error en rundll(solucionado)

tobi · Mensaje por **tobi** » 30 Jul 2004, 04:19

cuando abro el explorer me aparece la siguiente leyenda# error al cargar wincore.dll" o error al cargar winupd.dll no se puede encontrar el modulo especificado, quisiera saber como lo soluciono, muchas gracias

Mensaje por **msc hotline sat** » 30 Jul 2004, 09:31

Este error se produce al no encontrar las DLL en cuestión, llamadas en el inicio desde una clave del registro de sistema

Elimine las claves de carga de dichas DLL con el BUSCAREG, si las indicadas DLL no son necesarias para ninguna aplicacion, u corresponden a eliminaciones de programas, aplicaciones o troyanos que habian habido en dicho ordenador

BUSCAREG.EXE: BUSCA UNA CADENA EN EL REGISTRO Y PINCHANDO ENCIMA DE LAS ENCONTRADAS PERMITE BORRARLAS MUY FACILMENTE. ADEMAS CREA FICHERO EXPORTACION DEL REGISTRO POR SI SE NECESITA VOLVER ATRAS:

http://www.zonavirus.com/descargas/buscareg.asp

saludos

ms, 30-27-2004

tobi · Mensaje por **tobi** » 30 Jul 2004, 16:16

msc hotline sat escribió:Este error se produce al no encontrar las DLL en cuestion, llamadas en el inicio desde una clave del registro de sistema

Elimine las claves de carga de dichas DLL con el BUSCAREG, si las indicadas DLL no son necesarias para ninguna aplicacion, u corresponden a eliminaciones de programas, aplicaciones o troyanos que habian habido en dicho ordenador

BUSCAREG.EXE: BUSCA UNA CADENA EN EL REGISTRO Y PINCHANDO ENCIMA DE LAS ENCONTRADAS PERMITE BORRARLAS MUY FACILMENTE. ADEMAS CREA FICHERO EXPORTACION DEL REGISTRO POR SI SE NECESITA VOLVER ATRAS:

http://www.zonavirus.com/descargas/buscareg.asp

saludos

ms, 30-27-2004

ya hice lo del buscareg.exe y elimine todo lo que pude, hay cosas que no me dejo eliminar, las tengo que eliminar manualmente?? y si es asi, como las busco??mi windows es el xp
otra cosa, el error que aparece es una ventana de rundll y esta aplicación no la tengo en mi windows, si tengo la rundll32.exe que esta en windows/system32 y que no me permite eliminar.Muchas gracias nuevamente

Mensaje por **maura63** » 30 Jul 2004, 16:39

Ojo

rundll32 - rundll32.exe - Process Information
Process File: rundll32 or rundll32.exe
Process Name: Rundll32
Description: Microsoft "Run a DLL as an App". RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so that they can be used by specific programs or by Windows.
Company: Microsoft Corp.
System Process: Yes
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): No
Common Errors: N/A

Es del sistema para las librerias dinamicas.

Elimina en modo seguro con el BUSCAREG estas
wincore.dll" o winupd.dl

Saludos
maura63

tobi · Mensaje por **tobi** » 31 Jul 2004, 01:33

Hice lo que me dijiste en el buscareg, pero me sigue haciendo el mismo error, ya no se que mas hacer, no se si se te ocurre alguna otra cosa, gracias

Mensaje por **maura63** » 01 Ago 2004, 11:29

Utiliza el buscareg pero desactiva restaurar sistema al tener XP.

Para la limpieza de parasitos en el ordenador es mejor realizarla en modo a prueba de fallos en windows 95 ó 98 y 98(SE) o en modo seguro en windows 2000. A parte si utilizamos windows XP ó ME tendremos que desactivar restaurar sistema, de lo contrario no surtiran efecto los cambios o eliminaciones que se produzcan durante el scaneo del sistema.

Para ello en el escritorio boton secundario del mousse, se abrira una ventana pinchamos en la que pone Restaurar, al abrirse marcaremos la casilla desactivar restaurar sistema, aplicamos y aceptamos.

Despues de esto apagamos el equipo y encendemos pulsando repetidas veces la tecla F8, aparecera una pantalla en negro con varias opciones.

