Ayuda para recuperar archivos a causa de "foto.exe" (SOLUCIONADO)

[edsl]

Buen día.

Resulta que mi PC se infectó con "foto.exe" y gracias a algunos consejos que encontré por aquí logré eliminarlo usando la herramienta EliStarA. Según leía, este virus cambia las extensiones de algunos archivos, es mi caso me ha modificado los ficheros de Word y Excel, de tal forma que ya no logro ubicarlos.

Tengo desactivada la opción de "No mostrar ficheros ocultos" y no aparecen. He hecho una búsqueda intensiva de los .DOC y .XLS y tampoco aparecen. Según me entero, renombra los .DOC a .SYSTEM y los .XLS a .SYSTEME por lo que probé a buscar los archivos con dichas extensiones pero tampoco tuve éxito. Y pasa algo muy particular, antes de la infección había copiado un archivo .DOC en el escritorio desde mi pendrive, ahora bien, luego de la infección ha "desaparecido" pero cuando intento copiarlo de nuevo en el esritorio me dice que si deseo sobreescribir el archivo existente, entonces me parece que los archivos no se han perdido, sino que siguen ahí de alguna manera ocultos y me urge saber como recuperarlos.

Sería de gran utilidad su colaboración.

Muchas gracias!

[msc hotline sat]

Hay cientos de virus que utilizan el nombre de FOTO.EXE para su gusano, y cada unon trata a su manera los ficheros que tiene programado alterar.



Pero lo que nos dice de que ahora le pregunta si quiere sobreescribir un fichero DOC por que ya existe, nos indica, tal como dice, que posiblemente no se han perdido y podemos tratar de recuperarlos.



Dice que ha configurado er ficheros ocultos, pero posiblemente no los ve porque el virus los ha marcado con atributo de sistema. los cuales tampoco se ven si no se desmarca la casilla de OCULTAR FICHEROS DE SISTEMA, que está mas abajo de la de VER FICHEROS OCUILTOS, pero fijese que esta es al reves, ha de desmarcarla para verlos.





Si asi ya los ve, la cuestion es dejarlos si dicho atributo, que no se ve en PROPIEDADES bajo windows, sino que ha de abrir una ventana al DOS y utilizar el comando ATTRIB, de la siguiente manera, por ejemplo:





ATTRIB -S -H -R PRUEBA.DOC





o si tiene muchos DOC así, puede usar comodines:



ATTRIB -S -H -R *.DOC



y si los tienes en todo el disco duro:



ATTRIB -S -H -R \*.DOC /S



y tras probarlo, nos cuenta el resultado, gracias



saludos



ms, 4-9-2009

[edsl]

Muchísimas gracias por tu respuesta, me ha sido de gran utilidad y logré recuperar los archivos aunque usé el siguiente comando: [i]attrib -h -r -s *.* /s /d[/i] porque resulta que además de los .DOC y .XLS había ocultado una gran cantidad de imágenes.

Me gustaría saber si existe alguna herramienta que me permita revisar si no ha quedado ningún rastro del virus en mi PC, no se cual me pueden recomendar.

Muchas gracias de nuevo!

[flacoroo]

mira ten tu antivirus actualizado y ejecutalo reiniciando tu compu en modo seguro y de vez en cuando bajate las herramientas del Elistara, Elinotiff y Elitriip y las ejecutas para ver si no tienes alguin bicho por ahi...



pero aun asi bajate esta herramienta y nos pegas el resultado.



Utilidad de investigación para visualizar procesos y modulos utilizados por los mismos.

Genera un fichero en C: llamado SPROCLOG.TXT el cuál debe copiar y pegarnos en el siguiente post.



[url=http://www.zonavirus.com/descargas/sproces.asp]Descargar Sproces[/url]

[msc hotline sat]

Bueno, con *.* has desocultado incluso los EXE, SYS, DLL y demás del sistema operativo... mucho cuidado que ahora pueden ser borrados accidentalmente y podría causar graves problemas. (Por esto desde windows no se puede quitar el atributo S (Sistema), si bien esta vez hacía falta por la acción del virus sobre determinados ficheros, pero no sobre los de sistema ! )



Mejor hubiera sido indicar especificamente las extensiones de los ficheros ocultados, si eran imagenes, .GIF; .JPEG, etc y no todos los *.* ... pero si ya está hecho, solo cabe andar con cuidado.



