Problema con espacio en unidad C:

[xarly]

hola!!!



Tengo en mi pc tres particiones, dos con 55 gigas y una con 39. Esta última es la que estoy utilizando como unidad C:



Pues bien, el problema [b][i]viene[/i][/b] aqui, la unidad D y E, las tengo ya repletas, por peliculas, videojuegos, etc etc, y la unidad C tan solo tengo 9 gigas y medio ocupados, y dice que ya está llena!! y le he pasado un programa de esos para ver en que está el espacio ocupado, y hay 25 gigas en la carpeta ''installer'' de Windows.



Y cada día, sin descargar nada, me quedo sin espacio, cada dia parece que tengo menos!!



Por favor necesito ayuda y saber que tengo que hacer con la carpeta esa que me esta ocupando 25 gigas!!!



Muchas gracias de antemano!!!

[msc hotline sat]

Mas bien esto no es un Tema de virus, no te parece ???



Se mueve el Tema al apartado de software...



saludos



ms, 16-10-2008

[xarly]

y donde me meto para acerlo desde softwer??

[msc hotline sat]

Ya lo moví a este apartado y estás en él.



Como sea que los especialistas en software (lucl, flacoroo, etc) no han intervenido, te contesto yo mismo, pero ya ves que no me parece que sea por causa de virus.



Mira lo que tienes en esta carpeta C:\INSTALLER , pues 25 GB no lo ocupa ni la instalacion del windows !



Podría ser que hubieras hecho copia de alguna pelicula de las tuyas, o un backup de un disco duro anterior, o ... bueno si has dirigido allí el paginado de memoria puede que tengas un pagefile.sys de hasta 10 GB (si tuvieras 4 GB de RAM en base por ejemplo), pero ningun fichero normal de windows te ocupa 25 GB ! Dinos lo que hay allí .



y por si acaso fuera un desmadre, si no vieras que lo que hay ocupe tanto, lanza una comprobacion de errores:



MIPC -> Boton derecho sobre unidad C: -> Propiedades -> Herramientas -> Comprobacion de errores.



y nos informas del resultado, gracias



saludos



ms, 17-10-2008

[xarly]

Me he metido en la carpeta Installer, y mira lo que ai en la foto q e adjuntado





Lo de la comprobacion la are aora mas tarde porque tarda muchisimo jaja



Un saludo y gracias por ayudarme!!!!

[msc hotline sat]

Pues al final, sino virus, será troyano !!!



[b][i]Eureka, lo encontré !!! [/i][/b](os recuerda a alguien, verdad :wink:)



Pues sí, estos .msi me han dado la pista:


[quote="Jorge Machado, de Per Antivirus,"]


INFOSTEALER.GEEMARC troyano roba nombres de usuarios y contraseñas de Gmail y las envía al autor.





Troj/Infostealer.Geemarc



Geemarc es un troyano residente en memoria reportado el 11 de Marzo del 2008 que se propaga a través de servicios de Internet.

Su componente "infostealer" revisa las carpetas de las unidades de disco y copia a una carpeta temporal los nombres de usuarios y contraseñas de las direcciones de correo de Gmail de Google.



Las envía al autor del troyano.



Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Visual C++, con una extensión de 67KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):



http://upx.sourceforge.net



Al ser activado se copia a la carpeta %System% con los nombres:



%UserProfile%\Desktop\G-Archiver 1.0.lnk

%UserProfile%\Start Menu\Programs\MateMedia\G-Archiver\G-Archiver 1.0.lnk

%ProgramFiles%\MateMedia\G-Archiver 1.0\G-Archive\Banner.gif\

%ProgramFiles%\MateMedia\G-Archiver 1.0\G-Archiver 1.0.exe

%ProgramFiles%\MateMedia\G-Archiver 1.0\G-ArchiverIcon.ico

%ProgramFiles%\MateMedia\G-Archiver 1.0\License.rtf

%ProgramFiles%\MateMedia\G-Archiver 1.0\Mail.dll

%ProgramFiles%\MateMedia\G-Archiver 1.0\SM.dll

y crea la siguiente carpeta:



%Windìr%\Installer

a la cual copia los siguientes archivos:



%Windìr%\Installer\[Hexadecimal_aleatorio_de 5_dígitos].msi

%Windìr%\Installer\[Hexadecimal_aleatorio_de 6_dígitos].msi

La próxima vez que se inicie el sistema, para almacenar los nombres de usuarios y contraseñas extraídas el troyano crea el temporal:



%UserProfile%\Local Settings\Temp



y genera las siguientes llaves de registro:



[HKEY_ALL_USERS\Software\Microsoft\Installer\Assemblies]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Uninstall\{CE5F519C-E1E6-4DBC-9466-233F156244C7}]



Su componente "infostealer" revisa las carpetas de las unidades de disco y copia a la carpeta temporal los nombres de usuarios y contraseñas de las direcciones de correo de Gmail de Google.



