Microsoft Visual C++ Runtime Library (SOLUCIONADO)

Cerrado
nyarlathotep
Mensajes: 17
Registrado: 19 Abr 2006, 09:44
Contactar:

Microsoft Visual C++ Runtime Library (SOLUCIONADO)

Mensaje por nyarlathotep » 13 Jun 2006, 09:25

Hola, sospecho que tengo un virus en el ordenador, mi Panda por supuesto no detectaba nada, lo he desinstalado y despues de descomprimir el Avira Antivir y justo antes de instalarlo me salta el siguiente "error":



Microsoft Visual C++ Runtime Library



Runtime error!



Program: C:\WINDOWS\TEMP\RARSFX0\UPGRAPE.EXE



This aplicatio has requested the runtime to terminate it in an unusual way.

Pleas contact the application support tram for more information

-------------



Solo perimite Aceptar.



En el adimistrador de tareas tengo los siguientes procesos:



Explorer

Adeck

Wuauclt

Winmgmt

Osa Qttask

Systray

-------------



He quitado las claves de registro que me parecian sospechosas pero el error sigue saliendo, tambien ocurre en modo a prueba de fallos.



Si intento ejecutar la aplicación de desinfección de Windows me da otro error distinto, igual de inquietante O MAS.



No puedo pasar el antivirus online de CA.



El programa de limpieza de registro "Regcleaner" se instala sin problemas, pero la limpieza de registro no soluciona nada.



El SpyBot Serch&Destroy se instala sin problemas y me permite el escaneo (ahora se está pasando)



He probado a finalizar todos los procesos posibles pero nada.



El SO es un W.ME



Ya no se que hacer... :S



De todas formas voy a seguir intentando mas cosas.



Gracias, un saludo.
"La satisfacción de un momento es la ruina del siguiente"
H. P. Lovecraft.

nyarlathotep
Mensajes: 17
Registrado: 19 Abr 2006, 09:44
Contactar:

Mensaje por nyarlathotep » 13 Jun 2006, 09:33

El Serch&Destroy se pasa correctamente, encuentra spyware, lo elimina, pero no cambia nada del "error"
"La satisfacción de un momento es la ruina del siguiente"
H. P. Lovecraft.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 13 Jun 2006, 09:38

eNVIANOS ESTE FICHERO:



C:\WINDOWS\TEMP\RARSFX0\UPGRAPE.EXE



A zonavirus@satinfo.es anexado a un mail con referencia "REF UPGRAPE"



Tras analizarlo informaremos y en su caso implementarenois su control y eliminacion en nuestras utilidades



Aparte, posteanos log del HJT:





[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]





saludos



ms, 13-6-2006

nyarlathotep
Mensajes: 17
Registrado: 19 Abr 2006, 09:44
Contactar:

Mensaje por nyarlathotep » 13 Jun 2006, 10:08

El path del archivo no existe físicamente, ni oculto ni nada, tampoco encuentra ningun upgrape.exe con la busqueda de windows, el hijackthis suelta:


[quote]Logfile of HijackThis v1.99.1

Scan saved at 10:04:48, on 13/06/2006

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\VIAUDIOI\SBADECK\ADECK.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

C:\WINDOWS\WUAUCLT.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN0\YT.DLL

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AudioDeck] C:\ARCHIVOS DE PROGRAMA\VIAUDIOI\SBADECK\ADECK.EXE 1

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/22a496a30cb867e3a906/netzip/RdxIE601_es.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {3ADBB867-9732-4F8F-BF11-028BD4D2B7B1} (CEngine Control) - http://forumaragon.cae.net/content/global/cursoscae/cengine.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = es

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.235.113.3,195.235.96.90


[/quote]
"La satisfacción de un momento es la ruina del siguiente"
H. P. Lovecraft.

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 13 Jun 2006, 10:25

Estas claves son del Alexa



O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm





Eliminalas con FIX.



Descarga y lanzas esta utilidad



http://www.zonavirus.com/descargas/elistara.asp



Creara un fichero en C:/infosat.txt copianos aqui el resultado del mismo.



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

nyarlathotep
Mensajes: 17
Registrado: 19 Abr 2006, 09:44
Contactar:

Mensaje por nyarlathotep » 13 Jun 2006, 11:00

He borrado los archivos a mano y sus claves de registro correspondientes, no cambia nada.
"La satisfacción de un momento es la ruina del siguiente"
H. P. Lovecraft.

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 13 Jun 2006, 11:09

Has pasado el elistara :?: Mira el fichero que crea infosat.txt e C:/



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

nyarlathotep
Mensajes: 17
Registrado: 19 Abr 2006, 09:44
Contactar:

Mensaje por nyarlathotep » 13 Jun 2006, 11:35

Lo acabo de pasar con éstos resultados:





Tue Jun 13 11:19:52 2006

EliStartPage v11.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\NULL --> Eliminado

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Antes de comenzar el scaneo ha sacado un mensaje diciendo que ha eliminado el troyano RXBar.



