Gigas desaparecidas. (Solucionado)

Foro referente al sistema operativo Windows XP
novatillo2
Usuario apantallao
Usuario apantallao
Mensajes: 204
Registrado: 26 Feb 2008, 14:31
Agradecido : 21 veces
Contactar:

Gigas desaparecidas. (Solucionado)

Mensajepor novatillo2 » 09 May 2011, 11:15

Hola, este problema que tengo con un pc de sobremesa Win. Xp Prof. me parece haberlo visto algún día en este foro. Resulta que desaparecen carpetas, como mis imagenes, descargas de Ares, "my sared folder" o algo así etc... Tampoco veo nada en en la pantalla, es decir, desaparecio la papelera y todos los iconos, ademas de la barra inferior de tareas. Para poder ver algo y acceder, instale XP encima, es decir, conservando las carpetas y archivos, y nada, y lo curioso es que se han perdido 70 o 80 GB del disco duro como por arte de magia, que ese es el tema que vi una vez en este foro.
Lo pongo como secundario en otro PC a ver si veo algo?????
Alguna sugerencia?????
Gracias.
Última edición por novatillo2 el 11 May 2011, 21:36, editado 1 vez en total.

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: Gigas desaparecidas.

Mensajepor Souto » 09 May 2011, 15:45

Hola, eso huele a bichería

Si te parece, podríamos realizar una primer exploración:

Descarga la herramienta HIJACKTHIS, instálala y ejecútala. Dale al botón "Do a system scan and save a logfile" , al final esto te mostrará un informe. Pega ese texto aquí en el foro.

Saludos
Qui dove il mare luccica e tira forte il vento

Avatar de Usuario
Dante
Usuario normaliko
Usuario normaliko
Mensajes: 460
Registrado: 12 Nov 2009, 04:28
Ubicación: Santiago de chile
Agradecido : 11 veces
Agradecimiento recibido: 16 veces
Contactar:

Re: Gigas desaparecidas.

Mensajepor Dante » 09 May 2011, 16:05

novatillo2 escribió:instale XP encima, es decir, conservando las carpetas y archivos, y nada, y lo curioso es que se han perdido 70 o 80 GB del disco duro como por arte de magia


Dices haber instalado xp encima de la instalacion anterior con esos problemas .... entonces en la nueva instalacion se crea una carpeta llamada windows.old que probablemente estara en C. ... alli estan todos esos gbs ocupados ... eso suponiendo que en esa instalacion "no" formateaste el disco, en cuyo caso ya no habra nada ... como indica "souto" lo mas probable es que sea malware, para lo cual debes seguir los pasos que te indica, ojo, ejecutar la herramienta hijackthis en la instalacion anterior que tenia todos esos problemas, la instalacion nueva de xp no tendra nada malo .... entonces pregunto... puedes elegir con cual de las dos instalaciones acceder, la la antigua o la nueva .? .. o al iniciar corre automaticamente de la instalacion nueva ?
ImagenLa gente puede venir con estadísticas para probar cualquier cosa. El 14% de la gente sabe eso

novatillo2
Usuario apantallao
Usuario apantallao
Mensajes: 204
Registrado: 26 Feb 2008, 14:31
Agradecido : 21 veces
Contactar:

Re: Gigas desaparecidas.

Mensajepor novatillo2 » 09 May 2011, 21:16

Souto escribió:Hola, eso huele a bichería

Si te parece, podríamos realizar una primer exploración:

Descarga la herramienta HIJACKTHIS, instálala y ejecútala. Dale al botón "Do a system scan and save a logfile" , al final esto te mostrará un informe. Pega ese texto aquí en el foro.

Saludos


Ahi va:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:14:20, on 09/05/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\c9a834fdca6964dbbf2083d28c4eaf48\update\update.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

--
End of file - 1971 bytes

novatillo2
Usuario apantallao
Usuario apantallao
Mensajes: 204
Registrado: 26 Feb 2008, 14:31
Agradecido : 21 veces
Contactar:

Re: Gigas desaparecidas.

Mensajepor novatillo2 » 09 May 2011, 21:25

Dante escribió:
novatillo2 escribió:instale XP encima, es decir, conservando las carpetas y archivos, y nada, y lo curioso es que se han perdido 70 o 80 GB del disco duro como por arte de magia


Dices haber instalado xp encima de la instalacion anterior con esos problemas .... entonces en la nueva instalacion se crea una carpeta llamada windows.old que probablemente estara en C. ... alli estan todos esos gbs ocupados ... eso suponiendo que en esa instalacion "no" formateaste el disco, en cuyo caso ya no habra nada ... como indica "souto" lo mas probable es que sea malware, para lo cual debes seguir los pasos que te indica, ojo, ejecutar la herramienta hijackthis en la instalacion anterior que tenia todos esos problemas, la instalacion nueva de xp no tendra nada malo .... entonces pregunto... puedes elegir con cual de las dos instalaciones acceder, la la antigua o la nueva .? .. o al iniciar corre automaticamente de la instalacion nueva ?


Hola, al ser las dos versiones XP, no pregunta nada al comenzar, comienza o arranca solo, con lo cual no me deja elegir.
No he formateado el disco duro, con lo cual conserva carpetas antiguas.
Ya le he enviado el resultado del informe a "Souto" ahora toca esperar. Gracias por tus consejos socio, saludos.
PD: No sale la carpeta Windows Old, eso creo que solo pasa cuando instalas windows 7.

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: Gigas desaparecidas.