Luego las envía al autor del troyano a una dirección cifrada contenido en su código viral.



%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP



%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.



%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.



PER ANTIVIRUS® versión X4 con registro de virus al 11 de Marzo del 2008 detecta y elimina este troyano. [/quote]



Envianos estos ficheros:



C:\Documents and Settings\[nombre_de _usuario]\Desktop\G-Archiver 1.0.lnk

C:\Documents and Settings\[nombre_de _usuario]\Start Menu\Programs\MateMedia\G-Archiver\G-Archiver 1.0.lnk

Archivos de Programa\MateMedia\G-Archiver 1.0\G-Archive\Banner.gif\

Archivos de Programa\MateMedia\G-Archiver 1.0\G-Archiver 1.0.exe

Archivos de Programa\MateMedia\G-Archiver 1.0\G-ArchiverIcon.ico

Archivos de Programa\MateMedia\G-Archiver 1.0\License.rtf

Archivos de Programa\MateMedia\G-Archiver 1.0\Mail.dll

Archivos de Programa\MateMedia\G-Archiver 1.0\SM.dll



empaquetalos en un ZIP o RAR con password virus y envianoslos a zonavirus@satinfo.es indicando en el ASUNTO tu nick del foro, o sigue las instrucciones:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlas las analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 17-10-2008





NOTA:



y de momento añade a su nombre y extension un .VIR, para que tras reiniciar ya no se pongan en uso, ya que segun dicen : "[b][i] roba nombres de usuarios y contraseñas de Gmail y las envía al autor. [/i][/b]"



Por tanto obra en consecuencia con lo que hubeira podido robar hasta ahora... ms.

[xarly]

no tengo nada de lo que me haveis dicho!!! =S



le dado a buscar y nada...no sale nada!!! que puede ser entoces?? puf...estoy de los nervios porque me estoy quedando sin disco duro!!! que será??



muchisimas gracias por seguir contestando y atendiendo este problema!!! :wink:

[msc hotline sat]

Pues el que tengas la carpeta installer involuntariamente y con *.MSI dentro, apunta a que si no es este, puede ser una variante del mismo...



Otra posibilidad es que sea este mismo y que tu antivirus lo haya eliminado, si bien sus restos persistan ???



Tambien puede ser que los ficheros indicados esten ocultos. Mira lo que decimos en:







y tambien que pensando en usuarios internacionales, use nombres de carpetas de widnows en ingles, como dice el autor de la descripcion:



"%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files." Por ello, como que tu tienes (supongo) el windows en castellano, por si no usara variable de entorno para ubicar los ficheros, sino los nombres de las carpetas en ingles, a piñón fijo, mira si aparte de tener la carpeta c:\archivos de programa, tienes otra paralela con el nombre de C:\Program Files , ello serían mas puntos a favror del virus, y en tal caso mira que los ficheros indicados no estuvieran en:



\Program Files\MateMedia\G-Archiver 1.0\G-Archive\Banner.gif\

\Program Files\MateMedia\G-Archiver 1.0\G-Archiver 1.0.exe

\Program Files\MateMedia\G-Archiver 1.0\G-ArchiverIcon.ico

\Program Files\MateMedia\G-Archiver 1.0\License.rtf

\Program Files\MateMedia\G-Archiver 1.0\Mail.dll

\Program Files\MateMedia\G-Archiver 1.0\SM.dll



Eso en cuanto a la busqueda del virus, pero ademas el origen del Tema era por la existencia y ocupacion de los 29 GB de esta carpeta INSTALLER, pues mira si la puedes eliminar, que quizas es lo único que falta, y asi recuperas el espacio perdido.



Evidentemente, luego vacia la papelera, o ya directamente, para borrar dicha carpeta y ficheros, marca la carpeta y pulsa SHIFT + SUPR , y acepta la eliminacion, ello lo borrará directamente, sin pasar por la papelera.



Y ya nos contarás, si encuentras los ficheros viricos envianoslos y procederemos a controlar el malware, sino al menos recupera el espacio, y recuerda lo indicado de la fuga de informacion que puedes haber tenido (y que quizas aun tienes)



saludos



ms, 18-10-2009