Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola,
me compré un portatil (sistema Windows Vista) hace menos de una semana y resulta que ya tengo algo que esta comiendose mi disco duro. El disco duro tiene 455GB y no me habia fijado mucho pero creo tenía ya ocupado de fabrica unos 30GB. Solo instale un par de programas y vi que unos dias ya habia bajado a 370GB libres. Hice la prueba y deje de instalar cosas, solo navegaba por internet y para hoy me quedan 320GB libres. Si en una semana me quita 100GB voy a tener que arreglar esto rápido o devolverla.

El Kaspersky Online no vió nada y el Panda ActiveScan encontró esto:
;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-07-04 17:24:24
PROTECTIONS: 4
MALWARE: 0
SUSPECTS: 2
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
Spybot - Search and Destroy 1.0.0.6 No Yes
Lavasoft Ad-Watch Live! No Yes
Windows Defender 1.1.1505.0 No Yes
SUPERAntiSpyware 4, 26, 0, 1006 No Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location
B����'�9
;================================================= ================================================== ================================================== ==============================
No C:\Acer\Preload\Autorun\APP\ArcadDlx\SDMA\data1.ca b[FiltHookInstaller.exe]
B����'�9
No C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\FiltHookInstaller.exe
B����'�9
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description
B����'�9
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================

Además el Spybot Search and Destroy encuentra algo pero dice que está siendo utilizado y que tengo que reiniciar, y al reiniciar dice lo mismo.
De nombre pone PartnerBHO y tiene 2 subentradas: una se encuentra en HKEY_CLASES_ROOT\AppID\kt_bho_dll.dll

Desde ya, muchas gracias.

Hola Fede93. Por favor, sigue este procedimiento:

Para mayor comodidad, IMPRIME ESTA HOJA. Si no puedes hacer algún paso, lo saltas y continúas.

- Descarga y/o actualiza estas herramientas:

CCLEANER - Manual.
SUPERAntispyware - Manual.
Malwarebytes' Anti-Malware - Manual.

- Ahora has esto:

• Apaga Restaurar sistema (System Restore).
• Reinicia en "Modo Seguro" (Si no puede iniciar en Modo Seguro, omite este paso).

- EJECUTA CCleaner - EJECUTA SUPERAntispyware: Realizar un Análisis completo y al finalizar el análisis pulsa en Siguiente para enviar las infecciones a la Cuarentena.

- EJECUTA Malwarebytes' Anti-Malware. Seleccionas su opción de hacer un "escaneo completo". Cuando termine presiona la opción "quitar todo lo seleccionado".

- Reinicia y entra en modo normal, luego habilita la opción de Restaurar Sistema.

- Pasas CCleaner nuevamente en su opción de limpiador.

- Realiza un Análisis Online con Kaspersky como lo indica su Manual. Si usas Mozilla Firefox recuerda usar la extensión IE Tab para poder realizar el escaneo online sugeridos anteriormente.

Reinicia y comenta que tal va tu PC, junto al reporte generado por Malwarebytes' Anti-Malware y Kaspersky.

Saludos y espero tu respuesta. Suerte.

OK, muchas gracias por la respuesta.
Ya hize los 8 pasos y Malwarebytes no detectó nada pero el Kaspersky sí, espero que este sea mi problema.

Malwarebytes' Anti-Malware 1.38
Versión de la Base de Datos: 2363
Windows 6.0.6001 Service Pack 1

05/07/2009 0:24:52
mbam-log-2009-07-05 (00-24-52).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 197861
Tiempo transcurrido: 55 minute(s), 8 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)


--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0 REPORT
Sunday, July 5, 2009
Operating System: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)
Kaspersky Online Scanner version: 7.0.26.13
Program database last update: Sunday, July 05, 2009 00:39:04
Records in database: 2427874
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\

Scan statistics:
Files scanned: 105054
Threat name: 1
Infected objects: 1
Suspicious objects: 0
Duration of the scan: 10:26:07


File name / Threat name / Threats count
C:\Users\Fede\Documents\Azureus Downloads\The Sims 3 - Final\Keygen.exe Infected: Trojan.Win32.Buzus.blsq 1

The selected area was scanned.

Hola de nuevo, el SUPERAntispyware detecto algo?

Descarga OTM y lo guardas en el Escritorio.

• Haz doble clic sobre el icono OTM.exe para ejecutarlo.
  
• Asegúrate que este marcado "Unregister Dll's and Ocx's".
  
• Copia el texto que se encuentra en el cuadrado más abajo, y pégalo o en el marco de izquierdo de OTMoveIt nombrado Paste List of Filas / Folders to be moved.

Haz clic en el boto rojo MoveIt! para lanzar la supresión.

• Espera hasta cuando el resultado aparezca en el marco Results.
• Permite que se reinicie el equipo, esto es importante.