En W95 y W98 seleccionamos modo a prueba de fallos.

En W2000-XP ó ME pulsamos seleccionamos modo seguro.

Al cabo de unos segundos nos aparecera un mensaje advirtiendo que algunos programas no se podran ejecutar, esto es asi, pulsamos sobre aceptar.

Y ahora procedemos a lanzar el antivirus, anti-spyware etc....

Una vez pasado el scan y elimnando virus o spyware etc... lo que encuentren los programas, los cerramos y apagamos el equipo.

Comprobaremos si el problema(as) se han solucionado de ser asi, en W95 W98 o W2000 no tendremos que hacer nada mas. Pero si utilizamos XP ó ME una vez solucionado el problemas volveremos a activar restaurar sistema.

Si no se solucionan y tenemos que ejecutar otras utilidades debemos tener en cuenta lo dicho anteriormente para cada sistema.

Comprueba que lo haces de esta forma segun sistema operativo.

Saludos

maura63

Mensaje por **maura63** » 02 Ago 2004, 11:45

Mensaje aprivado recibido

De: tobi
Para: maura63
Publicado: Lun Ago 02, 2004 3:00 am
Asunto: error en rundll

Ya hice todo lo que me dijiste, por las dudas lo volvi a repetir y me sigue abriendo la ventana rundll error al cargar winupd.dll no se puede encontrar el modulo especificado.
Otra cosa yo lo de restaurar sistema no lo pude hacer con el boton secundario en el escritorio, lo hice en el panel de control/sistema/restaurar sistema ¿ esta bien?, si se te ocurre alguna otra cosa por favor decime, yo ya no se que mas hacer.Muchas gracias nuevamente .

*************************************************************

Todos los mensaje deben ir al foro para conocimiento de todos.

Descarga Ad_aware que al parecer solucionara el problema
Eliminacion de adwares y spywares
Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema

----------------------------------------------------------------
Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com
http://www.zonavirus.com/descargas/spybot-sd.asp

· Ad-aware Personal 6.0 Build 181
Ad-aware es de lo mejorcito. Una genial utilidad que analiza tu PC en busca de ficheros "espía" y te ayuda a eliminarlos de forma segura. Puedes elegir los módulos a eliminar, guardar ficheros de registro y personalizar el menú del programa. Ad-aware encuentra y elimina decenas de programas tipo spyware como: Aureate/Radiate, CometCursor, Cydoor, Conducent/Timesink, Flysway, Gator y Web3000 entre muchos otros.

Descargar Ad-aware Personal 6.0 Build 181 desde zonavirus.com
http://www.zonavirus.com/descargas/ad-a ... curity.asp

Saludos
maura63

Mensaje por **msc hotline sat** » 02 Ago 2004, 13:21

Visto que ha habido problemas con la eliminacion de las claves de carga, y considerando que lo mas probable es que los antispywares no detecten ya el bicho, por no estar (por lo que da el error de carga), hemos estudiado con detenimiento las causas que han podido provocar este error, y vemos que lo que tenía es el troyano, adware TARGETSOFT que está descrito por TREND en la informacion del siguiente link:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ADW_TARGETSOFT.A&VSect=T

Como que la solucion pasa por borrar la carpeta de su nombre dentro de la clave en cuestion, y detener servicio en proceso, en XP, vamos a hacer una utilidad ELITARGA.EXE que facilite la eliminacion de este bicho, o de sus restos, pues si bien lo primero podría hacerse con el SPYBOT, lo segundo, si no existe el gusano, puede no ser detectados los restos por el antispyware usado, y no poder solucionar el problema.

En cualquier caso, si lo soluciona bien, y sino, tenga conocimiento que vamos a hacer esta utilidad que podrá probar bajandola desde esta web en vuanto la terminemos.

saludos

ms, 02-08-2004

Mensaje por **msc hotline sat** » 02 Ago 2004, 15:20

Para este troyano hemos hecho la utilidad ELITARGA, que hemos subido a esta web para que la probeis

http://www.zonavirus.com/descargas/elistara.asp

Debe solucionar los problemas del ERROR, haya o no haya los ficheros gusano, pùes en cualquier caso restaurará las claves que el ytoyano hubiere podido midificar.

saludos

ms, 2-08-2004

tobi · Mensaje por **tobi** » 03 Ago 2004, 15:37

nuevamente segui tus consejos y oh sorpresa lo que me pasa ahora es que no puedo entrar a ningun sitio de internet, ni el outlook, ni el msn y el explorer me dice que la pagina no la puedo ver.