Mensajepor Souto » 09 May 2011, 22:23

Entiendo que lo que has realizado es una reinstalación sin pérdida de datos. No cabe por lo tanto el doble menú que comenta Dante.
Tampoco , por las razones que tu dices (estamos en XP) existe Windows.old

En cualquier caso la incidencia que te trae aquí es anterior a la reinstalación.

El log no me delata nada; pero mantengo mi hipótesis inicial.

Descarga, instala, actualiza y ejecuta un análisis completo (lleva tiempo, déjalo por la noche) con la versión de prueba de Malwarebytes Antimalware

http://www.malwarebytes.org/products/malwarebytes_free

Cuando acabe dile que despache lo que ha encontrado. Generará un informe, pégalo aquí.


Saludos
Qui dove il mare luccica e tira forte il vento

novatillo2
Usuario apantallao
Usuario apantallao
Mensajes: 204
Registrado: 26 Feb 2008, 14:31
Agradecido : 21 veces
Contactar:

Re: Gigas desaparecidas.

Mensajepor novatillo2 » 09 May 2011, 22:26

Souto escribió:Entiendo que lo que has realizado es una reinstalación sin pérdida de datos. No cabe por lo tanto el doble menú que comenta Dante.
Tampoco , por las razones que tu dices (estamos en XP) existe Windows.old

En cualquier caso la incidencia que te trae aquí es anterior a la reinstalación.

El log no me delata nada; pero mantengo mi hipótesis inicial.

Descarga, instala, actualiza y ejecuta un análisis completo (lleva tiempo, déjalo por la noche) con la versión de prueba de Malwarebytes Antimalware

http://www.malwarebytes.org/products/malwarebytes_free

Cuando acabe dile que despache lo que ha encontrado. Generará un informe, pégalo aquí.


Saludos


Asi lo haré, y mañana os cuento.
Saludos.

novatillo2
Usuario apantallao
Usuario apantallao
Mensajes: 204
Registrado: 26 Feb 2008, 14:31
Agradecido : 21 veces
Contactar:

Re: Gigas desaparecidas.

Mensajepor novatillo2 » 10 May 2011, 07:13

Ahi va Souto:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versión de la Base de Datos: 6540

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10/05/2011 8:10:12
mbam-log-2011-05-10 (08-10-12).txt

Tipos de Análisis: Análisis Completo (C:\|)
Objetos examinados: 249306
Tiempo transcurrido: 34 minuto(s), 40 segundo(s)

Procesos en Memoria Infectados: 0
Módulos de Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Archivos Infectados: 8

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos de Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
c:\WINDOWS\$xntuninstall643$ (Adware.AdRotator) -> Quarantined and deleted successfully.

Archivos Infectados:
c:\documents and settings\javier castillo\configuración local\Temp\RarSFX0\officekey.exe (PUP.OficeKey) -> Quarantined and deleted successfully.
c:\Poker\cara de poker\_setuppoker.exe_e62d93.exe (PUP.Casino) -> Quarantined and deleted successfully.
c:\system volume information\_restore{3a0a9365-7640-45a5-83bb-db050b4bb1b9}\RP398\A0152320.sys (Rootkit.Agent.BO) -> Quarantined and deleted successfully.
c:\system volume information\_restore{3a0a9365-7640-45a5-83bb-db050b4bb1b9}\RP415\A0246377.exe (Trojan.Wigon) -> Quarantined and deleted successfully.
c:\system volume information\_restore{3a0a9365-7640-45a5-83bb-db050b4bb1b9}\RP415\A0328780.exe (PUP.Casino) -> Quarantined and deleted successfully.
c:\archivos de programa\Shared\lib.sig (Adware.Deepdive) -> Quarantined and deleted successfully.
c:\documents and settings\JAVI\configuración local\Temp\0.7950291576521269.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\documents and settings\JAVI\configuración local\Temp\0.8263404149472142.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: Gigas desaparecidas.

Mensajepor Souto » 10 May 2011, 08:58

La hipótesis se confirma y el panorama no es muy favorable: Rootkit.Agent.BO.
Estamos en el peor de los escenarios posibles; pero, en fin, hay que intentarlo.

El proceso de limpieza necesariamente será algo más largo ya que al tratarse de
un Rootkik hay que dar por sentado que parte de tu sistema operativo, ha sido en cierta manera suplantado por ese malnacido. Se requieren tareas adicionales de limpieza y una reposición de los archivos legítimos de sistema si queremos tener alguna posibilidad de recuperar lo que falta.

Empieza por aquí, por favor


http://support.kaspersky.com/sp/faq/?qid=208283366


Saludos
Qui dove il mare luccica e tira forte il vento

novatillo2
Usuario apantallao
Usuario apantallao
Mensajes: 204
Registrado: 26 Feb 2008, 14:31
Agradecido : 21 veces
Contactar:

Re: Gigas desaparecidas.

Mensajepor novatillo2 » 10 May 2011, 13:58

Esto es lo que me sale, te envio 3 capturas.

http://imageshack.us/photo/my-images/84 ... cion1.png/
http://imageshack.us/photo/my-images/70 ... cion2.png/

http://imageshack.us/photo/my-images/41 ... cion3.png/

En cualquier caso, ya voy viendo algunas carpetas y archivos viejos, y si mi sobrino lo aprueva, se los salvo y formateo por completo.
Estoy a la espera. Saludos.


Volver a “Windows XP / X64”

¿Quién está conectado?

Usuarios navegando por este Foro: Bing [Bot], Google [Bot] y 6 invitados