Ahora, como muy bien indica flacoroo, prueba el SPROCES y posteanos el informe resultante, a ver si vemos alguna otra malware de la que aun queden restos.



saludos



ms, 5-9-2009

[edsl]

Gracias por sus respuestas, no he usado el comando en la unidad C porque allí no tenía muchos documentos importantes, lo he usado en las otras particiones por lo que no creo que haya problema, no he tocado los archivos de sistema :)

He ejecutado la herrmienta Sproces y este ha sido el resultado:



(5-9-2009 18:57:40 GMT)

SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: HOME-0062F5CBD2

Nombre Usuario: Esteban



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\LEXBCES.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\LEXPPS.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ALTERA\81\QUARTUS\BIN\JTAGSERVER.EXE

C:\ARCHIVOS DE PROGRAMA\MYSQL\MYSQL SERVER 5.0\BIN\MYSQLD-NT.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\USB DISK SECURITY\USBGUARD.EXE

C:\ARCHIVOS DE PROGRAMA\VISTA DRIVE ICON\DRVICON.EXE

C:\ARCHIVOS DE PROGRAMA\LEXMARK X1100 SERIES\LXBKBMGR.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\LEXMARK X1100 SERIES\LXBKBMON.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXSTORESVR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXINGSERVICE.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\ESTEBAN\ESCRITORIO\SOFT\SEP-2009\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\ARCHIV~1\FlashGet\jccatch.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Archivos de programa\kikin\ie_kikin.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\ARCHIV~1\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [USB Antivirus] C:\Archivos de programa\USB Disk Security\USBGuard.exe

O4 - HKLM\..\Run: [DrvIcon] C:\Archivos de programa\Vista Drive Icon\DrvIcon.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Gamma.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Update Scheduler for Proteus Professional 7.lnk

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Archivos de programa\kikin\ie_kikin.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Archivos de programa\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.5.0_17) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Altera ByteBlaster (AlteraByteBlaster) - Altera Corporation - C:\WINDOWS\system32\drivers\pgdhdlc.sys

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - c:\altera\81\quartus\bin\jtagserver.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: MySQL - Unknown owner - C:\Archivos de programa\MySQL\MySQL Server 5.0\bin\mysqld-nt" --defaults-file="C:\Archivos de programa\MySQL\MySQL Server 5.0\my.ini (file missing)

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Sentinel - Rainbow Technologies, Inc. - C:\WINDOWS\System32\Drivers\SENTINEL.SYS

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: {95808DC4-FA4A-4c74-92FE-5B863F82066B} - Cyberlink Corp. - C:\Archivos de programa\CyberLink\PowerDVD\000.fcl



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Nal Service (NAL) - Intel Corporation - C:\WINDOWS\system32\Drivers\iqvw32.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Rainbow USB SuperPro (Sntnlusb) - Rainbow Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SNTNLUSB.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



30 Servicios.

14 de Carga Automatica.

15 de Carga Manual.

1 Deshabilitados.



Gracias por su atención compañeros!

[msc hotline sat]

Pues muy bien no haberlo hecho sobre la unidad C:, su sentido común es excelente... :)



Y vemos que le faltan muchos parches, los 1073 del SP3 y suponemos que los posteriores. Lance un windows update e instalelos si no quiere tener los agujeros de seguridad que parchean los mismos.



Aparte de ello no vemos nada sospechoso en dicho log.



Tras actualizar y reiniciar indiquenos si persiste alguna anomalia o podemos dar popr solucionado el Tema, gracias



saludos



ms, 5-9-2009

[edsl]

Hola!

Siento la tardanza en responder, he andado un poco ocupado estos días jeje...

He actualizado al SP3 y algunos de los parches críticos y el PC está funcionando correctamente y según me indican ustedes el log no arroja ninguna anomalía, muchas gracias por su tiempo y por su ayuda!

Saludos desde Colombia.

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 11-9-2009

ref CO/Pop+2.44-75.62