Help! Cómo recuperar ordenador con Ghost?

Blomac · Mensaje por **Blomac** » Mié 25 Ene, 2006 20:28

Hola,

Esta mañana el AVG me ha detectado un troyano en Win/system32 (creo recordar).
Le he dado al "Heal" y me ha requerido reiniciar.

Una vez reiniciado me ha desaparecido el escritorio y todo. No tengo ni la posibilidad de clickar en inicio. Nada.

El administrador de tareas me muestra los programas que se están ejecutando y entre ellos veo al "svghost". Hay varios y con distintas terminaciones de archivo. Me parece recordar que el Ghost éste que tengo era de la Norton.

La pregunta es: ¿Cómo recupero el ordenador? ¿Qué pasos debo seguir?

Agradecería mucho cualquier ayuda, ayuda que para ser efectiva debería poder entender. Ya sabeis que en estas cosas de la tecnología estoy bastante pez.

Gracias.

PD: 3/4 de hora para poder escribir el post. Veremos si sube a la primera.

marchena · Mensaje por **marchena** » Mié 25 Ene, 2006 20:47

No se si lo has intentado ya, pero...

Puedes iniciar en modo a prueba de fallos o si no, iniciar con la última configuración buena conocida.

Blomac · Mensaje por **Blomac** » Jue 26 Ene, 2006 00:42

marchena escribió:Puedes iniciar en modo a prueba de fallos o si no, iniciar con la última configuración buena conocida.

Sólo me deja hacer click en el cuadradito de configuración personal.
A partir de ahí se cuelga.

marchena · Mensaje por **marchena** » Jue 26 Ene, 2006 01:01

Me refería a pulsar la tecla F8 cuando estás arrancando el pc, justo antes de que salga nada que sean gráficos (cuando aún parece una pantalla de msdos) y seleccionar una de esas dos opciones.
Esto... supongo que tienes XP

Saludos

Blomac · Mensaje por **Blomac** » Jue 26 Ene, 2006 15:39

Sí tengo XP Pro SP1.

Muchas gracias por tu interés Marchena.

Anoche arranqué con los discos de sococorro (rescue disk) que hice al instalar AVG. Pero nada.

Lo que sí descubrí, trasteando, fue que podía abrir el administrador de archivos.
Allí no hay panel de control pero ví que sí encontraba las carpetas de los discos duros.
Incluso pude ver el escritorio y conectar a internet. El internet-explorer lo encontré pateándome las carpetas del sistema y finalmente hasta encontré la manera (ya no me acuerdo dónde) de restaurar el sistema.

Restaurando el sistema no he conseguido nada, y eso que me fuí hasta el lunes.
Después pude encontrar el explorer.exe de windows y... voilà: apareció la barra de inicio y todo el escritorio.
Ya empezaba a cantar victoria que probé a reiniciar. Nada, otra vez el fondo y el cursor. Pero seguí moviéndome a través del administrador de archivos (o tareas?) y volver a activar el explorer.

De todo ello deduzco que el archivo que ha quedado afectado por el troyano ha sido el explorer del software de Windows. Ya no se activa al iniciar el ordenador.

Y hasta ahí he llegado.

Otra vez, gracias por tu interés.
Si se te ocurre, a tí o a alguien más, como recuperar el explorer de windows....

Saludos

PD: Por cierto, no era svghost sino svhost o algo así. Se ve que el Ghost que tengo me mandaría a la configuración de 2003 (de cuando lo trajeron los Reyes Magos). También tengo un archivo para recuperar o un "shell" de MacAfee, una maqueta de la catapúm y no sé que más que me parece que ya no me sirven para nada. Y el restaurar sistema tampoco.

m0ntaraz · Mensaje por **m0ntaraz** » Jue 26 Ene, 2006 21:18

Voy a intentar aportar algo, pero como mis conocimientos del tema se reducen a los problemas que he tenido que solventar y al no haberme sucedido nada similar, no tengo demasiada experiencia. Si meto alguna patada a la buena praxis del IT, que San Ray Digerati me asista

En fin, dado que el restaurar el sistema no te ha dado resultado, y partiendo de la base de que no tengas más que una sola partición en el disco duro, yo me concentraría en recuperar lo que puedas y luego ya si te quieres pegar con ello un tiempo o tirar por la calle del medio y formatear será otro cantar.

Para recuperar todo lo que puedas del disco duro se me ocurren dos métodos, para los que puedes necesitar ayuda externa, al menos para uno de ellos:

1.- Coge tu disco duro, conéctalo a otro PC que tenga grabadora y... a quemar DVDs si es posible, que el mega sale más barato. Hay un posible inconveniente, y es que el troyano de marras pase al sistema del PC. Sin saber de qué troyano hablamos y de cómo se propaga, no te puedo decir el riesgo que se corre.

