Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: Nu|kEr32 en 5 Abril 2010, 21:59 pm


Título: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 5 Abril 2010, 21:59 pm
Hola a todos.
He tenido desde hace unos dias un problema con mi pc, el disco duro se ha estado llenando, pero no sé de que (xD), empezó con 23 gb q sobraban (hasta ahí es donde tenía de espacio) luego, empezó a bajar bruscamente hasta 20 gb al sgte día, sin explicación, ya que no he descargado nada, me pareció extraño y pensé que era un error, ese mismo día volvió a la normalidad (23gb). luego, al sgte día (xD), bajó a 18 gb y poco a poco iba bajando de 18,7 pasó 18,2 luego (el día de ayer)a 17,8gb y así hasta ahora (tengo 17,4gb). Pero, eso no es tanto el problema...resulta que en system32 encontré Dlls que nunca había visto, o no me acuerdo de haberlas visto, y al parecer son muchas y creo q es desde aqui de donde se esta llenando mi pc...(ademas porq encontré una q era de Winpcap,==>sospechoso  :¬¬ :¬¬)
2.-Por curiosidad ya que he estado usando hamachi para jugar AOE, me pareció extraño q un user se introdujera a una red q creé, pero solo para jugar con los contactos q invité, ese user, nadie lo invitó, ni le dijeron el nombre de la red(de él sospecho un poco)pero...al grano...hice netstat -a (con el hamachi cerrado) y encuentro algo curioso, un user "cyberphunk" junto con otro estaba ahí,dejo una img (http://img708.imageshack.us/img708/9395/salidablokports.jpg)luego ese mismo día, me aparece un msg q alguien quiere compartir archivos en recursos compartidos conmigo, no lo dejé permitir, luego, mas tarde otro, todos con diferentes nicks(sospecho de NetBIos ¬¬)...
3.-hago netstat -a y me aparecen/cían otros nicks/pcs conectados(hecho ayer)... ahora, si, una pregunta: [estoy sospechando que esos usuarios me están llenando de basura mi pc, de dlls de programas, ademas algunas dlls están en MAYUS, cosa, q yo recuerde q estaban en minusc, no sé, pero me suena a q me estan suplantando dlls de mi sistema, y por eso, ademas de que tuve dos errores en el firefox por una dll y otra con winrar (q no han vuelto a molestar)he encontrado dlls q son para win7 y otras para winxp, XD, es un poco paranoico y creo q no tiene argumentación, pero creo q son para hacer funcionar sus sistemas (win7 y xp) y poder controlar mi pc totalmente] como puedo hacer para q no se siga llenando mi disco duro?, pq aparecen esas dlls?, estan haciendo una intrusion a mi pc con algun troyano/malware, parecido?(netdevil, algoasí)(ahora q recuerdo, encontré un archivo relacionado, o algo relacionado q lo postearé despues en este mismo tema) como hicieron esto?, (si es cierto q es lo q está pasando), pq aparecen diferentes nicks/pcs/users en la salida de netstat? donde encuentro zonealarm firewall para vista sin tener q registrarme?, una preg un poco mas desviada de lo q ha estado tomando el tema: uds q correos utilizan para registrarse en pags/progs q solo lo necesitan?, utilizan los suyos o se crean mas correos para registrarse?
4.-...si se me olvidó algo para postear, lo postearé, ya q son muchas cosas q estan pasando a mi pc, y no sé pq me pasan estas cosas tan raras...no crean q no he buscado en google, pero la vdd es q no he encontrado nada parecdio a este problema...Estaré pendiente de las respuestas  :xD, y perdonen por desviarme tanto, pero es q no sé q titulo ponerle,xD.. SAlu2 y muchas gracias..
PD: otra cosa: tngo otras 4 imgs de la salida d netstat..

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 5 Abril 2010, 22:38 pm
hola

un firewall?

eso para parar las intrusiones a tu pc
luego me imagino que tendras algun gusano tambien , escanea tu pc con algun antivirus

y con eso creo que sera suficiente.

luego, si tenes dudas ciempre puedes poner un log del hijackthis.

de todos modos, creo que esto tendria que ir en el subforo de seguridad
saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 5 Abril 2010, 23:21 pm
Bueno, gracias por responder...
1.-Ya he pasado mi antivirus (avira antivirpersonal-free antivirus) y no solo me ha encontrado dos virus, ademas de los 187 q encontró, pero eran de mis programas como el metasploit, bifrost, y otros así, xD, que los detecta como virus, jeje..
2.-sip, ahora q veo, tienes razón con respecto a q esto va en seguridad
3.- otra cosa rara es q hace  2 semanas mi antivir detectó un virus con el mismo nombre de usuario con extensión .exe y lo raro era q siempre q trataba de sacar un pendrive, al utilizar el unlocker aparecía este virus...
4.- conté (hoy)los archivos q tenía la carpeta system32 para ver si es cierto q sube la cantidad y me encontré q tenía 15.519 archivos con 1130 carpetas y ahora(1:30hora despues) q volví a revisar subió 5 archivos(15.524) y 2 carpetas(1132)... no sé si es paranoico, pero las carpetas de system32 se llenan sólas tambien...
::::...PIDO A ALGUN MODERADOR Q PASE ESTE TEMA A SEGURIDAD...:::: por favor, gracias...
Edit: con respecto a lo del firewall...cerré los puertos con el q juego aoe y unos de p2p, pero no sé cuales serán para una VPN de hamachi, xD
Y...por curiosidad, respondan la preg antes de la 4.(de los correos xD)
...

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 6 Abril 2010, 01:09 am
hola


te podemos ayudar mejor si mandas un log del  hijackthis

cuando lo mandes, nos   daremos cuenta...
lo seguro es que teines un gusano, que aparte se expande por medios extraibles.

manda el log please!

otra cosa, tienes que tener un  firewall

sea outpost, pctotal, zone alarm ,etc

pero si tienes internet,  y tienes datos que proteger, teines que tener algun firewall
lo mejor es un fw a nivel de hardware, pero bueno.
te recomiendo,tener el kaspersky internet security.
fijate, en este mismo subforo, un usuario creo un tema con el kaspersky 2010 full de por vida.
 lo que es seguro, es que tienes un gusano que se ejecuta  al inicio de windows, y probablemente algun troyano.



saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 6 Abril 2010, 01:21 am
Cita de: winroot en  6 Abril 2010, 01:09 am
hola


te podemos ayudar mejor si mandas un log del  hijackthis

cuando lo mandes, nos   daremos cuenta...
lo seguro es que teines un gusano, que aparte se expande por medios extraibles.

manda el log please!

saludos
...bno, con respecto a lo del medio extraible, solo lo decía por suposición..jeje, no afirmo q lo sea...
pero pss, agradecería q me explicaran el porque pasa eso, voy a mandar el log y quisiera saber si es o no un intento de intrusion o ya están dentro...
PD: no sólo es cyberphunk, tambn hay varios como mx1:9001, neo, anonymous:9001==> q no sé q querrá decir ese 9001(creo q un puerto, pero lo busco y no aparece como tal)

una img al rspecto:
(http://r.i.elhacker.net/cache?url=http://img24.imageshack.us/img24/7373/intruxion.jpg) (http://img24.imageshack.us/i/intruxion.jpg/)
PD2: cerré el hamachi, (q crea otra red) en centro de redes y recursos compartidos donde me aparecía mi red(de wifi)y hamachi, pero al irme a ver estado=>propiedades=>desmarqué todas las casillas y ahora no aparece la red 2 q pertenecía al hamachi...bno, en parte creo q solucionó el problema de las conexiones extrañas...pero quisiera saber como hacer para q vuelva a aparecer la red 2 de hamachi..gracias

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: portaro en 6 Abril 2010, 01:27 am
Estas siendo vigilado por un vampiro tienes que descubrir el exe. que
hablas - "3.- otra cosa rara es q hace  2 semanas mi antivir detectó un virus con el mismo nombre de usuario con extensión .exe y lo raro era q siempre q trataba de sacar un pendrive, al utilizar el unlocker aparecía este virus.."