Mensaje por **msc hotline sat** » 03 Ago 2004, 16:45

Como sea que no tenemos muestra de este troyano, la utilidad ELITARGA se limita a ejecutar las instrucciiones indicadas por TREND en:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ADW_TARGETSOFT.A&VSect=T

pero en lugar de hacerlo a mano, poder hacerlo automaticamente, por lo que el que ahora no pueda abrir Internet mas bien puede deberse a otro troyano o alteracion del registro debido a otra causa, pudiendo haber sido anterior a este proceso, ya que de entrada alguna utilidad se había pasado que había borrado a medias dicho troyano, causando el ERROR, motivo de este Tema.

Revisando lo que hace el bicho, lo que propone TREND que se haga para eliminarlo, y lo que nosotros hacemos con la utilidad, todo es coherente, a saber:

________________

ADW_TARGETSOFT.A

Overview Technical Details

In the wild: No

Language: English

Platform: Windows 95, 98, ME, NT, 2000, XP

Encrypted: No

Scan engine needed: 6.740

Discovered: Jun. 8, 2004

Detection available: Jun. 8, 2004

--------------------------------------------------------------------------------

Details:

This adware program may arrive through the Web, manual installation, or as a downloaded program. It also arrives packaged with the famous peer-to-peer (P2P) application called FreeWire.

Upon execution, this adware program downloads updates of the following .DLL files to be used as components of the adware package:

SpOrder.dll
Wincore.dll
CidRules.dll
Inetadpt.dll
WinUpd.dll
Monitor_ch.dat
The updated files are saved in this folder:

%temp%\vupd
It then copies these files from %temp%\vupd to the %System% folder.

(Note: %temp% refers to the temporary folder, which is usually C:\Windows\temp. %System% is the Windows system folder, which is usually C:\Windows\System on Windows 95, 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP.)

On systems running Windows 95, 98, and ME, this adware program modifies WININIT.INI so that it can copy the updated WINUPD.DLL even if the original WINUPD.DLL is in use.

Registry Modification

It creates a number of entries in following registry key:

HKEY_LOCAL_MACHINE\Software\TargetSoft

--------------------------------------------------------------------------------
Analysis by: Broderick Ian Aquilino and Gerald Carsula

Description created: Jun. 8, 2004
Description updated: Jun. 11, 2004

Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing at startup.

Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE\Software\
Still in the left panel, delete the subkey:
TargetSoft

--------------------------------------------------------------------------------
NOTE: If you were not able to terminate the malware process as described in the previous procedure, restart your system.
Removing Services Entries from the Registry

Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following: HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services
In the Services folder, look for the folder WS2IFSL and delete it.
Close Registry Editor.
Deleting Adware File

Open Windows Explorer. Right-click Start and click Explore.
In the left panel, navigate to the Widnows system folder, which is usually C:\Windows\System or C:\WINNT\System32.
In the right panel, locate and delete the following files:
SpOrder.dll
Wincore.dll
CidRules.dll
Inetadpt.dll
WinUpd.dll
Monitor_ch.dat
All files detected as ADW_TARGETSOFT.A.
If one or some of the files can't be deleted, restart in safe mode.
Close Windows Explorer.
__________________________________________

y nuestra utilidad ELITARGA:

HISTORIAL del EliTargetSoft (según Trend)

---v1.0--- (2 de Agosto del 2004)

Elimina los ficheros:

%WinSys%\ SpOrder.dll
%WinSys%\ Wincore.dll
%WinSys%\ CidRules.dll
%WinSys%\ Inetadpt.dll
%WinSys%\ WinUpd.dll
%WinSys%\ Monitor_ch.dat

Si no puede borrar alguno, bajo WinNT lo renombra y bajo Win9x crea un
"WININIT.INI". En ambós casos prepara la reejecución de la aplicación en el
siguiente inicio de Windows, desde la subclave "RunOnce" del registro de
sistema.

