Desaparecidos 6 gigas de archivos

[chema80]

Hola, que tal. Les explico el problema que me ha surgido, a ver si es problema de virus.



1º Mi sistema es Windows XP Pro, con antivirus Nod32 actualizado, Ad-Aware SE Profesional y Sygate personal Firewall.



2º Los archivos desaparecidos estaban todos en el escritorio y son diversos, hay txt, mp3, pdf, rar, jpg



El pasado Viernes 13 encendi el ordenador y cual es mi sorpresa el escritorio aparecia con unos valores predeterminados por Windows, me explico, aparecia el wallpaper por defecto (si, el del prado verde), con solo 4 iconos, las extensiones de los archivos sin asignar a un programa determinado como tenia y aparecia un icono en la barra de inicio que decia "un paseo por windows" era como si recien hubiera instalado windows. Los programas que tenia instalados y los archivos que tenia estaban bien. Me decidi por restaurar sistema, pensando que volveria a la configuracion que tenia el dia anterior y que no habria pasado, y cual es mi sorpresa cuando las carpetas del escritorio donde estaban los archivos aparecen vacias. Escanee en busca de virus y aparecio Luder.A (he investigado y podria haber sido el muy joputa, pero he leido que se activa el 29 de cada mes.) El antivirus lo desinfecto, pase el Ad-Aware y no localizo nada.



Mi duda es:

Ha sido este virus? Si es asi, como asegurarme que desaparezca por completo?

Habria posibilidad de recuperar lo borrado y si es asi, como lo hago?



Gracias de antemano y un saludo.

[flacoroo]

Bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y cuando diga explorar le das click; hasta que termine; despues nos pegas el resultado de C:infosat.txt

Descargar Elistara
Descargar ElitriIP
Descargar Elinotiff

[msc hotline sat]

Aqui tienes lo que segun F-Secure hace este virus LUDER-A:

Name : Luder.A
Alias: Trojan-Downloader.Win32.Tibs.jy, Email-Worm.Win32.Luder.a, Luder
Type: Email-Worm, Virus, Trojan-Downloader
Category: Malware
Radar Alert

Level 2

Summary
Luder is an e-mail worm, a dropper for a trojan downloader and a file infector. The worm sends itself as attachment named 'postcard.exe' (or similar) in e-mail messages with the 'Happy New Year!' subject (or similar). The trojan downloader downloads and runs files from a website.
Back to the Top



Disinfection

Disinfection of the Luder virus-worm should be performed as follows:


Disconnect a computer or local network from the Internet.
Disable network sharing or set strong passwords for all shared computers.
Select the "Disinfect Automatically" action for F-Secure Anti-Virus real-time scanners on all computers. With "Disinfect Automatically" selected, F-Secure Anti-Virus will disinfect files that a virus tries to infect over a network (if sharing was not disabled) or on local drives (if the virus is active in memory).
Scan ALL files on all the computer drives and MANUALLY select the "Disinfect" action to disinfect all infected files and rename the virus droppers and downloaders. DO NOT select Automatic Cleaning option after the scan!
Restart all disinfected computers.
Scan all hard drives on disinfected computers again to make sure that no more infected files are left. If needed, repeat the disinfection procedure.
Disinfect all infected computers connected to the network.
Enable network sharing.
Reconnect the disinfected computer or local network to the Internet.

Please note that because of the "Email-Worm." detection prefix F-Secure Anti-Virus will suggest to delete infected files, but DO NOT select the "Delete" option because this worm also has a viral component and you do not want to delete all infected files instead of disinfecting them. At the same time, the worm's dropper and downloader files should be deleted from a computer to prevent its re-infection. See the names of the dropper and downloader files in the Details section.
Back to the Top



Detailed Description
Infection of a system

After the worm's file is run, it copies itself to Windows System folder with ppl.exe name and creates startup keys for this file in Windows Registry:


[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"agent" = "%WinSysDir%\ppl.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"agent" = "%WinSysDir%\ppl.exe"


where %WinSysDir% represents Windows System folder (usually C:\Windows\System32\). The worm also drops a trojan downloader file with a random name into Windows System folder and starts it.


