Virus en el disco duro externo (SOLUCIONADO)

[enriques]

No me deja hacer nada, al pinchar una carpeta sale un problema en explorer y se cierra.

Le he pasado el avast al disco externo, y me informa que tiene VBS: Malware-gen y Win32:trojan-gen en el system volumen information /restore .exe y .inf. También me indica que el volumen para un archivo ha sido alterado externamente, por lo que el archivo abierto no es válido. Al mover al Baúl, me indica que el recurso de red o dispositivo especificado ya no se encuentran disponibles, y que el sistema no puede hallar la ruta. Le he pasado al PC también el avast, en a modo de prueba , analisis completo, y no me da nada

Espero vuestras noticias. Muchas gracias

[msc hotline sat]

Pues prueba el ELISTARA y nos posteas el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, envianos el log generado por el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 11-11-2010

RSPSEV



NOTA: y ya que hablas de ficheros .inf, igual tienes un virus que se propaga por pendrive, a través del AUTORUN.INF. Pos si fuera el caso, vacuna el ordenadores y tus unidades extraibles USB (especialmente los pendrives) con el ELIPEN:





[img]http://www.satinfo.es/blog/wp-content/uploads/2010/03/moltbetot.gif[/img]

y vacunar todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso . ms.

[enriques]

Acabo de pasarle el elistara y en C: infosat.txt sale lo siguiente:



(11-11-2010 23:10:13 (GMT))

EliStartPage v21.99 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8740

Nº Total de Ficheros: 96365

Nº de Ficheros Analizados: 27013

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(11-11-2010 23:11:38 (GMT))

EliStartPage v21.99 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"

E:\AUTORUN.INF --> Eliminado, PWS-OnLineGames.Herss(inf)

E:\System Volume Information\_restore{BFB328F5-98E1-4A4E-9CC9-03C5D747EA4B}\RP42\A0017642.INF --> Eliminado, PWS-OnLineGames.Herss(inf)

E:\System Volume Information\_restore{BFB328F5-98E1-4A4E-9CC9-03C5D747EA4B}\RP149\A0073977.INF --> Eliminado, PWS-OnLineGames.Herss(inf)



Nº Total de Directorios: 759

Nº Total de Ficheros: 21648

Nº de Ficheros Analizados: 398

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



¿Que puedo hacer para recuperar los datos del disco duro externo?



Muchas gracias, espero vuestras noticias

[msc hotline sat]

Pues como ves, se trataba de un Online games, de los que se propagan por pendrive...



Ya ha sido eliminado por el ELISTARA, recuenrda protegerte con el ELIPEN !!!



Y lo que dices de del duro externo, dese una ventana al DOS lanza un ATTRIB para quitar atributos a las carpetas que seguramente estan escondidas con atributo de oculto o de sistema.



Lo que pasa es que no es propio de este virus hacerlo, quizas fuera de algun otro de los que te eliminaron los AV que pasaste anteriormente...



Una vez estés en modo DOS, lanza el ATTRIB de esta manera:



ATTRIB -s -h -r X:\*.* /S /D



(La unidad X: es donde haya la unidad USB insertada, sea E:, F:, o la que sea, claro)



y nos cuentas el resultado, gracias



saludos



ms, 12-11-2010

[enriques]

Hola, buenas tardes: Acabo me lanzar el ATTRIB, pero me parece que algo estoy haciendo mal: Me meto en C: , y me sale la pantalla negra con C:\Documents and Settings\usuario> seguidamente pongo: ATTRIB-s-h-r E:\*.*/S/D, y me sale:

"ATTRIB-s-h-r" no se reconoce como un comando interno o externo, programa o archivo por lote ejecutable.

La E: la separo de la r un espacio. ¿Qué hago mal?