Encuentralo y borralo despues y solo despues  ponte a pasar las herramientas antimalware.

Probablemente tienes la pasta w32 llena de alteraciones te aconsejo tb a que mires muy detenidamente tu registro + con MSDOs listado de processos o con administrador de tareas, y que veas en el mismo administrador los PID de processos y puertos utilizados.

En ese pc no pongas nada que sea de tu foro privado pues todo lo que hagas con el ira a parar a terceros.

Tienes una buena tarea de desinfeccion

puedes fijarte en este tuto
http://www.stopmalware.net/2010/02/manual-de-deteccion-y-eliminacion-de.html

y despues procede .

http://www.youtube.com/watch?v=VVssea0Y8To
En el registro
VVssea0Y8To

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 6 Abril 2010, 01:30 am
sobre lo de los correos, yo para todo uso el djga94@gmail.com
gmail tiene un exelente filtro anti spam, y  Sinceramente el unico spam de mi correo fue el de  microsoft informandome que un contacto me elimino del msn
:xD

otra cosa,
para  manejar conexiones usa cport
ahora te paso  el link de  descarga
es como el netstat pero todo grafico
podes cerrar  conexiones, terminar el proceso, exportar todo en formato html y muchas cosas mas
saludos  

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 6 Abril 2010, 01:38 am
http://www.nirsoft.net/utils/cports.html

dale a  download


despues abrilo,no requiere de instalacion.

te daras cuenta enseguida, de los troyanos que estan corriendo, sus ips, sus procesos, el puerto que usan,etc
como te mencionan arriva, ni se te ocurra tener nada personal en la pc, ya que si tienes algun tipo de spiware, todo estara en manos de un tercero.

manda el log del hijackthis, y un reporte de las  conexiones activas  con el c port.

con esto creo que sera suficiente, por lo menos un par de cosas saldran a la luz.

saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Boot04 en 6 Abril 2010, 01:45 am
creo que mejor es que nos pases los Log de HijackThis
por si no lo tienes
descargalo de aca:

http://go.trendmicro.com/free-tools/hijackthis/beta/HijackThis.msi

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 6 Abril 2010, 03:00 am
GRacias a todos!!, iba a responder con la primera img (q posteo)y responderle awinroot xD apenas me acabaran de responder, pero presenté un inconveniente(algo de mi casaxD) y vuelvo a hacer ahora netstat y me encuentro a cyberphunk junto con el otro anonymizer2: en https==> claro q https es para gmail que por supuesto me alarma  :o ; pq acababa de enviar un archivo por gmail y vuelvo en 5 min a hacer netstat y me encuentro con eso....tendra algo q ver con q me acabe de demorar en cargar las pags??
ademass del google y salir de mi gmail q lo acabe de hacer??
(http://img517.imageshack.us/img517/3421/intrux.jpg)
PD: perdonen por la redaccion...
PD2:esperen ya uso el cports...
PD3: dirán y "pq no hace todo eso ahora?"(log de hijackthis y cports), pq tenia q dar una respuesta y no la di y veo q me escriben respuestas y pss no m dan tiempo a cada respueta q respondo(q redundancia =P)

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Novlucker en 6 Abril 2010, 03:03 am
hijackthis, cports, y TCPView (http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx) :P

Saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 6 Abril 2010, 04:19 am
Citar
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 08:51:56 p.m., on 05/04/2010
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Vidalia Bundle\Tor\tor.exe
C:\Program Files\Vidalia Bundle\Polipo\polipo.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\conime.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\system32\werfault.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
C:\Windows\System32\notepad.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [TMRUBottedTray] "C:\Program Files\Trend Micro\RUBotted\TMRUBottedTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKLM\..\RunOnce: [NSSInstallation] C:\Windows\System32\Adobe\Shockwave 11\nssstub.exe /runonce
O4 - HKCU\..\Run: [Vidalia] "C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [Hp1] C:\Users\Hp1\Hp1.exe
O4 - HKCU\..\Run: [VoipRaider] "C:\Program Files\VoipRaider.com\VoipRaider\VoipRaider.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'Servicio de red')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{260EEA60-86DF-4A46-BA48-9FDBA04CCAC4}: NameServer = 190.157.2.140,200.118.2.88
O17 - HKLM\System\CS1\Services\Tcpip\..\{260EEA60-86DF-4A46-BA48-9FDBA04CCAC4}: NameServer = 190.157.2.140,200.118.2.88
O17 - HKLM\System\CS3\Services\Tcpip\..\{260EEA60-86DF-4A46-BA48-9FDBA04CCAC4}: NameServer = 190.157.2.140,200.118.2.88
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: @%SystemRoot%\system32\aelupsvc.dll,-1 (AeLookupSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Program Files\Apache Group\Apache2\bin\Apache.exe
O23 - Service: @%systemroot%\system32\appinfo.dll,-100 (Appinfo) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-204 (AudioEndpointBuilder) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-200 (Audiosrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\bfe.dll,-1001 (BFE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\qmgr.dll,-1000 (BITS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\browser.dll,-100 (Browser) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-11 (CertPropSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dhcpcsvc.dll,-100 (Dhcp) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\dnsapi.dll,-101 (Dnscache) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dps.dll,-500 (DPS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\emdmgmt.dll,-1000 (EMDMgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (Eventlog) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @comres.dll,-2450 (EventSystem) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fdPHost.dll,-100 (fdPHost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fdrespub.dll,-100 (FDResPub) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: @%SystemRoot%\System32\hidserv.dll,-101 (hidserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\kmsvc.dll,-6 (hkmsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\IPBusEnum.dll,-102 (IPBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\iphlpsvc.dll,-200 (iphlpsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: @comres.dll,-2946 (KtmRm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wkssvc.dll,-100 (LanmanWorkstation) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @%SystemRoot%\system32\lltdres.dll,-1 (lltdsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-100 (MMCSS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\FirewallAPI.dll,-23090 (MpsSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe
O23 - Service: @%SystemRoot%\system32\iscsidsc.dll,-5000 (MSiSCSI) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\Windows\system32\msiexec.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qagentrt.dll,-6 (napagent) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: @%SystemRoot%\system32\netman.dll,-109 (Netman) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\netprof.dll,-246 (netprofm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\nlasvc.dll,-1 (NlaSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\nsisvc.dll,-200 (nsi) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8004 (p2pimsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8006 (p2psvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pcasvc.dll,-1 (PcaSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\pla.dll,-500 (pla) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8002 (PNRPAutoReg) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8000 (PNRPsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\profsvc.dll,-300 (ProfSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasauto.dll,-200 (RasAuto) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasmans.dll,-200 (RasMan) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @regsvc.dll,-1 (RemoteRegistry) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe
O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Trend Micro RUBotted Service (RUBotted) - Trend Micro Inc. - C:\Program Files\Trend Micro\RUBotted\TMRUBotted.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\System32\SCardSvr.dll,-1 (SCardSvr) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-13 (SCPolicySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Sens.dll,-200 (SENS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\SessEnv.dll,-1026 (SessionEnv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-12288 (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe
O23 - Service: @%SystemRoot%\system32\SLUINotify.dll,-103 (SLUINotify) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe
O23 - Service: @%systemroot%\system32\ssdpsrv.dll,-100 (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wiaservc.dll,-9 (stisvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sysmain.dll,-1000 (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\TabSvc.dll,-100 (TabletInputService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tapisrv.dll,-10100 (TapiSrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\termsrv.dll,-268 (TermService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-8192 (Themes) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-102 (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\trkwks.dll,-1 (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe
O23 - Service: @%systemroot%\system32\upnphost.dll,-213 (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dwm.exe,-2000 (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe
O23 - Service: @%SystemRoot%\system32\w32time.dll,-200 (W32Time) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wcncsvc.dll,-3 (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\WcsPlugInService.dll,-200 (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-502 (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-500 (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\webclnt.dll,-100 (WebClient) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wecsvc.dll,-200 (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wercplsupport.dll,-101 (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wsmsvc.dll,-101 (WinRM) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\wmpnetwk.exe
O23 - Service: @%SystemRoot%\system32\wpcsvc.dll,-100 (WPCSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wpdbusenum.dll,-100 (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wscsvc.dll,-200 (wscsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Unknown owner - C:\Windows\system32\SearchIndexer.exe
O23 - Service: @%systemroot%\system32\wuaueng.dll,-105 (wuauserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wudfsvc.dll,-1000 (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 22376 bytes
ahí está mi log del hijackthis: recuerden q tngo el metasploit y el bifrost... ;)
1.- por ahora con el cports, tcpview, y el netstat  no veo  a los "atacantes", solo veo algo sospechoso como en currports(tambien en tcview) en 5 procesos q dicen system con el process ID 4 por protocolos tcp y udp y en local port name Netbios-ssn; el otro netbios-ns; netbios-dgm; microsoft-ds
PD: tenés razón con lo del gmail winroot, yo tambien lo uso por eso.. y tambn pq ya no uso hotmail ;) y bueno, y ustedes...no usan correos alternativos?,  >:D

