se me ha formateado el disco duro

samy · Mensaje por **samy** » 14 Oct 2005, 22:36

Buenos ahora tengo otro nuevo problema, tengo instalados dos discos duros en el ordenador, y de repente no puedo acceder a uno de ellos, me sale una pantalla de error diciendo q el disco no tiene formato, lo q no se es si se ha formateado el disco duro o directamente se ha ido la particion, en ese disco tengo informacion q necesito recuperar, y no se si hay alguna manera de hacerlo, he pasado en modo seguro las herramientas q en otro caso me dijisteis como el elistara y elistrip y no me ha sacado nada, el antivirus esta actualizado el cortafuegos y antispam tambien, y la version de windows xp esta actualizado al sp2, de otra cosa q me he dado cuenta es q en la ventana q me sale del antivirus antes me salia como dos particiones una q analizaba ficheros y otra internet, pues ahora solo me sale una entera, sin ninguna particion.

os paso mi log para ver si veis algo estraño y me podeis ayudar, y tambien si puedo recuperar la informacion de ese disco de alguna forma.

Logfile of HijackThis v1.99.1

Scan saved at 22:35:09, on 14/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\SYSTEM32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\MSSQL7\binn\sqlservr.exe

D:\WINDOWS\System32\svchost.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

D:\Archivos de programa\Softwin\BitDefender8\vsserv.exe

D:\WINDOWS\Explorer.EXE

D:\ARCHIV~1\softwin\BITDEF~1\bdmcon.exe

D:\Archivos de programa\Softwin\BitDefender8\bdoesrv.exe

D:\archivos de programa\softwin\bitdefender8\bdnagent.exe

D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

D:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

D:\WINDOWS\system32\ctfmon.exe

d:\archiv~1\intern~1\iexplore.exe

D:\MSSQL7\Binn\sqlmangr.exe

D:\Archivos de programa\OKI OKIOFFICE 86\Mfstmon.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

D:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

D:\WINDOWS\system32\wuauclt.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

D:\Archivos de programa\WinRAR\WinRAR.exe

D:\DOCUME~1\Luisma\CONFIG~1\Temp\Rar$EX01.465\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [CapFax] D:\Archivos de programa\Classic PhoneTools\CapFax.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [BDMCon] d:\ARCHIV~1\softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDOESRV] D:\Archivos de programa\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [BDNewsAgent] d:\archivos de programa\softwin\bitdefender8\bdnagent.exe

O4 - HKLM\..\Run: [gcasServ] "D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [MsnMsgr] "D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [fast tick] D:\DOCUME~1\Luisma\DATOSD~1\COOLMA~1\ClockDead.exe

O4 - Global Startup: Service Manager.lnk = D:\MSSQL7\Binn\sqlmangr.exe

O4 - Global Startup: Status monitor.lnk = D:\Archivos de programa\OKI OKIOFFICE 86\Mfstmon.exe

O8 - Extra context menu item: &Búsqueda en Google - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120211477188

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1959D88B-2422-4CF0-B6E2-8984D8135CFA}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C67FBEA-1A41-429E-8B9A-DBC96A25D4E5}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{1959D88B-2422-4CF0-B6E2-8984D8135CFA}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - D:\Archivos de programa\Softwin\BitDefender8\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

muchas gracias.

Mensaje por **msc hotline sat** » 15 Oct 2005, 20:33

El log del HJT muestra el registro de sistema del disco en el que tienes instalado el sistema, y este no tiene ningun problema, ni el log tampoco.

Si lo que has perdido el acceso es a la unidad D:, ante todo mira si la BIOS te detecta dicho disco duro, si está configurado en AUTO y demás.

Si no, el problema es de conexion o de averia del disco. Revisa conexiones hasta que un AUTODETECT lo detecte, si es que este disco estaba funcionando en dicho ordenador.

Y nos comentas el resultado, pues en un caso será averia de hard ... y en otro puedes haber perdido o borrado la informacion del sector de particion o de Boot. Dinos tambien si has utilizado el FDISK

saludos

ms, 15-10-2005

samy · Mensaje por **samy** » 17 Oct 2005, 10:40

Hola de nuevo, te comento no he utilizado nada de lo q me has dicho, el jueves lo utilize por ultima vez y cuando arranque el ordenador el viernes y intente acceder al ese disco es cuando me daba ese mensaje, en ese disco duro solo lo tenia para meter informacion y la instalacion de algunos programa , en el otro es en el q tengo instalado el sistema operativo, otra cosa q veo estraña de lo q me pasa es q me da muxos errores, el antivirus se apaga solo, las ventanas q me salen al lado del relojito de windows se me cierran tambien, la verdad cosas un poco raras, respecto a los q me has dicho del autodetecte no se a q te refieres con eso, es un programa o algo??

