Archivos de tipos "comunes" corruptos o ilegibles

Responder
Poleman
Mensajes: 4
Registrado: 19 Feb 2010, 10:32

Archivos de tipos "comunes" corruptos o ilegibles

Mensaje por Poleman » 19 Feb 2010, 10:48

Hola, les cuento mis sintomas. Coincidiendo con un cambio de sistema operativo, desde XP hacia W7, noto que con el nuevo SO no puedo visualizar las imagenes JPG. En un principio se lo achaco a algun problema sin importancia de soft o del propio SO que ya se corregiria, pero pasa el tiempo y no doy con la solucion, sino que ademas voy encontrando mas y mas archivos que no puedo abrir en los diferentes discos duros y particiones.



http://social.answers.microsoft.com/Forums/es-ES/w7pictureses/thread/76c1e8c1-5319-471c-bf2f-2447f3329406



Así, en el apartado de fotografias compruebo que se han "corrompido" todos los JPG, en la partición musical estoy comporbando que hasta una determinada carpeta y por orden alfabetico no puedo abrir ningun mp3 pero sin embargo otros archivos menos comunes tipo flac, ogg etc están intactos. Y lo mismo pasa con los DOC, XLS y PDF. En las diferentes particiones no siempre sigue un patrón.



[url=http://img294.imageshack.us/i/fotoviewer.jpg/][img]http://img294.imageshack.us/img294/3280/fotoviewer.th.jpg[/img][/url]



He probado a sacar los discos y probarlos con otros sistemas operativos pero los archivos resultan ilegibles igualmente



Este comportamiento tan caprichoso me inclina a pensar en algun componente virico, pero el antivirus no da ninguna muestra de infección y ya no sé que puedo hacer, bien para dar con el posible virus, bien para comprobar el estado real de mis archivos y saber a ciencia cierta que es lo que está o no corrupto, y claro está si es recuperable o debo darlo por perdido.



Gracias de antemano.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Archivos de tipos "comunes" corruptos o ilegibles

Mensaje por msc hotline sat » 19 Feb 2010, 14:06

Puede ser que con el trasvase de S.O. se malograran los ficheros, pero siendo de XP a W7 , ambos básicamente NTFS , salvo problema de memorias o DMA o del mismo disco duro, no debería haber pasado... ???



Si quiere probar estas 4 utilidades, una despues de otra, y tras ello postearnos el contenido de C:\infosat.txt , veremos si detectamos algun malware o sospechoso:


[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



[b] ELIPALEVO: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp


[/quote]


A la vista del indicado informe, procederemos en consecuencia



saludos



ms, 19-2-2010

RESGI

Poleman
Mensajes: 4
Registrado: 19 Feb 2010, 10:32

Re: Archivos de tipos "comunes" corruptos o ilegibles

Mensaje por Poleman » 19 Feb 2010, 22:30

Hola de nuevo, gracias por la respuesta, problemas con el hardware están descartados porque he hecho mil pruebas todas sin error alguno.



En su día, no hace mucho y siendo la puntilla que me instó a cambiar el S.O. tuve problemas con malware Kryptik y Olmarik, procedentes de alguna alguna instalación de soft indebida, me empezaron a aparecer los tipicos globitos en la notificación para instalar aplicaciones milagrosas (datadoctor), y lo fui ignorando hasta que un buen día tomaron el control de todos mis navegadores y no me los dejaba abrir, por lo que opté tras la desinfección opté por la migración.



Me acabo de percatar de un detalle mientras voy pasando las aplicaciones comentadas. He visto que no tienen acceso a algunas carpetas, estando una de ellas dentro del abanico de "destrucción", supongamos esta ruta:



M:\Genero E\Artista T\Disco 10



Estando todas las carpetas de Mp3 de ese Genero dañadas, esta carpeta Disco 10, a la que las aplicaciones no tienen acceso, tiene los Mp3 intactos, el motivo? caracteres chinos en el titulo del disco [b]专辑[/b]

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Archivos de tipos "comunes" corruptos o ilegibles

Mensaje por msc hotline sat » 20 Feb 2010, 07:28

Dice:



[i]"por lo que opté tras la desinfección opté por la migración."[/i]...



Me temo que la desinfección no fue todo lo satisfactoria que pudiera desearse y que no todo esté en la posterior migración, sino que arrastrara el problema de lo anterior !



No sé con qué limpió el ordenador tras la infección que menciona:



[i]"tuve problemas con malwa Kryptik y Olmarik, procedentes de alguna alguna instalación de soft indebida, me empezaron a aparecer los tipicos globitos en la notificación para instalar aplicaciones milagrosas (datadoctor), "[/i]



Díganos con qué lo limpió y si tras ello, y antes de migrar, funcionaba todo correctamente, para saber si estamos en lo cierto y el problema viene de antes, a ver si logramos deshacer el entuerto :?



