Microsoft Visual C++ Runtime Library (SOLUCIONADO)

nyarlathotep · Mensaje por **nyarlathotep** » 13 Jun 2006, 09:25

Hola, sospecho que tengo un virus en el ordenador, mi Panda por supuesto no detectaba nada, lo he desinstalado y despues de descomprimir el Avira Antivir y justo antes de instalarlo me salta el siguiente "error":

Microsoft Visual C++ Runtime Library

Runtime error!

Program: C:\WINDOWS\TEMP\RARSFX0\UPGRAPE.EXE

This aplicatio has requested the runtime to terminate it in an unusual way.

Pleas contact the application support tram for more information

-------------

Solo perimite Aceptar.

En el adimistrador de tareas tengo los siguientes procesos:

Explorer

Adeck

Wuauclt

Winmgmt

Osa Qttask

Systray

-------------

He quitado las claves de registro que me parecian sospechosas pero el error sigue saliendo, tambien ocurre en modo a prueba de fallos.

Si intento ejecutar la aplicación de desinfección de Windows me da otro error distinto, igual de inquietante O MAS.

No puedo pasar el antivirus online de CA.

El programa de limpieza de registro "Regcleaner" se instala sin problemas, pero la limpieza de registro no soluciona nada.

El SpyBot Serch&Destroy se instala sin problemas y me permite el escaneo (ahora se está pasando)

He probado a finalizar todos los procesos posibles pero nada.

El SO es un W.ME

Ya no se que hacer... :S

De todas formas voy a seguir intentando mas cosas.

Gracias, un saludo.

nyarlathotep · Mensaje por **nyarlathotep** » 13 Jun 2006, 09:33

El Serch&Destroy se pasa correctamente, encuentra spyware, lo elimina, pero no cambia nada del "error"

Mensaje por **msc hotline sat** » 13 Jun 2006, 09:38

eNVIANOS ESTE FICHERO:

C:\WINDOWS\TEMP\RARSFX0\UPGRAPE.EXE

A zonavirus@satinfo.es anexado a un mail con referencia "REF UPGRAPE"

Tras analizarlo informaremos y en su caso implementarenois su control y eliminacion en nuestras utilidades

Aparte, posteanos log del HJT:

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

saludos

ms, 13-6-2006

nyarlathotep · Mensaje por **nyarlathotep** » 13 Jun 2006, 10:08

El path del archivo no existe físicamente, ni oculto ni nada, tampoco encuentra ningun upgrape.exe con la busqueda de windows, el hijackthis suelta:

[quote]Logfile of HijackThis v1.99.1

Scan saved at 10:04:48, on 13/06/2006

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\VIAUDIOI\SBADECK\ADECK.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

C:\WINDOWS\WUAUCLT.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN0\YT.DLL

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AudioDeck] C:\ARCHIVOS DE PROGRAMA\VIAUDIOI\SBADECK\ADECK.EXE 1

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/22a496a30cb867e3a906/netzip/RdxIE601_es.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {3ADBB867-9732-4F8F-BF11-028BD4D2B7B1} (CEngine Control) - http://forumaragon.cae.net/content/global/cursoscae/cengine.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = es

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.235.113.3,195.235.96.90

[/quote]

Mensaje por **maura63** » 13 Jun 2006, 10:25

Estas claves son del Alexa

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Eliminalas con FIX.

Descarga y lanzas esta utilidad

http://www.zonavirus.com/descargas/elistara.asp

Creara un fichero en C:/infosat.txt copianos aqui el resultado del mismo.

Saludos

maura63

nyarlathotep · Mensaje por **nyarlathotep** » 13 Jun 2006, 11:00

He borrado los archivos a mano y sus claves de registro correspondientes, no cambia nada.

Mensaje por **maura63** » 13 Jun 2006, 11:09

Has pasado el elistara :?: Mira el fichero que crea infosat.txt e C:/

Saludos

maura63

nyarlathotep · Mensaje por **nyarlathotep** » 13 Jun 2006, 11:35

Lo acabo de pasar con éstos resultados:

Tue Jun 13 11:19:52 2006

EliStartPage v11.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\NULL --> Eliminado

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Antes de comenzar el scaneo ha sacado un mensaje diciendo que ha eliminado el troyano RXBar.

