Se me cambiaron los archivos .exe por .lnk (SOLUCIONADO)

Harold · Mensaje por **Harold** » 17 Ago 2005, 19:59

Hola, si alguien me puede ayudar con este problema, se lo agradeceria montones ya que me ha pasado en varias ocasiones.

El asunto es que todas las extensiones .exe de los archivos, se me cambian a .lnk, y no me deja ejecutarlos y aun restarurando el sistema a una fecha anterior no se corrige el problema, solo lo he podido corregir formateando la maquina pero ya me ha pasado tres veces.

Ademas me niega el acceso a varias opciones del panel de control entre las cuales esta el firewall, programas instalados, actualizaciones automaticas, etc.

Mensaje por **msc hotline sat** » 17 Ago 2005, 21:11

Parece claro que se trata de un problema por alguna instalacion o desinstalacion de alguna aplicacion que no necesariamente ha de ser virica, sino corrupta o que colisione con otra o que por desinstalarla haya eliminado alguna DLL necesaria.

Como que dices haber formateado ya tres veces y al cabo de un tiempo volver el problema, entiendo que ahora estás sin poder ejecutar nada, pero si pudieras, convendría nos pegaras un log del HiJackThis para poder analizar la posible causa

Si no puedes, mira de Reparar sistema, arrancando con el CD de instalacion y cuando detecta la particion instalada, seleccionar REPARAR, no reinstalar para no perder las

aplicaciones instaladas, Tras ello finaliza con un windowsupdate para actualizar los parches en los nuevos ficheros.

Pero claro, tan importante o mas es saber el problema que te lo causa, por lo que en cuanto pudieras nos pegas un log del HJT para estudiarlo

Han habido algunos casos iguales en el foro, que han acabado formateando, pero no repetitivos como el tuyo. Posiblemente algo que instalas te lo provoca, trataremos de ver lo que es.

Mira de recordar lo ultimo que instalastes o desinstalastes antes de que te pasara esto, a ver si eso nos ayuda...

Por supuesto que sobreentiendo utilizas un antivirus actualizado y demás, pero pasale un ONLINE, no sea caso...

https://www.virustotal.com/es/

Y nos informas como respuesta de este tema, gracias

saludos

ms, 17-08-2005

Harold · Mensaje por **Harold** » 17 Ago 2005, 23:44

Gracias, por responderme.

Primero que todo, si tengo instalado el VIRUSCAN con todas las actualizaciones, ademas del adware-adwath(por cierto este me detecto un error interno cuando me empezo a dar el problema)

Seguidamente descargue el Hijackthis pero no me deja ejecutarlo el sistema ya que es un .exe por lo que no pude generar el log

Finalmente intente reparar la particion con el CD de instalacion.

- Elimino los dll's

- Creo los nuevos archivos

- Pero al instalar windows me dice que no puede abrir el archivo RUNDLL32.exe por lo que no puede continuar instalando.

Me da la opcion de buscar en internet el programa para abrirlo pero no hay nada, ademas me da la opcion de buscar yo el programa para abrirlo en mi PC pero nose cual es.

Creo que estoy peor, me podrias ayudar. No puedo hacer nada a menos que empieza a formatear que no queria.

Mensaje por **msc hotline sat** » 18 Ago 2005, 11:39

Lo del HiJackThis me lo temía, pero el fallo al REPARAR el sistema no...

Dices "elimino los DLL's"

Eso lo haces tú o el REPARAR del CD ???

Luego dices "Pero al instalar windows me dice que no puede abrir el archivo RUNDLL32.exe por lo que no puede continuar instalando"

No hay que instalar windows, pues ya está instalado ??? solo se deben sobreescribir los ficheros de sistema ya existentes, que es lo que hace el REPARAR, y luego actualizar en ellos los parches con el windowsupdate

En cualquier caso, si encuentra a faltar el RUNDLL32.EXE, copialo desde cualquier parte a la carpeta de sistema. c:\windows\system32 y prueba de nuevo

Quizas todo el problema resida en que la zona de este fichero esté dañada. Enseguida que puedas arrancar en modo seguro, lanza un scandisk o REPARAR ERRORES

Y cuentanos el resultado como respuesta a este Tema. gracias

saludos

ms, 18-08-2005

Harold · Mensaje por **Harold** » 18 Ago 2005, 17:42

Hola,

El problema que se me presento al no poder abrir RUNDLL32.exe, la eliminacion de dll's y creaciòn de archivos nuevamente, fue cuando intente reparar windows desde el CD.

Con esto windows no se instalo nuevamente, sino que se reinstalaron algunos archivos, pero la unica forma de poder continuar con esto, fue pulsando cancelar a la opcion que se me presentaba de buscar el programa para abrir el archivo RUNDLL32.exe, una vez que cancele esta se me desplegaron otros .exe por abrir, igual los cancele. Una vez que termino la reparacion, windows inicio, unicamente sin drivers, todo lo demas intacto pero el problema nose corrigió, osea todavia no se podian abrir los .exe ya que tenian extension .lnk

Debido a que ocupaba urgentemente la maquina, debi formatearla, no me quedo de otra. Pero queria preguntarte si servira de algo enviarte el log de hijackthis ya que tengo practicamente todo lo mismo instalado, como para saber si se debe a problema entre programas.