Envía el informe (reporte) de OTM situado sobre C: \ _OTM\MovedFiles\***_***.log

Saludos, comenta como va ahora tu PC.

Otra vez muchas gracias.
El SUPERAntiSpyware no había detectado nada.
Aquí está el log.

All processes killed
========== FILES ==========
C:\Users\Fede\Documents\Azureus Downloads\The Sims 3 - Final\Keygen.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\T emporary Internet Files\Content.IE5\ZARGQKOJ\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\T emporary Internet Files\Content.IE5\U61C3QBA\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\T emporary Internet Files\Content.IE5\I9RJ0VHL\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\T emporary Internet Files\Content.IE5\H0W0M3Q1\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\T emporary Internet Files\Content.IE5\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\T emporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\T emporary Internet Files\desktop.ini scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZARGQKOJ\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U61C3QBA\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I9RJ0VHL\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\H0W0M3Q1\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\desktop.ini scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: Fede
->Temp folder emptied: 88018019 bytes
File delete failed. C:\Users\Fede\AppData\Local\Microsoft\Windows\Temp orary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 676225 bytes
->Java cache emptied: 14288466 bytes
->FireFox cache emptied: 37454448 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
Folder delete failed. C:\Windows\msdownld.tmp scheduled to be deleted on reboot.
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 133,99 mb


OTM by OldTimer - Version 3.0.0.4 log created on 07052009_174839


No te puedo decir mucho sobre como va ahora el portatil porque mi unico problema era que poquito a poco me iba quedando sin espacio. Veré si ya para o no, pero no recuperé nada.

Aquí dejo una imagen de lo que quiero decir.


En la pantalla de mi equipo dice que quedan 324GB libres pero cuando selecciono todo lo que hay en C:\ me da que hay 57GB ocupados. Puede ser que haya 80GB de archivos ocultos??? Si es posible, ¿hay alguna manera de deshacerme de ellos?
A lo mejor estoy equivocado y eso es del sistema pero me parece mucho, pero bueno... el que sabe no soy yo.

Muchas gracias otra vez a los que lean esto, a los que respondan y sobre todo a Nizax.

EDITO: Lo que me estaba ocupando espacio era lo que el equipo usaba para restaurar sistema. Me está ocupando 70GB y lo veo exagerado porque nunca usé ni veo necesario usar restaurar sistema, ya que en extremos casos veo mejor restaurar el portatil con la copia de seguridad de fábrica. Ya ví como bajar el máximo que utiliza, ahora mi pregunta es, ¿debería bajarlo?¿a cuanto?
Tenía pensado dejarle un máximo de 10GB.
Por lo menos esta confusión nos llevó a encontrar y eliminar un Trojan.
Muchas gracias.

Ahora, debes eliminar el OTM de la siguiente manera:

º Descarga OTC.exe en el escritorio.

º Lo ejecutas y presionas Cleanup.

Eso eliminará la a OTM, su cuarentena del OTM y a OTC.exe

En teoría tu PC debe estar limpia, por las dudas realiza un scan online y luego comenta como esta andando.

ya eliminaste todos los puntos de restauracion?

Saludos.

Ok ya hice el cleanup. Ahora mismo vuelvo a usar un escaner online. Estaba pensando ponerle un maximo de 10 gigas a los puntos de restauración pero primero quería recibir consejos del foro por si no era buena idea, yo creo que es suficiente espacio y así me ahorro 60 gigas. El portatil va bastante bien.

Si esta bien yo mucho no uso la restauracion, le tengo asignado 20Gb. Espero el reporte. Saludos.

El escaneo va a tardar bastante.
Por si a alguien tambien le pasa, esta fue mi solución al problema de la memoria:

1. Primero vemos si nuestro problema es el espacio de Restauración de Sistema:
Hacemos click en Inico-Todos los programs-Accesorios, hacemos click derecho
en Símbolo del sistema y elegimos Ejecutar como administrador
2. Escribimos lo siguiente: vssadmin list shadowstorage
nos debería aparecer algo así:
Espacio del almacenamiento de la instantánea usado: 177.109 MB
Espacio asignado del almacenamiento de la instantánea: 400 MB
Espacio máximo del almacenamiento de la instantánea: 10 GB
3. Si vemos que nos ocupa mucho le asignamos un máximo escribiendo lo siguiente:
vssadmin resize shadowstorage /On=[Letra del disco]: /For=[Letra del disco]: /Maxsize=[espacio]
Por ejemplo, para tener un máximo de 10GB escribimos esto:
vssadmin resize shadowstorage /On=C: /For=C: /Maxsize=10GB

Pongo la solución sobre todo porque leí que esto es un "problema" muy común de Windows Vista. Quizas sea buena idea incluirlo al FAQ de Virus y Spyware a pesar de no ser ni virus ni spyware, pero por la simple razón de que alguien se pueda confundir(como en mi caso).