Sigue sin dejarme instalar el antivirus. :S:S

Mensaje por **msc hotline sat** » 13 Jun 2006, 11:53

[quote="maura63"]Descarga y lanzas esta utilidad

http://www.zonavirus.com/descargas/elistara.asp

Creara un fichero en C:/infosat.txt copianos aqui el resultado del mismo.
[/quote]

posteenos el contenido de c:\infosat.txt indicado, gracias

saludos

ms, 133-6-2006

nyarlathotep · Mensaje por **nyarlathotep** » 13 Jun 2006, 11:55

lo del post anterior :P

[quote]Tue Jun 13 11:19:52 2006

EliStartPage v11.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\NULL --> Eliminado

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE [/quote]

nyarlathotep · Mensaje por **nyarlathotep** » 13 Jun 2006, 12:02

Estoy probando a instalar un McAfee

nyarlathotep · Mensaje por **nyarlathotep** » 13 Jun 2006, 12:06

Instalando y analizando, pero claro, mas lento que un desfile cojos, a ver que me saca (o no) y lo posteo

Mensaje por **msc hotline sat** » 13 Jun 2006, 12:18

Pues ya había eliminado el ALEXA antes, sino este lo habría encontrado y eliminado.

Lo del RUNTIME ERROR es propio de que el fichero o no se ha ejecutado correctamente por estar degradado o quizas borrado en este caso, pero que es lanzado por alguna aplicacion.

[quote]Microsoft Visual C++ Runtime Library

Runtime error!

Program: C:\WINDOWS\TEMP\RARSFX0\UPGRAPE.EXE

This aplicatio has requested the runtime to terminate it in an unusual way.

Pleas contact the application support tram for more information [/quote]

No se ven claves que lo lancen en el log del HJT, por lo que puede ser cualquier aplicacion que tenga contemplado lanzarla, vaya a saber cual...

Una solucion al estilo parche podría ser crear una copia de un fichero tonto, por ejemplo la calculadora mismo, CALC.EXE con el nombre de UPGRAPE.EXE dentro de C:\WINDOWS\TEMP\RARSFX0\ y reiniciar, viendo do asi se carga la calculadora sin dar error alguno, en cuyo caso ya tendriamos medio trabajo hecho... Y el otro medio sería ver quien lo lanza y eliminar su carga.

Cuentenos el resultado, gracias

saludos

ms, 13-6-2006

nyarlathotep · Mensaje por **nyarlathotep** » 13 Jun 2006, 13:09

El "archivo tonto" se ejecuta sin problemas... ¬¬

nyarlathotep · Mensaje por **nyarlathotep** » 13 Jun 2006, 13:18

Y el McAfee no encuentra ningun virus...

Mensaje por **msc hotline sat** » 13 Jun 2006, 13:21

Pues ahora ya le arranca con la calculadora, sin errores, la cierra y sigue con lo que quiera.

El saber qué aplicacion lo lanza es cuestion de intucion... y suerte

Por la trayectoria puede ser un resto de una instalacion de Nero por ejemplo.

Vea que mas tiene en esta carpeta temporal a ver si adivina de que aplicaciones se trata y la desinstala o elimina su carga en el registro.

saludos

ms, 13-6-2006

Mensaje por **msc hotline sat** » 13 Jun 2006, 13:34

Buscando informacion de dicha carpeta, parece ser que se crea cuando se ejecuta un fichero comprimido con el WINRAR, y ser la que se descomprime el RAR o ZIP temporalmente, si bien no debería ser llamado dicho temporal en el siguiente reinicio.

No sé si puede ser una anomalia del WINRAR (si lo usa pueda tratar de desinstalarlo e instalarlo de nuevo) o de alguna aplicacion (incluso virica) que este programada en el inicio.

Pruebe con el BUSCAREG a bert si le aparece el nombre de UPGRAPE.EXE en el registro y nos lo comenta, gracias:

[size=150][color=darkblue]~~[b]~~BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

[url=http://www.zonavirus.com/descargas/buscareg.asp]~~[b]~~Descargar BuscaReg[/b][/url]

saludos

ms, 13-6-2006

nyarlathotep · Mensaje por **nyarlathotep** » 16 Jun 2006, 19:31

Muchas gracias, pero al final lo mandé ATPC y terminé formateando, un saludo, puedes cerrarlo ;)

Mensaje por **msc hotline sat** » 16 Jun 2006, 21:05

Pues como se dice, muerto el perro se acabó la rabia

Damos por solucionado el Tema y procedemos a cerrarlo

saludos

ms, 16-6-2006