recuperar datos

Foro referente al sistema operativo Windows XP
cocacolo
Usuario linuxero
Usuario linuxero
Mensajes: 40
Registrado: 24 Ene 2010, 10:26
Contactar:

recuperar datos

Mensajepor cocacolo » 24 Ene 2010, 10:28

tengo windows xp, se mw fue la luz y el equipo no arrancaba ni en modo seguro, mi cuñado empezo a enredar y arranco, teniamos dos sesiones creadas para dos usuarios, una para mi y otra para mi hija, ahora solo aparece mi sesion, la de mi hija no aparece, ni siquiera la opciom cambiar de sesion, seria posible recuperar los datos de la sesion de mi hija del disco duro, es decir de la sesion que no me aparece, son los datos que me interesan pues tiene cosas del colegio que tiene que rescatar, gracias, un saludo

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: recuperar datos

Mensajepor Souto » 24 Ene 2010, 12:11

Hola, bienvenido.
De momento lo único que tenemos es un usuario oculto, espero no gafarla; pero no hay porqué pensar que los datos se hayan perdido. Como mucho se habrá dañado el perfirl de esa usuaria, pero los datos debieran estar ahí.
Miremos primero, si te parece, si existe esa usuaria

1.Pulsa reiteradamente F8 nada más encender el equipo, deberían mostrarse los modos de inicio avanzados. Posiciónte sobre "Modo seguro" y comprueba si además de tu cuenta y la de Administrador, se muestra ahí la de tu hija.

2. Independientemente del resultado de lo anterior, copia en bloc de notas el texto que más abajo te pongo en azul. Guárdalo en Escritorio con cualquier nombre (winlogon, por ejemplo); pero antes de dar en Guardar como pulsa sobre Tipo para que en lugar de *.txt muestre Todos los archivos. Ahora, ya sí, lo guardas como winlogon.bat
Doble clic sobre ese archivo y se mostrará un texto. Cópialo y pégalo en el foro

C:\Windows\system32\reg.exe query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /s>>Winlogon.txt
start notepad Winlogon.txt



Saludos
Qui dove il mare luccica e tira forte il vento

cocacolo
Usuario linuxero
Usuario linuxero
Mensajes: 40
Registrado: 24 Ene 2010, 10:26
Contactar:

Re: recuperar datos

Mensajepor cocacolo » 24 Ene 2010, 13:52

no me deja conectarme en modo seguro, se queda bloqueado

cocacolo
Usuario linuxero
Usuario linuxero
Mensajes: 40
Registrado: 24 Ene 2010, 10:26
Contactar:

Re: recuperar datos

Mensajepor cocacolo » 24 Ene 2010, 14:18

he hecho esto

c, documentos and settings, users o usuarios,

me aparece la carpeta con el nombre de mi hija, pero cuando le doy a propiedas me dice que esta vacia, he perdido todos los datos? estoy intentando con programas recuperadores pero lo unico que me encuentra son archivos temporales y poco mas, ni sus fotos ni musica ni nada que le interese, quisiera poder saber la manera de recuperarlos y formatear el disco, si formateo y vuelvo a instalar el sistema operativo tendria posibilidad de recuperarlos? por favor ayudenme, gracias

Avatar de Usuario
medDelfin
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 2031
Registrado: 12 Feb 2008, 06:24
Ubicación: Alicante/España
Agradecido : 5 veces
Agradecimiento recibido: 96 veces
Contactar:

Re: recuperar datos

Mensajepor medDelfin » 24 Ene 2010, 18:37

cocacolo escribió:no me deja conectarme en modo seguro, se queda bloqueado
¿Estás seguro que queda bloqueado? :roll:
En muchos casos, es preciso un poco de paciencia. Puede tardar unos minutos en desaparecer esa pantalla negra (como si estuviera apagado el PC) para luego mostrarte la página de inicio en Modo seguro.

Vuelve a intentarlo. Y quítate de la cabeza el término formatear. Con ello perderás TODO lo que hay en el disco duro (incluyendo los controladores de tus dispositivos).
cocacolo escribió:me aparece la carpeta con el nombre de mi hija, pero cuando le doy a propiedas me dice que esta vacia, he perdido todos los datos?
No. No los has perdido. Están allí.
Realiza el paso inicial que te ha indicado Souto (en Modo seguro) y si te muestra la opción de entrar en la cuenta Administrador (que debería existir). También depende de la configuración de inicio que tengas... :roll:

Otra cosa que puedes hacer (corriendo Windows normalmente) es: en Inicio > Ejecutar escribir control userpasswords2 y Aceptas.
Debería mostrarte en "Usuarios de este equipo" al menos esas tres cuentas (la de Administrador, la tuya y la de tu hija).

