Disco Duro lleno, pero esta vacio [creo es un virus] (SOLUCIONADO)

[kumanavi]

Buenas tardes a toda la comunidad de Zonavirus, aka andamos de nuevo molestando jeje, porke tengo un problemilla ke me trae vuelto loco.



veran, hace una semana, me aparecio un mensaje de alerta de windows en el system tray, ke me dice, la unidad c:, se esta kedando sin espacio, desea liberar algo de espacio y le di ke si, y limpio 250mb, me parecio extraño, ya ke mi disco duro es de 40gb, y tengo una particion a parte de 120 gb donde tengo todos mis datos, en fin, me dispuse a borrar todo lo necesario, libere 15 gb, bastante claro, y pues decidi, comprarme un disco duro nuevo para ke no me pasara lo mismo, bien, ayer en la tarde me salio de nuevo el mensaje, y pues no me parecio algo normal, ya ke acababa de liberar 9 gb y pues todo o he estado metiendo al disco duro nuevo, en fin, me pongo a borrar otra vez mas cosas, elimine musica y videos de musica, deje otros 500mb libres, pero cosa curiosa, estaba eliminando archivos, pero el espacio ke dejaba al borrar las cosas no aumentaba, deje de borrar y para mi incredulidad, vi como mi disco duro se empezo a llenar de nuevo, asi sin hace rnada, de los 500mb libres ke habia dejado, paso a 100 en cosas de 5 o 10 segundos, esto sin tener nada abierto, solo con el windows, asi ke pense ke habia un error y me paso el hijackthis, me muestra lo siguiente:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:46:09 p.m., on 21/04/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\_xPrnt.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

C:\Archivos de programa\USB Disk Security\USBGuard.exe

C:\Archivos de programa\DAEMON Tools Lite\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger 8.5\msnmsgr.exe

C:\Archivos de programa\Archivos comunes\InterVideo\DeviceService\DevSvc.exe

C:\WINDOWS\system32\cisvc.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe

C:\Archivos de programa\X Cyber\XSrv.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\_xdll.exe

C:\Archivos de programa\FreeCommander\FreeCommander.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Archivos de programa\WinDirStat\windirstat.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\_xPrnt.exe

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch_1.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [USB Antivirus] C:\Archivos de programa\USB Disk Security\USBGuard.exe

O4 - HKLM\..\Run: [xPrnt] C:\WINDOWS\_xPrnt.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [Flashget] C:\Archivos de programa\FlashGet\flashget.exe /min

O4 - HKCU\..\Run: [xPrnt] C:\WINDOWS\_xPrnt.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger 8.5\msnmsgr.exe" /background

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Startup: Servidor X Cyber (2).lnk = C:\Archivos de programa\X Cyber\XSrv.exe

O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Archivos de programa\MP3 Player Utilities 4.00\AMVConverter\grab.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.00\MediaManager\grab.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Archivos de programa\Bonjour\ExplorerPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmbox.itelcel.com/mmawap/jsp/composer/player/mmsPlayer.cab

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Archivos de programa\Archivos comunes\InterVideo\DeviceService\DevSvc.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SolidConverterPDFv4ReadSpool (SCPDFV4ReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSIF9C.tmp

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe



--

End of file - 7945 bytes





y pues para salir de duda me pase el windirstat, ke sirve para revisar los discos duros, y muestra ke carpeta esta usnado mas espacio en el disco duro, pues para mi sorpresa, la ke mas ocupa es la de archivos de programas, con 6 gb, en total con todas las carpetas juntas, incluida la de windows me aparecen 17.3 gb, y lo demas me aparece vacio, ahora mi duda es la siguiente, acaso tendre algun virusillo por ahi ke me este dando lata, y si es asi, omo puedo eliminarlo, o sera ke se volvio loco el sistema de alarmas de windows, o algun fallo en el disco duro



eso es todo, gracias por leerse esta nota



bytes

[msc hotline sat]

Fijo que esto es un ONLINE GAMES:



C:\WINDOWS\system32\olhrwef.exe

envienoslo para analizar



y le faltan parches : Platform: Windows XP SP2

lance un windowsupdate



Mientras, pruebe el ELISTARA, no sea que ya lo controlemos...:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



saludos



ms, 21-4-2009

[kumanavi]

si me di cuenta del olerwef, pero ese virus no te come el disco duro, de todas formas me pasare el elistara a ver ke pasa



te digho en un momento gracias



cya!

[kumanavi]

pues ke te cuento, me borra el olerwef, pero despues se congela el elistara y ni pa tras ni pa delante



revisando con el chkdsk, me dice ke mi disco duro esta defectuoso, pero digo, si esta defectuoso, no deberia de fallarme mas el windows, de todas formas, me pide ke reinicie, pero no puedo por ahora, reiniciare, y chekare el disco, y les cuento como me fue



gracias por la ayuda, regreso cuando termine de hacer la reparacion de windows



si se les ocurre algo diganlo



cya!

[msc hotline sat]

Sí, recuerda tambien lo de windowsupdate ...



Y podrías lanzar una comprobacion de errores, y una desfragmentacion...



MIPC -> Boton derecho sobre unidad C -> Propiedades -> Herramientas -> Comprobacion de errores & desfragmentación



y nos cuentas el resultado, gracias



saludos



ms,21-4-2009

[kumanavi]

pues ya le di reparar y pues no me ha fallado de nuevo, aunke lo de la fragmentada no me deja, talvez por la otrta particion, no se, pero me dice ke mi hd necesita fragmentacion, tratare de hacerlo esta semana, porke si se pierde mi trabajo llorare amargamente jeje



de todas formas gracias, al parecer no era virus, asi ke si kieres puedes mover el post a donde corresponda



gracias

[msc hotline sat]

Sea lo que sea trataremos de ayudarte a solucionarlo. Seguirá el Tema aqui mismo para cuando te hagamos falta. Suerte !



Y comentanos tus progresos al respecto, gracias



saludos



ms, 22.4.2009

[kumanavi]

Bueno, despues de habe rencontrado con la solucion de pura suerte, debo decir que todo se debio a un problema del kaspersky, ya que estaba generando cientos de errores y por eso me llenaba la carpeta de temporales del kaspersky, estoy hablando del kav 2009



asi que denlo por soucionado muchahos ya uqe por fin encontre el error



Gracias por la ayuda y la paciencia



bytes!

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



saludos



ms, 17-8-2010