Elimina la carpeta "%temp%\ vupd" con todo su contenido.

Y elimina las claves:

"HKLM\ Software\ TargetSoft"
"HKLM\ System\ CurrentControlSet\ Services\ WS2IFSL"

__________________________________________

Por todo ello, creemos que alguna accion anterios pudi haber eliminado alguna clave critica , o qie tenga algun virus o troyano que no sabemos.

Por ello, lance un antivirus actualizado, probando si puede pasar uno ONLINE a base de arrancar en modo seguro con funciones de red, en cyto caso no se pondría en marcha el virus si lo huboera, y un antispyware como el SpyBot y elimine bichos.

Si ni arrancando en modo seguro con funciones de red, pudiera acceder a navegas, edite su fichero HOSTS, no sea que tenga las webs recireccionadas a 127-0-0-2 y no pueda salir de casa .

Y si no encuentra nada con dichas utilidades, ejecute el CMDUNDO.EXE, que restablecerá claves modificadas por los virus, a ver si con esto recuperamos el acceso a Internet

Confiamos que entre todos recuperaremos la normalidad de este equipo. Tengamos informados de sus avances.

saludos

ms, 3-08-2004

PD. Y confirmenos si ya no le sale el ERROR de que RinDLL no encuentra el modulo especificado

tobi · Mensaje por **tobi** » 04 Ago 2004, 05:24

bueno cada vez peor, lo que pude descubrir es que la coneccion no me reconoce el numero de ip de la maquina, se ve que la ha cambiado por un numero que comienza 169.254.... y no me deja cambiarla de ninguna manera, igualmente hice lo que me sugirieron y sigue sin novedad, con respecto al error en rundll al no poder conectarme no te puedo contestar ya que no se si lo hace o no error

Mensaje por **msc hotline sat** » 04 Ago 2004, 10:53

Bueno, lo que nos indica ya no tiene nada que ver con la eliminacion del troyano, sino que tiene desconfuguradp el acceso a Internet.

Visto que indica que no se deja cambiar, baya a Propiedades de Red, desinstale el TCPIP, aplicar cambios, y vuelvalo a instalarlo y vuelva a aplicar cambios, Así debe poder acceder a cambiarlo.

La pregunta de eliminacion del ERROR del RunDLL era simple confirmacion, pero hay la máxima seguridad de haber sido resuelto.

Esperamos que con ello pueda volver a navegar, y en cualquier caso, comentenoslo, gracias

saludos

ms, 4-08-2004

tobi · Mensaje por **tobi** » 04 Ago 2004, 16:29

Tal vez no lo aclare pero tengo XP home, y me figura grisado desinstalar cuando quiero sacar el TCPIP

Mensaje por **msc hotline sat** » 04 Ago 2004, 16:55

A lo mejor no lo tienes instalado, y por eso te falla y además no puedes desinstalarlo,

Mira pues de instalarlo

saludos

ms, 4-08-2004

tobi · Mensaje por **tobi** » 04 Ago 2004, 20:29

Buenas noticias, he vuelto a navegar, les cuento que fue un virus que anduvo por estos lados(argentina) y ataco al los usuarios de fibertel y no reconocia el numero de ip de la maquina.Lo que paso que este bicho se disparo cuando ejecute el ELITARGA para eliminar el error primitivo, asi que no se si uno fue producto del otro o si al hacer esto produjo el problema con el ip, lo concreto que ahora la maquina anda bien y no tengo mas el error mencionado, Muchas gracias por todo y lo que necesiten desde aca.

Mensaje por **cañera** » 04 Ago 2004, 20:32

gracias a ti y ya sabes donde encontrarnos,puedes colaborar pulsando en los banners.

solucionado el problema procedemos a cerrarlo.

Mensaje por **msc hotline sat** » 20 Sep 2004, 18:38

informacion postcierre sobre problema del borrado de dll.

vER EL SIGUIENTE tEMA:

https://foros.zonavirus.com/viewtopic.php?t=2872&highlight=elitarga

SALUDOS

MS, 20-09-2004