Sigue sin dejarme instalar el antivirus. :S:S
"La satisfacción de un momento es la ruina del siguiente"
H. P. Lovecraft.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 13 Jun 2006, 11:53

[quote="maura63"]Descarga y lanzas esta utilidad



http://www.zonavirus.com/descargas/elistara.asp



Creara un fichero en C:/infosat.txt copianos aqui el resultado del mismo.
[/quote]


posteenos el contenido de c:\infosat.txt indicado, gracias



saludos



ms, 133-6-2006

nyarlathotep
Mensajes: 17
Registrado: 19 Abr 2006, 09:44
Contactar:

Mensaje por nyarlathotep » 13 Jun 2006, 11:55

lo del post anterior :P


[quote]Tue Jun 13 11:19:52 2006

EliStartPage v11.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\NULL --> Eliminado

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE [/quote]
"La satisfacción de un momento es la ruina del siguiente"
H. P. Lovecraft.

nyarlathotep
Mensajes: 17
Registrado: 19 Abr 2006, 09:44
Contactar:

Mensaje por nyarlathotep » 13 Jun 2006, 12:02

Estoy probando a instalar un McAfee
"La satisfacción de un momento es la ruina del siguiente"
H. P. Lovecraft.

nyarlathotep
Mensajes: 17
Registrado: 19 Abr 2006, 09:44
Contactar:

Mensaje por nyarlathotep » 13 Jun 2006, 12:06

Instalando y analizando, pero claro, mas lento que un desfile cojos, a ver que me saca (o no) y lo posteo
"La satisfacción de un momento es la ruina del siguiente"
H. P. Lovecraft.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 13 Jun 2006, 12:18

Pues ya había eliminado el ALEXA antes, sino este lo habría encontrado y eliminado.



Lo del RUNTIME ERROR es propio de que el fichero o no se ha ejecutado correctamente por estar degradado o quizas borrado en este caso, pero que es lanzado por alguna aplicacion.


[quote]Microsoft Visual C++ Runtime Library



Runtime error!



Program: C:\WINDOWS\TEMP\RARSFX0\UPGRAPE.EXE



This aplicatio has requested the runtime to terminate it in an unusual way.

Pleas contact the application support tram for more information [/quote]


No se ven claves que lo lancen en el log del HJT, por lo que puede ser cualquier aplicacion que tenga contemplado lanzarla, vaya a saber cual...



Una solucion al estilo parche podría ser crear una copia de un fichero tonto, por ejemplo la calculadora mismo, CALC.EXE con el nombre de UPGRAPE.EXE dentro de C:\WINDOWS\TEMP\RARSFX0\ y reiniciar, viendo do asi se carga la calculadora sin dar error alguno, en cuyo caso ya tendriamos medio trabajo hecho... Y el otro medio sería ver quien lo lanza y eliminar su carga.



Cuentenos el resultado, gracias



saludos



ms, 13-6-2006

nyarlathotep
Mensajes: 17
Registrado: 19 Abr 2006, 09:44
Contactar:

Mensaje por nyarlathotep » 13 Jun 2006, 13:09

El "archivo tonto" se ejecuta sin problemas... ¬¬
"La satisfacción de un momento es la ruina del siguiente"
H. P. Lovecraft.

nyarlathotep
Mensajes: 17
Registrado: 19 Abr 2006, 09:44
Contactar:

Mensaje por nyarlathotep » 13 Jun 2006, 13:18

Y el McAfee no encuentra ningun virus...
"La satisfacción de un momento es la ruina del siguiente"
H. P. Lovecraft.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 13 Jun 2006, 13:21

Pues ahora ya le arranca con la calculadora, sin errores, la cierra y sigue con lo que quiera.



El saber qué aplicacion lo lanza es cuestion de intucion... y suerte



Por la trayectoria puede ser un resto de una instalacion de Nero por ejemplo.



Vea que mas tiene en esta carpeta temporal a ver si adivina de que aplicaciones se trata y la desinstala o elimina su carga en el registro.



saludos



ms, 13-6-2006

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 13 Jun 2006, 13:34

Buscando informacion de dicha carpeta, parece ser que se crea cuando se ejecuta un fichero comprimido con el WINRAR, y ser la que se descomprime el RAR o ZIP temporalmente, si bien no debería ser llamado dicho temporal en el siguiente reinicio.



No sé si puede ser una anomalia del WINRAR (si lo usa pueda tratar de desinstalarlo e instalarlo de nuevo) o de alguna aplicacion (incluso virica) que este programada en el inicio.



Pruebe con el BUSCAREG a bert si le aparece el nombre de UPGRAPE.EXE en el registro y nos lo comenta, gracias:



[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]



saludos



ms, 13-6-2006
Última edición por msc hotline sat el 16 Jun 2006, 21:03, editado 1 vez en total.

nyarlathotep
Mensajes: 17
Registrado: 19 Abr 2006, 09:44
Contactar:

Mensaje por nyarlathotep » 16 Jun 2006, 19:31

Muchas gracias, pero al final lo mandé ATPC y terminé formateando, un saludo, puedes cerrarlo ;)
"La satisfacción de un momento es la ruina del siguiente"
H. P. Lovecraft.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 16 Jun 2006, 21:05

Pues como se dice, muerto el perro se acabó la rabia



Damos por solucionado el Tema y procedemos a cerrarlo



saludos



ms, 16-6-2006

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”