Nos cuentas. Un saludo.

P.D. (Editado)
Souto escribió:1.Pulsa reiteradamente F8 nada más encender el equipo, deberían mostrarse los modos de inicio avanzados.
Si con la técnica de F8 no lo consigues, tenemos otras dos formas de entrar a las Opciones avanzadas de inicio de Windows. En caso necesario, te daremos las pautas necesarias.
Imagen
"En los momentos de crisis, es mas importante la imaginación... que el conocimiento.."
- Albert Eistein -

cocacolo
Usuario linuxero
Usuario linuxero
Mensajes: 40
Registrado: 24 Ene 2010, 10:26
Contactar:

Re: recuperar datos

Mensajepor cocacolo » 24 Ene 2010, 19:17

me aparecen cuatro cuentas,

administrador, la mia, la de mi hija y una que pone ASPNET ususarios, que puedo hacer con esto?

Avatar de Usuario
medDelfin
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 2031
Registrado: 12 Feb 2008, 06:24
Ubicación: Alicante/España
Agradecido : 5 veces
Agradecimiento recibido: 96 veces
Contactar:

Re: recuperar datos

Mensajepor medDelfin » 24 Ene 2010, 20:14

cocacolo escribió:administrador, la mia, la de mi hija y una que pone ASPNET ususarios, que puedo hacer con esto?
Nada. Es correcta la configuración.

Realiza lo indicado:
Souto escribió:2. Independientemente del resultado de lo anterior, copia en bloc de notas el texto que más abajo te pongo en azul. Guárdalo en Escritorio con cualquier nombre (winlogon, por ejemplo); pero antes de dar en Guardar como pulsa sobre Tipo para que en lugar de *.txt muestre Todos los archivos. Ahora, ya sí, lo guardas como winlogon.bat en el escritorio
Doble clic sobre ese archivo y se mostrará un texto. Cópialo y pégalo en el foro

C:\Windows\system32\reg.exe query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /s>>Winlogon.txt
start notepad Winlogon.txt

Lugo veremos otras cuestiones. Saludos.
Imagen
"En los momentos de crisis, es mas importante la imaginación... que el conocimiento.."
- Albert Eistein -

cocacolo
Usuario linuxero
Usuario linuxero
Mensajes: 40
Registrado: 24 Ene 2010, 10:26
Contactar:

Re: recuperar datos

Mensajepor cocacolo » 24 Ene 2010, 20:58

este es el resultado
! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
AutoRestartShell REG_DWORD 0x1
DefaultDomainName REG_SZ PACO
DefaultUserName REG_SZ Francisco
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 0
ReportBootOk REG_SZ 1
Shell REG_SZ Explorer.exe
ShutdownWithoutLogon REG_SZ 0
System REG_SZ
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
SfcQuota REG_DWORD 0xffffffff
allocatecdroms REG_SZ 0
allocatedasd REG_SZ 0
allocatefloppies REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0x0
passwordexpirywarning REG_DWORD 0xe
scremoveoption REG_SZ 0
AllowMultipleTSSessions REG_DWORD 0x1
UIHost REG_EXPAND_SZ logonui.exe
LogonType REG_DWORD 0x0
Background REG_SZ 0 0 0
DebugServerCommand REG_SZ no
SFCDisable REG_DWORD 0x0
WinStationsDisabled REG_SZ 0
HibernationPreviouslyEnabled REG_DWORD 0x1
ShowLogonOptions REG_DWORD 0x1
AltDefaultUserName REG_SZ Francisco
AltDefaultDomainName REG_SZ PACO
AutoAdminLogon REG_SZ 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63}
<Sin nombre> REG_SZ Inalámbrico
ProcessGroupPolicy REG_SZ ProcessWIRELESSPolicy
DllName REG_EXPAND_SZ gptext.dll
NoUserPolicy REG_DWORD 0x1
NoGPOListChanges REG_DWORD 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{25537BA6-77A8-11D2-9B6C-0000F8080861}
<Sin nombre> REG_SZ Folder Redirection
ProcessGroupPolicyEx REG_SZ ProcessGroupPolicyEx
DllName REG_EXPAND_SZ fdeploy.dll
NoMachinePolicy REG_DWORD 0x1
NoSlowLink REG_DWORD 0x1
PerUserLocalSettings REG_DWORD 0x1
NoGPOListChanges REG_DWORD 0x0
NoBackgroundPolicy REG_DWORD 0x0
GenerateGroupPolicy REG_SZ GenerateGroupPolicy
EventSources REG_MULTI_SZ (Folder Redirection,Application)\0\0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{3610eda5-77ef-11d2-8dc5-00c04fa31a66}
<Sin nombre> REG_SZ Cuota de discos de Microsoft
NoMachinePolicy REG_DWORD 0x0
NoUserPolicy REG_DWORD 0x1
NoSlowLink REG_DWORD 0x1
NoBackgroundPolicy REG_DWORD 0x1
NoGPOListChanges REG_DWORD 0x1
PerUserLocalSettings REG_DWORD 0x0
RequiresSuccessfulRegistry REG_DWORD 0x1
EnableAsynchronousProcessing REG_DWORD 0x0
DllName REG_EXPAND_SZ dskquota.dll
ProcessGroupPolicy REG_SZ ProcessGroupPolicy

