A-E81D-4454-89FC-B9FD0631E726}



6. Cierra el Editor de Registro.

7. Reinicia la computadora.

8. Ahora abre Mi PC y en la unidad C, abre el directorio de Windows, y entonces el directorio de Sistema.



Nota: %SystemDir% es una variable. Por default, este es C:\Windows\System (en Windows 95/98/Me), C:\WINNT\System32 (en Windows NT/2000), o C:\Windows\System32 (en Windows XP).



9. Borra todos los archivos que se vean similares al siguiente, donde “*” representa una letra o numero.



msg{********-****-****-****-************}****.dll



Las variantes conocidas de Look2Me estan asociadas con los siguientes archivos:



msg{*.dll

msg116.dll

msg117.dll

msg118.dll

msg119.dll

msg120.dll

msg121.dll

msg122.dll



10. Abre el Internet Explorer.

11. Click en Herramientas, Opciones de Internet.

12. Click en la pestaña Programas y entonces click en el botón Restablecer configuración Web… para restaurar la configuración default para la pagina de inicio, pagina de búsqueda, y otras configuraciones.





Si permanece Look2Me o permanecen popups de NicTechNetworks, entonces procede con las siguientes instrucciones extra



1) Descarga y ejecuta VX2.BetterInternet Finder (http://www.pchell.com/downloads/vx2finder.exe) el cual buscará los archivos que están unidos al Explorer y muy resistentes a ser eliminados. Esos archivos usualmente son archivos .dll encontrados en el directorio Windows\System32 (dependiendo del sistema) con respaldos similares a *.cpy.dll



Para sistemas Windows 9X, usa esta versión de VX2.Betterinternet Finder (http://www.pchell.com/downloads/VX2Finder9x.exe)



2) Escribe esos archivos abajo para eliminarlos después.

3) Para remover esos archivos, necesitaras arrancar dentro de la Consola de Recuperación (en Win XP) [o me imagino que iniciar desde CD-ROM de instalación o diskette de arranque en Win 9x] . Ahora reinicia la computadora con el CD de Win XP o 2000 (o Win 9x). Si tu computadora no arranca desde la unidad de CD-ROM, tendrás que cambiar la configuración en el BIOS para poder arrancar desde CD-ROM primero.



Durante la carga del CD de Windows XP o Windows 2000, eventualmente será dada la opción de cargar la “Consola de Recuperación” presionando la letra R.



A continuación, escoge tu Instalación de Windows, usualmente presionando 1 y presionando Enter.



Tendrás que introducir la contraseña de Administrador, si no conoces la contraseña trata dejándola en blanco. Una vez dentro de la Consola de Recuperación, estarás en un indicador como: C:\WINDOWS>.



Si el sistema no te deja entrar es debido a una contraseña mala o no puedes acceder a la Consola de Recuperación desde el CD-ROM, tendrás que usar las instrucciones alternativas puestas más abajo para acceder a la Consola de Recuperación.



[Para los sistemas Win 9x no se tiene la Consola de Recuperación, pero al entrar en Solo símbolo del sistema puede ser una opción similar a la Consola de Recuperación de Win 2000/XP]



4) En el indicador C:\WINDOWS> escribe CD SYSTEM32 y presiona Enter (Depende el sistema, puede ser también CD SYSTEM como se menciona mas arriba).

5) En el indicador C:\WINDOWS\SYSTEM32>, usa el comando DEL para borrar los archivos anotados previamente del VX2.BetterInternet Finder.



Ejemplo: DEL AYMPARSE.DLL y presiona Enter

DEL AYMPARSE.CPY.DLL y presiona Enter



6) Después de que hayas borrado los archivos, escribe EXIT y reinicia la computadora en modo normal. Look2Me y los archivos que eran previamente incapaces de ser borrados deberían ser eliminados ahora.









ARREGLO DE UNA CONTRASEÑA MALA O DESCONOCIDA



1) En Windows, click en Inicio, Ejecutar, y escribe REGEDIT

2) Click en los signos de más (+) próximos a las siguientes llaves:



· HKEY_LOCAL_MACHINE

· SOFTWARE

· MICROSOFT

· WINDOWS NT

· CURRENTVERSION

· SETUP

· RECOVERY CONSOLE



3) Doble-click en la opción SECURITYLEVEL en la columna de la derecha y cambia el Valor de Dato numérico a 1 entonces presiona OK o Aceptar.