Y además del infosat.txt que resultó de probar las utilidades que le indicamos en el post anterior, posteanos el informe que genera el SPROCES, para ver si hay algun resto de malware anterior o desconocido:




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]


Tras analizar los dos informes (infosat.txt y sproclog.txt), informaremos al respecto.



saludos



ms, 20-2-2010

Poleman
Mensajes: 4
Registrado: 19 Feb 2010, 10:32

Re: Archivos de tipos "comunes" corruptos o ilegibles

Mensaje por Poleman » 20 Feb 2010, 17:48

Los troyanos en cuestión se alojaban en el sector de arranque y me dieron mucha guerra para desinfectarlos, pues el antivirus los detectaba pero no era capaz de desinfectarlos, asi que fui probando soluciones mas especificas removedoras de troyanos hasta que el antivirus no me los detectó. Si el sistema funcionaba bien despues de la desinfeccion y antes de la migración no lo tengo del todo claro pues apenas fueron un par de días, pero si tengo claro qu eno recuerdo ningún archivo dañado hasta W7.



El caso es que dos de estas herramientas que me comentan se quedan colgadas, las que funiconan no detectan nada raro pero ninguna de ellas, pese a anunciarmelo, deja un log grabado, ni a la vista ni oculto.



Realmente es tan devastadora la acción de estos troyanos como para encontrarme con estas consecuencias? tienen alguna idea de como podria comprobar la integridad de mis archivos y si hay alguna manera de recuperar algo de la informacion?





Muchas gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Archivos de tipos "comunes" corruptos o ilegibles

Mensaje por msc hotline sat » 20 Feb 2010, 18:15

Pruebe las utilidades ejecutandolas con privilegios de administrador, esto es, boton derecho sobre su icono y EJECUTAR COMO ADMINISTRADOR.



Tras ello posteenos los informes resultantes, que es cuando podremos contestar lo que preguntan.



Y sobre Rootkits de MBR, simplemente arrancando con el CD de instalacion de windows y pulsando R para acceder a la Consola de Recuperacion, lanzando un FIXMBR se sobreescribe dicho sector eliminando el virus que sea, asi que no creo que lo preguntara en este foro, verdad ?



saludos



ms, 20-2-2010

Poleman
Mensajes: 4
Registrado: 19 Feb 2010, 10:32

Re: Archivos de tipos "comunes" corruptos o ilegibles

Mensaje por Poleman » 20 Feb 2010, 22:26

No, realmente no lo pregunté aqui ni en ningún otro sitio, realmente infravaloré la capacidad de estos parasitos por lo que estoy comprobando, si es que han sido ellos los que han causado este estropicio.



Aqui va el reporte:


[code]
(20-2-2010 21:11:08) (GMT)
EliTriIP v6.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2010)
---------------------------------------------
Lista de Acciones (por Acción Directa):

(20-2-2010 21:11:58) (GMT)
EliTriIP v6.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2010)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 19949
Nº Total de Ficheros: 124550
Nº de Ficheros Analizados: 25195
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(20-2-2010 21:14:29 (GMT))
EliStartPage v20.37 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2010)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No ha sido posible abrir IERESET.INF
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

(20-2-2010 21:14:35 (GMT))
EliStartPage v20.37 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2010)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 19949
Nº Total de Ficheros: 124550
Nº de Ficheros Analizados: 29287
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(20-2-2010 21:17:8)
EliBagle v13.59 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):

(20-2-2010 21:17:12)
EliBagle v13.59 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 19949
Nº Total de Ficheros: 124552
Nº de Ficheros Analizados: 19998
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(20-2-2010 21:19:00) (GMT)
EliPalevo v1.39 (c)2010 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):

(20-2-2010 21:19:08) (GMT)
EliPalevo v1.39 (c)2010 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 19949
Nº Total de Ficheros: 124555
Nº de Ficheros Analizados: 6434
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
[/code]

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Archivos de tipos "comunes" corruptos o ilegibles

Mensaje por msc hotline sat » 21 Feb 2010, 05:58

No vemos el informe del SPROCES, posteenos el contenido del C:\sproclog.txt, ya que el infosat muestra que no es ninguno de las familias anteriores.



Y aparte de ello, como que este que tuvo, "Kryptik y Olmarik", aparte de la posible infección en el MBR, vemos en un Tema de este foro que puede estar tambien en ficheros ocultos por la accion del RootKit, conviene que arranques con el CD de instalacion y, pulsando R, accedas a la Consola de Recuperacion, desde donde podrás ir a la carpeta C:\windows\system32\drivers\ y añadir .VIR a la extension de este fichero: H8SRT*.sys (que empieza por H8SRT , con varias letras a continuacion, y tiene extension .SYS)



y lo mismo con este otro de la carpeta C:\windows\system32\ : H8SRT*.dll (o sea, que empieza por H8SRT y tiene varias letras a continuacion, y este tiene extension .DLL)



Una vez añadidas dicha extension .VIR a los dos ficheros (con un REN indicando primero el nombre actual y luego, el mismo pero con .VIR añadido al final) , sacar el CD y arrancar normalmente, con lo que ya no se cargará el RootKit y se podrán ver dichos ficheros, LOS CUALES DEBEN ENVIARNOS PARA ANALIZAR Y CONTROLAR:



Serán en consecuencia estos dos: C:\windows\system32\H8SRT*.dll.VIR y C:\windows\system32\drivers\H8SRT*.sys.VIR





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 21-2-2010

Responder

Volver a “Foro Virus - Cuentanos tu problema”