Sorry no entiendo muxo :oops:

muchas gracias

Mensaje por **msc hotline sat** » 17 Oct 2005, 11:21

No, el AUTODETECT y la configiracion del disco duro en el SETUP está dentro de las funciones de la BIOS.

Entre el SETUP pulsando DEL o SUP al arramcar y vea los discos duros que tiene configurados. Deben haber dos, el del sistema y este otro que dice tener lo demás, si realmente tiene dos, y lo que tiene no es un disco duro con dos particiones sino dos discos duros.

Si en el SETUP no tiene mas que un disco duro configurado y tiene dos, vea de autodetectar el segundo, y si no lo logra es que el segundo está averiado y debe sustituirlo.

Lo que dice de los popups y demás es del disco duro del sistam, vea de seguir los tutoriales de antivirus y antispyware y eliminar los bichos que detecte:

https://foros.zonavirus.com/viewtopic.php?t=5370

https://foros.zonavirus.com/viewtopic.php?t=4795

Si contra lo que indica, tuviera un solo disco duro con dos particiones, evidentemente no detectaría el segundo disco duro, por no existir, y la perdida de acceso podróa deberse simplemente a la eliminacion de la segunda particion en la Tabla de particion de este disco duro único, ñp cual es posible que lo hiciere un virus o un antivirus si intentó reparar una infeccion de la tabla de partición. Si fuera este el caso, el proceso de recuperacion sería totalmente distinto, por lo que asegurese de cuantos discos duros tiene, no de cuantas unidades lógicas, u si tiene dos discos como indica proceda con lo del SETUP, pero si solo tiene uno, indiquenoslo, junto con sistema operativo (recuerdo que era XP pero indique si FAT32 o NTFS)

saludos

ms, 17-10-2005

samy · Mensaje por **samy** » 17 Oct 2005, 12:40

Mira ya echo lo q me has dicho y te comento, en la bios me detecta el disco duro, me pone capacidad 80 gb, pero si le doy al autodetecte, me lo borra y me pone capacidad 0, lo intentado tres veces y las tres veces me hace lo mismo, el sistema operativo es xp en NTFS, y los discos duros no es q tenga dos particiones en un mismo disco duro, si no q tengo dos discos duros independientes, uno de 30 gb y otro de 80 gb, uno es el c: y otro el g: y el q falla es el g:

espero te haya contestado a lo q me preguntabas si necesitas alguna informacion mas pidemela.

gracias

samy · Mensaje por **samy** » 17 Oct 2005, 14:07

otra cosilla, acabo de pasar el antivirus on line q recomendais y me saca este virus, q ya me lo sacaba anteriormente y pensabamos q lo habias quitado pero acabamos de comprobar q no el virus es Win32.Rbot.BUY, esta en la ruta d:\windows\system32\TFTP3692, como lo puedo quitar? este antivirus on line no me da opcion de borrarle ni limpiarle. Y mi antivirus no le encuentra.

gracias de nuevo.

Mensaje por **msc hotline sat** » 17 Oct 2005, 15:03

Lo qye nos dice en el post anterior:

[quote]si le doy al autodetecte, me lo borra y me pone capacidad 0[/quote]

indica que el ordenador no detecta este diusco duro, y lo de los 80 es posiblemente lo que hay configurado manualmente. pero por la razon que sea, falta de acceso a la informacion por borrado de eprom, por dalta de alimentacion, por falta de conexion o por averia de la circuiteria del disco, tal y como lo tiene ahora no es reconocido por el ordenador, por lo que no se puede acceder a él.

Puede revisar conexiones, alimentacion y demás, pero si es por borrado de caracteristicas de la flash eprom, su reprogramacion ha de hacerla un servicio tecnico.

Ello pasa cuando se activa el CIH, además de borrar las BOPS de placa base, tambien borra las flash eprom de los discos duros, pero no parece ser el caso por cuanto ello pasa el 26 de Abril de cada año.

Revise alimentacion, que sería lo mas facil de solucionar. Vea que el disco funcione, y sino compruebe tensiones.