Spreading in e-mails

Before spreading, the worm collects e-mail addresses from an infected computer. It locates and reads the WAB (Windows Address Book) file. The worm sends messages with the following characteristics:

Subject:


Happy New Year!

Attachment:


postcard.exe

Later variants of the worm use different Subject fields and Attachment names.

The worm avoids sending e-mails to e-mail addresses that contain any of the following:


microsoft
.mil
.gov


File infection

The worm scans all fixed and remote drives starting from Z: to C: and looks for files with the following extensions:


hta
txt
htm
exe
scr
rar

The worm collects additional e-mail addresses to spread to files with .hta, .txt and .htm extensions.

The files with .scr and .exe extensions get infected. For every executable file found, the worm creates a copy with a random name and a .t extension. Then it tries to infect the files, if they are in PE (Portable Executable) format. The worm inserts a small piece of code into the victim files and then redirects the entry point to that address. This small piece of code starts the worm's copy (randomly named file with .t extension) and then passes control to the host file. It should be noted that the worm is quite buggy and can corrupt files upon infection. The worm also does not infect files protected by Windows Safe File Check.

Files with .rar extension are not affected, but the worm's author probably plans to process them in future versions of his malware.


Payload

The worm terminates processes with the following substrings in their names:


anti
viru
troja
avp
nav
rav
reged
nod32
spybot
zonea
vsmon
avg
blackice
firewall
msconfig
lockdown
f-pro
hijack
taskmgr
mcafee
In addition the worm closes the Registry Editor's window.
Back to the Top



Detection
F-Secure Anti-Virus detects this malware with the following updates:

[FSAV_Database_Version]

Version = 2006-12-29_01.

Si quieres saber si tienes algun resto, lanza este AV ONLINE y posteanos el informe resultante:

Kaspersky Security Scan

NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.


saludos

ms, 25-06-2008

[chema80]

Gracias por responder tan pronto. Pasare el AV online y les contare como ha ido.



Si como ha pasado ha borrado archivos, existe algun programa de recuperacion de datos?



La info del virus la conocia, el hecho de terminar procesos con nombres tipicos de antivirus implica que podria ocurrir con cualquier antivirus, no habia tenido ningun problema con Nod32. Quiza el firewall exista otro mejor, quiza me puedan recomendar uno.



Gracias.

[msc hotline sat]

Si los ficheros borrados son del sistema, lo mejor es lanzar una REPARACION de windows, desde el CD de instalacion:

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

saludos

ms, 26-06-2008

[chema80]

Hola. Los archivos desaparecidos no son del sistema. Son jpg, mp3, txt, rar o pdf.



He hecho el analisis online y pego aqui la info:



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

jueves, 26 de junio de 2008 18:14:58

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 26/06/2008

Registros en la base antivirus: 787804

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\

G:\



Estadísticas:

Número de objeros analizados: 67656

Virus encontrados: 6

Objetos infectados: 93 / 0

Objetos sospechosos: 0

Duración del análisis: 01:48:09



Bombre del objeto infectado / Nombre del virus / Última acción

F:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2008-06-26.14-12-50.log Object is locked saltado

F:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked saltado

F:\Archivos de programa\ESET\infected\1WW3XNAA.NQF Infectados: Trojan-Downloader.Win32.Femad.bf saltado

F:\Archivos de programa\ESET\infected\I1VMCCDA.NQF Infectados: IM-Worm.Win32.VB.az saltado

F:\Archivos de programa\ESET\infected\PTHBB4AA.NQF Infectados: Trojan.Win32.Autoit.ac saltado

F:\Archivos de programa\ESET\logs\virlog.dat Object is locked saltado

F:\Archivos de programa\ESET\logs\warnlog.dat Object is locked saltado

F:\Archivos de programa\PeerGuardian2\history.db Object is locked saltado

F:\Archivos de programa\Sygate\SPF\debug.log Object is locked saltado

F:\Archivos de programa\Sygate\SPF\rawlog.log Object is locked saltado

F:\Archivos de programa\Sygate\SPF\seclog.log Object is locked saltado

F:\Archivos de programa\Sygate\SPF\syslog.log Object is locked saltado

F:\Archivos de programa\Sygate\SPF\tralog.log Object is locked saltado

F:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

F:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

F:\Documents and Settings\Jose María Roba Sanz\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

