Hola amigos.
Me ha surgido un problema que parece ser dee harware (disco duro) pero me gustaría confirmarlo o si es debido a otro problema. Mi S.O. es Windows 2000 y tengo un disco duro con dos particiones (C: y D:). Al copiar ficheros en la unidad D: (con el explorer ó desde una consola con el comando copy) me da el error que os ajunto (error1.gif). Indica que no puede copiar el fichero en \Device\HarddiskVolume2\directorio\fichero; Donde \Device\HarddiskVolume2 sería la unidad d: (es decir, el destino de la copia sería D:\directorio\ )
El mensaje indica que puede ser debido a un error de hardware, pero en principio puedo acceder a todos los directorios y ficheros de dicha unidad sin problema.
Os ajunto el resultado del hijack. Un saludo y gracias de antemano.
Logfile of HijackThis v1.99.1
Scan saved at 18:19:24, on 17/07/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\carpserv.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfeeFramework - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINNT\system32\irdvxc.exe" /service (file missing)
O23 - Service: CA Backup Agent for Open Files Service (OpenFileAgent) - Computer Associates International, Inc. - C:\Program Files\CA\BrightStor Mobile Backup\Client\BAOF\Ofant.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE
Error al copiar archivos - Delayed Write Failed
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Error al copiar archivos - Delayed Write Failed
Pues vemos estos ficheros sospechosos, envianoslos para analizar:
C:\WINNT\system32\mdm.exe
C:\WINNT\system32\irdvxc.exe
[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos
y me parece que estas usando un antivirus obsoleto:
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc.
Hace varios años que McAfee se separó de Netwok Associates, y los antivirus de entonces han sido cambiados y deben renovarse, pues es posible que ni se actualicen. Prueba pulsando boton derecho sobre el icono del VirusScan y en Acerca de mira la versión y fecha de los DAT, y dinosla u obra en consecuencia...
saludos
ms, 20-7-2009
NOTA: Mirando en el historial del ELISTARA vemos que ya controlamos un MDM.EXE, puedes probar a ver si es el mismo que tienes, o te pedirá muestra para analizar
y mirando con el historial del ELITRIIP, vemos que ya controlamos un irdvxc.exe , puedes probar si es el que tienes y te ahorras enviarnos muestra, o te la pedirá
Y aparte de todo lo anterior, comprueba que tengas espacio libre en dicha unidad, que todo se llena... ms.
C:\WINNT\system32\mdm.exe
C:\WINNT\system32\irdvxc.exe
Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos
y me parece que estas usando un antivirus obsoleto:
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc.
Hace varios años que McAfee se separó de Netwok Associates, y los antivirus de entonces han sido cambiados y deben renovarse, pues es posible que ni se actualicen. Prueba pulsando boton derecho sobre el icono del VirusScan y en Acerca de mira la versión y fecha de los DAT, y dinosla u obra en consecuencia...
saludos
ms, 20-7-2009
NOTA: Mirando en el historial del ELISTARA vemos que ya controlamos un MDM.EXE, puedes probar a ver si es el mismo que tienes, o te pedirá muestra para analizar
y mirando con el historial del ELITRIIP, vemos que ya controlamos un irdvxc.exe , puedes probar si es el que tienes y te ahorras enviarnos muestra, o te la pedirá
[quote="msc"][b]ELITRIIP:[/b] http://www.zonavirus.com/descargas/elitriip.asp
[b]ELISTARA:[/b] http://www.zonavirus.com/descargas/elistara.asp
Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos[/quote]
Y aparte de todo lo anterior, comprueba que tengas espacio libre en dicha unidad, que todo se llena... ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Error al copiar archivos - Delayed Write Failed
Hola de nuevo.