2.- Existen sistemas operativos que se alojan en soporte CD, de tal manera que se puede arrancar el pc desde la unidad de CD-ROM sin tener que tocar el disco duro. Sólo conozco uno, el ERD Commander, que parecer ser que ahora está englobado en el Administrator's Pak. En esencia el ERD Commander es casi como un windows con una serie de herramientas para conectarte a internet y recuperación de datos y sistemas (como tu caso).

Acabo de comprobar con mi ERD Commander 2005 que también se tiene acceso a las aplicaciones que queden en el disco duro. En mi caso, acabo de arrancar el Nero, le he puesto el serial porque me ha pedido registrarlo de nuevo y he grabado un cd con toda normalidad.

No sé si tendrás un software de este tipo, pero a lo mejor puedes recurrir a alguien para que te lo baje. La última versión del Administrator's Pak que he visto en la mula es de junio de 2005 y ocupa algo menos de 140 MB, pero también he visto imágenes en formato ISO del ERD Commander 2005 por menos de 100 MB. Si conoces alguna mula caritativa que te pueda hacer el favor, no dudes en pedírselo.

Si se me ocurre alguna otra cosilla, ya postearía por aquí.

May the Schwartz be with you.

Blomac · Mensaje por **Blomac** » Vie 27 Ene, 2006 23:01

Hola Montaraz,

Por ahora parece que el ordenador recupera sus funciones en cuanto, a traves del administrador de tareas, le activo el explorer de windows.

Me falta probar si graba, etc... pero parece que todo va normal.
Ahora la única pega es que en cuanto arranco tengo que ir a activarle el explorer.

Se debe de haber "deshubicado" el archivo y no se activa al iniciar.

Por si acaso, sólo lo conecto el ordenador esporádicamente y lo dejo descansar.

Sólo me faltaba que, ahora, al intentar arrancarlo veo que nada de nada.

Se ha fastidiado la toma del enchufe! Manda....

De un enchufe múltiple va y se avería el que da electricidad al ordenador (la torre).

En fin, si alguien me puede indicar cómo decirle al XFGS"%!grrr de windows que arranque como toca, es decir activando el propio explorer del sistema, pues que lo diga. Se agradecerá.

Gracias a todos y saludos

m0ntaraz · Mensaje por **m0ntaraz** » Vie 27 Ene, 2006 23:17

Pues si todavía no has comprobado si puedes grabar, estás tardando en hacerlo.

Si aún te funciona el software de grabación, saca lo que puedas de ese disco duro cuanto antes, y luego, si quieres, investiga como volverle a hacer que arranque, pero lo primero es lo primero: salvar la carga. Y más si tienes archivos no recuperables vía mula, tales como fotos personales o trabajos o qué sé yo.

¡Argh! Esto es como cuando en una película ves que la protagonista avanza en la niebla y ves cómo se acerca al acantilado y... Ya nos contarás los progresos

.

EDITO: no te acordarás del nombre del troyano, ¿verdad?

Blomac · Mensaje por **Blomac** » Sab 28 Ene, 2006 02:14

Uno de ellos es:

PSW.Banker
The exact description is not available.
--------------------------------------------------------------------------------
Search a virus name
--------------------------------------------------------------------------------
Partial name

Éste es uno de ellos, pero es que cunado miré en AVG vi que había tenido varios y como me decía que no podía "curarlos" le dije que me borrara las "files".
Pero parece ser que el que me ha fastidiado es éste.
Me asusté y le dije que si no podía "heal" los troyanos, pues que los borrara.
Ahora probaré a ver si puedo grabar.
Gracias Montaraz.

pepevi55 · Mensaje por **pepevi55** » Lun 30 Ene, 2006 13:52

Hola Blomac,

Para aplicar el 2º método que te comentó m0ntaraz, por 1.8 € tienes ahora en los kioscos la revista Computer Hoy que trae un CD de recuperación, basado en Knoppix 4.0, con explicaciones de su uso en la revista.
En teoría con este CD puedes:
- Iniciar el equipo.
- Recuperar información del disco duro.
- Grabar tus datos a un CD o DVD.
- Crear y administrar particiones de disco.
- Acceder a tus correos.
- Buscar archivos.
- Crear una imagen del disco y restaurarla.
- Pasar un antivirus.
- Recuperar archivos eliminados.
- Recuperar tu cuenta de usuario.
- Restaurar el MBR y hacer una copia de seguridad de este.
- Verificar si la memoria RAM está funcionando bien.

Espero que tengas suerte.

Saludos.

Blomac · Mensaje por **Blomac** » Lun 30 Ene, 2006 19:40

Pues pude grabar 1 dvd.
Los demás no, aunque son de una caja distinta y tengo la sensación de que han salido defectuosos.
Tendré que volver a intentarlo. (ya teng 4 dvd's posavasos

)
El ordenador va así-asá, a trompicones, pero va.
El antivirus está pasado y todo apunta correcto, sólo que cuando arranco el ordenador el sowftare no activa el explorer, que es el que pone el escritorio e inicia los programas que funcionan permanentemente.
En fin...

Gracias por vuestro interés!