Otra pregunta, parece que el programa que detecta el problema es el AdWare(Ad-Watch) que tengo instalado, sera este software el que activa este tipo de problema al detectarlo, me refiero a que si seria mejor no instalarlo?

Espero tu respuesta. Muchas Gracias.

Mensaje por **msc hotline sat** » 18 Ago 2005, 18:03

Entiendo que lo que no encontró fué eñ RUNDLL32.EXE porque los EXE los había renombrado a .lnk, como ya indicaste.

No creo que sea culpa del AD_AWARE, pero en la duda no lo utilices, por si por la deteccion de algo tuviera programada alguna funcion que en este caso resultara perjudicial.

Y puedes pegarnos el log antiguo, aunque hayas formateado, para hacer la autopsia al cadaver... De cirujanos ahora a forenses !!!

Envianoslo a esta morgue, en un post como respuesta de este Tema, gracias

saludos

ms, 18-08-2005

Harold · Mensaje por **Harold** » 19 Ago 2005, 21:33

Lastima que no pude obtener un log hijackthis cuando la maquina tenia el problema ya este no me lo permitio, pero te mando a continuaciòn el log una vez formateada, le instale casi todo igual, no creo que te sirva de mucho pero bueno.

Instale casi todo, excepto:

- Kazaa 3.0

- DivX 5.0

- DVD Converter

- Ad-Aware

- Un software para conectar dispositivos Bluetooh.

Me suena que pueda ser Kazza que atrae mucho virus.

Aqui esta el log:

Logfile of HijackThis v1.99.1

Scan saved at 10:32:22 a.m., on 19/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\ARCHIV~1\DAP\DAP.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\ARCHIV~1\MICROS~2\OFFICE11\OUTLOOK.EXE

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Archivos de programa\Unisys\WebEnabler\WebEnabler.exe

C:\Archivos de programa\Unisys\WebEnabler\WebEnabler.exe

C:\Archivos de programa\Unisys\WebEnabler\WebEnabler.exe

C:\Archivos de programa\Unisys\WebEnabler\WebEnabler.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\Documents and Settings\hagonz\Escritorio\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = icetel.ice

O17 - HKLM\Software\..\Telephony: DomainName = icetel.ice

O17 - HKLM\System\CCS\Services\Tcpip\..\{43B562BB-E006-48BC-847E-2A916241DBA6}: Domain = icetel.ice

O17 - HKLM\System\CCS\Services\Tcpip\..\{43B562BB-E006-48BC-847E-2A916241DBA6}: NameServer = 10.129.20.21,208.165.63.66

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = icetel.ice

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ICETEL,ICE

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ICETEL,ICE

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

Gracias.

Mensaje por **msc hotline sat** » 20 Ago 2005, 13:05

Pues ante todo decirte que además de los virus que podías haberte bajado con el Kazaa, la misma utilidad ingresaba spywares en el ordenador, asi que por doble motivo harás bien en no volverlo a instalar.

Lo que si que has instalado es el Downloader accederator (DAP) que tambien es conocido que ingresa malwares.

Y del log del HJT se aprecia que tienes 4 veces cargada la aplicacion WEBenabler.exe QUE NO SÉ LO QUÉ ES, pero pinta muy raro una aplicacion (que no sea el lanzador de tareas de windows) que aparezca cargada 4 veces ???

Y sobre las demás claves, incluyendo lo del DAP indicado anteriormente, conviene que elimines estas tres:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE

y evitando lo del Kazaa y lo del DAP, y a ver si aclaras lo del WebEnable, sigue con el resto que aparentemente es normal, y cuidado con lo que instalas nuevo ...!!!

saludos

ms, 20-08-2005

Harold · Mensaje por **Harold** » 22 Ago 2005, 15:41

En cuanto a la aplicacion WEB Enabled en un emulador de programación en LINC, la cual si tenia ejecutando 4 veces simultaneas.

Y en cuanto a eliminar esas llaves que me dices, supongo que es deinstalarlas?.

Con respecto a los demas mejor no lo instalare en caso de que sea muy necesario.

Muchas Gracias.

Mensaje por **msc hotline sat** » 22 Ago 2005, 16:02

Si se trata de aplicaciones instaladas, mira si desinstalandolas al volver a lanzar el HJT ya no aparecen estas claves, pues a veces la desinstalacion no las elimina completamemte dejamdo restos. En tal caso las seleccionas en el HJT y las eliminas con FIX

La cuestion es evitar que se repita la historia del cambio de EXE a LNK.

Y ya con esto se onsidera solucionado el problema y se procede a cerrarlo. Si se reprodujera, comentanoslo en un Tema nuevo haciendo referencia a este:

https://foros.zonavirus.com/viewtopic.php?p=37873#37873

saludos

ms, 22-08-2005