4) Reinicia la computadora en modo de Consola de Recuperación usando el CD de Windows XP o Windows 2000 o por la opción de abajo.







ACCESO ALTERNO A LA CONSOLA DE RECUPERACIÓN



Si tienes acceso a Internet aún, coloca el CD de Windows XP o Windows 2000 en la unidad y cancela algunos menús de autoinicio.



1) Entra a Internet

2) Click en el botón Inicio

3) Click en Ejecutar

4) Escribe lo siguiente en la línea de Ejecutar y Presiona Enter



D:\I386\WINNT32.EXE /CMDCONS



Asegúrate de usar la letra de tu unidad de CD en lugar de la letra D indicada arriba.



5) La computadora iniciará la instalación de la Consola de Recuperación y la agregará como una opción de arranque.

6) Una vez instalada, serás capaz de reiniciar la computadora y presionar F8 para iniciar el Menú de Arranque. Presiona la tecla ESC y deberías tener la siguiente opción disponible para elegir:



MICROSOFT WINDOWS RECOVERY CONSOLE (Consola de Recuperación de Microsoft Windows)



7) Escoge tu Instalación de Windows, usualmente presionando 1 y presionando Enter.



Tendrás que introducir la contraseña de Administrador, o entrar automáticamente si usaste la opción mostrada arriba (Arreglo de una contraseña mala o desconocida)









Para eliminación automática de Look2Me (opción 1)



1. Descarga y ejecuta el programa Killbox (http://download.broadbandmedic.com/VbStuff/KillBox.zip) creado por Option^Explicit Software Solutions.

O descarga y ejecuta el programa Kill2Me (http://www.spywareinfo.com/%7Emerijn/files/kill2me.zip) de Merijn (http://www.spywareinfo.com/%7Emerijn/downloads.html), [Este programa Kill2Me elimina automáticamente los archivos, el killbox hay que indicarle cuales son los archivos a eliminar]



Para eliminación automática de Look2Me (opción 2)



1. Descarga el siguiente Script de Visual Basic proveído por Mosaic1, un miembro de Spywareinfo (http://www.spywareinfo.com/), y grábalo como c:\removel2me.vbs



Programa para eliminar Look2Me (http://www.pchell.com/downloads/removel2me.vbs)



Este es un archivo de Visual Basic Scripting, así que debes de tener el Windows Scripting Host instalado. Puedes descargar el siguiente archivo para deshabilitar o rehabilitar el Windows Scripting Host.



noscript.exe (http://www.pchell.com/virus/noscript.exe)



2. Ahora abre el Administrador de Tareas de Windows



En Windows 95/98/ME, Presiona CTRL+ATL+DEL

En Windows NT/2000/XP, Presiona CTRL+ALT+DEL, Selecciona el Administrador de Tareas si es necesario, y click sobre la pestaña Procesos



3. En la lista de programas, click en EXPLORER.EXE y selecciona Finalizar Tarea o Finalizar Proceso. Repite este procedimiento hasta que el proceso explorer.exe no este corriendo (El Menú Inicio, Barra de Tareas, y Bandeja del Sistema desaparecerán) [pienso que para usuarios de Win 9x, es recomendable antes de finalizar el explorer.exe, abrir la ventana de Ejecutar]

4. Click en la pestaña Aplicaciones, click en el botón Nueva Tarea, y escribe la ruta del script que grabaste [con la ventana de Ejecutar abierta, puede pasarse a ella dando Alt+Tab para el caso de Win 9x y escribir la ruta del archivo].



c:\removel2me.vbs



5. Click Ok o Aceptar

6. Click en el menú Apagar del Administrador de Tareas y click en la opción Reiniciar, para reiniciar la computadora.



--------------------------------





Espero esta informacion sirva a alguien mas con problema similar, aparte si hay algun punto que los administradores o mosqueteros sepan que este equivocado, pueden modificarlo sin problemas. Tambien espero no causar alguna violacion de reglas del foro. Disculpas de antemano si asi lo fuese.



Saludos a todos y finalmente ya pueden cerrar el post, porque se ha solucionado el problema.



Efrain

[maura63]

Pues agradecemos la informacion que nos aportas para beneficio de todos.



Y solucionado el tema lo cerramos.



Saludos

maura63