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{426031c0-0b47-4852-b0ca-ac3d37bfcb39}
<Sin nombre> REG_SZ Programador de paquetes QoS
ProcessGroupPolicy REG_SZ ProcessPSCHEDPolicy
DllName REG_EXPAND_SZ gptext.dll
NoUserPolicy REG_DWORD 0x1
NoGPOListChanges REG_DWORD 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{42B5FAAE-6536-11d2-AE5A-0000F87571E3}
<Sin nombre> REG_SZ Secuencias de comandos
ProcessGroupPolicy REG_SZ ProcessScriptsGroupPolicy
ProcessGroupPolicyEx REG_SZ ProcessScriptsGroupPolicyEx
GenerateGroupPolicy REG_SZ GenerateScriptsGroupPolicy
DllName REG_EXPAND_SZ gptext.dll
NoSlowLink REG_DWORD 0x1
NoGPOListChanges REG_DWORD 0x1
NotifyLinkTransition REG_DWORD 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}
<Sin nombre> REG_SZ Internet Explorer Zonemapping
DllName REG_EXPAND_SZ iedkcs32.dll
ProcessGroupPolicy REG_SZ ProcessGroupPolicyForZoneMap
NoGPOListChanges REG_DWORD 0x1
RequiresSucessfulRegistry REG_DWORD 0x1
DisplayName REG_EXPAND_SZ @iedkcs32.dll,-3051

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
ProcessGroupPolicy REG_SZ SceProcessSecurityPolicyGPO
GenerateGroupPolicy REG_SZ SceGenerateGroupPolicy
ExtensionRsopPlanningDebugLevel REG_DWORD 0x1
ProcessGroupPolicyEx REG_SZ SceProcessSecurityPolicyGPOEx
ExtensionDebugLevel REG_DWORD 0x1
DllName REG_EXPAND_SZ scecli.dll
<Sin nombre> REG_SZ Security
NoUserPolicy REG_DWORD 0x1
NoGPOListChanges REG_DWORD 0x1
EnableAsynchronousProcessing REG_DWORD 0x1
MaxNoGPOListChangesInterval REG_DWORD 0x3c0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}
ProcessGroupPolicyEx REG_SZ ProcessGroupPolicyEx
GenerateGroupPolicy REG_SZ GenerateGroupPolicy
ProcessGroupPolicy REG_SZ ProcessGroupPolicy
DllName REG_EXPAND_SZ iedkcs32.dll
<Sin nombre> REG_SZ Personalización de Internet Explorer
NoSlowLink REG_DWORD 0x1
NoBackgroundPolicy REG_DWORD 0x0
NoGPOListChanges REG_DWORD 0x1
NoMachinePolicy REG_DWORD 0x1
DisplayName REG_EXPAND_SZ @iedkcs32.dll,-3014