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Novlucker en 6 Abril 2010, 04:54 am
Que se supone que es esto? :huh:

Citar
C:\Windows\system32\conime.exe
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe

Saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Darioxhcx en 6 Abril 2010, 04:59 am
pasa el log por aca

http://hjt.networktechs.com/


ahi varios .exe pero no muchas....
mira con tuneup administrador de archivos que te dice como se distribuyen los archivos segun el peso
tal ves solo sean basura y este en una ubicacion media rara
suerte
saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: [L]ord [R]NA en 6 Abril 2010, 05:56 am
Cita de: Darioxhcx en  6 Abril 2010, 04:59 am
pasa el log por aca

http://hjt.networktechs.com/


ahi varios .exe pero no muchas....
mira con tuneup administrador de archivos que te dice como se distribuyen los archivos segun el peso
tal ves solo sean basura y este en una ubicacion media rara
suerte
saludos

Creo que el problema principal de este usuario no es el disco lleno, es el problema que tiene actualmente con su privacidad debido a estas conexiones, lo primordial ahora es que responda a la pregunta de Novlucker y que elimine lo que sea detectado como malware, exceptuando las cosas que utilice. Me huele a que esta requetetroyanizado

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 6 Abril 2010, 07:34 am
Lo que dice pollo profeta es lo q me preocupa, ademas de q se me llene el disco, lo raro es q al reiniciar el pc luego de reparar las entradas con el hijackthis, el disco duro llegó a 19,7gb (algo bno, pq me deja mas espacio comparado con los 17gb q tnia antes, pero..)pero, luego bajó a 18,9gb, ::Raro::.... esperen termine de examinar todo el sistema... actualizo cuando tenga novedades...
PD: Lo q aparece q novlucker detectó como raro, en la pag http://hjt.networktechs.com/ donde pege el log del hijackthis apareció como peligroso al = q otras entradas...(me refiero a: O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe)
PD2: con el unlocker logré eliminar el proceso de conime.exe q es un virus y logré eliminarlo, lo raro es q me dice el unlocker q lo envio a la papelera, pero no lo veo¬¬..
(perdonen ignorancia)
PD3: al reiniciar y eliminar esa entrada q dic novlucker, el spybot me la detectó como un cambio, lo bloqueé, pero de tds modos volvi a analizar con el hijackthis y me lo vuelvo a encontrar junto con otros 2...
Como dije, actualizo cuando tenga novedades y espero me resuelvan dudas y me ayuden a solucionarlo..
Una vez mas gracias!! ;)

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Jaixon Jax en 6 Abril 2010, 07:39 am
 Eres repetidora de Tor ?  :D

  Si es asi eso son usuarios que estan utilizando tu PC para ingresar a internet .....


 Sino como dice el Pollo tu Pc tiene mas troyanos que Sparta  :D

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: portaro en 6 Abril 2010, 15:55 pm
Tienes troyanos modificados o sea se hacen pasar por otros processos estas cargado de (svchosts) y w32 estara asi apiparrada de modificaciones, no te queda otra sino encontrar el executable apagarlo solo despues te valdra de algo pasar herramientas, Avg como antivirus para ese problema no te valdra de nada.

Por mi experiencia probaria a echar un ojo a registro de windows y procurar alguna entrada del tipo YRTpro...2333:::.exe

siguetambien la corriente que te echo NOvlucker, te habla de un launcher vete tras el.

IMportante bajate quanto antes un antirootkit y respalda tu sistema con el a ver que ideas te da.








Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 6 Abril 2010, 18:18 pm
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\werfault.exe
C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

todos los   anteriores exes, los intente abrir desde ejecutar y no estan en mi pc.
windows xp sp2.
las siguientes keys de run me parecen sospechosas:



O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe


los servicios son muchos y no tengo muchas ganas de leer hoy
:xD

te recomendaria todos los  procesos que te puse arriva, buscarlos en google, seguro alguno salta que es un gusano o algo por el estilo


me parece, que tu svschost.exe tambien esta recontra infectado y carga dlls como servicio...

hay algo que estas abriendo que te esta cargando los virus en run nuevamente...
saca todo del inicio con el msnconfig
deja solo el avira
y fijate que pasa
si todo anda bien, anda activando uno a uno   los elementos, asta que descubras cual es el problematico.
Código:
inicio>ejecutar>msconfig>inicio

y seguramente, tendras que usar otras herramientas como
.reg sot
.process monitor

ademas, no seria mala idea pasar un scaner en linea con kaspersky.

luego, estaria bueno hacerle un sfc /skannow con el cd de windows puesto, te dira los archivos que estan corruptos/modificados y  los reparara.

por ultimo, si no puedes encontrar el exe que carga keys en run, protege la key run
abri el regedit
anda a
hklm\software\microsoft\windows\currentversion\run
anda a edicion selecciona permisos
selecciona  administrador o tu nombre de usuario
dale  denegar control total
denegar escribir
dale aceptar
hace lo mismo en hkcu
y listo, no se agregaran mas keys de ningun programa
es lo que hago yo.

y bueno, publica los avances, y mucha suerte.

un saludo!

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 6 Abril 2010, 18:46 pm
tambien elimina el launcher ese
Código:
inicio>ejecutar>cmd /c del /q c:\windows\SMINST\launcher.exe
si no se elimina asi, teines que sacarle los atributos.
Código:
inicio>ejecutar>cmd
escribi 
attrib -h -s -r c:\windows\SMINST\launcher.exe
del /q c:\windows\SMINST\launcher.exe
exit
y listo...

saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Novlucker en 6 Abril 2010, 19:15 pm
Esos exe puede que sean porque lo suyo es un Vista :P

Aunque de cualquier manera los tengo todos, de hecho tengo hasta el conime.exe que en casa no me salia :xD (Win XP sp2)
Los HKLM también estan bien, aunque bueno, no pierdes nada con revisarlos :P
Sobre los servicios, creo que es culpa del Vista que carga la mitad de las librerias de system32 :xD

Saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 6 Abril 2010, 20:05 pm
Cita de: Novlucker en  6 Abril 2010, 19:15 pm
Esos exe puede que sean porque lo suyo es un Vista :P

Aunque de cualquier manera los tengo todos, de hecho tengo hasta el conime.exe que en casa no me salia :xD (Win XP sp2)
Los HKLM también estan bien, aunque bueno, no pierdes nada con revisarlos :P
Sobre los servicios, creo que es culpa del Vista que carga la mitad de las librerias de system32 :xD

Saludos

tienes razon :P

los busque en google,y son de vista :D
entonces, el sospechoso es el launcher.exe o algo de eso.
que lo elimine, que use el comando buscar del regedit y listo.
luego, que mire con cport las conexiones activas.

un saludo!

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Novlucker en 6 Abril 2010, 20:07 pm
Sip, por si acaso antes de eliminarlo subelos a virustotal, que un archivo de sistema no deberia ni por asomo de generar alarma alguna.

Saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 8 Abril 2010, 03:11 am
Cita de: Jaixxon Jax en  6 Abril 2010, 07:39 am
Eres repetidora de Tor ?  :D

  Si es asi eso son usuarios que estan utilizando tu PC para ingresar a internet .....


 Sino como dice el Pollo tu Pc tiene mas troyanos que Sparta  :D
la maquina si es repetidora de tor, pero yo soy
repetidOR de tor, aunq, no entiendo lo q querés decir con "repetidora"...
Saben de algun antirootkit que no:
1.- sea incompatible con winvista
2.-no me realentize el pc (el antirootkit GMER me usó el 100% de CPU y tuve q apagar el pc de manera forzada
3.-Que no reinicie para escanear...
Saben de alguno?
GRacias,
En el proximo mensaje respondo completo...
por cierto, eliminé el LAuncher.exe, y el conime.exe tambien...
(sigo escaneando...y todavia encuentro archivos sospechosos  :¬¬)
Edito: no sé si será importante, pq lo llevo diciendo desde q empezó el tema, pero ahora el disco duro está en 19,6 gb, antes (hace 3 horas) estaba en 20gb.. :¬¬

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Jaixon Jax en 8 Abril 2010, 04:32 am
  Una cosa es que seas usuario de toor y otra cosa es que le de permisos a vidalia para que tu pc sea parte de un circuito en la red toor si es asi tu pc abrira puertos y consumira ancho de banda para que otros naveguen atravez de tu pc y si eres repetidora esas ips deben ser usuarios que estan utilizando tu pc de proxy por decirlo  :¬¬ y tal vez toda esa data sean !LOGS DE TOOR¡ XD  :o ...

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 8 Abril 2010, 07:01 am
Cita de: Jaixxon Jax en  8 Abril 2010, 04:32 am
  Una cosa es que seas usuario de toor y otra cosa es que le de permisos a vidalia para que tu pc sea parte de un circuito en la red toor si es asi tu pc abrira puertos y consumira ancho de banda para que otros naveguen atravez de tu pc y si eres repetidora esas ips deben ser usuarios que estan utilizando tu pc de proxy por decirlo  :¬¬ y tal vez toda esa data sean !LOGS DE TOOR¡ XD  :o ...
mmm...
1.- no sé como se hará para q mi pc sea como una especie de "proxy", pero estoy seguro, q no  le doy permisos a vidalia para q mi pc sea parte de un circuito de red...
2.- ademas, esto viene pasando desde hace como...6 o 7 días...(el disco duro se me llena por algo  :¬¬), (estoy en esas)
3.-la data no pueden ser logs de tor... como dije, no soy, ni sé como hacer para hacer que mi pc sea una especie de "proxy" para otros usuarios...(por cierto, lo puedo hacer en mi propia LAN para utilizar otro pc como mi proxy personal?..es solo una preg)
4.- Tor lo tngo desde hac rato...
5.- lo q me preocupó de la salida de netstat es q los nombres(nicks) parecen al estilo lammer...(cyberphunk, hyperreal, anonymous...) ademas, recuerden q dije q hubo 3 pcs q pidieron compartir recursos compartidos...O_o
6.- hay veces en la q pienso en lo q dices, pq aveces veo: tor:https, jeje, y no sé pq sino lo utilizo casi en firefox
7.- Puede ser q alguien me esté utilizando como proxy?, sin yo saberlo?..
8.- Usando Essential NetTools encontré esto:
(http://img146.imageshack.us/img146/4665/netauditfind.jpg)
Que cosas debo hacer para evitar esto?, no tngo recursos compartidos activados de ningun modo, con el firewall he bloqueado muchos puertos, q me falta?
Gracias,
PD: Saben de algun rootkit q cumpla con lo q dije?, perdonen si es mucha molestia, pero, he probado unhackme, GMER(el computador se alentiza), panda antirootkit (q no sirve para vista) sophos antirootkit (tampoco sirve...)..
GRacias de nuevo... ;D

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 8 Abril 2010, 16:18 pm
hola,

bue...
te recomendaria, que mandes un zip a rs con:
.un  log de cport
.un log de process monitor (obligatorio)

me parece, que la unica que queda es estar 5 hs analisando un log de process monitor....:P

escribi process monitor en google, es freeware y portable

para el tema de los rootkits, la respuesta es la misma.

mejor, descargate  el paquete de sysinternals, que tray el process explorer, process monitor, autoruns, un anti rootkits,etc

 mejor te doy el link
http://download.sysinternals.com/Files/SysinternalsSuite.zip

descargala, abri el process explorer, y fijate que hay raro
si no encontras nada raro, manda logs en el zip de:
.process monitor
.autoruns
.cport
y con eso creo que tengo un rato para   entretenerme :D
saludos 

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 8 Abril 2010, 16:21 pm
por cierto, por mi pc, directamente gmer ami se me abre y se cierra solo.

:xD

saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 8 Abril 2010, 16:26 pm
aclaro, que mi idea es mirar el log de process monitor,para  saber que proceso es el que esta creando  archivos en system32
para esto, sobra con  filtrar los  createfile,copyfile,etc

te aclaro, el process monitor abrilo por 5 min aprox, luego anda a file y dale sabe.
guardalo en   donde quieras, metelo en un zip y mandalo a rs o a otro hosts

si a alguien se le  ocurre otra manera de, saber que proceso crea esos archivos, que la escriba.

un saludo!

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Novlucker en 8 Abril 2010, 16:34 pm
Cita de: winroot en  8 Abril 2010, 16:18 pm
me parece, que la unica que queda es estar 5 hs analisando un log de process monitor....:P

Y una segunda alternativa a eso ... es estar otras 5 hrs analizando un log de Sysinspector  (http://www.eset-la.com/support/sysinspector.php);D

Para que no contenga datos personales ve a Archivo > Generar > Para enviar o desde línea de comandos con el parámetro /Privacy ;)

Saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 8 Abril 2010, 16:40 pm
Cita de: Novlucker en  8 Abril 2010, 16:34 pm
Cita de: winroot en  8 Abril 2010, 16:18 pm
me parece, que la unica que queda es estar 5 hs analisando un log de process monitor....:P

Y una segunda alternativa a eso ... es estar otras 5 hrs analizando un log de Sysinspector  (http://www.eset-la.com/support/sysinspector.php);D

Para que no contenga datos personales ve a Archivo > Generar > Para enviar o desde línea de comandos con el parámetro /Privacy ;)

Saludos

Sinceramente no lo conocia
:D
ahora lo descargo

puse process monitor,porque es el que estoy acostumbrado a manejar, si este hace lo mismo, calculo que sera igual
saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 8 Abril 2010, 16:44 pm
igual, leyendo la descripcion,me parece que no hace lo mismo que process monitor.

ahora lo ejecuto
igual,que sea de eset...:D
no hace lo mismo, pero esta bueno.

es un muy buen complemento a un log del hijackthis.

si quiere, tambien que mande log de sysinspector.

pero, mas que nada me interesa el de process monitor y cport, para saber que proceso esta creando tantos archivos en system32

saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Novlucker en 8 Abril 2010, 17:17 pm
No, no hacen lo mismo, el process monitor muestra el comportamiento del pc, Sysinspector hace una captura de sistema tal y como lo hace hijackthis, pero mucho más completo :P, ahí tienes los procesos que se estan ejecutando ,programas que inician con win, conexiones, análisis de peligrosidad, etc. etc., yo diría que el hijackthis es un complemento a este, lo que ocurre es que es mucha más información a revisar ;D

Saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 21 Abril 2010, 07:15 am
Actualizo luego de 13 dias ( ;D) perdonen la demora, pero la vdd es q no he podido comunicarme...
Ayer guardé los logs/reportes de TcpView, Sysinspector(para enviar), autoruns y processmonitor. Los subo a rapidshare y envio el link a virustotal?