Muchas gracias, espero vuestras noticias

[msc hotline sat]

Es el ATTRIB lo que tienes que separar de lo siguiente, (además de lo demás que se indica) fijate en los espacios:



ATTRIB -s -h -r X:\*.* /S /D



prueba de nuevo y nos comentas el resultado, gracias



saludos



ms, 14-11-2010

[enriques]

Lo acabo de poner de esta manera: ATTRIB espacio -s espacio -h espacio -r espacio E:\*.* espacio /S espacio /D

De esta forma no me sale nada. Se pone otra vez en C:\Documents and Settings\usuario

[msc hotline sat]

Pues si hubieran carpetas ocultas, asi aparecerían...



Me temo que o el virus o el antivirus las ha eliminado



No uso el AVAST y no sé lo que habrá hecho, pero diganos lo que ve con un DIR E:\*.* /a /s



por supuesto, detrás de escribir tanto la linea del ATTRIB como esta del DIR , se ha de pulsar ENTER (perdona la trivialidad... :oops: )



saludos



ms, 14-11-2010

[enriques]

Te agradezco la trivialidad, pero algunas veces un pequeño detalle es el causa que no funcione algo.



Acabo de ponerle DIR E:\*.* /a /s y me sale una lista largísima



Observándola veo que repite prácticamente lo mismo, algo así como:



Directorio de E:\enero 2009 alex\pelis\weeds\weeds 4\weeds4x08xbatusizoe



07/01/2010 12:31 <DIR>

07/01/2009 12:31 <DIR>

05/06/2009 00:03 77 creditos txt

04/06/2009 23:33 515.892.062 weeds 4x08.divx

2 archivos 515.892.139 bytes



Total archivos en la lista:

21.627 archivos

2274 dirs 341.148.958.720 bytes libres

Muchas gracias, pero cada vez estoy mas liado

[msc hotline sat]

Sí, lo del ENTER se sobreentiende, pero era por si acaso se te olvidaba.



Pues con el ATTRIB -s -h -r E:\*.* /D /S <ENTER> si hubieran carpetas ocultas, volverían a aparecer



Si tras hacer lo indicado, no aparecen, haz un DIR E:\*. /a /d <ENTER> se verán los directorios que cuelgan del principal y si no aparece ninguno, seguramente ya no existe.



Informanos del resultado, gracias.



saludos



ms, 14-11-2010

[msc hotline sat]

Fijandome en tu post anterior, veo que ya te aparece un directorio en E:\



E:\enero 2009 alex\



Ves normalmente dicha carpeta ???



Si es asi, cuál buscas ?, alguna otra del directorio principal o algun fichero que cuelga de alguna de ellas, o algo dentro de este E:\enero 2009 alex\ ???



Ya me voy a cenar, pero dejame la respuesta y, en cuanto pueda, sigo contigo



saludos



ms, 14-11-2010

[enriques]

Hola, buenos dias: Después de lanzar varias veces el ATTRIB , y el DIR que me indicastes, te comento que acabo de conectar el disco duro E: veo las carpetas principales y aparecen dos archivos nuevos que no los había visto antes (uno empezaba por imgh... no me ha dado tiempo a tomar nota), a continuación sale el aviso de Explorer.EXE de que ha detectado un problema y debe cerrarse, y seguidamente el avast me indica que ha detectado win32:Rootkit-gen, aislandolo al baúl.



Me ha quedado un archivo de System volumen, con 2 restores, que tienen bastantes carpetas con change log



Las elimino a las dejo?



Por lo demás, el disco duro está debloqueado, y puedo acceder a todas las carpetas sin problema.



Muchas gracias por tus consejos.



PROBLEMA RESUELTO

[msc hotline sat]

Pues para terminar, los ficheros del SYSTEM RESTORE, si los detecta el antivirus como malwares, eliminalos, sino dejalos que igual son necesarios para lanzar una restauracion a dicho punto.



Y ya que lo das por completamente solucionado, lo celebramos, y procedemos a cerrar el Tema



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 15-11-2010