Borro monton de carpetas y archivos, anda lenta. (SOLVED)

[salerno]

Hola!



Les escribo desesperadamente porque ayer mientras bajaba unos videos de youtube con el Grab Pro de OrbitDownloader

http:INTERCEPTADO

en el Internet Explorer, de repente, se me borraron un monton de carpetas y de archivos de mi escritorio y no se cuantos archivos mas.



Estuve revisando con el recuva

http INTERCEPTADO



y los archivos aparecen como borrados, algunos quizas recuperables.

Para mi es totalmente incomprensible lo que paso.



Me gustaria que me pudieran ayudar a recuperar los archivos.

Instale el recuva porque es el unico que conozco, no se si es la mejor opcion.

No se si tengo virus o que paso de repente, si es un bug del grab pro o que.

De repente es como si me hubiera borrado 20 gigas del disco (es de 150Gb y estaba casi completo)



Ademas anda lento, supongo que en parte porque me pide que actualice windows, ya que aparentemente me borro las actualizaciones tambien, algunas o todas, no se.



Como medida preventiva desenchufe el modem para que no este conectado a internet.



Uso el windowsXP, tengo instalado el outpost, el NOD32, el emule xtreme, el utorrent.



No se si necesitan algun dato mas para poder ayudarme, desde ya les agradezco la atencion (estoy medio desesperado, nunca me habia pasado esto)



saludos,



Salerno

[lucl]

Se interceptan las webs porque no esta permitido ponerlas



https://foros.zonavirus.com/viewtopic.php?f=1&t=17044





Primero pasa estos dos antitrojanos que te indico importante que primero pases elistara y nos pegas el log que te dejaran en C infosat.txt





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



luego de pasarlos peganos log de hijackthis , saludos





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

[salerno]

Gracias por la pronta respuesta.

Perdon por los links (no sabia).Eran solo para explicar.



Hare lo indicado y mañana posteo lo que me dijeron.

Gracias,

Salerno.

[msc hotline sat]

Tras postearnos los logs solicitados, los cuales examinaremos e informaremos, prueba esta utilidad que dado lo que dices, puede ayudarte:



http://www.zonavirus.com/descargas/handy-recovery.asp



A ver si hay suerte ... , que la vamos a necesitar :wink: !



saludos



ms, 16 de Agosto de 2008

[salerno]

Gracias a ti tambien msc hotline sat, aunque tu mensaje me inquieta (digo, si hace falta suerte, esta dificil, no?).



De hecho, hay novedades. Ahora la maquina se conecta a internet, pero ningun programa se puede conectar a internet. El IE no muestra ninguna pagina, ni el firefox, ni el opera (tengo los tres) Tampoco utorrent.



La maquna se conecta pero no se puede usar la conexion. Probe cerrando el outpost y nada.



Por suerte ya habia bajado el handyrecovery que ya vere como se usa, una vez que haya seguido vuestras indicaciones.



Aqui van los logs. Aclaro que interrumpi por falta de tiempo la primera vez que corri ambos programas los interrumpi, pero luego, con tiempo, los corri completos en los 3 discos que tengo en las maquina.

Otra aclaracion es que no borre ningun archivo que me decia el programa que borrara, esperando indicaciones de ustedes.



Estos son los logs.





Fri Aug 15 18:49:15 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Carpeta "%WinDir%\PeerNet"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Aug 16 15:09:33 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Aug 16 15:09:50 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Infectado, SpyRealtek

C:\WINDOWS\system32\CMDOW.EXE --> Infectado, Tool-HideWindow



Nº Total de Directorios: 3595

Nº Total de Ficheros: 38104

Nº de Ficheros Analizados: 9230

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 0



Sat Aug 16 15:14:39 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\ - HD - ALVAPROGRAM\Archivos EXE\3DCUSTOMSCREENSAVERSETUP.EXE --> Infectado, Guiños(msn)

D:\- HD - fer\07-08-08\Archivos de programa\Monkey's Audio\Tools\QUICK RENAMER.EXE --> Infectado, Malware.WINDOSW

D:\- HD - fer\HD\-\Programas\Windows varios\AlvaroSoft\asus.com\Realtek ALC655 AC97 Audio Driver V3.66 for Windows 98ME2000XP(WHQL)2003\ALC655\Ap\CLASSIC.DLL --> Infectado, FraudTool.Agent.D

D:\- HD - PC MASTER\Archivos de programa\TeraCopy\ADD.EXE --> Infectado, Spy.Banker.BGH

D:\Archivos de programa\AvRack\CLASSIC.DLL --> Infectado, FraudTool.Agent.D



Nº Total de Directorios: 38652

Nº Total de Ficheros: 461491

Nº de Ficheros Analizados: 107093

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 0



Sat Aug 16 15:50:06 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\WINDOWS\system32\CMDOW.EXE --> Infectado, Tool-HideWindow

E:\WINDOWS.0\system32\CMDOW.EXE --> Infectado, Tool-HideWindow



Nº Total de Directorios: 2680

Nº Total de Ficheros: 21157

Nº de Ficheros Analizados: 8561

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 0



Sat Aug 16 15:57:47 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Aug 16 15:57:49 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad A:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Aug 16 15:58:20 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sat Aug 16 15:58:27 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad A:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Aug 16 15:58:32 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3595

