Disco Duro se llena inexplicablemente

Iniciado por Nu|kEr32, 5 Abril 2010, 21:59 PM

0 Miembros y 2 Visitantes están viendo este tema.

winroot

hola!
primero que nada, les pido disculpas por no responder antes.
es que, me hacia falta salir un poco del pc, y tomarme un día libre.
aquí  en uruguay, ya es tarde, prometo que maniana miro el log de process monitor y notifico mis  conclusiones  :D
mis disculpas nuevamente, y saludos!
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

winroot

#41
hola a todos!
mire el log de process monitor, pero muy por   arriva.
hoy de tarde, lo miro con mas detenimiento y filtrando  procesos, ya que hoy lo mire filtrando el createfile, pero igual son muchos procesos.
de todas maneras, quiero compartir con ustedes las conexiones que estavan activas, y digan si notan algo raro.
ESET SystemStatus log, versions: ev 1213 (20090423), gv ESI 1.2.012.0, lv 1.0
Session start: 20 Apr 2010, 22:00:19
Session end: 20 Apr 2010, 22:03:22
Flags: 32bit, AntiStealth
Description: SysInspector-HP11-100420-2200

03) TCP connections:- Active connection: 127.0.0.1:49423 -> 127.0.0.1:9051, owner: c:\program files\vidalia bundle\vidalia\vidalia.exe
- Active connection: 127.0.0.1:49424 -> 127.0.0.1:49425, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 127.0.0.1:49425 -> 127.0.0.1:49424, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 127.0.0.1:9051 -> 127.0.0.1:49423, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60157 -> 212.42.236.140:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60161 -> 213.115.239.118:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60162 -> 79.222.111.15:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60163 -> 84.29.243.11:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60164 -> 91.121.162.67:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60165 -> 80.239.147.18:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60166 -> 91.143.90.155:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60167 -> 87.118.104.203:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60168 -> 87.234.224.85:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60169 -> 217.160.111.190:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60170 -> 192.251.226.206:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60173 -> 94.128.51.192:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60175 -> 208.100.43.23:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60176 -> 124.217.239.196:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60177 -> 61.82.139.228:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60179 -> 184.73.128.156:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60180 -> 212.22.205.42:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Listening on *, port 135 (epmap), owner: c:\windows\system32\svchost.exe
- Listening on *, port 49152, owner: c:\windows\system32\wininit.exe
- Listening on *, port 49153, owner: c:\windows\system32\svchost.exe
- Listening on *, port 49154, owner: c:\windows\system32\svchost.exe
- Listening on *, port 49155, owner: c:\windows\system32\svchost.exe
- Listening on *, port 49156, owner: c:\windows\system32\lsass.exe
- Listening on *, port 49157, owner: c:\windows\system32\services.exe
- Listening on *, port 80 (http), owner: c:\program files\apache group\apache2\bin\apache.exe
- Listening on *, port 912, owner: c:\program files\vmware\vmware workstation\vmware-authd.exe
- Listening on 127.0.0.1, port 8118, owner: c:\program files\vidalia bundle\polipo\polipo.exe
- Listening on 127.0.0.1, port 9050, owner: c:\program files\vidalia bundle\tor\tor.exe
- Listening on 127.0.0.1, port 9051, owner: c:\program files\vidalia bundle\tor\tor.exe
- Listening on 192.168.2.2, port 139 (netbios-ssn), owner: System
- Listening on 192.168.31.1, port 139 (netbios-ssn), owner: System
- Listening on 192.168.87.1, port 139 (netbios-ssn), owner: System

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp), owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 3702, owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 3702, owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 4500, owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 500 (isakmp), owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 5355, owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 65257, owner: c:\windows\system32\svchost.exe
- 127.0.0.1, port 1900, owner: c:\windows\system32\svchost.exe
- 127.0.0.1, port 57640, owner: c:\windows\system32\svchost.exe
- 192.168.2.2, port 137 (netbios-ns)
- 192.168.2.2, port 138 (netbios-dgm)
- 192.168.2.2, port 1900, owner: c:\windows\system32\svchost.exe
- 192.168.2.2, port 57637, owner: c:\windows\system32\svchost.exe
- 192.168.31.1, port 137 (netbios-ns)
- 192.168.31.1, port 138 (netbios-dgm)
- 192.168.31.1, port 1900, owner: c:\windows\system32\svchost.exe
- 192.168.31.1, port 57639, owner: c:\windows\system32\svchost.exe
- 192.168.87.1, port 137 (netbios-ns)
- 192.168.87.1, port 138 (netbios-dgm)
- 192.168.87.1, port 1900, owner: c:\windows\system32\svchost.exe
- 192.168.87.1, port 57638, owner: c:\windows\system32\svchost.exe

05) DNS server entries:
sobre todo, los puertos listening arriva del 40000, para mi son raros, pero por si acaso...
bueno, hoy de tarde sin falta miro bien el log de process monitor y el de autoruns.

saludos!
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

Nu|kEr32

#42
Gracias Winroot y Novlucker por su atención, pero, quisiera saber... porque se llena mi disco duro?, en estos momentos sobran 6 gb, lo raro es que ayer sobraban 3gb? O.o...Saben que es lo que pasa?... Por favor contesten... Gracias...
Ah! y gracias de nuevo Winroot
A=Z, B=de A a Z/2, C= B+1hacia la derecha
OBAGZPGZYQ Z YU OBEEQB FU XZ PQOURENFGQ
I dont feel enough stronger...