Ciertamente tengo el antivius desactualizado (la versión es la 8.0.0), y efectivamente en el log enviado aparece la referencia a los ficheros mdm.exe e irdvxc.exe, pero son los mismos que os envié en su momento. El problema es que fue imposible eliminar las entradas del registro con el elistara.exe, pero al final conseguí eliminar los dos ficheros (ubicados como ocultos en /windows/system32). De cualquier forma, aún estando desactualizado tanto el antivirus como los parches del S.O., practicamente no ha habido posibilidad de infectarse con virus ya que no ha habido instalaciones o conexiones a internet (salvo correo), aunque es cierto que eso no garantiza la proctección 100%
Respecto al espacio en la unidad D:, el explorer me indicaba que había unos 8 Gb. No osbstante, lo que he podido comprobar es que el error aparece cuando intento copiar más de un archivo. Si copio uno sólo no aparece dicho error.
saludos y gracias
Ciertamente tengo el antivius desactualizado (la versión es la 8.0.0), y efectivamente en el log enviado aparece la referencia a los ficheros mdm.exe e irdvxc.exe, pero son los mismos que os envié en su momento. El problema es que fue imposible eliminar las entradas del registro con el elistara.exe, pero al final conseguí eliminar los dos ficheros (ubicados como ocultos en /windows/system32). De cualquier forma, aún estando desactualizado tanto el antivirus como los parches del S.O., practicamente no ha habido posibilidad de infectarse con virus ya que no ha habido instalaciones o conexiones a internet (salvo correo), aunque es cierto que eso no garantiza la proctección 100%
Respecto al espacio en la unidad D:, el explorer me indicaba que había unos 8 Gb. No osbstante, lo que he podido comprobar es que el error aparece cuando intento copiar más de un archivo. Si copio uno sólo no aparece dicho error.
saludos y gracias
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Error al copiar archivos - Delayed Write Failed
No es probable que sea por problema fisico del disco duro si puede copiarle ficheros de uno en uno...
Mire de eliminar las claves que le indicabamos con el BUSCAREG:
[size=150][color=darkblue][b]BuscaReg[/b] [/color] [/size] (SATINFO)
Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.
[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b] [/url]
y desinstale totalmente el antivirus existente e instale la version actual, 8.7 con SP1, pues el que tiene posiblemente ni se le actualiza.
y tras reiniciar nos cuenta el resultado, gracias
saludos
22-7-2009
NOTA: y sobre los ficheros pedidos deciamos:
Probó el ELITRIIP ???[b] ELITRIIP: [/b]
http://www.zonavirus.com/descargas/elitriip.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]
y mire de enviarnos muestra del irdvxc.exe , si no lo ve, pruebe con el ELIMOVER copiarlo a c:\muestras, desde donde le será mas facil enviarnoslo:
DESCARGA DE ELIMOVER
http://www.zonavirus.com/descargas/elimover.asp
Para ello entre en el ELIMOVER la cadena : C:\WINNT\system32\irdvxc.exe
ms.
Mire de eliminar las claves que le indicabamos con el BUSCAREG:
Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.
y desinstale totalmente el antivirus existente e instale la version actual, 8.7 con SP1, pues el que tiene posiblemente ni se le actualiza.
y tras reiniciar nos cuenta el resultado, gracias
saludos
22-7-2009
NOTA: y sobre los ficheros pedidos deciamos:
[quote]Llega el MDM pero no el irdvxc.exe
Pasamos a monitorizar el que ha llegado, que a priori en un analisis preliminar vemos que es un backdoor de IRC, y pasaremoa a controlarlo con el ELITRIIP de hoy, de lo cual informaremos.
saludos
ms, 22-04-2008[/quote]
Probó el ELITRIIP ???
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]
y mire de enviarnos muestra del irdvxc.exe , si no lo ve, pruebe con el ELIMOVER copiarlo a c:\muestras, desde donde le será mas facil enviarnoslo:
DESCARGA DE ELIMOVER
Para ello entre en el ELIMOVER la cadena : C:\WINNT\system32\irdvxc.exe
ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online