Nº Total de Ficheros: 38104

Nº de Ficheros Analizados: 8963

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Aug 16 16:03:26 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\ - HD - PPAL\Archivos de programa\Post2Blog\Transfer.exe --> Infectado, IRCBot.DSH

D:\- HD - PC MASTER\Archivos de programa\TeraCopy\Add.exe --> Infectado, SdBot.G



Nº Total de Directorios: 38652

Nº Total de Ficheros: 461491

Nº de Ficheros Analizados: 102847

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 0



Sat Aug 16 16:33:10 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 2680

Nº Total de Ficheros: 21157

Nº de Ficheros Analizados: 8317

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Aug 16 16:38:45 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Logfile of HijackThis v1.99.1

Scan saved at 04:46:40 p.m., on 16/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\CDBurnerXP\NMSAccessU.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Flashnote\Flashnote.exe

C:\WINDOWS\system32\wuauclt.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Archivos de programa\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [EPSON Stylus CX5900 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIL.EXE /FU "C:\WINDOWS\TEMP\E_SD1.tmp" /EF "HKLM"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Flashnote] C:\Archivos de programa\Flashnote\flashnote.exe

O4 - Global Startup: Orbit.lnk = C:\Archivos de programa\Orbitdownloader\orbitdm.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: =>&Spanish - http:\\wordreference.com\es\j\iees69.htm

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/English%20to%20Spanish.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: NMSAccessU - Unknown owner - C:\Archivos de programa\CDBurnerXP\NMSAccessU.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

[msc hotline sat]

AL respecto solo hay qye actualizar los parches de microsoft e instalar el SP3, lanzando un windowsupdate.



Si persiste la pérdida de ficheros, vea si le ayuda la utilidad que le indicabamos...



saludos



ms, 17 de Agosto de 2008

[salerno]

msc hotline sat, voy a intentarlo, aunque, com dije, la ultima vez que lo intente, el modem se conecta pero el IE7 no abre ninguna pagina. Voy a probar.



Pregunto: tengo que borrar los archivos que los programas vuestros me indican como malos? (perdon si la pregunta es demasiado obvia)



Gracias.

[msc hotline sat]

No, son falsos positivos debidos a la existencia de las cadenas de deteccion, que pillan alguna, pero si estuvieran infectados, indicarian haber sido modificados porque estan protegidos con checksum.



Bien, pues a ver si hay suerte ...



saludos



ms, 17 de Agosto de 2008

[salerno]

Person que me reitere, pero no se si no pregunte claro o no entendi la respuesta.



Lo que yo preguntaba era si sugerias borrar alguno de estos archivos que aparecen en los logs que postie:



C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Infectado, SpyRealtek

C:\WINDOWS\system32\CMDOW.EXE --> Infectado, Tool-HideWindow

D:\ - HD - ALVAPROGRAM\Archivos EXE\3DCUSTOMSCREENSAVERSETUP.EXE --> Infectado, Guiños(msn)

D:\- HD - fer\07-08-08\Archivos de programa\Monkey's Audio\Tools\QUICK RENAMER.EXE --> Infectado, Malware.WINDOSW

D:\- HD - fer\HD\-\Programas\Windows varios\AlvaroSoft\asus.com\Realtek ALC655 AC97 Audio Driver V3.66 for Windows 98ME2000XP(WHQL)2003\ALC655\Ap\CLASSIC.DLL --> Infectado, FraudTool.Agent.D

D:\- HD - PC MASTER\Archivos de programa\TeraCopy\ADD.EXE --> Infectado, Spy.Banker.BGH

D:\Archivos de programa\AvRack\CLASSIC.DLL --> Infectado, FraudTool.Agent.D

E:\WINDOWS\system32\CMDOW.EXE --> Infectado, Tool-HideWindow

E:\WINDOWS.0\system32\CMDOW.EXE --> Infectado, Tool-HideWindow

D:\ - HD - PPAL\Archivos de programa\Post2Blog\Transfer.exe --> Infectado, IRCBot.DSH

D:\- HD - PC MASTER\Archivos de programa\TeraCopy\Add.exe --> Infectado, SdBot.G





Perdon por mi "novatez", :oops:

y gracias por la paciencia. :)

[msc hotline sat]

A, sí, claro que sí, pasa el ELISTARA en modo automatico , eliminando malwares automaticamente, y te lo hará .



saludos



ms, 18 de Agostod e 2008





PD y tras ello, reinicia y cuentanos el resultado, tendráss que notar mas rapidez, seguro ! ms.

[salerno]

Hola!



Agradezco mucho la ayuda pero ya reinstale windows.

Mas simple y sencillo, salvo el backupeado, pero en fin.

Pueden cerrar el tema



Saludos!

[msc hotline sat]

Pues así lo hacemos.



Dando el Tema por solucionado, procedemos a cerrarlo



saludos



ms, 27 de Agosto de 2008