Registrarse Gratis

¡Únase para Aprender y Compartir!

[Solucionado] USB infectado y perdida de archivos

19/3/2009 10:56PM
Estimados amigos.

Estuve leyendo el foro y me parece muy bueno, por los comentarios y soluciones.

Agradezco de antemano por algún comentario, tengo una memoria USB de 80gb, que la conecte a una laptop de un amigo, y me contagio con varios troyanos (adjunto los scan de Nod32 y Mcafee), según leí estos troyanos envían password, y no encuentro la relación con mi problema.

Ya que la última carpeta explorada (en la laptop infectada), los archivos y subcarpetas desaparecieron, viendo las propiedades de la carpeta figura 0 bytes, al verificar la capacidad de toda la memoria, esta se encuentra con el espacio ocupado idéntico a antes de ocurrido el problema.

Por lo que deduzco, los archivos se encuentran en la carpeta afectada y no son visibles.

En casos similares expuestos en el foro, indican la habilitación de los archivos ocultos; también la de habilitar archivos de sistema y aún en ambos intentos no logro visualizar nada dentro de la carpeta afectada.

Además ejecute cmd y la carpeta se encuentra sin archivos.

Favor agradeceré me puedan apoyar, ya que la información es importante para continuar con mi trabajo, además los antivirus no lográn eliminar los troyanos.

Agradezco algún apoyo.

Gary Palomino Chacón

NOD32.JPG  (85.9 KB)

NOD32.JPG

Mccafee.JPG  (39.81 KB)

Mccafee.JPG

Esta pregunta está cerrada. Si quieres puedes: Abrir otra Pregunta
21/3/2009 07:57PM
Bueno fijate ya lograstes ver los archivos ocultos, el unico valor que debes cambiar es el de la carpeta showall lo pusistes en uno y magia, ahora abres el usb y le das a las opciones de carpetas ocultas y veras las carpetas del pendrive que estan escondidas eso si recuerda que tienes que pasar en antivirus para que elimine el virus que estaba infectando la pc, por que ahora se cambia de carpeta y tienes que buscar eliminarlo, para recuperar los archivos tienes que descargar un programa de recuperacion de archivos si tienes el tunep up seria buenisimo y lo pasas al pendrive, espero que con estas indicaciones recuperes tus archivos, tranquilo que todavia quedan muchas cosas por hacer, recuerda tambien valorar los aportes, saludos y buenas noches.
SOLUCIÓN
19/3/2009 11:37PM
Probá de navegar dentro de la memoria USB con el Winrar.
Si encuentras los archivos que tenías antes, entonces existen pero se les modificaron sus propiedades para estar ocultos.
En la PC que revisas la memoria, capaz que tampoco podés activar la vista de Archivos ocultos, no? Sino estás seguro crea una carpeta y establece en sus atributos como Oculta. Ahora búscala (estando activado la vista de archivos ocultos) y si no aparece, es señal que algún malware está metido en la PC y por eso tienes problemas con los antivirus para eliminar los troyanos.

Si estás en una PC limpia, podés ingresar la memoria USB mientras mantienes apretada la tecla Shift hasta que el dispositivo esté totalmente reconocido e instalado, luego abres el 'Explorador de Windows', configuras las opciones para mostrar los archivos Ocultos y desactivas el de proteger los de Sistema. Ingresas a la Memoria y verás los ejecutables troyanos, virus; elimínalos. SI no es posible esa acción, copia todo lo valioso que hay y formateas el dispositivo.

Saludos, comenta como te fue
Jjn 2087
ASISTIÓ A LA SOLUCIÓN
19/3/2009 11:54PM
Amigo grimo, de acuerdo a la imagen que visualice el nod32 te detectó 4 virus entre ellos un onlygames que es un autorun, o sea archivo autoejecutable, pero lo que no hicistes con el antivirus despues de este analisis en la parte de abajo te sale una pestaña que dice analizar y desinfectar, le das y revisa la memoria usb nuevamente y te da las opciones de eliminar el virus o enviar archivos sospechosos a ESET NOD32 para su analisis, realiza la limpieza nuevamente hasta que desaparezcan los virus, vuelves a realizar un escaneo y ya no tienes virus, te recomiendo que montes un antivirus para memorias usb que abundan en la red y puedas mantener a salvo el tuyo, saludos y muy buenas noches.
ASISTIÓ A LA SOLUCIÓN
21/3/2009 01:07PM
Amigos

Probé la memoria USB infectada con el explorer de Winrar y si se muestran los troyanos como aplicaciones de DOS (Imagen 01), lamentablemente el contenido de la carpeta sigue en blanco (Imagen 02).

Parece que la Pc tiene un Malware, ya que al activar la opción de ver archivos ocultos y de sistema, este se lográ aplicar, pero al salir de la ventana nuevamente regresa a las opciones ocultas.

Ahora, desaparecio de Herramientas las opciones de carpeta y no puedo ingresar a modificar opciones para ver archivos ocultos.

Lleve la memoria a otra maquina "limpia" y logré desinfectar la memoria, ya que los reportes de los antivirus NOD32 y Mcfee ya no figuran (Imagen 3).
Pero aún estan los archivos de aplicación DOS cuando veo con el explorer de Winrar, manualmente elimine el archivo 2u.com, y los otros no se lográn eliminar manualmente, ya que sale una ventana indicando que los "archivos estan dañanos o son ilegibles" (Imagén 4).

El problema es que aún no logro recuperar mis archivos dentro de la carpeta afectada.
21/3/2009 02:15PM
Bueno mi amigo, el malware que tiene tu pc lo que hace es que te cambia el valor del registro y no te deja ver los archivos ocultos ni nada que se le parezca, te cambia unos valores DWORD de 1 a 0, al estar en uno esta habilitado y al estar en cero esta deshabilitado,de seguro los tienes en cero, cambia este valor en el registro y pasale nuevamente el antivirus claro una vez confirmes que ya puedes ver los archivos ocultos del sistema, para ingresar al registro te vas a inicio, ejecutar,regedit y sigues las instrucciones de esta guia que te adjunto, ten cuidado con los valores si no logras cambiarlos avisame y te explico.
ASISTIÓ A LA SOLUCIÓN
21/3/2009 04:38PM
Mi regedit estaba inhabilitado logre activarlo y veo que el DWORD estan en 0's 0x00000000 (0), todos hay que cambiarlos a 1.

Gracias.

Regedit.JPG  (39.48 KB)

Regedit.JPG

21/3/2009 04:44PM
El archivo que envias no esta bien, podrias reenviarlo.

Mil gracias

Gary
21/3/2009 05:31PM
Amigo mio.

Logré hacer los siguientes cambios en el Regedit.

1° HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer AdvancedFolderHiddenSHOWALL
CheckedValue (tipo DWORD) le puse el valor 1.
DefaultValue esta con el valor 2.
2° HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer AdvancedFolderHiddenNOHIDDEN
La dos entradas estan en 2.
3°HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer AdvancedFolderSuperHidden
Las mismas entradas, tienen en valor de 0.

Ahora logro ver los archivos de sistema (imagen 01), pero mi carpeta afectada sigue en blanco.

Veo las propiedades de la carpeta y no figura ningún archivo (imagen 02), veo las propiedades de toda la memoria y sigue ahi el espacio ocupado.

Mil gracias por tus comentarios.
Esta pregunta está cerrada. Si quieres puedes: Abrir otra Pregunta