PD: dos preguntas, 1:_Que hace luego Sysinspector al hacer el "Escaner" para guardar el reporte si no lo hago en privada(para enviar)?, acaso muestra archivos Privados mios?2:_ Estos programas guardan info de las cosas q este usando, de los documentos, algun temporal q use??(perdonen la ignorancia si la pregunta no viene al caso, pero solo quiero saber)
Gracias!  ::)
PD2: el problema no lo he podido solucionar, ya q ahora se llenaron 10 gb, a mi disco le sobran 10gb y no he guardado ni siquiera archivos de 1 gb... lo peor es que aveces cambia a 12gb o a 9gb y se queda entre esos rangos...
GRacias de nuevo!

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Novlucker en 21 Abril 2010, 13:14 pm
Lo subes a rapidshare y nos pasas los links (mejor megaupload o mediafire).

1 - Archivos privados no, pero se ocultan algunos datos que quizás no querrias mostrar (nombres de usuarios por ej.)
2 - Es un reporte completo de las conexiones activas, procesos en ejecución, servicios, programas que inician con windows, etc.

Saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 21 Abril 2010, 16:56 pm
hola!



al process monitor, dejalo como  20 minutos, luego guarda el log.

saludos 

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Novlucker en 21 Abril 2010, 17:28 pm
Pero si lo deja 20 minutos, va a necesitar 2 días para subir el log :xD ... un log de booteo de win por ejemplo pesa 100 mb, y eso que son 2 minutos :xD

Saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 21 Abril 2010, 18:53 pm
Cita de: Novlucker en 21 Abril 2010, 17:28 pm
Pero si lo deja 20 minutos, va a necesitar 2 días para subir el log :xD ... un log de booteo de win por ejemplo pesa 100 mb, y eso que son 2 minutos :xD

Saludos

jjaja,se me paso eso :xD

igual, creo que con 5 minutos sera suficiente, yo porque  algunos  malware solo actuan cada una cantidad de tiempo.

igual, que mande lo que tenga,  si no te molesta novlucker, tu  miras los logs de   sysinspector y eso, y yo miro el de process monitor.
mas que nada para  repartir la tarea.
saludos!

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 22 Abril 2010, 06:28 am
ahi les dejo el link:
http://www.mediafire.com/?mmdindz2mnn
esta adjunto todo, y muchas gracias por seguir colaborandome y tener paciencia
GRacias!
PD: se que esta prgunta q voy a hacer no va al tema, pero bueno, es una duda q tngo y q me parece un poco estupido crear un tema sobre esto: pq es mas facil q carge un archivo al subirlo a un host o a bajarlo de el en el escritorio q en por ejemplo varias carpetas, o hasta en documentos?
PD2: hic dos de estos logs (uno incompleto) habia un log entero de procmonitor q pesaba 1gb, asi q ese no lo envio, pq me demoro una eternidad en subirlo, por eso envio este de 30mb q son como 3 a 5min relativamente en cada log de cada programa
Una vez mas gracias!

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Novlucker en 22 Abril 2010, 14:25 pm
Cita de: winroot en 21 Abril 2010, 18:53 pm
igual, que mande lo que tenga, si no te molesta novlucker, tu miras los logs de sysinspector y eso, y yo miro el de process monitor.

El log de Process Monitor pesa unos 300 mb, así que tienes para entretenerte :xD ... además donde estoy no lo puedo abrir porque incluso para abrir un log (no generarlo) necesitas privilegios de administrador :¬¬

Saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 23 Abril 2010, 02:39 am
hola!
primero que nada, les pido disculpas por no responder antes.
es que, me hacia falta salir un poco del pc, y tomarme un día libre.
aquí  en uruguay, ya es tarde, prometo que maniana miro el log de process monitor y notifico mis  conclusiones  :D
mis disculpas nuevamente, y saludos!

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 23 Abril 2010, 17:00 pm
hola a todos!
mire el log de process monitor, pero muy por   arriva.
hoy de tarde, lo miro con mas detenimiento y filtrando  procesos, ya que hoy lo mire filtrando el createfile, pero igual son muchos procesos.
de todas maneras, quiero compartir con ustedes las conexiones que estavan activas, y digan si notan algo raro.
ESET SystemStatus log, versions: ev 1213 (20090423), gv ESI 1.2.012.0, lv 1.0
Session start: 20 Apr 2010, 22:00:19
Session end: 20 Apr 2010, 22:03:22
Flags: 32bit, AntiStealth
Description: SysInspector-HP11-100420-2200

03) TCP connections:- Active connection: 127.0.0.1:49423 -> 127.0.0.1:9051, owner: c:\program files\vidalia bundle\vidalia\vidalia.exe
- Active connection: 127.0.0.1:49424 -> 127.0.0.1:49425, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 127.0.0.1:49425 -> 127.0.0.1:49424, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 127.0.0.1:9051 -> 127.0.0.1:49423, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60157 -> 212.42.236.140:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60161 -> 213.115.239.118:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60162 -> 79.222.111.15:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60163 -> 84.29.243.11:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60164 -> 91.121.162.67:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60165 -> 80.239.147.18:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60166 -> 91.143.90.155:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60167 -> 87.118.104.203:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60168 -> 87.234.224.85:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60169 -> 217.160.111.190:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60170 -> 192.251.226.206:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60173 -> 94.128.51.192:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60175 -> 208.100.43.23:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60176 -> 124.217.239.196:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60177 -> 61.82.139.228:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60179 -> 184.73.128.156:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60180 -> 212.22.205.42:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Listening on *, port 135 (epmap), owner: c:\windows\system32\svchost.exe
- Listening on *, port 49152, owner: c:\windows\system32\wininit.exe
- Listening on *, port 49153, owner: c:\windows\system32\svchost.exe
- Listening on *, port 49154, owner: c:\windows\system32\svchost.exe
- Listening on *, port 49155, owner: c:\windows\system32\svchost.exe
- Listening on *, port 49156, owner: c:\windows\system32\lsass.exe
- Listening on *, port 49157, owner: c:\windows\system32\services.exe
- Listening on *, port 80 (http), owner: c:\program files\apache group\apache2\bin\apache.exe
- Listening on *, port 912, owner: c:\program files\vmware\vmware workstation\vmware-authd.exe
- Listening on 127.0.0.1, port 8118, owner: c:\program files\vidalia bundle\polipo\polipo.exe
- Listening on 127.0.0.1, port 9050, owner: c:\program files\vidalia bundle\tor\tor.exe
- Listening on 127.0.0.1, port 9051, owner: c:\program files\vidalia bundle\tor\tor.exe
- Listening on 192.168.2.2, port 139 (netbios-ssn), owner: System
- Listening on 192.168.31.1, port 139 (netbios-ssn), owner: System
- Listening on 192.168.87.1, port 139 (netbios-ssn), owner: System

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp), owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 3702, owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 3702, owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 4500, owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 500 (isakmp), owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 5355, owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 65257, owner: c:\windows\system32\svchost.exe
- 127.0.0.1, port 1900, owner: c:\windows\system32\svchost.exe
- 127.0.0.1, port 57640, owner: c:\windows\system32\svchost.exe
- 192.168.2.2, port 137 (netbios-ns)
- 192.168.2.2, port 138 (netbios-dgm)
- 192.168.2.2, port 1900, owner: c:\windows\system32\svchost.exe
- 192.168.2.2, port 57637, owner: c:\windows\system32\svchost.exe
- 192.168.31.1, port 137 (netbios-ns)
- 192.168.31.1, port 138 (netbios-dgm)
- 192.168.31.1, port 1900, owner: c:\windows\system32\svchost.exe
- 192.168.31.1, port 57639, owner: c:\windows\system32\svchost.exe
- 192.168.87.1, port 137 (netbios-ns)
- 192.168.87.1, port 138 (netbios-dgm)
- 192.168.87.1, port 1900, owner: c:\windows\system32\svchost.exe
- 192.168.87.1, port 57638, owner: c:\windows\system32\svchost.exe

05) DNS server entries:
sobre todo, los puertos listening arriva del 40000, para mi son raros, pero por si acaso...
bueno, hoy de tarde sin falta miro bien el log de process monitor y el de autoruns.

saludos!
 