F:\Documents and Settings\Jose María Roba Sanz\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

F:\Documents and Settings\Jose María Roba Sanz\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

F:\Documents and Settings\Jose María Roba Sanz\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

F:\Documents and Settings\Jose María Roba Sanz\Configuración local\Historial\History.IE5\MSHist012008062520080626\index.dat Object is locked saltado

F:\Documents and Settings\Jose María Roba Sanz\Cookies\index.dat Object is locked saltado

F:\Documents and Settings\Jose María Roba Sanz\Datos de programa\Lavasoft\Ad-Aware\Logs\AWEVLOG.txt Object is locked saltado

F:\Documents and Settings\Jose María Roba Sanz\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-76c433f7-12cd84bf.zip/BaaaaBaa.class Infectados: Trojan.Java.ClassLoader.ao saltado

F:\Documents and Settings\Jose María Roba Sanz\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-76c433f7-12cd84bf.zip/VaaaaaaaBaa.class Infectados: Trojan.Java.ClassLoader.ao saltado

F:\Documents and Settings\Jose María Roba Sanz\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-76c433f7-12cd84bf.zip/Baaaaa.class Infectados: Trojan.Java.ClassLoader.ao saltado

F:\Documents and Settings\Jose María Roba Sanz\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-76c433f7-12cd84bf.zip ZIP: infectado - 3 saltado

F:\Documents and Settings\Jose María Roba Sanz\ntuser.dat Object is locked saltado

F:\Documents and Settings\Jose María Roba Sanz\ntuser.dat.LOG Object is locked saltado

F:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

F:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

F:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

F:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

F:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

F:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado

F:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

F:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

F:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

F:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

F:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

F:\System Volume Information\_restore{12B2E405-DF36-483E-AD6D-9B023BDBE8B8}\RP7\change.log Object is locked saltado

F:\WINDOWS\$NtServicePackUninstall$\agentsvr.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\at.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\autofmt.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\cipher.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\cleanmgr.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\cmdl32.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\cmmon32.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\davcdata.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\dfrgntfs.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\diantz.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\dumprep.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\dvdupgrd.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\evcreate.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\eventcreate.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\evntcmd.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\evntwin.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\fontview.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\ftp.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\fxsclnt.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\fxscover.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\helpsvc.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\icwconn1.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\imapi.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\inetin51.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\ipconfig.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\ipv6.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\ipxroute.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\logon.scr Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\logonui.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\makecab.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\migload.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\migwiz_a.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\mmc.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\mobsync.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\mplay32.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\mqtgsvc.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\mshta.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\msiexec.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\mstinit.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\mstsc.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\narrator.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\net.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\netdde.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\netsetup.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\nppagent.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\ntvdm.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\oobebaln.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\openfiles.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\opnfiles.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\osk.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\packager.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\rcp.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\rdpclip.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\rdsaddin.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\regedit.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\rsh.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\rsnotify.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\rstrui.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\schtasks.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\sctasks.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\secedit.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\shrpubw.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\shutdown.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\sigverif.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\smi2smir.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\snmp.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\snmptrap.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\ssbezier.scr Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\svchost.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\taskmgr.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\tlntadmn.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\tlntsvr.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\tracert.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\ups.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\vssvc.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\wbemtest.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\wextract.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\wmiadap.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\wpabaln.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\wpnpinst.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\$NtServicePackUninstall$\xcopy.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

F:\WINDOWS\SchedLgU.Txt Object is locked saltado

F:\WINDOWS\SoftwareDistribution\Download\754803daf7775266b6bbe56e04eefa69\sp1qfe\ntvdm.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\SoftwareDistribution\Download\754803daf7775266b6bbe56e04eefa69\sp1qfe\winlogon.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\SoftwareDistribution\Download\754803daf7775266b6bbe56e04eefa69\spuninst.exe Infectados: Email-Worm.Win32.Mixor.a saltado