Y si está definitivamente estropeado, vaya pensando en cambiarlo...

saludos

ms, 17-10-2005

samy · Mensaje por **samy** » 17 Oct 2005, 17:21

ok muchas gracias, te queria comentar una cosa, segun me ha comentado un conocido de una tienda de informatica el virus q te he puesto antes ( win32.Rbot.BUY) es un virus q afecta al sector 0 de los discos duros prodria ser eso el causante del problema?? y si me podeis ayudar a quitarle.

muchas gracias

Mensaje por **msc hotline sat** » 17 Oct 2005, 17:35

Con todo el respeto para quien te lo ha dicho, los RBOT son una familia de backdoors de IRC, de donde le viene lo de BOT, con la siguiente descripcion generica segun CAI:

http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453088325

Y estos virus se caracterizan por quedar a la escucha y permitir el acceso remoto del hacker,

pero no es conocido que afecten a la tabla de particion.

Y aunque hubiera sido un virus de MBR, esto no impediría que lo detectara la BIOS, pues de hecho cuando son nuevos, sin nada en el sector 0.0.1 (cabezl 0, cilindro 0, sector 1), la BIOS reconoce el disco duro por la informacion de su eprom, siempre y cuando no esté averiado o mal instalado ...

Si tiene otra informacion del RBOT.BUY, indiquenos link, gracias

saludos

ms, 17-10-2005

samy · Mensaje por **samy** » 19 Oct 2005, 19:53

Hola de nuevo, siento la tardanza en la respuesta, bueno estuve intentando buscar informacion en internet sobre este virus y no he encontrado nada de nada, ni informacion ni como eliminarle etc, sobre el disco duro, no fallaba nada ni nada estaba mal, simplemente le dimos formato al disco y se soluciono el problema ( aunque hemos perdido toda la informacion) pero ahora surge otro problema, a la hora aprox de estar encendido el ordenador se reinicia solo, sin mensaje ni nada simplemente se reincia, y me sale un error cuando se ha reiniciado q me pone q el sistema se ha recuperado de un error muy grave, le di a lista de informes y me salia q el error venia de una carpeta q estaba en "temp" pero cuando reinicia el ordenador se va esa carpeta, ( q ya lo hemos buscado) al final de un monton de reincios me dio por mandar el informe a microsof y la informacion q me dio fue esta " el error producido por el programa "" BullGuard"" y me daba la opcion de entrar en la dicha pagina http://www.bullguard.com, y por lo q he podido ver se trata de un virus, sabeis vosotros algo sobre este virus?? si me pudierais ayudar os lo agradeceria.

muchas gracias de nuevo :D

samy · Mensaje por **samy** » 19 Oct 2005, 20:21

rectifico, esa pagina es de un cortafuegos firewall o algo asi, pero jamas lo habia visto antes.

gracias

Mensaje por **msc hotline sat** » 19 Oct 2005, 20:23

Creo que ve demasiados virus. No se onsesiones con ellos, pero sin perderles el respeto.

No, el BullGuard es un sistema de proteccion antivirus:

http://www.google.es/pagead/iclk?sa=l&ai=ByP6jyoxWQ4XVEIOswQHJg9nyD5SEvwbezN2SAba3ve8BoJwBCAAQARgBOABApBVIjDlQ86XCnwKQAQKgAdvjiv8DqgEEMk5SU8gBAQ&adurl=http://www.bullguard.com/tracking.aspx%3Faffiliate%3Dhrcdigital%26url%3Dhttp://www.bullguard.com

qie Vd sabrá si tiene instalado...

Por otro lado, al cabo de mas o menos una hora, pero antes que se le apague, revise la temperatura de la CPU, pues podría ser un problema de refrigeracion de la misma, y que se activara la desconexion alcanzada la temperatura limite de proteccion de la CPU.

Bake el AIDA32.EVerest y vea a los 309 minutos, 45 y 60 la temperatura de la CPU que entrando en SENSOR le indica, y vea los valores, que no deber´ñian pasar de los 50 ºC, ser´ñia critico si llegara a 55 y ya peligros a los 60, que de hecho seguro que lo tiene programado para que se corte la alimentacion antes:

_________

AIDA32 (EVEREST)

http://www.zonavirus.com/datos/descargas/28/EVEREST_Home_Edition.asp

_________

Informenos al respecto, y procuraremos ayudarle

saludos

ms, 19-10-2005