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 26 Abril 2010, 16:29 pm
Gracias Winroot y Novlucker por su atención, pero, quisiera saber... porque se llena mi disco duro?, en estos momentos sobran 6 gb, lo raro es que ayer sobraban 3gb? O.o...Saben que es lo que pasa?... Por favor contesten... Gracias...
Ah! y gracias de nuevo Winroot

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Novlucker en 26 Abril 2010, 20:04 pm
En lo que he mirado (todo menos el log de Process Monitor) no he notado nada raro :-\, solo me quedaría el log de procmon, pero no lo he podido revisar, y por lo menos ahora sigo con el problema de los permisos :¬¬

Ya me he anotado, intentar entender el put... log e intentar codear algún programa capaz de leerlo sin requerir los permisos de admin (no creo que lo de los permisos sea realmente necesario para poder abrirlo) >:(

Saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 28 Abril 2010, 17:52 pm
Que raro O.o acabé de instalar un juego q pesa 2 gb y en el disco duro no aparece como si realmente eso hubiera pasado O.o, el rango en el q se queda es de 7gb a 3gb, nunca va mas  o va menos de ahi, solo instalé ese juego para probar, pero, no m afectó en nada, el pc sigue = de rapido...
Gracias Novlucker y winroot por seguir ayudandome, lastima q no sea un experto en esto, por eso estoy atenido a ustedes  :-[,
Novlucker, no t entiendo cuando dices lo de los permisos xD(tiene alguna relacion con winvista?)...jeje gracias nuevamente.

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Novlucker en 28 Abril 2010, 17:55 pm
Ya no entiendo nada :xD

Lo de los permisos lo digo porque necesito tener (en mi pc) permisos de admin para poder revisar el log de Process Monitor, pero como estoy en el trabajo, no los tengo :-\

Saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 29 Abril 2010, 13:39 pm
Cita de: Novlucker en 28 Abril 2010, 17:55 pm
Ya no entiendo nada :xD

Lo de los permisos lo digo porque necesito tener (en mi pc) permisos de admin para poder revisar el log de Process Monitor, pero como estoy en el trabajo, no los tengo :-\

Saludos

:-X :-X :-[ :-[(editado)
Por cierto, el hijackthis detectó una dll de vmware como virus, la busco en internet y m aparece como sino lo fuera, entonces, la vdd no se si borrarla  :huh: la dll es: vsocklib.dll lo raro es que ya tenia instalado el VMware desde hace tiempo y el hijackthis ni nada parecido me lo habia detectado antes O.o...
PD: sigo con q el HD aumenta y disminuye su capacidad, ahora esta en: 5,46, ni modo de decir que es por los temporales, cookies o cosas por el estilo...las he vaciado(eliminado algunas xD, im so paranoid xD), ademas si descargo algo pesa menos de 200 mb...
Los temp no los he eliminado completamente pq dpronto necesite algo de ellos, xD pss no sé....


Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Novlucker en 6 Mayo 2010, 05:43 am
Sobre la dll ...
Yo la tengo en vmware, y el análisis es este ..
:http://www.virustotal.com/analisis/3cbc3bf9b5d72b7bf7e5cbd608cbfbdd6fe018f8345bfa06c8c471d862b9103c-1273117256

Sobre el resto de los archivos, no he encontrado nada de nada :-\

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Nu|kEr32 en 7 Mayo 2010, 02:02 am
Cita de: Novlucker en  6 Mayo 2010, 05:43 am
Sobre la dll ...
Yo la tengo en vmware, y el análisis es este ..
:http://www.virustotal.com/analisis/3cbc3bf9b5d72b7bf7e5cbd608cbfbdd6fe018f8345bfa06c8c471d862b9103c-1273117256

Sobre el resto de los archivos, no he encontrado nada de nada :-\

...La verdad esto parece imposible de solucionar, yo tmabien lo subi a virustotal y no m "detectó" nada tampoco...Me puse a investigar parte de unas dlls "raras" y al parecer son del sistema, pero, son de Xp... Lo mio es Vista.. :-\
...en administracion=>carpetas compartidas=>recursos compartidos, buscando lo que en un mensaje anterior escribí, "que con el escaner de Essnettools detectó que estaba compartiendo recursos" y no es cierto , esta img lo explica, no estoy compartiendo archivos, tengo desactivado  recursos compartidos, por lo que, nada de esto deberia aparecer...
http://img169.imageshack.us/img169/8448/sharedr.jpg

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 7 Mayo 2010, 02:07 am
hola,

primero que nada les pido disculpas, es que comenze a estudiar y ya no tengo el mismo tiempo de antes.

pasando al log de process monitor,  realmente no noto nada raro, por lo menos en   createfile.

lo unico que se me ocurre, es hacer un dir para  saber  cuales son los ultimos archivos creados en la carpeta system32
Código:
cd /d %windir%\system32\
dir /b /o-d   >c:\a.txt
en el archivo c:\a.txt tendras los ultimos archivos creados.

saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: Novlucker en 7 Mayo 2010, 14:48 pm
Yo revise por createfile y writefile, y el proceso que movía más información era el de firefox con uno 30 Mb escritos en disco, habían otros procesos que quizás en el recuento lo hacían más veces,pero con poco volumen de información, así que nada que ver con eso de los varios Gb que desaparecen :-\

Hasta pensé que quizás el problema era el sistema de indexación de Vista que se había descontrolado, pero no

Saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: OssoH en 2 Julio 2010, 10:35 am
Tengo windows vista. Todas las actualizaciones realizadas y no tiene virus.
Me sucede lo mismo que a todos vosotros, se me llena el disco duro sin hacer nada.
Le he pasado active panda online, las utilidades SAT-INFO, CCLEANER,  y no sé cuentas más.

Mi log con hijackthis es :