F:\WINDOWS\SoftwareDistribution\EventCache\{CAE32C99-F592-49AC-BEC6-D5D8BF7C8747}.bin Object is locked saltado

F:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

F:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

F:\WINDOWS\system32\config\default Object is locked saltado

F:\WINDOWS\system32\config\default.LOG Object is locked saltado

F:\WINDOWS\system32\config\SAM Object is locked saltado

F:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

F:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

F:\WINDOWS\system32\config\SECURITY Object is locked saltado

F:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

F:\WINDOWS\system32\config\software Object is locked saltado

F:\WINDOWS\system32\config\software.LOG Object is locked saltado

F:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

F:\WINDOWS\system32\config\system Object is locked saltado

F:\WINDOWS\system32\config\system.LOG Object is locked saltado

F:\WINDOWS\system32\h323log.txt Object is locked saltado

F:\WINDOWS\system32\updater.dll Infectados: Trojan-Spy.Win32.Banbra.aem saltado

F:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

F:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

F:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

F:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

F:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

F:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

F:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

F:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.



Evidentemente hay archivos infectados.



Voy a pasar el Nod32 a ver si logro desinfectar todo.

[flacoroo]

no ha pasado las herramientas sugeridas a principio por mi....hagalo y nos pega el reporte que pedimos para que veamos que acciones hizo y que falta......

[msc hotline sat]

Bueno, hay estos que estan aparcados en la carpeta de cuarentena de NOD 32:

F:\Archivos de programa\ESET\infected\1WW3XNAA.NQF Infectados: Trojan-Downloader.Win32.Femad.bf saltado
F:\Archivos de programa\ESET\infected\I1VMCCDA.NQF Infectados: IM-Worm.Win32.VB.az saltado
F:\Archivos de programa\ESET\infected\PTHBB4AA.NQF Infectados: Trojan.Win32.Autoit.ac saltado

Los cuales puedes borrar si quieres (ya no son ejecutables)

Luego algunos .CLASS y la gran mayoria son MIXORS que estan en la carpeta F:\WINDOWS\$NtServicePackUninstall$\

envianos este por ejemplo y veremos si es un resto antiguo o lo que es:

F:\WINDOWS\$NtServicePackUninstall$\xcopy.exe Infectados: Email-Worm.Win32.Mixor.a saltado



saludos

ms, 26-06-2008

[chema80]

Hola, he pasado las herramientas que indicaba flacoroo menos ELISTARA, que me avisaba que habia que actualizarlo. Dejo aqui el log del otro programa analizando los dos discos duros que tengo:



Fri Jun 27 18:50:10 2008

EliTriIP v4.88 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

No detectado SP3 de Windows XP



Fri Jun 27 18:51:08 2008

EliTriIP v4.88 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Jun 27 18:51:16 2008

EliTriIP v4.88 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 5580

Nº Total de Ficheros: 66131

Nº de Ficheros Analizados: 17197

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jun 27 19:20:03 2008

EliTriIP v4.88 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 38

Nº Total de Ficheros: 755

Nº de Ficheros Analizados: 402

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Avisar que ayer pase Spybot search & Destroy y limpió el pc.

He enviado el archivo que indicaba msc hotline sat.



Tengo un par de pregunstas:

1º Hay posibilidad de recuperar los archivos (rar, jpg, mp3, txt, pdf) eliminados mediante un programa de recuperacion de datos?

2º Tengo Nod32, AdAware, Spybot Search & Destroy y Sygate Personal Firewall. Es suficiente la proteccion o quiza deberia cambiar algun programa? El Firewall no me acaba de convencer.



Gracias.

[msc hotline sat]

Pues el ELISTARA es conveniente descargarlo y probarlo:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Sobre la recuperación de datos eliminados... hay programas que restauran, pero... pruebalo:

http://www.zonavirus.com/descargas/handy-recovery.asp

Y si bien siempre es preferible un cortafuegos por hardware, para evitar que lo desactiven los malwares y demas, escoge el antivirus que mas te guste.



saludos

ms, 27-06-2008