Novlucker

En lo que he mirado (todo menos el log de Process Monitor) no he notado nada raro :-\, solo me quedaría el log de procmon, pero no lo he podido revisar, y por lo menos ahora sigo con el problema de los permisos :¬¬

Ya me he anotado, intentar entender el put... log e intentar codear algún programa capaz de leerlo sin requerir los permisos de admin (no creo que lo de los permisos sea realmente necesario para poder abrirlo) >:(

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Nu|kEr32

Que raro O.o acabé de instalar un juego q pesa 2 gb y en el disco duro no aparece como si realmente eso hubiera pasado O.o, el rango en el q se queda es de 7gb a 3gb, nunca va mas  o va menos de ahi, solo instalé ese juego para probar, pero, no m afectó en nada, el pc sigue = de rapido...
Gracias Novlucker y winroot por seguir ayudandome, lastima q no sea un experto en esto, por eso estoy atenido a ustedes  :-[,
Novlucker, no t entiendo cuando dices lo de los permisos xD(tiene alguna relacion con winvista?)...jeje gracias nuevamente.
A=Z, B=de A a Z/2, C= B+1hacia la derecha
OBAGZPGZYQ Z YU OBEEQB FU XZ PQOURENFGQ
I dont feel enough stronger...

Novlucker

Ya no entiendo nada :xD

Lo de los permisos lo digo porque necesito tener (en mi pc) permisos de admin para poder revisar el log de Process Monitor, pero como estoy en el trabajo, no los tengo :-\

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Nu|kEr32

#46
Cita de: Novlucker en 28 Abril 2010, 17:55 PM
Ya no entiendo nada :xD

Lo de los permisos lo digo porque necesito tener (en mi pc) permisos de admin para poder revisar el log de Process Monitor, pero como estoy en el trabajo, no los tengo :-\

Saludos

:-X :-X :-[ :-[(editado)
Por cierto, el hijackthis detectó una dll de vmware como virus, la busco en internet y m aparece como sino lo fuera, entonces, la vdd no se si borrarla  :huh: la dll es: vsocklib.dll lo raro es que ya tenia instalado el VMware desde hace tiempo y el hijackthis ni nada parecido me lo habia detectado antes O.o...
PD: sigo con q el HD aumenta y disminuye su capacidad, ahora esta en: 5,46, ni modo de decir que es por los temporales, cookies o cosas por el estilo...las he vaciado(eliminado algunas xD, im so paranoid xD), ademas si descargo algo pesa menos de 200 mb...
Los temp no los he eliminado completamente pq dpronto necesite algo de ellos, xD pss no sé....

A=Z, B=de A a Z/2, C= B+1hacia la derecha
OBAGZPGZYQ Z YU OBEEQB FU XZ PQOURENFGQ
I dont feel enough stronger...

Novlucker

Sobre la dll ...
Yo la tengo en vmware, y el análisis es este ..
:http://www.virustotal.com/analisis/3cbc3bf9b5d72b7bf7e5cbd608cbfbdd6fe018f8345bfa06c8c471d862b9103c-1273117256

Sobre el resto de los archivos, no he encontrado nada de nada :-\
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Nu|kEr32

Cita de: Novlucker en  6 Mayo 2010, 05:43 AM
Sobre la dll ...
Yo la tengo en vmware, y el análisis es este ..
:http://www.virustotal.com/analisis/3cbc3bf9b5d72b7bf7e5cbd608cbfbdd6fe018f8345bfa06c8c471d862b9103c-1273117256

Sobre el resto de los archivos, no he encontrado nada de nada :-\

...La verdad esto parece imposible de solucionar, yo tmabien lo subi a virustotal y no m "detectó" nada tampoco...Me puse a investigar parte de unas dlls "raras" y al parecer son del sistema, pero, son de Xp... Lo mio es Vista.. :-\
...en administracion=>carpetas compartidas=>recursos compartidos, buscando lo que en un mensaje anterior escribí, "que con el escaner de Essnettools detectó que estaba compartiendo recursos" y no es cierto , esta img lo explica, no estoy compartiendo archivos, tengo desactivado  recursos compartidos, por lo que, nada de esto deberia aparecer...
http://img169.imageshack.us/img169/8448/sharedr.jpg
A=Z, B=de A a Z/2, C= B+1hacia la derecha
OBAGZPGZYQ Z YU OBEEQB FU XZ PQOURENFGQ
I dont feel enough stronger...

winroot

hola,

primero que nada les pido disculpas, es que comenze a estudiar y ya no tengo el mismo tiempo de antes.

pasando al log de process monitor,  realmente no noto nada raro, por lo menos en   createfile.

lo unico que se me ocurre, es hacer un dir para  saber  cuales son los ultimos archivos creados en la carpeta system32
cd /d %windir%\system32\
dir /b /o-d   >c:\a.txt

en el archivo c:\a.txt tendras los ultimos archivos creados.

saludos
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com