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:28:32, on 02/07/2010
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\igfxtray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Express ClickYes\ClickYes.exe
C:\GESMARKET\GESMARKET.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE
C:\Windows\system32\WgaTray.exe
C:\Program Files\Microsoft Office\Office12\POWERPNT.EXE
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TouchPadHotKey] C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\Run: [RegistrarUsrDNIeCertStoreDLL] D:\DNIe\udcs.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Express ClickYes] C:\Program Files\Express ClickYes\ClickYes.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB6.3; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30618)" -"http://www.granhotel-lasfuentes.es/hotel-ubicacion.htm"
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'Servicio de red')
O4 - Startup: GESMARKET - Acceso directo.lnk = C:\GESMARKET\GESMARKET.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WirelessSelector.lnk = ?
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Agregar al componente Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Estadísticas del componente Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Portafolios de HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selección inteligente de HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gruporozema.local
O17 - HKLM\Software\..\Telephony: DomainName = gruporozema.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gruporozema.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = gruporozema.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = gruporozema.local
O23 - Service: @%SystemRoot%\system32\aelupsvc.dll,-1 (AeLookupSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe
O23 - Service: @%systemroot%\system32\appinfo.dll,-100 (Appinfo) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: @appmgmts.dll,-3250 (AppMgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-204 (AudioEndpointBuilder) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-200 (Audiosrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: @%SystemRoot%\system32\bfe.dll,-1001 (BFE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\qmgr.dll,-1000 (BITS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\browser.dll,-100 (Browser) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\bthserv.dll,-101 (BthServ) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-11 (CertPropSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\cscsvc.dll,-200 (CscService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dhcpcsvc.dll,-100 (Dhcp) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\dnsapi.dll,-101 (Dnscache) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dps.dll,-500 (DPS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\emdmgmt.dll,-1000 (EMDMgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (Eventlog) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @comres.dll,-2450 (EventSystem) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fdPHost.dll,-100 (fdPHost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fdrespub.dll,-100 (FDResPub) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @%SystemRoot%\System32\hidserv.dll,-101 (hidserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\kmsvc.dll,-6 (hkmsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: hpqcxs08 - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Servicio HP CUE DeviceDiscovery (hpqddsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\IPBusEnum.dll,-102 (IPBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\iphlpsvc.dll,-200 (iphlpsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: KAV_Inst_Agent$7f2a2808-c0a1-4d2c-9b82-95133e9aac1f - Unknown owner - C:\Windows\Temp\KAV Remote Installations\7f2a2808-c0a1-4d2c-9b82-95133e9aac1f\AVPDTAgt.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: Kaspersky Lab Network Agent (klnagent) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe
O23 - Service: @comres.dll,-2946 (KtmRm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wkssvc.dll,-100 (LanmanWorkstation) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lltdres.dll,-1 (lltdsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-100 (MMCSS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\FirewallAPI.dll,-23090 (MpsSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe
O23 - Service: @%SystemRoot%\system32\iscsidsc.dll,-5000 (MSiSCSI) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\qagentrt.dll,-6 (napagent) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: @%SystemRoot%\system32\netman.dll,-109 (Netman) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\netprof.dll,-246 (netprofm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\nlasvc.dll,-1 (NlaSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: NMSAccess32 - Unknown owner - C:\Windows\system32\NMSAccess32.exe
O23 - Service: @%SystemRoot%\system32\nsisvc.dll,-200 (nsi) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8004 (p2pimsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8006 (p2psvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pcasvc.dll,-1 (PcaSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\pla.dll,-500 (pla) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8002 (PNRPAutoReg) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8000 (PNRPsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\profsvc.dll,-300 (ProfSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasauto.dll,-200 (RasAuto) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasmans.dll,-200 (RasMan) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @regsvc.dll,-1 (RemoteRegistry) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe
O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-13 (SCPolicySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Sens.dll,-200 (SENS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\SessEnv.dll,-1026 (SessionEnv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\ipnathlp.dll,-106 (SharedAccess) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-12288 (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe
O23 - Service: @%SystemRoot%\system32\SLUINotify.dll,-103 (SLUINotify) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe
O23 - Service: @%systemroot%\system32\ssdpsrv.dll,-100 (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wiaservc.dll,-9 (stisvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sysmain.dll,-1000 (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\TabSvc.dll,-100 (TabletInputService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tapisrv.dll,-10100 (TapiSrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\termsrv.dll,-268 (TermService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-8192 (Themes) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-102 (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\trkwks.dll,-1 (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe
O23 - Service: @%SystemRoot%\system32\umrdp.dll,-1000 (UmRdpService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\upnphost.dll,-213 (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dwm.exe,-2000 (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\uxtuneup.dll,-4096 (UxTuneUp) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe
O23 - Service: @%SystemRoot%\system32\w32time.dll,-200 (W32Time) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe
O23 - Service: @%SystemRoot%\system32\wcncsvc.dll,-3 (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\WcsPlugInService.dll,-200 (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-502 (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-500 (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\webclnt.dll,-100 (WebClient) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wecsvc.dll,-200 (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wercplsupport.dll,-101 (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wsmsvc.dll,-101 (WinRM) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\wmpnetwk.exe
O23 - Service: @%SystemRoot%\system32\wpdbusenum.dll,-100 (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wscsvc.dll,-200 (wscsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Unknown owner - C:\Windows\system32\SearchIndexer.exe
O23 - Service: @%systemroot%\system32\wuaueng.dll,-105 (wuauserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wudfsvc.dll,-1000 (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe

Alquien lo ha conseguido solucionar???

Gracias.

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 2 Julio 2010, 17:09 pm
aún no miré los servicios, son una cantidad.
lo que yo  encontre raro es:

C:\GESMARKET\GESMARKET.exe

C:\Windows\system32\SearchFilterHost.exe

O4 - HKLM\..\Run: [RegistrarUsrDNIeCertStoreDLL] D:\DNIe\udcs.exe

O4 - Startup: GESMARKET - Acceso directo.lnk = C:\GESMARKET\GESMARKET.exe

eso sin mirar los   servicios y otras cosas...
los servicios ahora los miro.
saludos
edit:
C:\Windows\system32\SearchFilterHost.exe
es de windows
:D
hay un par de  BHO que no estoy seguro.
sobre los servicios, a simple vista parecen ser todos de c:\windows\system32\svchost.exe
me sorprende un poco que cargue tantas dlls.
saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: OssoH en 2 Julio 2010, 17:25 pm
El gesmarket es una aplicación de la empresa.
Lo del DNI pienso que debe ser el programa que se instala para los documentos electrónicos ya que tenemos una tarjeta lectora de DNI para documentos oficiales.
El resto ni idea.
Gracias

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 2 Julio 2010, 17:29 pm
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
eso?

O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll

ahora miro bien los  servicios :P
saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: OssoH en 2 Julio 2010, 17:34 pm
pdf forge es el que venia con el windows vista para convertir a PDF los documentos.

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 2 Julio 2010, 17:55 pm
estos son los servicios raros que encontré:
nota: puede ser que alguno sea del  sistema, pero me imagino que  alguno no:P
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe


O23 - Service: KAV_Inst_Agent$7f2a2808-c0a1-4d2c-9b82-95133e9aac1f - Unknown owner - C:\Windows\Temp\KAV Remote
O23 - Service: NMSAccess32 - Unknown owner - C:\Windows\system32\NMSAccess32.exe

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner -

O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe
O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe

y me imagino que alguna dll de svchost también está infectada...
saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: OssoH en 2 Julio 2010, 18:04 pm
Voy a probarlo y te digo algo.
Gracias

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 2 Julio 2010, 18:24 pm
Cita de: OssoH en  2 Julio 2010, 18:04 pm
Voy a probarlo y te digo algo.
Gracias
trata de mandar los archivos a:
http://www.virustotal.com/
si algunos archivos no aparecen, es casi seguro que estén con  atributos de sistema.
en este caso, crea un batch en el  directorio del fichero, y escribe:
Código:
attrib -h -s -r *

guardalo como desocultar.bat

también me gustaría que pases las herramientas:
.svchost proces analicer
.gmer
.tcp    view
.autoruns


pero primero lo primero, fijáte que resultado tira virustotal con esos ficheros.
saludos y denada, para eso estamos!

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: OssoH en 7 Julio 2010, 12:12 pm
Pues finalmente pase las utlidades sat-info y parece que está solucionado. Que raro...
Gracias por vuestra ayuda

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: OssoH en 2 Agosto 2010, 09:31 am
vuelvo a tener el mismo problema pasado unos dias. Pense que estaba solucionado con las utilidades sat-info pero vuelvo a tener el mismo problemas.
¿Alquien lo ha podido solucionar?
Gracias

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 2 Agosto 2010, 14:56 pm
Cita de: OssoH en  2 Agosto 2010, 09:31 am
vuelvo a tener el mismo problema pasado unos dias. Pense que estaba solucionado con las utilidades sat-info pero vuelvo a tener el mismo problemas.
¿Alquien lo ha podido solucionar?
Gracias
bien,  provemos otra cosa.
descarga regshot,
http://regshot.en.softonic.com/download
o buscalo en google,  está en muchos sitios.
ahora, marca la opción escanear dir1, dir2, dir nn.
selecciona c:\windows
ahora,  clickea en 1 er foto, luego en foto.
ahora, espera media hora con regshot abierto, y   hacé la segunda foto.
por último, creo que  tienes que hacer click en  comparar.
y pega el log aquí.
nota: otra forma, para no tener el reg shot abierto, es darle a foto+guardar, y luego usar foto+cargar.
nota2: esta  herramienta también informa sobre los cambios del registro.
saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: OssoH en 4 Agosto 2010, 21:37 pm
os pego el resultado de log del reg shot. Ojala alguien pueda ayudarme.
Gracias