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}
ProcessGroupPolicy REG_SZ SceProcessEFSRecoveryGPO
DllName REG_EXPAND_SZ scecli.dll
<Sin nombre> REG_SZ EFS recovery
NoUserPolicy REG_DWORD 0x1
NoGPOListChanges REG_DWORD 0x1
RequiresSuccessfulRegistry REG_DWORD 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}
<Sin nombre> REG_SZ Instalación de software
DllName REG_EXPAND_SZ appmgmts.dll
ProcessGroupPolicyEx REG_SZ ProcessGroupPolicyObjectsEx
GenerateGroupPolicy REG_SZ GenerateGroupPolicy
NoBackgroundPolicy REG_DWORD 0x0
RequiresSucessfulRegistry REG_DWORD 0x0
NoSlowLink REG_DWORD 0x1
PerUserLocalSettings REG_DWORD 0x1
EventSources REG_MULTI_SZ (Application Management,Application)\0(MsiInstaller,Application)\0\0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{e437bc1c-aa7d-11d2-a382-00c04f991e27}
<Sin nombre> REG_SZ Seguridad IP
ProcessGroupPolicy REG_SZ ProcessIPSECPolicy
DllName REG_EXPAND_SZ gptext.dll
NoUserPolicy REG_DWORD 0x1
NoGPOListChanges REG_DWORD 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
Asynchronous REG_DWORD 0x0
Impersonate REG_DWORD 0x0
DllName REG_EXPAND_SZ crypt32.dll
Logoff REG_SZ ChainWlxLogoffEvent

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
Asynchronous REG_DWORD 0x0
Impersonate REG_DWORD 0x0
DllName REG_EXPAND_SZ cryptnet.dll
Logoff REG_SZ CryptnetWlxLogoffEvent

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
DLLName REG_SZ cscdll.dll
Logon REG_SZ WinlogonLogonEvent
Logoff REG_SZ WinlogonLogoffEvent
ScreenSaver REG_SZ WinlogonScreenSaverEvent
Startup REG_SZ WinlogonStartupEvent
Shutdown REG_SZ WinlogonShutdownEvent
StartShell REG_SZ WinlogonStartShellEvent
Impersonate REG_DWORD 0x0
Asynchronous REG_DWORD 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
DLLName REG_SZ wlnotify.dll
Logon REG_SZ SCardStartCertProp
Logoff REG_SZ SCardStopCertProp
Lock REG_SZ SCardSuspendCertProp
Unlock REG_SZ SCardResumeCertProp
Enabled REG_DWORD 0x1
Impersonate REG_DWORD 0x1
Asynchronous REG_DWORD 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
Asynchronous REG_DWORD 0x0
DllName REG_EXPAND_SZ wlnotify.dll
Impersonate REG_DWORD 0x0
StartShell REG_SZ SchedStartShell
Logoff REG_SZ SchedEventLogOff

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
Logoff REG_SZ WLEventLogoff
Impersonate REG_DWORD 0x0
Asynchronous REG_DWORD 0x1
DllName REG_EXPAND_SZ sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
DLLName REG_SZ WlNotify.dll
Lock REG_SZ SensLockEvent
Logon REG_SZ SensLogonEvent
Logoff REG_SZ SensLogoffEvent
Safe REG_DWORD 0x1
MaxWait REG_DWORD 0x258
StartScreenSaver REG_SZ SensStartScreenSaverEvent
StopScreenSaver REG_SZ SensStopScreenSaverEvent
Startup REG_SZ SensStartupEvent
Shutdown REG_SZ SensShutdownEvent
StartShell REG_SZ SensStartShellEvent
PostShell REG_SZ SensPostShellEvent
Disconnect REG_SZ SensDisconnectEvent
Reconnect REG_SZ SensReconnectEvent
Unlock REG_SZ SensUnlockEvent
Impersonate REG_DWORD 0x1
Asynchronous REG_DWORD 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
Asynchronous REG_DWORD 0x0
DllName REG_EXPAND_SZ wlnotify.dll
Impersonate REG_DWORD 0x0
Logoff REG_SZ TSEventLogoff
Logon REG_SZ TSEventLogon
PostShell REG_SZ TSEventPostShell
Shutdown REG_SZ TSEventShutdown
StartShell REG_SZ TSEventStartShell
Startup REG_SZ TSEventStartup
MaxWait REG_DWORD 0x258
Reconnect REG_SZ TSEventReconnect
Disconnect REG_SZ TSEventDisconnect

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon
Logon REG_SZ WLEventLogon
Logoff REG_SZ WLEventLogoff
Startup REG_SZ WLEventStartup
Shutdown REG_SZ WLEventShutdown
StartScreenSaver REG_SZ WLEventStartScreenSaver
StopScreenSaver REG_SZ WLEventStopScreenSaver
Lock REG_SZ WLEventLock
Unlock REG_SZ WLEventUnlock
StartShell REG_SZ WLEventStartShell
PostShell REG_SZ WLEventPostShell
Disconnect REG_SZ WLEventDisconnect
Reconnect REG_SZ WLEventReconnect
Impersonate REG_DWORD 0x1
Asynchronous REG_DWORD 0x0
SafeMode REG_DWORD 0x0
MaxWait REG_DWORD 0xffffffff
DllName REG_EXPAND_SZ WgaLogon.dll
Event REG_DWORD 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\Settings
Data REG_BINARY 01000000D08C9DDF0115D1118C7A00C04FC297EB01000000DE5D4136B30BDA499D3A6736C0C1B6D504000000040000005300000003660000A80000001000000003503EDD032BD381F2BD40D493172ABA0000000004800000A0000000100000006BDDA7FD11797D420119686020E84C90700200004FB57585EFB72DCF196CF087E64685023D583A20AFDB68AFD16648039B94C7ADA9887A17EFBE5D59D924C9295BB74E2417F90ECBD95C312C27186F813915C0E7EAB36AE10D01A59C39B85E48C86553C99A796EAA211FFC9B34DCB6566F4D5CC1E7EA7EC69DE454EA9076BAAAB04DC9BE151E3BE06024978A690907A74981E4E8FF5F69DEA2D622DB86937749BB5DDCB89C07CAD1F51500996ADCBDE97FC03A804A074572FF50F3350B0973896C322963F01E1F3C3C1C17A725F42F809AD68AD5C2C8F165050ADD2E9E7BB5A56428C882652739C8FE68B74A572AD9BB3479AA04676B3D6AA2083B889E7B415DE24BC27BCE19E5B9C2E7FF8795E120B03D71BE0C2CBCC0A353E64A65749B29B814A3EEAF018F7B87DFFD29348F3DC8C8EC405F100DE64070255E1D2337ABE6211BE963216CE2CAF77B392B64CF6849C407A4D5A319BA321801D60E379A09488215F6F1A37E990ABC39C340183ABA5E8668B56941C7B9B3C55AA99432071C6878A7F3A8569650D24FEA249E70CC3721BE90C8EEB7472DCB561A9887E2E239249E9CC9350ACE607CA2F0B4943F5E4826F20656DD1AFEB6B70142F771301684E73AB5B7A054F51DB56A428D42E12509D83368D98DB5CA0B04C140AE09C4E7F689773FF788613C04D31535856CCCD4E015429150B785B3003E3AF68AB1C06DEBF411FB02785F0A260313934DE3371508D7D58E84923E13B083903B6DA51F1184764F95EFEC2A9232A3025707600A94F180432C4D0CBC8DD7747CD128718DF863FA3AB9143C52DE5390DA180F05C702C401C9C410683EB4C887F4A9D3B4D2980113889517B74A771ECCFD14BF734AD69862CC8D825F0663E5AE0D0027CC25D9AAA310435C85C31400000011D2B26DEACAA3F3E1490945DC2FDDE3F2B25943
OData REG_BINARY 01000000D08C9DDF0115D1118C7A00C04FC297EB01000000DE5D4136B30BDA499D3A6736C0C1B6D504000000040000005300000003660000A8000000100000004928572730067A3845248C28B27D21DA0000000004800000A00000001000000036AD36DDCA822C986CB1C87EB2939955300300003DA6A3B522DDDBD1872F7C66D0076548256071C34689F146F70F3587F8E657523498E302235F1CEB4EB44B137E85373C0B39B31A088E1286BE7FB2CBE833066E6C4719855CF3BC5A62BFF57C852FD57E256C5225E775DC1363FB2B1BA101176E6A3B5BD22657671B416B3D8A2FDA71201287B34CAE79E9B27AA7F73940B03A5DF4C4ACC84BE5E88D27B5C56D9CACC98AF01E5B76D8509810830BD6AF085FCD94C076E42489EC6CAD8AA5D91F6BAB853454DD8EBF391CEDD302F83AA835D6CA43781B7DFFBB610452625580D01F0CB0E8E56FD746D27F8AAEE0AB8CD203CA9F8F5DC35075211D051DBC3FA92D07864C134B71CB1A99A40AE090CA622453274D2BDEA6342926EEC56E9DD5AB231B47E1AB6B8F28DCE05C7A5D368FC35B7BA76F03DFFABD00F645C32D02AF7D287DE1419C22B5600DEA5036FF6F1F661953A8C26E780D976A7FA666219E4E4AC2EC64ED08A284CC460D25EB479CA0C543ABD2DEE77CF0D095F1489A7B80348BF1BD842866F9D0A4C80248B1D87CBCB8FC21AD8452B42C2ACAECF2AA8CD7018D7183E9CC87252449CD4848C2889241E17F629F6F845CE829AFBB173F14CB6E164FC3F45B972D402109CF78F6E1C2E9541C65D420CFBCAEB2A297156D4972B4DC9F7732AF430CD63593C6C3A4049AA204E53684C8156F367E7D0B70A879DDC85738F4BD15AFB6F59DB3FC8527DA5FCAB340A72F73FE9D76DBADF6DC9509DBA21F211E95176684D204EA495926ADB04205D4F5C38028ECB54500849E3D48F4F754B3D06B297E0A955F0B19863DB7056E1B17F20EDA66DF38B0058B14898EF8202A52F7E0212892A74930B621010AF421E1C06FD1866F1E1DD7A546F2E087E7F786762D17F89111B2BF11CE70C0DEC407CEC4E8F9E33DB1D5754DDB46AFF542336F5983317D9B54B7EAC7DA34E4FFEB05046B14F773795487102C5BE2328364B3DC48F235A6988F475DDAB7E05C056EB8AB38CC9689220B151919EF82A0F8C4FD0D6D5E3C77462FDB1658B18E0C44279236433DFB0F6D573E0536660A8FF629EBFAA5BB9A476B8F09B149FBB38676D63E19C1D56ACC03E0891A84C304D334761856169496F84A52CE3054543F8ED330908DF478FB85473E62F6B9AC504DC8DDEB90990FDA4D13140000004CCECA54CCE9EC910485C058552CDE2D92846BD1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
DLLName REG_SZ wlnotify.dll
Logon REG_SZ RegisterTicketExpiredNotificationEvent
Logoff REG_SZ UnregisterTicketExpiredNotificationEvent
Impersonate REG_DWORD 0x1
Asynchronous REG_DWORD 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SCLogon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
Asistente de ayuda REG_DWORD 0x0
TsInternetUser REG_DWORD 0x0
SQLAgentCmdExec REG_DWORD 0x0
NetShowServices REG_DWORD 0x0
HelpAssistant REG_DWORD 0x0
IWAM_ REG_DWORD 0x10000
IUSR_ REG_DWORD 0x10000
VUSR_ REG_DWORD 0x10000
ASPNET REG_DWORD 0x0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Credentials

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: recuperar datos

Mensajepor Souto » 24 Ene 2010, 21:15

La verdad ya no he enredado mucho en leer tu log porque una entrada ya nos está indicando que tienes el inicio de sesión corrupto. Lo que te ha sucedido no es fruto de un apagón sino de (¡vaya rima más simplona!) de una infección. Como mínimo tienes un troyano de la peor especie.

Esta entrada del log lo delata
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
El Userinit normal no tiene ese añadido, simplemente dice
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,

Quizá no estés práctico en editar el Registro (si es así, lo dices y te lo detallo paso a paso), pero a poco cuidadoso que seas no debiera suponerte ninguna dificultad realizar la modificación de Userinit y eliminar el añadido tal como en este post

inicio-w7-y-aparece-biblioteca-windows-explorer-solucionado-t6875.html?hilit=Userinit

le indico a jjcastroi.

A continuación pasa el Malwarebytes tal como ha hecho él y una vez realizado todo esto hablaremos de recuperar lo de tu niña, algo que no debiera ofrecer mayor dificultad. Es probable, incluso, que tras la desinfección todo quede ya resuelto. Aunque si he de serte sincero prefiero pelear con un disco borrado antes que con uno infectado. En fin, ¡a limpiar!

Saludos
Qui dove il mare luccica e tira forte il vento

cocacolo
Usuario linuxero
Usuario linuxero
Mensajes: 40
Registrado: 24 Ene 2010, 10:26
Contactar:

Re: recuperar datos

Mensajepor cocacolo » 24 Ene 2010, 21:23

pues no, no se como editar registro, tengo que hacer todo lo que indica el post del enlace? y si debe ser un virus, me comenta que cuando daba al acento le salia otro simbolo y pasando un antivirus online se fue la luz y empezo a pasar todo esto, gracias por la ayuda que me estas prestando


Volver a “Windows XP / X64”

¿Quién está conectado?

Usuarios navegando por este Foro: Google [Bot] y 2 invitados