----------------------------------
Values modified:8
----------------------------------
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: D6 C1 60 0D A7 D4 2A EC 35 AC D6 76 E1 DC 08 47 66 C3 88 6A B3 93 E7 40 56 0A E6 2F 3C 19 56 2D 4B 12 FC 49 40 DB 8C BF 05 AA B4 1B F5 2E 40 D9 B2 02 8E 1C 77 73 82 BD 79 BC 32 34 14 D6 4F 2C 3E 67 62 82 38 39 9B E0 0A 72 1A 1A 03 9B C3 32
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: 89 A9 B2 02 A0 D3 B5 E4 2A C7 9A 4B F3 60 DB A2 2B 20 4E 64 67 A9 0D 4A 88 2B 03 C3 BC BC 33 60 D2 2C 7F FF 34 F5 8C F2 BA 12 56 88 72 3F CC B6 CF 1F 47 AD CB 25 39 78 41 88 F0 E8 BB D5 B2 E7 70 6B BB 41 57 D9 A8 7B 57 1D 5C EA CB 75 4B FE
HKLM\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\uptime_time_utc: 1C 01 52 C3 0B 34 CB 01
HKLM\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\uptime_time_utc: 4C D7 F4 0A 0C 34 CB 01
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\009\Counter: 31 00 31 38 34 37 00 32 00 53 79 73 74 65 6D 00 34 00 4D 65 6D 6F 72 79 00 36 00 25 20 50 72 6F 63 65 73 73 6F 72 20 54 69 6D 65 00 31 30 00 46 69 6C 65 20 52 ........3F BE 59 4C 2C 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 3F BE 59 4C
HKU\S-1-5-21-1085031214-507921405-839522115-1161\Software\Microsoft\Internet Explorer\Security\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2\UserFile: 01 00 00 00 D0 8C 9D DF 01 15 D1 11 8C 7A 00 C0 4F C2 97 EB 01 00 00 00 B1 2F A1 CB B8 E3 28 42 B2 E9 AA AA 55 14 67 C4 00 00 00 00 12 00 00 00 55 00 73 00 65 00 72 00 46 00 69 00 6C 00 65 00 00 00 03 66 00 00 A8 00 00 00 10 00 00 00 9C F2 4B 71 FA 70 4D 33 57 8A D5 C5 C4 90 96 09 00 00 00 00 04 80 00 00 A0 00 00 00 10 00 00 00 E6 D8 CF 3C C7 61 B2 06 34 97 BF 73 2C 61 4E F8 10 00 00 00 B4 8D 30 A4 A7 13 78 30 8A 70 73 87 7F 0D 8D 6F 14 00 00 00 B8 05 91 E4 F2 94 B6 AC FB 48 6D 12 32 0C 0A 9A 03 9C 8E 7A
HKU\S-1-5-21-1085031214-507921405-839522115-1161\Software\Microsoft\Internet Explorer\Security\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2\UserFile: 01 00 00 00 D0 8C 9D DF 01 15 D1 11 8C 7A 00 C0 4F C2 97 EB 01 00 00 00 B1 2F A1 CB B8 E3 28 42 B2 E9 AA AA 55 14 67 C4 00 00 00 00 12 00 00 00 55 00 73 00 65 00 72 00 46 00 69 00 6C 00 65 00 00 00 03 66 00 00 A8 00 00 00 10 00 00 00 D3 1B 97 0A 87 B5 AA CB C7 82 F2 28 F6 37 C9 EC 00 00 00 00 04 80 00 00 A0 00 00 00 10 00 00 00 9F D2 2F CD B1 FF 0E 54 68 6C 2D FA 4E 50 05 B1 10 00 00 00 83 F0 B6 6D 27 DB 06 8F 1A 53 00 A1 C0 1F DF E9 14 00 00 00 1F 63 E4 16 6E 07 61 2A 99 6E 7F EA 50 D1 8B A5 51 A8 DA 6C
HKU\S-1-5-21-1085031214-507921405-839522115-1161\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\Count: 0x0003EA86
HKU\S-1-5-21-1085031214-507921405-839522115-1161\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\Count: 0x0003EA8A
HKU\S-1-5-21-1085031214-507921405-839522115-1161\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\Time: DA 07 08 00 03 00 04 00 13 00 21 00 0F 00 D5 02
HKU\S-1-5-21-1085031214-507921405-839522115-1161\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\Time: DA 07 08 00 03 00 04 00 13 00 21 00 38 00 55 03

----------------------------------
Files added:38
----------------------------------
C:\Windows\Temp\cch~752ff9bd1.htp
C:\Windows\Temp\cch~752ffb6d5.htp
C:\Windows\Temp\cch~75b8836fd.htp
C:\Windows\Temp\cch~75b885298.htp
C:\Windows\Temp\cch~75dddeb18.htp
C:\Windows\Temp\cch~75dde0a9f.htp
C:\Windows\Temp\cch~75ddf5923.htp
C:\Windows\Temp\cch~75ddf7201.htp
C:\Windows\Temp\cch~75de17868.htp
C:\Windows\Temp\cch~75de192e1.htp
C:\Windows\Temp\cch~75de21505.htp
C:\Windows\Temp\cch~75de22eac.htp
C:\Windows\Temp\cch~75de34c32.htp
C:\Windows\Temp\cch~75de364be.htp
C:\Windows\Temp\cch~75df7aaca.htp
C:\Windows\Temp\cch~75df7c42d.htp
C:\Windows\Temp\cch~75e20e351.htp
C:\Windows\Temp\cch~75e20fceb.htp
C:\Windows\Temp\cch~75e278b90.htp
C:\Windows\Temp\cch~75e27a53b.htp
C:\Windows\Temp\cch~75e71e8d1.htp
C:\Windows\Temp\cch~75e7201a5.htp
C:\Windows\Temp\cch~75e78f4ad.htp
C:\Windows\Temp\cch~75e792579.htp
C:\Windows\Temp\cch~75e7a66aa.htp
C:\Windows\Temp\cch~75e7a8261.htp
C:\Windows\Temp\cch~75e7be286.htp
C:\Windows\Temp\cch~75e7bfaf0.htp
C:\Windows\Temp\cch~75ed7f5d6.htp
C:\Windows\Temp\cch~75ed814f4.htp
C:\Windows\Temp\cch~75edc82ed.htp
C:\Windows\Temp\cch~75edc9df2.htp
C:\Windows\Temp\cch~75edee7f7.htp
C:\Windows\Temp\cch~75edf048d.htp
C:\Windows\Temp\cch~75ee3b037.htp
C:\Windows\Temp\cch~75ee3e75e.htp
C:\Windows\Temp\cch~75fa3aa86.htp
C:\Windows\Temp\cch~75fa3c74e.htp

----------------------------------
Files[attr]modified:5
----------------------------------
C:\Windows\Prefetch\SEARCHFILTERHOST.EXE-77482212.pf
C:\Windows\System32\config\SOFTWARE
C:\Windows\System32\config\SOFTWARE.LOG1
C:\Windows\System32\config\SYSTEM
C:\Windows\System32\config\SYSTEM.LOG1

----------------------------------
Total changes:51
----------------------------------

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 6 Agosto 2010, 02:40 am
bien, lo único que se ve en ese log, son archivos que son agregados a la carpeta temp.
abre ejecutar y escribe c:\windows\temp.
luego, elimina todo el contenido de la misma.
saludos

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: OssoH en 6 Agosto 2010, 09:14 am
ya lo elimine, se sigue llenando aunque a menor velocidad.
Gracias

Título: Re: Disco Duro se llena inexplicablemente
Publicado por: winroot en 6 Agosto 2010, 15:45 pm
Cita de: OssoH en  6 Agosto 2010, 09:14 am
ya lo elimine, se sigue llenando aunque a menor velocidad.
Gracias
usas algún programa para el mantenimiento de tu pc?
que elimine archivos temporales,cookies,etc
c cleaner es uno.
trata de enviar otro  log de rs, pero dejálo por unas 3 horas mas o menos.
eso si, sin hacer nada en tu pc.
por último, envía también log de proces monitor.
y, busca un tutorial sobre windows vista  hardening, sobre todo para desabilitar los servicios que son  inútiles.
saludos!


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines