Saludos, tengo un bootkit , rootkit, o desconozco exactamente, además tengo el mbr afectado, voy a pegar un log el avast mbr , el cual me encuentra muchas entradas hidden en color rojo.(alomejor es un virus mbr, lo más probable, por favor ayudarme)
He probado de todo, pero no se como eliminarlo, ni tan siquiera se si realmente puede limpiarse, estaré muy agredecido de vuestra ayuda.
Hay muchos problemas y errores, lo más fácil de ver es que los sistemas operativos originales windows, o cualquiera que lleve claves uefi , no arranca en secure mode, cuando instalo windows, no se instala en uefi mode, es lo más sencillo de ver.
Pero si quereis que enumere una lista exahustiva de problemas los enumero, puedo poner muchos logs y mas.
Pero este programa dice bastante, aparte con el programa gmer antirootkit, dice que el programa no puede funcionar por que otro proceso está utilizandolo.
El log es el siguiente:
aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2015-07-06 16:23:33
-----------------------------
16:23:33.202 OS Version: Windows x64 6.2.9200
16:23:33.202 Number of processors: 4 586 0x3C03
16:23:33.202 ComputerName: V UserName: f
16:23:36.071 Initialize success
16:23:36.071 VM: initialized successfully
16:23:36.071 VM: Intel CPU BiosDisabled
16:27:23.416 AVAST engine defs: 15070601
16:27:42.857 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000032
16:27:42.857 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 11
16:27:42.997 Disk 0 MBR read successfully
16:27:42.997 Disk 0 MBR scan
16:27:42.997 Disk 0 unknown MBR code
16:27:43.013 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
16:27:43.122 Disk 0 scanning C:\Windows\system32\drivers
16:27:53.650 Service scanning
16:28:01.402 Disk 0 statistics 109843/0/0 @ 9,45 MB/s
16:28:01.402 Scan stopped
16:30:30.556 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000032
16:30:30.556 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 11
16:30:30.624 Disk 0 MBR read successfully
16:30:30.624 Disk 0 MBR scan
16:30:30.640 Disk 0 unknown MBR code
16:30:30.643 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
16:30:30.710 Disk 0 scanning C:\Windows\system32\drivers
16:30:41.118 Service scanning
16:31:01.839 Modules scanning
16:31:01.839 Disk 0 trace - called modules:
16:31:01.886 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys storahci.sys hal.dll
16:31:01.901 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe00001927770]
16:31:01.901 3 CLASSPNP.SYS[fffff80000936abb] -> nt!IofCallDriver -> [0xffffe000001f9640]
16:31:01.917 5 ACPI.sys[fffff8000044f5f1] -> nt!IofCallDriver -> \Device\00000032[0xffffe0000173c060]
16:31:04.451 AVAST engine scan C:\
18:09:24.354 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_6.3.9600.16415_none_40f6b809cfbbe7eb\winload.efi **HIDDEN**
18:09:25.045 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_6.3.9600.16415_none_40f6b809cfbbe7eb\winload.exe **HIDDEN**
18:09:25.243 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ore-bootmanager-efi_31bf3856ad364e35_6.3.9600.16415_none_788bfa86701d3473\bootmgfw.efi **HIDDEN**
18:09:25.416 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ore-bootmanager-efi_31bf3856ad364e35_6.3.9600.16415_none_788bfa86701d3473\bootmgr.efi **HIDDEN**
18:09:25.645 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winload.efi **HIDDEN**
18:09:25.826 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winload.exe **HIDDEN**
18:09:26.049 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winresume.efi **HIDDEN**
18:09:26.229 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winresume.exe **HIDDEN**
18:09:26.459 File: C:\Windows\WinSxS\amd64_microsoft-windows-c..esources-mrmindexer_31bf3856ad364e35_6.3.9600.16412_none_59be9d25a315a723\MrmIndexer.dll **HIDDEN**
18:09:26.631 File: C:\Windows\WinSxS\amd64_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16412_none_dc86bb0c35a4f819\MrmCoreR.dll **HIDDEN**
18:09:26.772 File: C:\Windows\WinSxS\amd64_microsoft-windows-crypt32-dll.resources_31bf3856ad364e35_6.3.9600.16431_es-es_bee3ab218e3e9225\crypt32.dll.mui **HIDDEN**
18:09:26.977 File: C:\Windows\WinSxS\amd64_microsoft-windows-crypt32-dll_31bf3856ad364e35_6.3.9600.16431_none_4c61328ab1a4f2bb\crypt32.dll **HIDDEN**
18:09:27.181 File: C:\Windows\WinSxS\amd64_microsoft-windows-d..pwindowmanager-udwm_31bf3856ad364e35_6.3.9600.16483_none_79507f65946fd76d\uDWM.dll **HIDDEN**
18:09:27.369 File: C:\Windows\WinSxS\amd64_microsoft-windows-directcomposition_31bf3856ad364e35_6.3.9600.16457_none_8e56744e159f2032\dcomp.dll **HIDDEN**
18:09:27.590 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-direct3d11_31bf3856ad364e35_6.3.9600.16455_none_e09820d5a189e081\d3d11.dll **HIDDEN**
18:09:27.795 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-direct3d11_31bf3856ad364e35_6.3.9600.16506_none_e0cf32a1a1606b4a\d3d11.dll **HIDDEN**
18:09:27.955 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-dxgi_31bf3856ad364e35_6.3.9600.16455_none_2b5e4a51f26a82e7\dxgi.dll **HIDDEN**
18:09:28.146 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-dxgi_31bf3856ad364e35_6.3.9600.16506_none_2b955c1df2410db0\dxgi.dll **HIDDEN**
18:09:28.400 File: C:\Windows\WinSxS\amd64_microsoft-windows-g..policy-admin-appmgr_31bf3856ad364e35_6.3.9600.16457_none_eb9b2e9489d57172\appmgr.dll **HIDDEN**
18:09:28.549 File: C:\Windows\WinSxS\amd64_microsoft-windows-hal_31bf3856ad364e35_6.3.9600.16500_none_9c39d4b32d63f333\hal.dll **HIDDEN**
18:09:28.675 File: C:\Windows\WinSxS\amd64_microsoft-windows-i..timezones.resources_31bf3856ad364e35_6.3.9600.16471_es-es_7406dfed55df12ea\tzres.dll.mui **HIDDEN**
18:09:28.847 File: C:\Windows\WinSxS\amd64_microsoft-windows-managementregistration_31bf3856ad364e35_6.3.9600.16459_none_cfd9442b5a19555f\mdmregistration.dll **HIDDEN**
18:09:28.988 File: C:\Windows\WinSxS\amd64_microsoft-windows-mdmagent_31bf3856ad364e35_6.3.9600.16459_none_35e08045f1f9a9c2\MDMAgent.exe **HIDDEN**
18:09:29.113 File: C:\Windows\WinSxS\amd64_microsoft-windows-mediafoundation-mfsvr_31bf3856ad364e35_6.3.9600.16502_none_afd0030d8ebbf918\mfsvr.dll **HIDDEN**
18:09:29.180 File: C:\Windows\WinSxS\amd64_microsoft-windows-microsoftrawcodec_31bf3856ad364e35_6.3.9600.16453_none_28b4e8b21dbe718f\MicrosoftRawCodec.dll **HIDDEN**
18:09:29.431 File: C:\Windows\WinSxS\amd64_microsoft-windows-msftedit_31bf3856ad364e35_6.3.9600.16436_none_c6c76b270afe3788\msftedit.dll **HIDDEN**
18:09:29.583 File: C:\Windows\WinSxS\amd64_microsoft-windows-msieftp.resources_31bf3856ad364e35_6.3.9600.16456_es-es_a5203b7534b06fd4\msieftp.dll.mui **HIDDEN**
18:09:29.796 File: C:\Windows\WinSxS\amd64_microsoft-windows-ntdll_31bf3856ad364e35_6.3.9600.16502_none_49e9c0e4cfe59aa2\ntdll.dll **HIDDEN**
18:09:30.042 File: C:\Windows\WinSxS\amd64_microsoft-windows-ntfs_31bf3856ad364e35_6.3.9600.16657_none_9753001bf0c78fae\ntfs.sys **HIDDEN**
18:09:30.104 File: C:\Windows\WinSxS\amd64_microsoft-windows-os-kernel_31bf3856ad364e35_6.3.9600.16452_none_5d0d32c188038f82\ntoskrnl.exe **HIDDEN**
18:09:30.245 File: C:\Windows\WinSxS\amd64_microsoft-windows-p..ns-platform-library_31bf3856ad364e35_6.3.9600.16456_none_7775637956939b58\wpncore.dll **HIDDEN**
18:09:30.417 File: C:\Windows\WinSxS\amd64_microsoft-windows-propsys_31bf3856ad364e35_7.0.9600.16504_none_8c565e6bb0a9770c\propsys.dll **HIDDEN**
18:09:30.620 File: C:\Windows\WinSxS\amd64_microsoft-windows-qedit_31bf3856ad364e35_6.3.9600.16650_none_4b76b1061b499c81\qedit.dll **HIDDEN**
18:09:30.756 File: C:\Windows\WinSxS\amd64_microsoft-windows-rdbss_31bf3856ad364e35_6.3.9600.16493_none_4a876987356975c9\rdbss.sys **HIDDEN**
18:09:30.975 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..client-ui-wscollect_31bf3856ad364e35_6.3.9600.16477_none_fa7f9a480571cb5c\WSCollect.exe **HIDDEN**
18:09:31.065 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..ivesyncprovisioning_31bf3856ad364e35_6.3.9600.16490_none_89c3e18dbff7edfe\easwrt.dll **HIDDEN**
18:09:31.205 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..l-bulkoperationhost_31bf3856ad364e35_6.3.9600.16457_none_914837f4e4470d31\BulkOperationHost.exe **HIDDEN**
18:09:31.283 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..l-classextension-v2_31bf3856ad364e35_6.3.9600.16444_none_2ecb238e3daa1a34\SerCx2.sys **HIDDEN**
18:09:31.442 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..spellcheck.binaries_31bf3856ad364e35_6.3.9600.16500_none_13de64650a759886\MsSpellCheckingFacility.dll **HIDDEN**
18:09:31.505 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_47d1f1bea0bcf7a8\jscript9.dll **HIDDEN**
18:09:31.661 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_47d1f1bea0bcf7a8\jscript9diag.dll **HIDDEN**
18:09:31.770 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-vbscript_31bf3856ad364e35_11.0.9600.16483_none_4c14ac3810e39986\vbscript.dll **HIDDEN**
18:09:32.007 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16412_none_70eb3d5bf6e9a73b\SettingSyncHost.exe **HIDDEN**
18:09:32.180 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16456_none_70c3fed3f7067c5b\SettingSyncHost.exe **HIDDEN**
18:09:32.352 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16503_none_70f70f77f6e0a1c8\SettingSyncHost.exe **HIDDEN**
18:09:32.508 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-exehost_31bf3856ad364e35_6.3.9600.16412_none_7801462afe7fff72\SkyDrive.exe **HIDDEN**
18:09:32.664 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-exehost_31bf3856ad364e35_6.3.9600.16456_none_77da07a2fe9cd492\SkyDrive.exe **HIDDEN**
18:09:32.874 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-syncengine_31bf3856ad364e35_6.3.9600.16412_none_1e0e65f728d5bb87\SyncEngine.dll **HIDDEN**
18:09:33.167 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-syncengine_31bf3856ad364e35_6.3.9600.16457_none_1de827b928f1a9fe\SyncEngine.dll **HIDDEN**
18:09:33.335 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-telemetry_31bf3856ad364e35_6.3.9600.16412_none_74bbf4d100a74e13\SkyDriveTelemetry.dll **HIDDEN**
18:09:33.476 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-client-ui-wshost_31bf3856ad364e35_6.3.9600.16477_none_044f612c83e1996e\WSHost.exe **HIDDEN**
18:09:33.607 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-client-wssls_31bf3856ad364e35_6.3.9600.16477_none_d57fef54fc014473\WSSls.dll **HIDDEN**
18:09:33.710 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16477_none_f7dc016adcf85683\OEMLicense.dll **HIDDEN**
18:09:33.799 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16477_none_f7dc016adcf85683\WSClient.dll **HIDDEN**
18:09:33.865 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16504_none_f824b1e6dcc2440e\OEMLicense.dll **HIDDEN**
18:09:33.966 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16504_none_f824b1e6dcc2440e\WSClient.dll **HIDDEN**
18:09:34.107 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-service_31bf3856ad364e35_6.3.9600.16477_none_b0b1e8558b04aa7a\WSMigPlugin.dll **HIDDEN**
18:09:34.292 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-service_31bf3856ad364e35_6.3.9600.16477_none_b0b1e8558b04aa7a\WSService.dll **HIDDEN**
18:09:34.480 File: C:\Windows\WinSxS\amd64_microsoft-windows-twinui-appcore_31bf3856ad364e35_6.3.9600.16443_none_82b15f082eaa980d\twinui.appcore.dll **HIDDEN**
18:09:34.595 File: C:\Windows\WinSxS\amd64_microsoft-windows-twinui.resources_31bf3856ad364e35_6.3.9600.16459_es-es_1f5bdae675b1606d\twinui.dll.mui **HIDDEN**
18:09:34.740 File: C:\Windows\WinSxS\amd64_microsoft-windows-vsssystemprovider_31bf3856ad364e35_6.3.9600.16523_none_3c313ce747e5eaa3\swprv.dll **HIDDEN**
18:09:34.928 File: C:\Windows\WinSxS\amd64_microsoft-windows-wmiv2-mdmappprov-dll_31bf3856ad364e35_6.3.9600.16459_none_46250ca37f7b8eee\MDMAppProv.dll **HIDDEN**
18:09:35.162 File: C:\Windows\WinSxS\amd64_microsoft-windows-wmpdmc-ux_31bf3856ad364e35_6.3.9600.16460_none_df337169cb4b3f3b\WMPDMC.exe **HIDDEN**
18:09:35.372 File: C:\Windows\WinSxS\amd64_netfx4-aspnet_wp_exe_b03f5f7f11d50a3a_4.0.9600.16470_none_318dd958165a9e39\aspnet_wp.exe **HIDDEN**
18:09:35.528 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_4894817b1ac401c2\clrjit.dll **HIDDEN**
18:09:35.740 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_4898996b1ac04d7d\clrjit.dll **HIDDEN**
18:09:35.956 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_31cbdc513466e02a\clrjit.dll **HIDDEN**
18:09:35.988 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_6484417b85bcf6a1\clr.dll **HIDDEN**
18:09:36.035 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_6488596b85b9425c\clr.dll **HIDDEN**
18:09:36.066 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_4dbb9c519f5fd509\clr.dll **HIDDEN**
18:09:36.260 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_09fd4e179a2ba331\mscordacwks.dll **HIDDEN**
18:09:36.423 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_0a0166079a27eeec\mscordacwks.dll **HIDDEN**
18:09:36.555 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_f334a8edb3ce8199\mscordacwks.dll **HIDDEN**
18:09:36.790 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_2b71ecf2acf422a1\mscordbi.dll **HIDDEN**
18:09:37.006 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_2b7604e2acf06e5c\mscordbi.dll **HIDDEN**
18:09:37.196 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_14a947c8c6970109\mscordbi.dll **HIDDEN**
18:09:37.243 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.16441_none_f9b2b614610d9cf0\mscorlib.ni.dll **HIDDEN**
18:09:37.268 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.16480_none_f9b6ce046109e8ab\mscorlib.ni.dll **HIDDEN**
18:09:37.299 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.20491_none_e2ea10ea7ab07b58\mscorlib.ni.dll **HIDDEN**
18:09:37.460 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_0bb54c2ccb0f9d87\SOS.dll **HIDDEN**
18:09:37.632 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_0bb9641ccb0be942\SOS.dll **HIDDEN**
18:09:37.773 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_f4eca702e4b27bef\SOS.dll **HIDDEN**
18:09:37.915 File: C:\Windows\WinSxS\amd64_netfx4-system.web.applicationservices_b03f5f7f11d50a3a_4.0.9600.16470_none_ae0b563009bdc82a\System.Web.ApplicationServices.dll **HIDDEN**
18:09:38.094 File: C:\Windows\WinSxS\amd64_netfx4-system.web.extensions_b03f5f7f11d50a3a_4.0.9600.16470_none_63bcc4b5e55acab6\System.Web.Extensions.dll **HIDDEN**
18:09:38.251 File: C:\Windows\WinSxS\amd64_netfx4-webengine4_dll_b03f5f7f11d50a3a_4.0.9600.16470_none_fcf0187c71a908e6\webengine4.dll **HIDDEN**
18:09:38.346 File: C:\Windows\WinSxS\amd64_netfx4-webengine_dll_b03f5f7f11d50a3a_4.0.9600.16470_none_417ec1c67e391c40\webengine.dll **HIDDEN**
18:09:38.569 File: C:\Windows\WinSxS\amd64_spaceport.inf_31bf3856ad364e35_6.3.9600.16452_none_06b4923c2a59d5ec\spaceport.sys **HIDDEN**
18:09:38.612 File: C:\Windows\WinSxS\amd64_system.web_b03f5f7f11d50a3a_4.0.9600.16470_none_75246152a818c5ea\System.Web.dll **HIDDEN**
18:09:38.776 File: C:\Windows\WinSxS\amd64_volume.inf_31bf3856ad364e35_6.3.9600.16523_none_06b4fa95cfdc3a92\volsnap.sys **HIDDEN**
18:09:38.918 File: C:\Windows\WinSxS\amd64_wdma_usb.inf_31bf3856ad364e35_6.3.9600.16490_none_5dc76c7e8add9f91\USBAUDIO.sys **HIDDEN**
18:09:39.058 File: C:\Windows\WinSxS\amd64_windows-defender-drivers_31bf3856ad364e35_6.3.9600.16452_none_e1a9e060c919ad4c\WdBoot.sys **HIDDEN**
18:09:39.143 File: C:\Windows\WinSxS\amd64_windows-defender-drivers_31bf3856ad364e35_6.3.9600.16452_none_e1a9e060c919ad4c\WdFilter.sys **HIDDEN**
18:09:39.233 File: C:\Windows\WinSxS\amd64_windows-defender-events.resources_31bf3856ad364e35_6.3.9600.16452_es-es_d39c34d4a8e5133a\MpEvMsg.dll.mui **HIDDEN**
18:09:39.315 File: C:\Windows\WinSxS\amd64_windows-defender-events_31bf3856ad364e35_6.3.9600.16452_none_4d7bb02565c50f4c\MpEvMsg.dll **HIDDEN**
18:09:39.462 File: C:\Windows\WinSxS\amd64_windows-defender-nis-drivers_31bf3856ad364e35_6.3.9600.16452_none_39f65d93853c90dd\WdNisDrv.sys **HIDDEN**
18:09:39.585 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisIpsPlugin.dll **HIDDEN**
18:09:39.674 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisLog.dll **HIDDEN**
18:09:39.768 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisSrv.exe **HIDDEN**
18:09:39.825 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisWfp.dll **HIDDEN**
18:09:39.904 File: C:\Windows\WinSxS\amd64_windows-defender-service.resources_31bf3856ad364e35_6.3.9600.16452_es-es_60657c64db006dfc\MpAsDesc.dll.mui **HIDDEN**
18:09:39.987 File: C:\Windows\WinSxS\amd64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_782e9bb181491069\EppManifest.dll.mui **HIDDEN**
18:09:40.065 File: C:\Windows\WinSxS\amd64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_782e9bb181491069\MsMpRes.dll.mui **HIDDEN**
18:09:40.206 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\EppManifest.dll **HIDDEN**
18:09:40.311 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\MSASCui.exe **HIDDEN**
18:09:40.428 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\MsMpRes.dll **HIDDEN**
18:09:40.553 File: C:\Windows\WinSxS\amd64_windows-id-connecte..nt-provider-wlidcli_31bf3856ad364e35_6.3.9600.16453_none_91c6da4b8d50f772\wlidcli.dll **HIDDEN**
18:09:40.725 File: C:\Windows\WinSxS\amd64_windows-services-instrumentation-winbici_31bf3856ad364e35_6.3.9600.16457_none_8f0b646150ee446d\winbici.dll **HIDDEN**
18:09:41.072 File: C:\Windows\WinSxS\msil_microsoft.grouppolicy.reporting_31bf3856ad364e35_6.3.9600.16443_none_ded7156fc69e55d5\Microsoft.GroupPolicy.Reporting.dll **HIDDEN**
18:09:41.266 File: C:\Windows\WinSxS\msil_microsoft.grouppolicy.reporting_31bf3856ad364e35_6.3.9600.16500_none_deff5627c6809733\Microsoft.GroupPolicy.Reporting.dll **HIDDEN**
18:09:41.408 File: C:\Windows\WinSxS\msil_system.web.applicationservices_31bf3856ad364e35_4.0.9600.16470_none_38b9fe256a5b5fd3\System.Web.ApplicationServices.dll **HIDDEN**
18:09:41.580 File: C:\Windows\WinSxS\msil_system.web.extensions_31bf3856ad364e35_4.0.9600.16470_none_4308e9b1c3a04b93\System.Web.Extensions.dll **HIDDEN**
18:09:41.674 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\Flash.ocx **HIDDEN**
18:09:41.851 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashPlayerApp.exe **HIDDEN**
18:09:41.964 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashPlayerCPLApp.cpl **HIDDEN**
18:09:42.179 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashUtil_ActiveX.dll **HIDDEN**
18:09:42.327 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashUtil_ActiveX.exe **HIDDEN**
18:09:42.511 File: C:\Windows\WinSxS\wow64_microsoft-windows-appx-deployment-client_31bf3856ad364e35_6.3.9600.16452_none_b1134adfe297aef8\AppXDeploymentClient.dll **HIDDEN**
18:09:42.640 File: C:\Windows\WinSxS\wow64_microsoft-windows-appx-deployment-client_31bf3856ad364e35_6.3.9600.16457_none_b1184c51e2932dab\AppXDeploymentClient.dll **HIDDEN**
18:09:42.813 File: C:\Windows\WinSxS\wow64_microsoft-windows-directcomposition_31bf3856ad364e35_6.3.9600.16457_none_98ab1ea049ffe22d\dcomp.dll **HIDDEN**
18:09:43.050 File: C:\Windows\WinSxS\wow64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_11.0.9600.16518_none_a6b36bbac5320ac1\iexplore.exe **HIDDEN**
18:09:43.228 File: C:\Windows\WinSxS\wow64_microsoft-windows-ie-ieetwcollector_31bf3856ad364e35_11.0.9600.16518_none_d113a6391a330ac5\ieetwproxystub.dll **HIDDEN**
18:09:43.400 File: C:\Windows\WinSxS\wow64_microsoft-windows-ie-internetexplorer_31bf3856ad364e35_11.0.9600.16518_none_3d5f0f6a316ac3b6\ieUnatt.exe **HIDDEN**
18:09:43.608 File: C:\Windows\WinSxS\wow64_microsoft-windows-kernel32_31bf3856ad364e35_6.3.9600.16521_none_8f0ed2145e7557c0\kernel32.dll **HIDDEN**
18:09:43.803 File: C:\Windows\WinSxS\wow64_microsoft-windows-mfmpeg2srcsnk_31bf3856ad364e35_6.3.9600.16517_none_470956f4d6734459\mfmpeg2srcsnk.dll **HIDDEN**
18:09:43.971 File: C:\Windows\WinSxS\wow64_microsoft-windows-ntdll_31bf3856ad364e35_6.3.9600.16502_none_543e6b3704465c9d\ntdll.dll **HIDDEN**
18:09:44.175 File: C:\Windows\WinSxS\wow64_microsoft-windows-qedit_31bf3856ad364e35_6.3.9600.16650_none_55cb5b584faa5e7c\qedit.dll **HIDDEN**
18:09:44.312 File: C:\Windows\WinSxS\wow64_microsoft-windows-s..ivesyncprovisioning_31bf3856ad364e35_6.3.9600.16490_none_94188bdff458aff9\easwrt.dll **HIDDEN**
18:09:44.375 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_52269c10d51db9a3\jscript9.dll **HIDDEN**
18:09:44.570 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_52269c10d51db9a3\jscript9diag.dll **HIDDEN**
18:09:44.710 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-vbscript_31bf3856ad364e35_11.0.9600.16483_none_5669568a45445b81\vbscript.dll **HIDDEN**
18:09:44.757 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16456_none_675ea7791a399230\shell32.dll **HIDDEN**
18:09:44.798 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16483_none_673b36d71a5499fe\shell32.dll **HIDDEN**
18:09:44.848 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16660_none_674dd99d1a471065\shell32.dll **HIDDEN**
18:09:45.036 File: C:\Windows\WinSxS\wow64_microsoft-windows-twinui-appcore_31bf3856ad364e35_6.3.9600.16443_none_8d06095a630b5a08\twinui.appcore.dll **HIDDEN**
18:09:45.183 File: C:\Windows\WinSxS\wow64_microsoft-windows-twinui.resources_31bf3856ad364e35_6.3.9600.16459_es-es_29b08538aa122268\twinui.dll.mui **HIDDEN**
18:09:45.277 File: C:\Windows\WinSxS\wow64_windows-defender-events.resources_31bf3856ad364e35_6.3.9600.16452_es-es_ddf0df26dd45d535\MpEvMsg.dll.mui **HIDDEN**
18:09:45.371 File: C:\Windows\WinSxS\wow64_windows-defender-service.resources_31bf3856ad364e35_6.3.9600.16452_es-es_6aba26b70f612ff7\MpAsDesc.dll.mui **HIDDEN**
18:09:45.462 File: C:\Windows\WinSxS\wow64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_82834603b5a9d264\EppManifest.dll.mui **HIDDEN**
18:09:45.564 File: C:\Windows\WinSxS\wow64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_113a9994e83eb70e\EppManifest.dll **HIDDEN**
18:09:45.752 File: C:\Windows\WinSxS\wow64_windows-id-connecte..nt-provider-wlidcli_31bf3856ad364e35_6.3.9600.16453_none_9c1b849dc1b1b96d\wlidcli.dll **HIDDEN**
18:09:45.942 File: C:\Windows\WinSxS\x86_microsoft-windows-a..ence-mitigations-c4_31bf3856ad364e35_6.3.9600.16459_none_a0ea70ab0dc67517\AcSpecfc.dll **HIDDEN**
18:09:46.098 File: C:\Windows\WinSxS\x86_microsoft-windows-activexproxy_31bf3856ad364e35_6.3.9600.16443_none_a6d8394305c45fe0\actxprxy.dll **HIDDEN**
18:09:46.254 File: C:\Windows\WinSxS\x86_microsoft-windows-c..ent-xpsgdiconverter_31bf3856ad364e35_6.3.9600.16503_none_a7e1bcf306aa5e36\XpsGdiConverter.dll **HIDDEN**
18:09:46.411 File: C:\Windows\WinSxS\x86_microsoft-windows-c..esources-mrmindexer_31bf3856ad364e35_6.3.9600.16412_none_fda001a1eab835ed\MrmIndexer.dll **HIDDEN**
18:09:46.505 File: C:\Windows\WinSxS\x86_microsoft-windows-c..ialmigrationhandler_31bf3856ad364e35_6.3.9600.16443_none_08c09c961266541b\CredentialMigrationHandler.dll **HIDDEN**
18:09:46.661 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16412_none_80681f887d4786e3\MrmCoreR.dll **HIDDEN**
18:09:46.809 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16461_none_80310fa27d70f941\MrmCoreR.dll **HIDDEN**
18:09:47.013 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16471_none_80263fb67d791532\MrmCoreR.dll **HIDDEN**
18:09:47.127 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16477_none_802c41727d73ad3c\MrmCoreR.dll **HIDDEN**
18:09:47.274 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16504_none_8074f1ee7d3d9ac7\MrmCoreR.dll **HIDDEN**
18:09:47.289 Disk 0 statistics 15633183/0/0 @ 1,73 MB/s
18:09:47.289 Scan finished successfully
18:13:16.662 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
18:13:16.667 The log file has been saved successfully to "C:\Users\f\Desktop\log scan c mbr encontradas muchas entradas en rojo.txt"
Amenaza desconocida
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Amenaza desconocida
Pues si con lo indicado, tras reiniciar persiste su problema, dado que esta claro que tiene el MBR alterado, sugerimos arrancar con el CD de instalacion y desde la consola lanzar
BOOTREC. /FIXMBR
luego sacar el CD. y reiniciar normalmente, y contarnos el resultado,gracias
saludos
ms, 6-7-2015
BOOTREC. /FIXMBR
luego sacar el CD. y reiniciar normalmente, y contarnos el resultado,gracias
saludos
ms, 6-7-2015
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Amenaza desconocida
Saludos,el problema es un problemon, gracias por responder.
He iniciado con el cd, en la consola de recuperación y al introducier los comandos, el sistema no los reconocia, entonces he cambiado los discos duros de modo schi a ata y entonces si que he podido introducir los siguientes comandos:
bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd
Todos ellos ok, pero luego al reiniciar, no inicia el pc, vuelvo a entrar en modo recuperación en la consola comandos, me pregunta elegir una cuenta para continuar , mi cuenta ( pero no se si realmente es el administrador), entonces, vuelvo a poner los comandos anteriores y me dice que todas las operaciones se han completado correctamente, pero la última opción de bootrec /rebuildbcd me dice:
Instalaciones de windows examinadas correctamente.
Total de instalaciones de windows identificadas : 0
La operación se completó correctamente.
Entonces apago el equipo, y vuelvo a encenderlo,pero el sistema operativo no arranca, hay problemas y no se puede.
El cd de windows 8.1 no arranca en uefi mode, y empieza la reparación autómatica, donde me dice reiniciar o opciones avanzadas, pero no es posible iniciar el equipoc normalmente.
Hace mucho que intento solucionar esto, hace poco, reflasehe el chip bios en biosflahs, y mirandolo con el experto,vimos lo siguiente:
Cuando recibia el chip primero de todo, lo leia con un programador externo willem programmer true usb, para asegurarnos que la imagen .bin era la que tenía que ser, verificado correctamente por el experto, procedia a desenchufar todo, cd, discos duros, usb, todo, dejando solo la placa base, haciendole un comos reset, entonces colocaba el chip bueno y lo que pasa es que se queda la pantalla en negro un tiempo, y se reinicia, pero ya con código malo...retiré el chip bios para leerlo otra vez con el programador externo,y efectivamente había cambiado el código por algo malo, las palabras exactas del experto fueron que tenía la placa base defectuosa o corrupta.
No deja iniciar uefi mode ningún disco.
Escuchare con motivación y muchas ganas todas vuestras ideas y sugerencias, muchisimas gracias por el apoyo, estoy en una situación muy complicada por culpa de esto, ruego, suplico ayuda. Gracias.
He iniciado con el cd, en la consola de recuperación y al introducier los comandos, el sistema no los reconocia, entonces he cambiado los discos duros de modo schi a ata y entonces si que he podido introducir los siguientes comandos:
bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd
Todos ellos ok, pero luego al reiniciar, no inicia el pc, vuelvo a entrar en modo recuperación en la consola comandos, me pregunta elegir una cuenta para continuar , mi cuenta ( pero no se si realmente es el administrador), entonces, vuelvo a poner los comandos anteriores y me dice que todas las operaciones se han completado correctamente, pero la última opción de bootrec /rebuildbcd me dice:
Instalaciones de windows examinadas correctamente.
Total de instalaciones de windows identificadas : 0
La operación se completó correctamente.
Entonces apago el equipo, y vuelvo a encenderlo,pero el sistema operativo no arranca, hay problemas y no se puede.
El cd de windows 8.1 no arranca en uefi mode, y empieza la reparación autómatica, donde me dice reiniciar o opciones avanzadas, pero no es posible iniciar el equipoc normalmente.
Hace mucho que intento solucionar esto, hace poco, reflasehe el chip bios en biosflahs, y mirandolo con el experto,vimos lo siguiente:
Cuando recibia el chip primero de todo, lo leia con un programador externo willem programmer true usb, para asegurarnos que la imagen .bin era la que tenía que ser, verificado correctamente por el experto, procedia a desenchufar todo, cd, discos duros, usb, todo, dejando solo la placa base, haciendole un comos reset, entonces colocaba el chip bueno y lo que pasa es que se queda la pantalla en negro un tiempo, y se reinicia, pero ya con código malo...retiré el chip bios para leerlo otra vez con el programador externo,y efectivamente había cambiado el código por algo malo, las palabras exactas del experto fueron que tenía la placa base defectuosa o corrupta.
No deja iniciar uefi mode ningún disco.
Escuchare con motivación y muchas ganas todas vuestras ideas y sugerencias, muchisimas gracias por el apoyo, estoy en una situación muy complicada por culpa de esto, ruego, suplico ayuda. Gracias.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Amenaza desconocida
Pues visto que utilizó herramientas que "corrigieron" lo que vieron dañado de su disco duro, lo que creo procedente es, tras restaurar el MBR como ha hecho, lanzar una REPARACION DE SISTEMA , para corregir los ficheros de sistema dañados y añadir los que se hubieran borrado.
Y si la BIOS fue modificada, restaure la original y vea si asi le arranca, si bien si es un virus lo que le ha cambiado dicha programación, es algo muy raro, ya que solo en modelos concretos de conocidas BIOS se pueden atrever a hacerlo, ya que lo que se consigue con ello en otras máquinas es que ya no arranquen... como parece ser su caso, y por ello no es normal que lo hagan.
Y sobre lo indicado de que el hardware de la placa base le cambia la programacion de dicha BIOS, mas bien puede ser que la BIOS esté degradada, pruebe de grabar con el programa original otra BIOS a ver si es lo uno o lo otro...
Y mucha suerte que, visto el percal, la va a necesitar !
saludos
ms, 7-7-2015
Y si la BIOS fue modificada, restaure la original y vea si asi le arranca, si bien si es un virus lo que le ha cambiado dicha programación, es algo muy raro, ya que solo en modelos concretos de conocidas BIOS se pueden atrever a hacerlo, ya que lo que se consigue con ello en otras máquinas es que ya no arranquen... como parece ser su caso, y por ello no es normal que lo hagan.
Y sobre lo indicado de que el hardware de la placa base le cambia la programacion de dicha BIOS, mas bien puede ser que la BIOS esté degradada, pruebe de grabar con el programa original otra BIOS a ver si es lo uno o lo otro...
Y mucha suerte que, visto el percal, la va a necesitar !
saludos
ms, 7-7-2015
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Amenaza desconocida
Muchas gracias por la información, efectivamente tengo un percal enorme, no quiero entrar en detalles :shock:
Estoy tratando de hacer una reparacion de sistema, pero ninguna opción funciona, dice que no se puede iniciar, o pantallazos azules, y se reinicia, nada que hacer o no lo se hacer.
Si hago una restauración de sistema supongo que no valdrá para nada y se pondrá malo todo otra vez.
He iniciado opciones avanzadas, con la opción de modo seguro con simbolo de sistema pero dice no hemos podido completar las actualizaciones deshaciendo cambios no apague el equipo, ha estado un buen rato, se ha reiniciado y ahora continua apareciendo lo mismo: no hemos podido completar las actualizaciones deshaciendo cambios no apague el equipo, pero en el transcurso de escribir este mensaje, que ha pasado bastante rato, al final se ha iniciado el sistema operativo y le estoy pasando el mbr de avast para ver que sale ahora, pero le costará un rato.
¿crees que el problema está en el mbr del disco duro, en la placa base corrupta o ambas?
ya te comente en el post anterior que si pongo la versión original del bios, la primera versión más antigua, el pc sobreescribe el código malo:? Igualmente, desde el pc infectado, no me deja grabar correctamente la bios en el chip mediante el programador, me deja leer y escribirlo, y lo verifico ok, pero cuando pongo el chip, el pc no arranca ni hace nada ¿? todos mis ordenadores tienen el mismo problema y no tengo ningún pc limpio, me he gastado todo el dinero ya.... tengo 2 portatiles comprometidos, 2 torres comprometidas, y 2 placas base más corruptas una asus H81m-c y una gigabite dual bios, aparte un tv smart lg tambień corrupta....
Aparte tengo muchas unitdades usb, supongo infectadas asegurado, ¿crees que se puede contagiar por el usb? mi última inversión fue comprar un pc completo nuevo, y listo de mi le puse un usb de los infectados, y se me contagio o eso creo, por que si no no tengo remota idea como se contagió el nuevo pc.
Estoy con el sistema operativo caine , con el cual encuentro muchisimos problemas más, con el programa chkrootkit por ejemplo, luego no deja formatear a bajo nivel, me da inumerables errores imput-output bios.... de todos los ordenadores que tengo, solo uno cuando lo arranco, me dice que la suma de comprobación de la bios no es válida, y al entrar en la bios, marca un montón de errores, tipo F03B o algo aśi, no recuerdo ahora mismo lo que dice exactamente si no lo miro.
Incluso tengo la ip del que me lo hace, me ha puesto su ip del router como mi gateway, y me hace mil diabluras....pero no se localizarlo exactamente, utiliza proxys y no se que direccion exactamente utiliza, supongo que es la ip interna de su router, la cual la tiene cerrada y no puedo accederle o no se como.
Al enviar el mensaje, no me deja, me dice error interno del servidor, vermos si puedo enviar el mensaje, gracias por todo.
Por favor, puedes encaminarme un poco más, muchas gracias.
Te imploro tu ayuda.
Estoy tratando de hacer una reparacion de sistema, pero ninguna opción funciona, dice que no se puede iniciar, o pantallazos azules, y se reinicia, nada que hacer o no lo se hacer.
Si hago una restauración de sistema supongo que no valdrá para nada y se pondrá malo todo otra vez.
He iniciado opciones avanzadas, con la opción de modo seguro con simbolo de sistema pero dice no hemos podido completar las actualizaciones deshaciendo cambios no apague el equipo, ha estado un buen rato, se ha reiniciado y ahora continua apareciendo lo mismo: no hemos podido completar las actualizaciones deshaciendo cambios no apague el equipo, pero en el transcurso de escribir este mensaje, que ha pasado bastante rato, al final se ha iniciado el sistema operativo y le estoy pasando el mbr de avast para ver que sale ahora, pero le costará un rato.
¿crees que el problema está en el mbr del disco duro, en la placa base corrupta o ambas?
ya te comente en el post anterior que si pongo la versión original del bios, la primera versión más antigua, el pc sobreescribe el código malo
Aparte tengo muchas unitdades usb, supongo infectadas asegurado, ¿crees que se puede contagiar por el usb? mi última inversión fue comprar un pc completo nuevo, y listo de mi le puse un usb de los infectados, y se me contagio o eso creo, por que si no no tengo remota idea como se contagió el nuevo pc.
Estoy con el sistema operativo caine , con el cual encuentro muchisimos problemas más, con el programa chkrootkit por ejemplo, luego no deja formatear a bajo nivel, me da inumerables errores imput-output bios.... de todos los ordenadores que tengo, solo uno cuando lo arranco, me dice que la suma de comprobación de la bios no es válida, y al entrar en la bios, marca un montón de errores, tipo F03B o algo aśi, no recuerdo ahora mismo lo que dice exactamente si no lo miro.
Incluso tengo la ip del que me lo hace, me ha puesto su ip del router como mi gateway, y me hace mil diabluras....pero no se localizarlo exactamente, utiliza proxys y no se que direccion exactamente utiliza, supongo que es la ip interna de su router, la cual la tiene cerrada y no puedo accederle o no se como.
Al enviar el mensaje, no me deja, me dice error interno del servidor, vermos si puedo enviar el mensaje, gracias por todo.
Por favor, puedes encaminarme un poco más, muchas gracias.
Te imploro tu ayuda.
Re: Amenaza desconocida
Mira te adjunto el nuevo log de avast mbr, ahora no salen las entradas anteriores aunque aún aparecen cosas, he hecho un scan completo de c: y un quick scan, pero al darle fix mbr, dice disk 0 MBR fix error:
Gracias.
aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2015-07-07 09:46:54
-----------------------------
09:46:54.736 OS Version: Windows x64 6.2.9200
09:46:54.736 Number of processors: 4 586 0x3C03
09:46:54.736 ComputerName: V UserName: f
09:46:56.722 Initialize success
09:46:56.800 VM: initialized successfully
09:46:56.800 VM: Intel CPU BiosDisabled
09:47:19.705 AVAST engine defs: 15070601
09:48:26.077 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
09:48:26.077 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 3
09:48:26.171 Disk 0 MBR read successfully
09:48:26.171 Disk 0 MBR scan
09:48:26.202 Disk 0 Windows 7 default MBR code
09:48:26.218 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
09:48:26.265 Disk 0 scanning C:\Windows\system32\drivers
09:48:36.730 Service scanning
09:48:56.372 Modules scanning
09:48:56.372 Disk 0 trace - called modules:
09:48:56.388 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys hal.dll PCIIDEX.SYS atapi.sys
09:48:56.388 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000019e2060]
09:48:56.388 3 CLASSPNP.SYS[fffff80001193abb] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xffffe00001717060]
09:48:59.929 AVAST engine scan C:\
10:37:41.089 Disk 0 statistics 16538982/0/0 @ 5,19 MB/s
10:37:41.089 Scan finished successfully
10:49:35.370 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
10:49:35.402 The log file has been saved successfully to "C:\Users\f\Desktop\nuevo log tras restaurar,no salen las entradas en rojo.txt"
10:49:44.307 Disk 0 MBR fix error
10:49:48.646 Disk 0 MBR fix error
10:49:49.254 Disk 0 MBR fix error
10:49:49.426 Disk 0 MBR fix error
10:49:49.614 Disk 0 MBR fix error
10:49:49.786 Disk 0 MBR fix error
10:49:49.911 Disk 0 MBR fix error
10:49:50.067 Disk 0 MBR fix error
10:49:50.239 Disk 0 MBR fix error
10:49:50.426 Disk 0 MBR fix error
10:49:53.089 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
10:49:53.089 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 3
10:49:53.577 Disk 0 MBR read successfully
10:49:53.592 Disk 0 MBR scan
10:49:53.592 Disk 0 Windows 7 default MBR code
10:49:53.655 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
10:49:54.146 Disk 0 scanning C:\Windows\system32\drivers
10:50:52.250 Service scanning
10:51:12.176 Modules scanning
10:51:12.176 Disk 0 trace - called modules:
10:51:12.207 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys hal.dll PCIIDEX.SYS atapi.sys
10:51:12.226 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000019e2060]
10:51:12.226 3 CLASSPNP.SYS[fffff80001193abb] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xffffe00001717060]
10:51:14.500 AVAST engine scan C:\Windows
10:51:41.823 AVAST engine scan C:\Windows\system32
10:54:27.058 AVAST engine scan C:\Windows\system32\drivers
10:54:39.620 AVAST engine scan C:\Users\f
10:56:03.058 AVAST engine scan C:\ProgramData
10:56:28.782 Disk 0 statistics 19220038/0/0 @ 5,18 MB/s
10:56:28.798 Scan finished successfully
10:57:39.646 Disk 0 MBR fix error
10:57:40.174 Disk 0 MBR fix error
10:57:40.424 Disk 0 MBR fix error
10:57:40.612 Disk 0 MBR fix error
10:57:40.786 Disk 0 MBR fix error
10:58:48.805 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
10:58:48.821 The log file has been saved successfully to "C:\Users\f\Desktop\log avast mbr despues de la reparación de sistema..txt"
Gracias.
aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2015-07-07 09:46:54
-----------------------------
09:46:54.736 OS Version: Windows x64 6.2.9200
09:46:54.736 Number of processors: 4 586 0x3C03
09:46:54.736 ComputerName: V UserName: f
09:46:56.722 Initialize success
09:46:56.800 VM: initialized successfully
09:46:56.800 VM: Intel CPU BiosDisabled
09:47:19.705 AVAST engine defs: 15070601
09:48:26.077 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
09:48:26.077 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 3
09:48:26.171 Disk 0 MBR read successfully
09:48:26.171 Disk 0 MBR scan
09:48:26.202 Disk 0 Windows 7 default MBR code
09:48:26.218 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
09:48:26.265 Disk 0 scanning C:\Windows\system32\drivers
09:48:36.730 Service scanning
09:48:56.372 Modules scanning
09:48:56.372 Disk 0 trace - called modules:
09:48:56.388 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys hal.dll PCIIDEX.SYS atapi.sys
09:48:56.388 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000019e2060]
09:48:56.388 3 CLASSPNP.SYS[fffff80001193abb] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xffffe00001717060]
09:48:59.929 AVAST engine scan C:\
10:37:41.089 Disk 0 statistics 16538982/0/0 @ 5,19 MB/s
10:37:41.089 Scan finished successfully
10:49:35.370 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
10:49:35.402 The log file has been saved successfully to "C:\Users\f\Desktop\nuevo log tras restaurar,no salen las entradas en rojo.txt"
10:49:44.307 Disk 0 MBR fix error
10:49:48.646 Disk 0 MBR fix error
10:49:49.254 Disk 0 MBR fix error
10:49:49.426 Disk 0 MBR fix error
10:49:49.614 Disk 0 MBR fix error
10:49:49.786 Disk 0 MBR fix error
10:49:49.911 Disk 0 MBR fix error
10:49:50.067 Disk 0 MBR fix error
10:49:50.239 Disk 0 MBR fix error
10:49:50.426 Disk 0 MBR fix error
10:49:53.089 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
10:49:53.089 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 3
10:49:53.577 Disk 0 MBR read successfully
10:49:53.592 Disk 0 MBR scan
10:49:53.592 Disk 0 Windows 7 default MBR code
10:49:53.655 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
10:49:54.146 Disk 0 scanning C:\Windows\system32\drivers
10:50:52.250 Service scanning
10:51:12.176 Modules scanning
10:51:12.176 Disk 0 trace - called modules:
10:51:12.207 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys hal.dll PCIIDEX.SYS atapi.sys
10:51:12.226 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000019e2060]
10:51:12.226 3 CLASSPNP.SYS[fffff80001193abb] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xffffe00001717060]
10:51:14.500 AVAST engine scan C:\Windows
10:51:41.823 AVAST engine scan C:\Windows\system32
10:54:27.058 AVAST engine scan C:\Windows\system32\drivers
10:54:39.620 AVAST engine scan C:\Users\f
10:56:03.058 AVAST engine scan C:\ProgramData
10:56:28.782 Disk 0 statistics 19220038/0/0 @ 5,18 MB/s
10:56:28.798 Scan finished successfully
10:57:39.646 Disk 0 MBR fix error
10:57:40.174 Disk 0 MBR fix error
10:57:40.424 Disk 0 MBR fix error
10:57:40.612 Disk 0 MBR fix error
10:57:40.786 Disk 0 MBR fix error
10:58:48.805 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
10:58:48.821 The log file has been saved successfully to "C:\Users\f\Desktop\log avast mbr despues de la reparación de sistema..txt"
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Amenaza desconocida
Creo que tienes mal configurado el setup del BIOS y por ello no encuentra el disco duro para hacer lo que haga falta.
Revisa la configuracion del disco duro en el SETUP, mira que lo tengas en SATA o como lo que tengas (supongo que no está en RAID), y mira que esten bien sus parametros
Es lo mas logico dado lo que dices.
Cuando lo tengas bien configurado, salva los cambios y reinicia.
Ya nos contarás...
saludos
ms, 7-7-2015
Revisa la configuracion del disco duro en el SETUP, mira que lo tengas en SATA o como lo que tengas (supongo que no está en RAID), y mira que esten bien sus parametros
Es lo mas logico dado lo que dices.
Cuando lo tengas bien configurado, salva los cambios y reinicia.
Ya nos contarás...
saludos
ms, 7-7-2015
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Amenaza desconocida
Bueno las la configuración del setup bios está bien creo:
sata mode selection: ide
ide legacy native mode selection :native
smart status check: enabled
No funciona correctamente, hay una barbaridad de errores.
lo que veo es que pone en el log disk 0 windows 7 default MBR code..... mi sistema es windows 8 ¿?
me pega pantallazos azules que dicen error irql not less or equal
discos originales no inician en secure mode.
Comando chkdsk no funciona correctamente.
He buscado información sobre (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 y es algo malo al igua que otros registros, pero si no me lo estudio profundamente no se decirte nada más de momento.
Imposible fijar mbr, otros programas dan fallo, o pantallazo azul y no dejan hacer nada.
Las claves uefi , no se pueden cargar las originales del dvd instalación windows 8, hay unas precargadas con interrogantes que no pueden eliminarse.
Tengo invalid host name. ( y otros muchos problemas , si quieres hago una redacción muy extensa exponiendo todos los problemas)
He pasado el programa OTL con un comando especial que he encontrado en un foro , y al final del log creo que encuentra algo , creo que es sobre el rootkit zeroaccess:| al final del log puede verse,(dice zeroaccess check) aparecen entradas tipo: [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2013/08/22 11:45:17 | 000,483,840 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both, lo cual me hace sospechar que tengo un rootkit.
Espero puedas ayudarme, si no tendré que leer mucho.
Cualquier programa que quieras que pase o cualquier cosa dimelo por favor.
Creo que debería pagaros dinero por vuestra ayuda, es una movida ¿verdad?
Actualmente, me lo están mirando varios informáticos el problema, haber si entre todos al final conseguimos dar con el problema y solucionarlo, creo que no es justa mi situación.
Voy a pegar el log:(es algo largo), pero en otro mensaje, curiosamente, me dice que el mensaje contiene demasiados pocos caracteres, no se por que, pero creo que es al revés , que es muy largo el mensaje.
sata mode selection: ide
ide legacy native mode selection :native
smart status check: enabled
No funciona correctamente, hay una barbaridad de errores.
lo que veo es que pone en el log disk 0 windows 7 default MBR code..... mi sistema es windows 8 ¿?
me pega pantallazos azules que dicen error irql not less or equal
discos originales no inician en secure mode.
Comando chkdsk no funciona correctamente.
He buscado información sobre (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 y es algo malo al igua que otros registros, pero si no me lo estudio profundamente no se decirte nada más de momento.
Imposible fijar mbr, otros programas dan fallo, o pantallazo azul y no dejan hacer nada.
Las claves uefi , no se pueden cargar las originales del dvd instalación windows 8, hay unas precargadas con interrogantes que no pueden eliminarse.
Tengo invalid host name. ( y otros muchos problemas , si quieres hago una redacción muy extensa exponiendo todos los problemas)
He pasado el programa OTL con un comando especial que he encontrado en un foro , y al final del log creo que encuentra algo , creo que es sobre el rootkit zeroaccess
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2013/08/22 11:45:17 | 000,483,840 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both, lo cual me hace sospechar que tengo un rootkit.
Espero puedas ayudarme, si no tendré que leer mucho.
Cualquier programa que quieras que pase o cualquier cosa dimelo por favor.
Creo que debería pagaros dinero por vuestra ayuda, es una movida ¿verdad?
Actualmente, me lo están mirando varios informáticos el problema, haber si entre todos al final conseguimos dar con el problema y solucionarlo, creo que no es justa mi situación.
Voy a pegar el log:(es algo largo), pero en otro mensaje, curiosamente, me dice que el mensaje contiene demasiados pocos caracteres, no se por que, pero creo que es al revés , que es muy largo el mensaje.
Re: Amenaza desconocida
Me parece que el log es muy largo y no cabe , no me deja enviarlo.
Voy a pegar la última parte que dice lo del zeroacces y subire un adjunto con el log.
[color=#E56717]========== ZeroAccess Check ==========[/color]
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2013/08/22 14:40:00 | 021,192,024 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2013/08/22 07:25:39 | 018,634,248 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2013/08/22 11:49:49 | 000,921,088 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2013/08/22 04:45:10 | 000,691,712 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2013/08/22 11:45:17 | 000,483,840 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
[color=#E56717]========== LOP Check ==========[/color]
[color=#E56717]========== Purity Check ==========[/color]
[color=#E56717]========== Custom Scans ==========[/color]
[color=#A23BEC]< :Files
>[/color]
[2013/08/22 16:45:54 | 000,000,006 | -H-- | C] () -- C:\Windows\Tasks\SA.DAT
[color=#A23BEC]< C:\Users\hp\AppData\Local\Temp\NOD9221.tmp
>[/color]
[color=#A23BEC]< C:\Users\hp\AppData\Local\Temp\*.*
>[/color]
[color=#A23BEC]< >[/color]
[color=#A23BEC]< :Commands
>[/color]
[color=#A23BEC]< [EmptyFlash]
>[/color]
[color=#A23BEC]< [EmptyTemp]
>[/color]
[color=#A23BEC]< [EmptyJava]
>[/color]
< End of report >
Voy a pegar la última parte que dice lo del zeroacces y subire un adjunto con el log.
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2013/08/22 14:40:00 | 021,192,024 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2013/08/22 07:25:39 | 018,634,248 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2013/08/22 11:49:49 | 000,921,088 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2013/08/22 04:45:10 | 000,691,712 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2013/08/22 11:45:17 | 000,483,840 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
>
[2013/08/22 16:45:54 | 000,000,006 | -H-- | C] () -- C:\Windows\Tasks\SA.DAT
>
>
>
>
>
>
< End of report >
- Adjuntos
-
- log otl.txt
- Gracias
- (1.61 MiB) Descargado 246 veces
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Amenaza desconocida
Pues puede ser una combinacion de fallo de hardware y rootkit , lo cual puede llevarte por el camino d la amargura ...
Sin que pretenda que sea la solucion definitiva, descarga de nuestra web el actual ELISTARA.EXE y tras ejecutarlo, posteanos el informe resultante sito en C:/infosat.txt, a ver si nos da alguna otra pista.
saludos
ms, 7-7-2015
Sin que pretenda que sea la solucion definitiva, descarga de nuestra web el actual ELISTARA.EXE y tras ejecutarlo, posteanos el informe resultante sito en C:/infosat.txt, a ver si nos da alguna otra pista.
saludos
ms, 7-7-2015
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Amenaza desconocida
Bien, he descargado el programa, pero no sin problemas, ya que el mobil también lo tengo afectado, y curiosamente no me funcionaba enviar mensajes....
He tenido que utilizar otro móbil de otra persona....
No he comprobado el checksum de la descarga,no me he fijado si la hay, tal vez lo haya descargado corrupto , no lo he comprobado.
La cuestión que lo he pasado, y no se pero creo que no sale nada, solo veo lo de ID de Usuario: S-1-5-21-1646807494-2786924564-3666367194-1001 que no se lo que es.
Bueno, creo que aportaban más datos los anteriores logs que este, pero no se usted dirá.
Ahora, también parece como que no ha escaneado todos los archivos, no se si lo he hecho mal, mañana con más tiempo,veré mejor.Ya por hoy vale.
Gracias por su valioso tiempo.
Hay va el log:
(7-7-2015 17:49:15 (GMT))
EliStartPage v32.65 (c)2015 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2015)
--------------------------------------------------
Sistema Operativo: Windows 8.1 (6.3.0) (64 bits)
Usuario: f
ID de Usuario: S-1-5-21-1646807494-2786924564-3666367194-1001
Cadenas Víricas: 24291
Lista de Acciones (por Acción Directa):
(7-7-2015 18:00:13 (GMT))
EliStartPage v32.65 (c)2015 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2015)
--------------------------------------------------
Sistema Operativo: Windows 8.1 (6.3.0) (64 bits)
Usuario: f
ID de Usuario: S-1-5-21-1646807494-2786924564-3666367194-1001
Cadenas Víricas: 24291
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 21061
Nº Total de Ficheros: 102433
Nº de Ficheros Analizados: 33273
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
He tenido que utilizar otro móbil de otra persona....
No he comprobado el checksum de la descarga,no me he fijado si la hay, tal vez lo haya descargado corrupto , no lo he comprobado.
La cuestión que lo he pasado, y no se pero creo que no sale nada, solo veo lo de ID de Usuario: S-1-5-21-1646807494-2786924564-3666367194-1001 que no se lo que es.
Bueno, creo que aportaban más datos los anteriores logs que este, pero no se usted dirá.
Ahora, también parece como que no ha escaneado todos los archivos, no se si lo he hecho mal, mañana con más tiempo,veré mejor.Ya por hoy vale.
Gracias por su valioso tiempo.
Hay va el log:
(7-7-2015 17:49:15 (GMT))
EliStartPage v32.65 (c)2015 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2015)
--------------------------------------------------
Sistema Operativo: Windows 8.1 (6.3.0) (64 bits)
Usuario: f
ID de Usuario: S-1-5-21-1646807494-2786924564-3666367194-1001
Cadenas Víricas: 24291
Lista de Acciones (por Acción Directa):
(7-7-2015 18:00:13 (GMT))
EliStartPage v32.65 (c)2015 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2015)
--------------------------------------------------
Sistema Operativo: Windows 8.1 (6.3.0) (64 bits)
Usuario: f
ID de Usuario: S-1-5-21-1646807494-2786924564-3666367194-1001
Cadenas Víricas: 24291
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 21061
Nº Total de Ficheros: 102433
Nº de Ficheros Analizados: 33273
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Amenaza desconocida
Pues visto que ya no aparecen sintomas viricos, cabe pensar en alguna incompatibilidad o problema con el arranque con UEFI, ya que dices que usas Windows 8, y he leido que con ambos puede haber problemas de entendimiento !
Mira de desconectar el "Modo de arranque UEFI" a ver si puede arrancar normalmente y se solucionan los problemas.
Y si no, ya que es un Toshiba, sugiero lo lleves a un servicio tecnico de la marca, ya que no solo de software vive el portatil...
Y que haya suerte !
saludos
ms, 8-7-2015
Mira de desconectar el "Modo de arranque UEFI" a ver si puede arrancar normalmente y se solucionan los problemas.
Y si no, ya que es un Toshiba, sugiero lo lleves a un servicio tecnico de la marca, ya que no solo de software vive el portatil...
Y que haya suerte !
saludos
ms, 8-7-2015
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Amenaza desconocida
Saludos, no se solucionan los problemas de ninguna manera.
No el pc no es un toshiba, creo que no lo he dicho, el pc con el que hago las pruebas es una torre asus, H81M-C., y desde el que escribo es un compack presario, que tiene exactamente el mismo problema que la torre, pero este portatil no tiene claves uefi,y al iniciarlo, dice la SUMA DE COMPROBACIÓN DE LA BIOS NO ES CORRECTA,no puede actualizarse ni nada, está corrupto, y marca multitud de fallos técnicos.(haber puede actualizarse la bios, pero no se soluciona)
En cuanto al programa elistara dice:
Nº Total de Directorios: 21061
Nº Total de Ficheros: 102433
Nº de Ficheros Analizados: 33273
Dice que hay 102433 ficheros, pero solo analiza 33273 creo que algo está mal.
Mira te voy a adjuntar unos logs muy rebuscados del programa chrootkit y verás que berengenal más gordo tengo:
Host key verification failed.
ssh_kex: BN_new failed
ssh_kex: BN_set_word failed
ssh_kex: BN_lshift failed
ssh_kex: BN_add_word failed
Encryption type: %.100s
Sent encrypted session key.
Server refused our key.
Bad passphrase.
RSA authentication refused.
%.30s@%.128s's password:
Permission denied.
Doing challenge response authentication.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS
Permission denied, please try again.
WARNING: Encryption is disabled! Response will be transmitted in clear text.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS_RESPONSE
respond_to_rsa_challenge: rsa_private_decrypt failed
respond_to_rsa_challenge: bad challenge length %d
Sending response to host key RSA challenge.
Waiting for server public key.
Warning: Server lies about size of server public key: actual size is %d bits vs. announced %d.
Warning: This may be due to an old implementation of ssh.
Warning: Server lies about size of server host key: actual size is %d bits vs. announced %d.
Received server public key (%d bits) and host key (%d bits).
Trying RSA authentication with key '%.100s'
try_rsa_authentication: BN_new failed
Enter passphrase for RSA key '%.100s':
no passphrase given, try next key
bad passphrase given, try again...
Doing password authentication.
WARNING: Encryption is disabled! Password will be transmitted in clear text.
Protocol error: got %d in response to passwd auth
respond_to_rsa_challenge
explicit
key: %s (%p),%s
input_userauth_banner
no such identity: %s: %s
@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
The %s host key for %s has changed,
and the key for the corresponding IP address %s
%s. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in %s:%lu
Update the SSHFP RR in DNS with the new host key to get rid of this message.
Couldn't execute %s -c "%s": %s
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the %s key sent by the remote host is
Please contact your system administrator.
ssh_connect: getnameinfo failed
Connecting to %.200s [%.100s] port %s.
Bogus return (%d) from select()
connect to address %s port %s: %s
setsockopt SO_KEEPALIVE: %.100s
ssh: connect to host %s port %s: %s
Could not create socketpair to communicate with proxy dialer: %.100s
Executing proxy dialer command: %.500s
proxy dialer did not pass back a connection
Could not create pipes to communicate with the proxy: %.100s
Warning: Permanently added '%.200s' (%s) to the list of known hosts.
@ WARNING: REVOKED HOST KEY DETECTED! @
The %s host key for %s is marked as revoked.
This could mean that a stolen key is being used to
%s host key for %.200s was revoked and you have requested strict checking.
Host certificate authority does not match %s in %s:%lu
Add correct host key in %.100s to get rid of this message.
remove with: ssh-keygen -f "%s" -R %s
%s host key for %.200s has changed and you have requested strict checking.
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
Challenge/response authentication is disabled to avoid man-in-the-middle attacks.
Agent forwarding is disabled to avoid man-in-the-middle attacks.
X11 forwarding is disabled to avoid man-in-the-middle attacks.
Port forwarding is disabled to avoid man-in-the-middle attacks.
Tunnel forwarding is disabled to avoid man-in-the-middle attacks.
Error: forwarding disabled due to host key check failure
Warning: the %s host key for '%.200s' differs from the key for the IP address '%.128s'
Offending key for IP in %s:%lu
Exiting, you have requested strict checking.
Are you sure you want to continue connecting (yes/no)?
No matching CA found. Retry with plain key
Host '%.200s' is known and matches the %s host %s.
Could not load "%s" as a RSA1 public key
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
Permissions 0%3.3o for '%s' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
could not open key file '%s': %s
bad permissions: ignore key: %s
%s: certificate does not match private key %s
%s: could not open keyfile "%s": %s
Por si fuera poco, el programa unhide me detecta procesos ocultos:
Found HIDDEN PID: 8229
Cmdline: "<none>"
Executable: "<no link>"
"<none> ... maybe a transitory process"
1 HIDDEN Processes Found sysinfo.procs reports 452 processes and ps sees 453 processes
Found HIDDEN PID: 13267
Cmdline: "<none>"
Executable: "<no link>"
"<none> ... maybe a transitory process"
Found HIDDEN PID: 13268
Cmdline: "<none>"
Executable: "<no link>"
"<none> ... maybe a transitory process"
¿No podeis ayudarme?, no hay un rootkit estás seguro??? todo parece apuntar que hay algo raro, parece ser que está afectado el conjunto de chipset, ya que se cargan drivers incorrectos que no pueden eliminarse ni actualizarse, en cuyo caso, si se hace, al reiniciar vuelven a aparecer otra vez los drivers malos.
Entonces supongo que es un rootkit del chipset, bootkit o algo así por todo lo que he estado leyendo.(ayuda)
Por favor ampliarme la información,, además creo que es un problemón, y ayudariamos a que no le pase a nadie más.
Hey, además el maldito hacker, o más bien diria cracker, por que no hace nada bueno, controla todas mis comunicaciones, y me es muy dificil hacer nada sin que se entere el malnacido...
Bueno muchas gracias, y esperaré respuesta.
En el último de los casos, tal vez podría desplazarme personalmente a algún sitio donde pudieran reparar e emitir un informe sobre lo que tengo,alguna idea de donde ir?????
Haber, yo lo tengo todo muy mirado, si quieres que pase algún otro programa me lo dices.
Y haber por que el elistara no analizaba todos los archivos???
Desde luego , parece más problema de hardware, o más concretamente de los chipset.Pero ayudarme a aclararlo un poco más hombre.
Muchas gracias , y espero que esto sirva a alguien para que compruebe que no tiene porquerias de mu mala gente.
Si puedes recomendarme algún otro foro donde les gustaría mirar el problema que tengo dimelo por favor, tenía entendido que a los expertos informáticos os apasionaban estos problemones.
Bueno, ya ves lo que hay, un descarado, con la cara muy dura,( quien me está jodiendo de estas maneras) por que para querer tapar esto..... no se..... se ve bien claro..... en fin.... espero vuestra ayuda, es que enviarlo a la casa, ya he enviado 3 pc para que los reparen, haber como vuelven, estos los quiero mirar yo y saber todo lo que pueda.Gracias.
Vosotros no haceis servicio informática forense???
Saludos.
No el pc no es un toshiba, creo que no lo he dicho, el pc con el que hago las pruebas es una torre asus, H81M-C., y desde el que escribo es un compack presario, que tiene exactamente el mismo problema que la torre, pero este portatil no tiene claves uefi,y al iniciarlo, dice la SUMA DE COMPROBACIÓN DE LA BIOS NO ES CORRECTA,no puede actualizarse ni nada, está corrupto, y marca multitud de fallos técnicos.(haber puede actualizarse la bios, pero no se soluciona)
En cuanto al programa elistara dice:
Nº Total de Directorios: 21061
Nº Total de Ficheros: 102433
Nº de Ficheros Analizados: 33273
Dice que hay 102433 ficheros, pero solo analiza 33273 creo que algo está mal.
Mira te voy a adjuntar unos logs muy rebuscados del programa chrootkit y verás que berengenal más gordo tengo:
Host key verification failed.
ssh_kex: BN_new failed
ssh_kex: BN_set_word failed
ssh_kex: BN_lshift failed
ssh_kex: BN_add_word failed
Encryption type: %.100s
Sent encrypted session key.
Server refused our key.
Bad passphrase.
RSA authentication refused.
%.30s@%.128s's password:
Permission denied.
Doing challenge response authentication.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS
Permission denied, please try again.
WARNING: Encryption is disabled! Response will be transmitted in clear text.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS_RESPONSE
respond_to_rsa_challenge: rsa_private_decrypt failed
respond_to_rsa_challenge: bad challenge length %d
Sending response to host key RSA challenge.
Waiting for server public key.
Warning: Server lies about size of server public key: actual size is %d bits vs. announced %d.
Warning: This may be due to an old implementation of ssh.
Warning: Server lies about size of server host key: actual size is %d bits vs. announced %d.
Received server public key (%d bits) and host key (%d bits).
Trying RSA authentication with key '%.100s'
try_rsa_authentication: BN_new failed
Enter passphrase for RSA key '%.100s':
no passphrase given, try next key
bad passphrase given, try again...
Doing password authentication.
WARNING: Encryption is disabled! Password will be transmitted in clear text.
Protocol error: got %d in response to passwd auth
respond_to_rsa_challenge
explicit
key: %s (%p),%s
input_userauth_banner
no such identity: %s: %s
@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
The %s host key for %s has changed,
and the key for the corresponding IP address %s
%s. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in %s:%lu
Update the SSHFP RR in DNS with the new host key to get rid of this message.
Couldn't execute %s -c "%s": %s
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the %s key sent by the remote host is
Please contact your system administrator.
ssh_connect: getnameinfo failed
Connecting to %.200s [%.100s] port %s.
Bogus return (%d) from select()
connect to address %s port %s: %s
setsockopt SO_KEEPALIVE: %.100s
ssh: connect to host %s port %s: %s
Could not create socketpair to communicate with proxy dialer: %.100s
Executing proxy dialer command: %.500s
proxy dialer did not pass back a connection
Could not create pipes to communicate with the proxy: %.100s
Warning: Permanently added '%.200s' (%s) to the list of known hosts.
@ WARNING: REVOKED HOST KEY DETECTED! @
The %s host key for %s is marked as revoked.
This could mean that a stolen key is being used to
%s host key for %.200s was revoked and you have requested strict checking.
Host certificate authority does not match %s in %s:%lu
Add correct host key in %.100s to get rid of this message.
remove with: ssh-keygen -f "%s" -R %s
%s host key for %.200s has changed and you have requested strict checking.
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
Challenge/response authentication is disabled to avoid man-in-the-middle attacks.
Agent forwarding is disabled to avoid man-in-the-middle attacks.
X11 forwarding is disabled to avoid man-in-the-middle attacks.
Port forwarding is disabled to avoid man-in-the-middle attacks.
Tunnel forwarding is disabled to avoid man-in-the-middle attacks.
Error: forwarding disabled due to host key check failure
Warning: the %s host key for '%.200s' differs from the key for the IP address '%.128s'
Offending key for IP in %s:%lu
Exiting, you have requested strict checking.
Are you sure you want to continue connecting (yes/no)?
No matching CA found. Retry with plain key
Host '%.200s' is known and matches the %s host %s.
Could not load "%s" as a RSA1 public key
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
Permissions 0%3.3o for '%s' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
could not open key file '%s': %s
bad permissions: ignore key: %s
%s: certificate does not match private key %s
%s: could not open keyfile "%s": %s
Por si fuera poco, el programa unhide me detecta procesos ocultos:
Found HIDDEN PID: 8229
Cmdline: "<none>"
Executable: "<no link>"
"<none> ... maybe a transitory process"
1 HIDDEN Processes Found sysinfo.procs reports 452 processes and ps sees 453 processes
Found HIDDEN PID: 13267
Cmdline: "<none>"
Executable: "<no link>"
"<none> ... maybe a transitory process"
Found HIDDEN PID: 13268
Cmdline: "<none>"
Executable: "<no link>"
"<none> ... maybe a transitory process"
¿No podeis ayudarme?, no hay un rootkit estás seguro??? todo parece apuntar que hay algo raro, parece ser que está afectado el conjunto de chipset, ya que se cargan drivers incorrectos que no pueden eliminarse ni actualizarse, en cuyo caso, si se hace, al reiniciar vuelven a aparecer otra vez los drivers malos.
Entonces supongo que es un rootkit del chipset, bootkit o algo así por todo lo que he estado leyendo.(ayuda)
Por favor ampliarme la información,, además creo que es un problemón, y ayudariamos a que no le pase a nadie más.
Hey, además el maldito hacker, o más bien diria cracker, por que no hace nada bueno, controla todas mis comunicaciones, y me es muy dificil hacer nada sin que se entere el malnacido...
Bueno muchas gracias, y esperaré respuesta.
En el último de los casos, tal vez podría desplazarme personalmente a algún sitio donde pudieran reparar e emitir un informe sobre lo que tengo,alguna idea de donde ir?????
Haber, yo lo tengo todo muy mirado, si quieres que pase algún otro programa me lo dices.
Y haber por que el elistara no analizaba todos los archivos???
Desde luego , parece más problema de hardware, o más concretamente de los chipset.Pero ayudarme a aclararlo un poco más hombre.
Muchas gracias , y espero que esto sirva a alguien para que compruebe que no tiene porquerias de mu mala gente.
Si puedes recomendarme algún otro foro donde les gustaría mirar el problema que tengo dimelo por favor, tenía entendido que a los expertos informáticos os apasionaban estos problemones.
Bueno, ya ves lo que hay, un descarado, con la cara muy dura,( quien me está jodiendo de estas maneras) por que para querer tapar esto..... no se..... se ve bien claro..... en fin.... espero vuestra ayuda, es que enviarlo a la casa, ya he enviado 3 pc para que los reparen, haber como vuelven, estos los quiero mirar yo y saber todo lo que pueda.Gracias.
Vosotros no haceis servicio informática forense???
Saludos.
Re: Amenaza desconocida
trata de probrar con este programa que actualiza los drives DrivePack solucition, esta pesado, despues lo ejecutas sin que estes conectado a ninguna red, solo trata de actualizar los drives, los programas que trae ahi no.
tambien ejecuta este programa donde varios antivirus te lo analizan el sistema a la misma vez, herdprotect
pues no se pierde con intentar con este programa
Adwcleaner
Al igual bájate esta herramienta[url=https://toolslib.net/downloads/viewdownload/1-adwcleaner/]adwcleaner[/url] ,
reinicias en modo seguro tu computadora, lo ejecutas, escaneas y después le das limpiar, después nos pegas su log.
Como lo ejecutarás en windows 7 ó 8.1 dale click derecho del mouse para que lo instales como Administrador.
Saludos
tambien ejecuta este programa donde varios antivirus te lo analizan el sistema a la misma vez, herdprotect
pues no se pierde con intentar con este programa
Adwcleaner
Al igual bájate esta herramienta
reinicias en modo seguro tu computadora, lo ejecutas, escaneas y después le das limpiar, después nos pegas su log.
Como lo ejecutarás en windows 7 ó 8.1 dale click derecho del mouse para que lo instales como Administrador.
Saludos
La vida es hermosa....para que complicarnosla Re: Amenaza desconocida
Muchas gracias, me lo voy a tomar con más calma.
Voy a hacer todo lo que me dices, y cuando lo tenga lo posteare.
No se si lo miraré hoy o no, en cuanto lo haga posteo.
Muchas gracias.
Voy a hacer todo lo que me dices, y cuando lo tenga lo posteare.
No se si lo miraré hoy o no, en cuanto lo haga posteo.
Muchas gracias.
Re: Amenaza desconocida
Solo una cosa más porfavor, al descargar driverpack solution full, me baja un archivo bin de 211.16 kb que dice DRP-Full.torrent, ¿es normal? como hago para descargarlo, no se hacerlo, pense que sería una descarga normal pero no.
De momento no lo descargo, no utilizo torrent.
Gracias.
De momento no lo descargo, no utilizo torrent.
Gracias.
Re: Amenaza desconocida
ok entonces por lo tanto descargate el otro archivo.
Saludos
Saludos
La vida es hermosa....para que complicarnosla Re: Amenaza desconocida
Vale lo miraré con más tiempo.
Estoy viendo que las descargas van mal no coincide el checksum md5, con lo cual no creo que sirva.
Intentaré hacerlo igualmente, pero si están mal las sumas de comprobación creo que poco podré hacer.
Voy a relajarme un poco con esto, y lo miraré más calmadamente.
Gracias.
Estoy viendo que las descargas van mal no coincide el checksum md5, con lo cual no creo que sirva.
Intentaré hacerlo igualmente, pero si están mal las sumas de comprobación creo que poco podré hacer.
Voy a relajarme un poco con esto, y lo miraré más calmadamente.
Gracias.
Re: Amenaza desconocida
Saludos, estoy viendo algo raro, y es que la fecha en el foro, a mi me aparece mal, mira que me dice:
Su última visita fue: 26-01-2013 10:47
Fecha actual 26-01-2013 10:47
Yo me registre ayer creo, y todos los mensajes del foro, y todos los usuarios incluidos vosotros me aparce la misma fecha :
26-01-2013 10:47
¿que extraño no?
Será mejor no hacer nada con estos ordenadores, ¿no crees?.
De momento voy a relajarme, y haber si puedes decirme algo más.
Gracias.
Su última visita fue: 26-01-2013 10:47
Fecha actual 26-01-2013 10:47
Yo me registre ayer creo, y todos los mensajes del foro, y todos los usuarios incluidos vosotros me aparce la misma fecha :
26-01-2013 10:47
¿que extraño no?
Será mejor no hacer nada con estos ordenadores, ¿no crees?.
De momento voy a relajarme, y haber si puedes decirme algo más.
Gracias.
Re: Amenaza desconocida
Podeis poner la fecha actual que es aquí en el post para que haya constancia de la fecha exacta en la que nos encontramos es decir el día 8 de julio de 2015.
Que extraño que me aparezcan mal las fechas,¿por que motivo puede ser?
Desde luego creo que no vale la pena intentar reparar el pc desde estos ordenadores comprometidos.
Todo funciona mal.
Que me recomendais?
Gracias a todo el equipo.
Que extraño que me aparezcan mal las fechas,¿por que motivo puede ser?
Desde luego creo que no vale la pena intentar reparar el pc desde estos ordenadores comprometidos.
Todo funciona mal.
Que me recomendais?
Gracias a todo el equipo.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Amenaza desconocida
Mira la fecha en el SETUP de la Bios, que posiblemente la tengas mal, despues de tanto toquetear sus parametros. :mrgreen:
Pero ello creo que es el menor de tus problemas , verdad ?:roll:
A ver si con lo indicado por flacoroo solucionas algo !
saludos
ms, 8-7-2015
Pero ello creo que es el menor de tus problemas , verdad ?
A ver si con lo indicado por flacoroo solucionas algo !
saludos
ms, 8-7-2015
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Amenaza desconocida
Pues estoy utilizando un portatil y está en hora, solo me pasa aqui, y en otro sitio que me marca una hora menos, como en canarias jaja.
No he tocado nada de la bios en este pc.
Hombre, no es un gran problema, pero me gustaria que apareciese la fecha y hora correctas.(por lo menos en los logs que he pegado si que aparece la fecha y hora correcta, con lo cual choca un poco, ver la fecha antigua, y en los logs la hora que tiene que ser).
Te adjunto unas tomas de pantalla para que lo compruebes tu mismo, todas las fechas aparecen igual.
Actualmente como tengo visto el problema, pues no me preocupa ya, me preocupaba antes cuando no tenía remota idea, estoy muy tranquilo y apasionado con el tema.:D
El adwcleaner no encuentra nada.
El driverpack solution full nada, hace algo , pero no sirve.He enviado un bug.
He puesto los programas, aún sabiendo que el checksum está mal, es decir todas las descargas que hago están mal, el checksum es incorrecto, por lo tanto, no es posible hacer nada.
Definitivamente, creo que no es posible repararlo así, cualquier sugerencia adelante, muchisimas gracias.
Si es problema de hardware, es imposible repararlo con sofware desde el equipo comprometido¿me equivoco?
Hey muchas gracias.
El log de heardprotect:Detecta algo.
Saved date: 08/07/2015 18:45:35
Files detected: 20
Files scanned: 6.864
Processes scanned: 35
Modules scanned: 459
ASEPs scanned: 416
Downloads scanned: 0
Deep analysis: 0/0
---------------------------------------------------------------------------------
Files
---------------------------------------------------------------------------------
File path: c:\program files (x86)\asus\axsp\1.01.02\pebiosinterface32.dll
Publisher:
MD5: 51c13adad145dc592a5ffd2cbdc66047
SHA-1: 5ee77618f84a719ba61a729a52804efb03a5305d
Created: 27/06/2015 15:44:50
Detections: 2
Determination: Ignore detections (false positive)
- Trend Micro House Call as PAK_Generic.005
- Trend Micro as PAK_Generic.005
---------------------------------------------------------------------------------
File path: c:\users\f\appdata\local\temp\drpsu15\driverpacksolution.exe
Publisher:
Signer: Kuzyakov Artur Vyacheslavovich IP
MD5: 88776e878bd6f71209a927525e4df20a
SHA-1: 8e0e520b39061d71e888380c3188a173105c3a44
Created: 08/07/2015 18:28:49
Detections: 1
Determination: Adware
- Reason Heuristics as Win32.Generic.KuzyakovArturVyacheslavovichIP.Meta (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\appdata\local\temp\drpsu15\bin\tools\start.exe
Publisher: Northcode Inc.
Signer: Northcode Inc.
MD5: f82fa8c2779af26636e42d1eb7b68640
SHA-1: 9bbea51e6c4fdab01a390ec74b71a1c2737a7a31
Created: 08/07/2015 18:28:49
Detections: 1
Determination: Ignore detections (false positive)
- Bkav FE as W32.Clodc95.Trojan (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\appdata\local\temp\jrt\nircmd.dat
Publisher: NirSoft
MD5: 466a42aea0abdf4c6b610f0f5e61cfa2
SHA-1: 7e7998642babcb567ff7845cfaf4f3636ce209f7
Created: 07/07/2015 14:17:43
Detections: 1
Determination: Ignore detections (false positive)
- ViRobot as RiskTool.Nircmd.43520
---------------------------------------------------------------------------------
File path: c:\users\f\downloads\driverpack-online(1).exe
Publisher:
Signer: Kuzyakov Artur Vyacheslavovich IP
MD5: 62ac6be003876eb9391d1181f96c454b
SHA-1: fc87d8c202a3dfe38fd5f70dc9c8d55f6d75c9b3
Created: 08/07/2015 18:21:24
Detections: 1
Determination: Adware
- Reason Heuristics as Win32.Generic.KuzyakovArturVyacheslavovichIP.Installer.Meta (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\driverpack-online.exe
Publisher:
Signer: Kuzyakov Artur Vyacheslavovich IP
MD5: 62ac6be003876eb9391d1181f96c454b
SHA-1: fc87d8c202a3dfe38fd5f70dc9c8d55f6d75c9b3
Created: 08/07/2015 18:21:00
Detections: 1
Determination: Adware
- Reason Heuristics as Win32.Generic.KuzyakovArturVyacheslavovichIP.Installer.Meta (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\elistara.exe
Publisher: Satinfo SL.
MD5: d1c04dfabf3018a5c96c5aa2296e7090
SHA-1: 98264568bcd6ff16c9b5f445518968a3881ef4c1
Created: 07/07/2015 19:48:44
Detections: 17
Determination: Adware
- MicroWorld eScan as Gen:Variant.Strictor.33442 (Undefined)
- Malwarebytes as Trojan.Agent.RVGen5 (Undefined)
- VIPRE Antivirus as Virtumonde.a (Undefined)
- Arcabit as Trojan.Strictor.D82A2 (Undefined)
- Kaspersky as not-a-virus:HEUR:WebToolbar.Win32.DealPly (Adware)
- Bitdefender as Gen:Variant.Strictor.33442 (Undefined)
- Lavasoft Ad-Aware as Gen:Variant.Strictor.33442 (Undefined)
- Comodo Security as TrojWare.Win32.TrojanDownloader.IstBar.~L (Undefined)
- F-Secure as Gen:Variant.Strictor.33442 (Undefined)
- Dr.Web as Trojan.Siggen6.41069 (Undefined)
- Emsisoft Anti-Malware as Gen:Variant.Strictor.33442 (Undefined)
- F-Prot as W32/Strictor.P.gen (Undefined)
- Jiangmin as Heur:TrojanDownloader.Agent (Undefined)
- G Data as Gen:Variant.Strictor.33442 (Undefined)
- Rising Antivirus as PE:Trojan.Agent!1.6853 (Undefined)
- IKARUS anti.virus as Gen.Variant.Buzy (Undefined)
- Reason Heuristics as PUP.ISTBar.Satinfo.Meta (M) (Adware)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\mo0vgk25.exe
Publisher:
MD5: 9a8336796a7c71e9f33de848b8320ed3
SHA-1: 6c184a3e18e29bdc7f834ce37ee54f0df6636fa8
Created: 06/07/2015 18:18:14
Detections: 1
Determination: Ignore detections (false positive)
- Trend Micro House Call as TROJ_FAKEALERT.BMH (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\programas windows malware rootkits\combofix.exe
Publisher: Swearware
MD5: 2942b060a0113a00c69a07087f76b3ed
SHA-1: 05fd15210dc7d204ee3c55f897d372a1b7c3aada
Created: 07/07/2015 11:20:01
Detections: 2
Determination: Ignore detections (false positive)
- Sophos as PUA 'NirCmd'
- Jiangmin as Trojan/JmGenGeneric.boe (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\programas windows malware rootkits\herdprotectscan_setup.exe
Publisher: Reason Company Software Inc.
Signer: Reason Software Company Inc.
MD5: 172ed33198484df87fa015b695eaad80
SHA-1: 1df2124a741afc2ee0b2e90e904a3201e5cb3c3d
Created: 08/07/2015 18:09:18
Detections: 1
Determination: Ignore detections (false positive)
- Rising Antivirus as PE:Malware.ArcadeWeb!6.727 (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\programas windows malware rootkits\jrt.exe
Publisher:
MD5: 72d72eea44ba47b3cd45566b33f67e91
SHA-1: 2de1927f22ba1a34c595b224e113c1a24028769f
Created: 07/07/2015 11:20:04
Detections: 1
Determination: Ignore detections (false positive)
- Jiangmin as Trojan/Generic.buxhs (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\programas windows malware rootkits\mo0vgk25.exe
Publisher:
MD5: 9a8336796a7c71e9f33de848b8320ed3
SHA-1: 6c184a3e18e29bdc7f834ce37ee54f0df6636fa8
Created: 07/07/2015 11:19:59
Detections: 1
Determination: Ignore detections (false positive)
- Trend Micro House Call as TROJ_FAKEALERT.BMH (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\programas windows malware rootkits\otl.exe
Publisher: OldTimer Tools
MD5: 4adcfee16ee9978f06157634669d36fb
SHA-1: 30b37076552e49276836d02dd73d038c27dbbee9
Created: 07/07/2015 11:20:01
Detections: 2
Determination: Ignore detections (false positive)
- Agnitum Outpost as Packed/PECompact
- Bkav FE as HW32.CDB (Undefined)
---------------------------------------------------------------------------------
File path: c:\windows\syswow64\ext-ms-win-cluster-clusapi-l1-1-1.dll
Publisher: Microsoft Corporation
MD5: 6f5557e3f97cb2a957da5dcdaf1e22c1
SHA-1: c2a27e776fbfc3666642425dcc5f2b34bb41cb10
Created: 22/08/2013 6:14:14
Detections: 1
Determination: Ignore detections (false positive)
- The Hacker as Backdoor/Bifrose.fxu (Undefined)
---------------------------------------------------------------------------------
File path: c:\windows\syswow64\fontsub.dll
Publisher: Microsoft Corporation
MD5: 1c45243896e8d5d886256ea31b1ee7d0
SHA-1: 81b7563227b9d7debfbb43da1c110186808109be
Created: 22/08/2013 6:06:45
Detections: 1
Determination: Ignore detections (false positive)
- Bkav FE as HW32.Stranfom (Undefined)
---------------------------------------------------------------------------------
File path: c:\windows\syswow64\kbdcherp.dll
Publisher: Microsoft Corporation
MD5: f992fe1d923f59f806442449f3ea557b
SHA-1: d216f5bc5d466c1c9d94aa57a28c5226b214bdbc
Created: 22/08/2013 6:15:06
Detections: 1
Determination: Ignore detections (false positive)
- The Hacker as Trojan/Kryptik.ahcy (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\appdata\local\datos de programa\temp\drpsu15\driverpacksolution.exe
Publisher:
Signer: Kuzyakov Artur Vyacheslavovich IP
MD5: 88776e878bd6f71209a927525e4df20a
SHA-1: 8e0e520b39061d71e888380c3188a173105c3a44
Created: 08/07/2015 18:28:49
Detections: 1
Determination: Adware
- Reason Heuristics as Win32.Generic.KuzyakovArturVyacheslavovichIP.Meta (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\appdata\local\datos de programa\temp\drpsu15\bin\tools\start.exe
Publisher: Northcode Inc.
Signer: Northcode Inc.
MD5: f82fa8c2779af26636e42d1eb7b68640
SHA-1: 9bbea51e6c4fdab01a390ec74b71a1c2737a7a31
Created: 08/07/2015 18:28:49
Detections: 1
Determination: Ignore detections (false positive)
- Bkav FE as W32.Clodc95.Trojan (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\appdata\local\datos de programa\temp\jrt\nircmd.dat
Publisher: NirSoft
MD5: 466a42aea0abdf4c6b610f0f5e61cfa2
SHA-1: 7e7998642babcb567ff7845cfaf4f3636ce209f7
Created: 07/07/2015 14:17:43
Detections: 1
Determination: Ignore detections (false positive)
- ViRobot as RiskTool.Nircmd.43520
---------------------------------------------------------------------------------
File path: c:\program files (x86)\3dp chip\avs3d.exe
Publisher: INCA Internet Co., Ltd.
Signer: INCA Internet Co.,Ltd.
MD5: 7b5976316867eb1cfa8ff4638ef0b685
SHA-1: b3ac2227ed2a48d4cb9e1c54d2578302f64c17c5
Created: 07/11/2013 2:15:38
Detections: 1
Determination: Ignore detections (false positive)
- Dr.Web as Trojan.DownLoader9.7578 (Undefined)
No he tocado nada de la bios en este pc.
Hombre, no es un gran problema, pero me gustaria que apareciese la fecha y hora correctas.(por lo menos en los logs que he pegado si que aparece la fecha y hora correcta, con lo cual choca un poco, ver la fecha antigua, y en los logs la hora que tiene que ser).
Te adjunto unas tomas de pantalla para que lo compruebes tu mismo, todas las fechas aparecen igual.
Actualmente como tengo visto el problema, pues no me preocupa ya, me preocupaba antes cuando no tenía remota idea, estoy muy tranquilo y apasionado con el tema.
El adwcleaner no encuentra nada.
El driverpack solution full nada, hace algo , pero no sirve.He enviado un bug.
He puesto los programas, aún sabiendo que el checksum está mal, es decir todas las descargas que hago están mal, el checksum es incorrecto, por lo tanto, no es posible hacer nada.
Definitivamente, creo que no es posible repararlo así, cualquier sugerencia adelante, muchisimas gracias.
Si es problema de hardware, es imposible repararlo con sofware desde el equipo comprometido¿me equivoco?
Hey muchas gracias.
El log de heardprotect:Detecta algo.
Saved date: 08/07/2015 18:45:35
Files detected: 20
Files scanned: 6.864
Processes scanned: 35
Modules scanned: 459
ASEPs scanned: 416
Downloads scanned: 0
Deep analysis: 0/0
---------------------------------------------------------------------------------
Files
---------------------------------------------------------------------------------
File path: c:\program files (x86)\asus\axsp\1.01.02\pebiosinterface32.dll
Publisher:
MD5: 51c13adad145dc592a5ffd2cbdc66047
SHA-1: 5ee77618f84a719ba61a729a52804efb03a5305d
Created: 27/06/2015 15:44:50
Detections: 2
Determination: Ignore detections (false positive)
- Trend Micro House Call as PAK_Generic.005
- Trend Micro as PAK_Generic.005
---------------------------------------------------------------------------------
File path: c:\users\f\appdata\local\temp\drpsu15\driverpacksolution.exe
Publisher:
Signer: Kuzyakov Artur Vyacheslavovich IP
MD5: 88776e878bd6f71209a927525e4df20a
SHA-1: 8e0e520b39061d71e888380c3188a173105c3a44
Created: 08/07/2015 18:28:49
Detections: 1
Determination: Adware
- Reason Heuristics as Win32.Generic.KuzyakovArturVyacheslavovichIP.Meta (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\appdata\local\temp\drpsu15\bin\tools\start.exe
Publisher: Northcode Inc.
Signer: Northcode Inc.
MD5: f82fa8c2779af26636e42d1eb7b68640
SHA-1: 9bbea51e6c4fdab01a390ec74b71a1c2737a7a31
Created: 08/07/2015 18:28:49
Detections: 1
Determination: Ignore detections (false positive)
- Bkav FE as W32.Clodc95.Trojan (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\appdata\local\temp\jrt\nircmd.dat
Publisher: NirSoft
MD5: 466a42aea0abdf4c6b610f0f5e61cfa2
SHA-1: 7e7998642babcb567ff7845cfaf4f3636ce209f7
Created: 07/07/2015 14:17:43
Detections: 1
Determination: Ignore detections (false positive)
- ViRobot as RiskTool.Nircmd.43520
---------------------------------------------------------------------------------
File path: c:\users\f\downloads\driverpack-online(1).exe
Publisher:
Signer: Kuzyakov Artur Vyacheslavovich IP
MD5: 62ac6be003876eb9391d1181f96c454b
SHA-1: fc87d8c202a3dfe38fd5f70dc9c8d55f6d75c9b3
Created: 08/07/2015 18:21:24
Detections: 1
Determination: Adware
- Reason Heuristics as Win32.Generic.KuzyakovArturVyacheslavovichIP.Installer.Meta (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\driverpack-online.exe
Publisher:
Signer: Kuzyakov Artur Vyacheslavovich IP
MD5: 62ac6be003876eb9391d1181f96c454b
SHA-1: fc87d8c202a3dfe38fd5f70dc9c8d55f6d75c9b3
Created: 08/07/2015 18:21:00
Detections: 1
Determination: Adware
- Reason Heuristics as Win32.Generic.KuzyakovArturVyacheslavovichIP.Installer.Meta (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\elistara.exe
Publisher: Satinfo SL.
MD5: d1c04dfabf3018a5c96c5aa2296e7090
SHA-1: 98264568bcd6ff16c9b5f445518968a3881ef4c1
Created: 07/07/2015 19:48:44
Detections: 17
Determination: Adware
- MicroWorld eScan as Gen:Variant.Strictor.33442 (Undefined)
- Malwarebytes as Trojan.Agent.RVGen5 (Undefined)
- VIPRE Antivirus as Virtumonde.a (Undefined)
- Arcabit as Trojan.Strictor.D82A2 (Undefined)
- Kaspersky as not-a-virus:HEUR:WebToolbar.Win32.DealPly (Adware)
- Bitdefender as Gen:Variant.Strictor.33442 (Undefined)
- Lavasoft Ad-Aware as Gen:Variant.Strictor.33442 (Undefined)
- Comodo Security as TrojWare.Win32.TrojanDownloader.IstBar.~L (Undefined)
- F-Secure as Gen:Variant.Strictor.33442 (Undefined)
- Dr.Web as Trojan.Siggen6.41069 (Undefined)
- Emsisoft Anti-Malware as Gen:Variant.Strictor.33442 (Undefined)
- F-Prot as W32/Strictor.P.gen (Undefined)
- Jiangmin as Heur:TrojanDownloader.Agent (Undefined)
- G Data as Gen:Variant.Strictor.33442 (Undefined)
- Rising Antivirus as PE:Trojan.Agent!1.6853 (Undefined)
- IKARUS anti.virus as Gen.Variant.Buzy (Undefined)
- Reason Heuristics as PUP.ISTBar.Satinfo.Meta (M) (Adware)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\mo0vgk25.exe
Publisher:
MD5: 9a8336796a7c71e9f33de848b8320ed3
SHA-1: 6c184a3e18e29bdc7f834ce37ee54f0df6636fa8
Created: 06/07/2015 18:18:14
Detections: 1
Determination: Ignore detections (false positive)
- Trend Micro House Call as TROJ_FAKEALERT.BMH (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\programas windows malware rootkits\combofix.exe
Publisher: Swearware
MD5: 2942b060a0113a00c69a07087f76b3ed
SHA-1: 05fd15210dc7d204ee3c55f897d372a1b7c3aada
Created: 07/07/2015 11:20:01
Detections: 2
Determination: Ignore detections (false positive)
- Sophos as PUA 'NirCmd'
- Jiangmin as Trojan/JmGenGeneric.boe (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\programas windows malware rootkits\herdprotectscan_setup.exe
Publisher: Reason Company Software Inc.
Signer: Reason Software Company Inc.
MD5: 172ed33198484df87fa015b695eaad80
SHA-1: 1df2124a741afc2ee0b2e90e904a3201e5cb3c3d
Created: 08/07/2015 18:09:18
Detections: 1
Determination: Ignore detections (false positive)
- Rising Antivirus as PE:Malware.ArcadeWeb!6.727 (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\programas windows malware rootkits\jrt.exe
Publisher:
MD5: 72d72eea44ba47b3cd45566b33f67e91
SHA-1: 2de1927f22ba1a34c595b224e113c1a24028769f
Created: 07/07/2015 11:20:04
Detections: 1
Determination: Ignore detections (false positive)
- Jiangmin as Trojan/Generic.buxhs (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\programas windows malware rootkits\mo0vgk25.exe
Publisher:
MD5: 9a8336796a7c71e9f33de848b8320ed3
SHA-1: 6c184a3e18e29bdc7f834ce37ee54f0df6636fa8
Created: 07/07/2015 11:19:59
Detections: 1
Determination: Ignore detections (false positive)
- Trend Micro House Call as TROJ_FAKEALERT.BMH (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\desktop\programas windows malware rootkits\otl.exe
Publisher: OldTimer Tools
MD5: 4adcfee16ee9978f06157634669d36fb
SHA-1: 30b37076552e49276836d02dd73d038c27dbbee9
Created: 07/07/2015 11:20:01
Detections: 2
Determination: Ignore detections (false positive)
- Agnitum Outpost as Packed/PECompact
- Bkav FE as HW32.CDB (Undefined)
---------------------------------------------------------------------------------
File path: c:\windows\syswow64\ext-ms-win-cluster-clusapi-l1-1-1.dll
Publisher: Microsoft Corporation
MD5: 6f5557e3f97cb2a957da5dcdaf1e22c1
SHA-1: c2a27e776fbfc3666642425dcc5f2b34bb41cb10
Created: 22/08/2013 6:14:14
Detections: 1
Determination: Ignore detections (false positive)
- The Hacker as Backdoor/Bifrose.fxu (Undefined)
---------------------------------------------------------------------------------
File path: c:\windows\syswow64\fontsub.dll
Publisher: Microsoft Corporation
MD5: 1c45243896e8d5d886256ea31b1ee7d0
SHA-1: 81b7563227b9d7debfbb43da1c110186808109be
Created: 22/08/2013 6:06:45
Detections: 1
Determination: Ignore detections (false positive)
- Bkav FE as HW32.Stranfom (Undefined)
---------------------------------------------------------------------------------
File path: c:\windows\syswow64\kbdcherp.dll
Publisher: Microsoft Corporation
MD5: f992fe1d923f59f806442449f3ea557b
SHA-1: d216f5bc5d466c1c9d94aa57a28c5226b214bdbc
Created: 22/08/2013 6:15:06
Detections: 1
Determination: Ignore detections (false positive)
- The Hacker as Trojan/Kryptik.ahcy (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\appdata\local\datos de programa\temp\drpsu15\driverpacksolution.exe
Publisher:
Signer: Kuzyakov Artur Vyacheslavovich IP
MD5: 88776e878bd6f71209a927525e4df20a
SHA-1: 8e0e520b39061d71e888380c3188a173105c3a44
Created: 08/07/2015 18:28:49
Detections: 1
Determination: Adware
- Reason Heuristics as Win32.Generic.KuzyakovArturVyacheslavovichIP.Meta (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\appdata\local\datos de programa\temp\drpsu15\bin\tools\start.exe
Publisher: Northcode Inc.
Signer: Northcode Inc.
MD5: f82fa8c2779af26636e42d1eb7b68640
SHA-1: 9bbea51e6c4fdab01a390ec74b71a1c2737a7a31
Created: 08/07/2015 18:28:49
Detections: 1
Determination: Ignore detections (false positive)
- Bkav FE as W32.Clodc95.Trojan (Undefined)
---------------------------------------------------------------------------------
File path: c:\users\f\appdata\local\datos de programa\temp\jrt\nircmd.dat
Publisher: NirSoft
MD5: 466a42aea0abdf4c6b610f0f5e61cfa2
SHA-1: 7e7998642babcb567ff7845cfaf4f3636ce209f7
Created: 07/07/2015 14:17:43
Detections: 1
Determination: Ignore detections (false positive)
- ViRobot as RiskTool.Nircmd.43520
---------------------------------------------------------------------------------
File path: c:\program files (x86)\3dp chip\avs3d.exe
Publisher: INCA Internet Co., Ltd.
Signer: INCA Internet Co.,Ltd.
MD5: 7b5976316867eb1cfa8ff4638ef0b685
SHA-1: b3ac2227ed2a48d4cb9e1c54d2578302f64c17c5
Created: 07/11/2013 2:15:38
Detections: 1
Determination: Ignore detections (false positive)
- Dr.Web as Trojan.DownLoader9.7578 (Undefined)
- Adjuntos
-
-
-
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Amenaza desconocida
Pues aparecen bastantes sospechosos, si bien con muy pocas detecciones, lo cual induce a pensar en algun que otro falso positivo.
Y viendo que tambien el ELISTARA aparece en las detecciones, te recordamos que es normal debido an las cadenas de deteccion de malwares que contiene, de ello, ni caso !
Y si quieres enviarnos algunos de los otros, como del jrt.exe o del otl.exe, hazlo y los analizaremos para proceder en consecuencia, de lo cual informaremos.
Por cierto, lo que cabe pensar es que alguna de las herramientas que tienes, pueden haber afectado el codigo de las Bios, y por ello te falle el checksum y no procese correctamente... Revisa esta posibilidad y mira si puedes restaurarle su codigo original.
saludos
ms, 9-7-2015
Y viendo que tambien el ELISTARA aparece en las detecciones, te recordamos que es normal debido an las cadenas de deteccion de malwares que contiene, de ello, ni caso !
Y si quieres enviarnos algunos de los otros, como del jrt.exe o del otl.exe, hazlo y los analizaremos para proceder en consecuencia, de lo cual informaremos.
Por cierto, lo que cabe pensar es que alguna de las herramientas que tienes, pueden haber afectado el codigo de las Bios, y por ello te falle el checksum y no procese correctamente... Revisa esta posibilidad y mira si puedes restaurarle su codigo original.
saludos
ms, 9-7-2015
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Amenaza desconocida
Buenos días, gracias por responder.
Hoy día 9 de julio de 2015.
Pues si, si que hay bastantes sospechosos...pero en los logs anteriores que adjunte, viste lo que había.
SI lo del Elistara supongo que es por lo que dices, o por que también se descargo corrupto, no problema.
Si de verdad quieres que te envie estos archivos, puedo hacerlo, pero no tendrá ningún efecto, a menos que haya un troyano, y pueda saberse quien me lo envia, si no, todo lo que descargo está corrupto, no vale la pena que me pase el tiempo enviando los archivos corruptos que descargo desde el ordenador comprometido.(pienso)
A lo último que dices no es posible, haber creo que ya dije que, cogí el pc, desmonté todo, solo deje la placa base conectada a la pantalla, sin audio, sin red, sin nada más, entonces le hice un comos reset, sacandole el chip viejo , y entonces pusimos un chip original, con la versión de bios más antiguo, todo esto supervisado por un técnico programador de reflhaseo de bios, y el resultado fue que la placa base escribia el código malo en el chip nuevo, dejándolo corrupto, comprobado con el especialista,y me dijo que la placa base (todas las placas de los sistemas informáticos que tengo) estaba defectuosa o corrupta....No se puede restaurar el código original.Esto lo tengo por escrito.
Por lo comentado anteriormente, tiene que ser un rootkit, bootkit, o algo del mbr, como dije al principio,pero que está en la raiz de la placa base o del disco duro, pero es lo que quiero saber exactamente.(ya desde estos pc, no puede hacerse ningún formateo a bajo nivel , ni con el programa hdparm, hacerle un restablecimiento de fábrica al disco duro).
El pc falla desde el principio, con todo nuevo, si instalas el windows 8.1 no se puede instalar en uefi mode, y es original, me grabaron en una tienda el sistema operativo caine, el checksum está bien, y tiene claves uefi (además tiene herramientas para windows), pues tampoco inicia en uefi mode, aun estando preparado para ello, igualmente, ningún cd-dvd, preparado para iniciar en modo seguro, lo hace.
El problema no es de nada descargado, está en la raiz del pc, por que ya da todos los fallos antes de descargar nada o instalar nada.Recomprobado, llevo ya no cientos de horas con esto, llevo miles de horas con esto:wink: (aparte la verdad he leido bastante, pero se ve que tendré que leer más).
Entonces, como voy a reparar el pc desde el sistema operativo, cuando ya carga mal de raiz, es imposible, si conoces la manera adelante, pero tengo la sensación de que no es posible.
No quiero mirar nada más de sofware , por que ya lo he probado todo creo y es imposible hacer nada.
No se como podria repararse esto, si actualizando todos los firmwares a la vez o no se como, incluido disco duro supongo, luego el firmware del dvd no se si también.
Yo si os interesa , puedo mandaros una placa base, pagaria los portes y lo que me dijerais, si me haceis un presupuesto, ¿que no se si haceis este servicio?, asi, podrias mirarla ver lo que digo, y saber más.
Pero lo dicho, creo que es lo comentado anteriormente, ya que es multiplataforma, y afecta todos los sistemas operativos que pueda poner, y he probado muchos.
Esto es más malware de bajo nivel, se inicia antes que nada, y que los antivirus.
El craker que me lo hace, ultimamente, no incordia tanto, jeje, pero me resetea el navegador continuamente, me desconecta el raton, pone publicidad ofensiva, (esto pongo el addblock y ya está), me manda spam por un tubo de cosas feas y que no interesan,me pone una entrada de routing en el router, que debo borrar manualmente cada vez que reinicio, y hasta le tengo la ip.
Tal vez pudierais ayudarme a saber exactamente la ip que utiliza, o como adivinarla.El me pone su ip como mi gateway, y ya podreis imaginaros todo lo que me puede hacer, ( en los logs anteriores de chkrootkit sale).Entonces está su ip que debe ser la interna del router, no la pública, pero luego sale con una cadena de proxys hacia el exterior. Entonces supongo, que la cadena de proxys da igual, su ip será la que me pone en mi gateway, me gustaria saber como penetrar en su router y saber su ip publica, para poder dar parte a las autoridades, que ya están al tanto.
Muchas gracias por todo, y ojalá podais ayudarme más, pero pelear con esto desde estos ordenadores, ya estoy cansado, y veo que no se pueden reparar, alguna forma habrá, pero desde luego con equipos no comprometidos, y sabiendo lo que se hace.
¿Como podría actulaizar todo el conjunto del chipset a la vez? creo que tal vez seria la solución, si consiguiera erradicar todo el código maligno y no quedará en niguna parte, tal vez si se podría reparar, o tal vez, sea solo el mbr del disco duro el culpable de todo el berengenal, pues no estoy seguro, por favor ampliarme la información.
Desde luego, yo soy la victima de esto, quien me lo hace es un delincuente, espero que moralmente esteis de mi lado, si el craker se ha puesto en contacto con vosotros (cosa que no me extrañaria nada, por que tiene esa mala costumbre), pues seguro que no os ha dicho nada bueno de mi, pero siendo mi enemigo, que va a decir, pues nada bueno.
Espero que hagais lo correcto y justo.
Un saludo a todo el equipo, y muchas gracias.
Muchas gracias por poner la fecha, y gracias por todo.
Hoy día 9 de julio de 2015.
Pues si, si que hay bastantes sospechosos...pero en los logs anteriores que adjunte, viste lo que había.
SI lo del Elistara supongo que es por lo que dices, o por que también se descargo corrupto, no problema.
Si de verdad quieres que te envie estos archivos, puedo hacerlo, pero no tendrá ningún efecto, a menos que haya un troyano, y pueda saberse quien me lo envia, si no, todo lo que descargo está corrupto, no vale la pena que me pase el tiempo enviando los archivos corruptos que descargo desde el ordenador comprometido.(pienso)
A lo último que dices no es posible, haber creo que ya dije que, cogí el pc, desmonté todo, solo deje la placa base conectada a la pantalla, sin audio, sin red, sin nada más, entonces le hice un comos reset, sacandole el chip viejo , y entonces pusimos un chip original, con la versión de bios más antiguo, todo esto supervisado por un técnico programador de reflhaseo de bios, y el resultado fue que la placa base escribia el código malo en el chip nuevo, dejándolo corrupto, comprobado con el especialista,y me dijo que la placa base (todas las placas de los sistemas informáticos que tengo) estaba defectuosa o corrupta....No se puede restaurar el código original.Esto lo tengo por escrito.
Por lo comentado anteriormente, tiene que ser un rootkit, bootkit, o algo del mbr, como dije al principio,pero que está en la raiz de la placa base o del disco duro, pero es lo que quiero saber exactamente.(ya desde estos pc, no puede hacerse ningún formateo a bajo nivel , ni con el programa hdparm, hacerle un restablecimiento de fábrica al disco duro).
El pc falla desde el principio, con todo nuevo, si instalas el windows 8.1 no se puede instalar en uefi mode, y es original, me grabaron en una tienda el sistema operativo caine, el checksum está bien, y tiene claves uefi (además tiene herramientas para windows), pues tampoco inicia en uefi mode, aun estando preparado para ello, igualmente, ningún cd-dvd, preparado para iniciar en modo seguro, lo hace.
El problema no es de nada descargado, está en la raiz del pc, por que ya da todos los fallos antes de descargar nada o instalar nada.Recomprobado, llevo ya no cientos de horas con esto, llevo miles de horas con esto
Entonces, como voy a reparar el pc desde el sistema operativo, cuando ya carga mal de raiz, es imposible, si conoces la manera adelante, pero tengo la sensación de que no es posible.
No quiero mirar nada más de sofware , por que ya lo he probado todo creo y es imposible hacer nada.
No se como podria repararse esto, si actualizando todos los firmwares a la vez o no se como, incluido disco duro supongo, luego el firmware del dvd no se si también.
Yo si os interesa , puedo mandaros una placa base, pagaria los portes y lo que me dijerais, si me haceis un presupuesto, ¿que no se si haceis este servicio?, asi, podrias mirarla ver lo que digo, y saber más.
Pero lo dicho, creo que es lo comentado anteriormente, ya que es multiplataforma, y afecta todos los sistemas operativos que pueda poner, y he probado muchos.
Esto es más malware de bajo nivel, se inicia antes que nada, y que los antivirus.
El craker que me lo hace, ultimamente, no incordia tanto, jeje, pero me resetea el navegador continuamente, me desconecta el raton, pone publicidad ofensiva, (esto pongo el addblock y ya está), me manda spam por un tubo de cosas feas y que no interesan,me pone una entrada de routing en el router, que debo borrar manualmente cada vez que reinicio, y hasta le tengo la ip.
Tal vez pudierais ayudarme a saber exactamente la ip que utiliza, o como adivinarla.El me pone su ip como mi gateway, y ya podreis imaginaros todo lo que me puede hacer, ( en los logs anteriores de chkrootkit sale).Entonces está su ip que debe ser la interna del router, no la pública, pero luego sale con una cadena de proxys hacia el exterior. Entonces supongo, que la cadena de proxys da igual, su ip será la que me pone en mi gateway, me gustaria saber como penetrar en su router y saber su ip publica, para poder dar parte a las autoridades, que ya están al tanto.
Muchas gracias por todo, y ojalá podais ayudarme más, pero pelear con esto desde estos ordenadores, ya estoy cansado, y veo que no se pueden reparar, alguna forma habrá, pero desde luego con equipos no comprometidos, y sabiendo lo que se hace.
¿Como podría actulaizar todo el conjunto del chipset a la vez? creo que tal vez seria la solución, si consiguiera erradicar todo el código maligno y no quedará en niguna parte, tal vez si se podría reparar, o tal vez, sea solo el mbr del disco duro el culpable de todo el berengenal, pues no estoy seguro, por favor ampliarme la información.
Desde luego, yo soy la victima de esto, quien me lo hace es un delincuente, espero que moralmente esteis de mi lado, si el craker se ha puesto en contacto con vosotros (cosa que no me extrañaria nada, por que tiene esa mala costumbre), pues seguro que no os ha dicho nada bueno de mi, pero siendo mi enemigo, que va a decir, pues nada bueno.
Espero que hagais lo correcto y justo.
Un saludo a todo el equipo, y muchas gracias.
Muchas gracias por poner la fecha, y gracias por todo.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Amenaza desconocida
Creo que si bien puedes tener algun software malicioso, lo mas probable es que tengas hardware modificado, dañado o alterado, empezando por las BIOS y llegando incluso a la CPU, pero OJO, podrias invertir tu dinero en comprar memoria nuevas y sustituir las actuales INTEGRAMENTE por ellas, pues a lo mejor es el principio del fin ...
[b]VOY A ESTAR UNOS DIAS FUERA[/b]
En SATINFO ya no nos dedicamos al hardware, si bien durante los primeros 10 años de ordenadores fue nuestro fuerte, pero ya desde hace 20 años (sí, son mas de 30 los que nos peleamos en este sector) nos dedicamos al software de seguridad, y tenemos muy buenos técnicos con la misma experiencia que yo, que los he contratado a todos, y hay especialistas para cada cosa, segun antivirus utilizado (damos servicio a McAfee y a Kaspersky), segun sistema, con especialistas en cada Windows e incluso en Linux, y analizadores de malwares, asi como programadores de utilidades en su contra, y todo ello con todo tipo de ordenadores de soporte, que es para lo único que los utilizamos, ya pasó la historia de las averias y problemas de hardware, aunque nos acordamos, como puedes ver al hablarte de las memorias.
Y a todo ello se le suma la temperatura, que es otro handicap, pero ya llegará el invierno...
Bueno, ya nos contarás, me voy que tengo ya un pie fuera.
saludos y suerte
ms, 9-7-2015
En SATINFO ya no nos dedicamos al hardware, si bien durante los primeros 10 años de ordenadores fue nuestro fuerte, pero ya desde hace 20 años (sí, son mas de 30 los que nos peleamos en este sector) nos dedicamos al software de seguridad, y tenemos muy buenos técnicos con la misma experiencia que yo, que los he contratado a todos, y hay especialistas para cada cosa, segun antivirus utilizado (damos servicio a McAfee y a Kaspersky), segun sistema, con especialistas en cada Windows e incluso en Linux, y analizadores de malwares, asi como programadores de utilidades en su contra, y todo ello con todo tipo de ordenadores de soporte, que es para lo único que los utilizamos, ya pasó la historia de las averias y problemas de hardware, aunque nos acordamos, como puedes ver al hablarte de las memorias.
Y a todo ello se le suma la temperatura, que es otro handicap, pero ya llegará el invierno...
Bueno, ya nos contarás, me voy que tengo ya un pie fuera.
saludos y suerte
ms, 9-7-2015
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Amenaza desconocida
Muchisimas gracias por dejar el hilo abierto y dejar que pueda indagar más.
Igualmente, si alguien lo lee, y puede aportar más adelante.
Tranquilo, que no tengo prisa, estoy sufriendo esto de hace años.
También me decanto por lo que dices, más lo que dices que tengo el hardware modificado o alterado.
Estoy muy contento con vuestro servicio, ya me doy cuenta que mi problema con el pc, es complicadillo aparentemente, y yo de hardware estoy muy verde, hace poco, no sabía diferenciar el sofware del hardware:lol:
Entonces es posible que haya algo en las memorias, ni idea, no voy a gastar más dinero de momento....pero lo tendré en cuenta , por probar no pierdo nada.(es que a estas alturas me he gastado todo, y estoy sin trabajo)
Me fije, que los pines de la cpu, hay alguno doblado, haber si será eso,(me lo dijeron en unas tiendas de reparación de pc) ley por algún foro, de un hack doblando los pines de la cpu con un alfiler.... pero no tengo idea, debería leer mucho más.(pero esto solo en las placas base de la torre, en los portatiles no creo, pero no lo he mirado, alomejor también están doblados)
Aparte, pienso, que puedo tener el pc con overclocking de ese, ¿sería posible?junto lo de los pines doblados de la cpu, pero todo son conjeturas, no lo se, y deberé leer.(ahora no me apetece mucho la verdad, tengo ganas de relajarme y disfrutar un poco si puedo).
Lo dicho muchas gracias por dejar el hilo abierto, y si adivino o aprendo algo más lo posteare.
Alomejor esto es más de electrónico-informático, no se.
Si hace mucha calor ahora, más donde vivo, en un atico que pega una calor que parece el infierno:)
Pues, ahora tranquilidad con esto, y ver si se puede ir aportando algo nuevo.Yo me voy a esperar a hablar con los técnicos que me están mirando el problema, y contrastar opiniones, haber si me llaman pronto y puedo avanzar más.
Muy bien, ya no espero que contestes, ya me has dicho lo que queria oir más o menos.Gracias.
Pero cualquiera que sepa , adelante, le estaría eternamente agradecido.
Haber, cuando me entren ganas, y empezaré a indagar más.Pero , ahora me apetece relajarme, por que llevo una temporada muy ajetreada la verdad.
Muchas gracias a todos por escucharme y por dejar el hilo abierto.Gracias.
Un saludo a todo el equipo.
Igualmente, si alguien lo lee, y puede aportar más adelante.
Tranquilo, que no tengo prisa, estoy sufriendo esto de hace años.
También me decanto por lo que dices, más lo que dices que tengo el hardware modificado o alterado.
Estoy muy contento con vuestro servicio, ya me doy cuenta que mi problema con el pc, es complicadillo aparentemente, y yo de hardware estoy muy verde, hace poco, no sabía diferenciar el sofware del hardware
Entonces es posible que haya algo en las memorias, ni idea, no voy a gastar más dinero de momento....pero lo tendré en cuenta , por probar no pierdo nada.(es que a estas alturas me he gastado todo, y estoy sin trabajo)
Me fije, que los pines de la cpu, hay alguno doblado, haber si será eso,(me lo dijeron en unas tiendas de reparación de pc) ley por algún foro, de un hack doblando los pines de la cpu con un alfiler.... pero no tengo idea, debería leer mucho más.(pero esto solo en las placas base de la torre, en los portatiles no creo, pero no lo he mirado, alomejor también están doblados)
Aparte, pienso, que puedo tener el pc con overclocking de ese, ¿sería posible?junto lo de los pines doblados de la cpu, pero todo son conjeturas, no lo se, y deberé leer.(ahora no me apetece mucho la verdad, tengo ganas de relajarme y disfrutar un poco si puedo).
Lo dicho muchas gracias por dejar el hilo abierto, y si adivino o aprendo algo más lo posteare.
Alomejor esto es más de electrónico-informático, no se.
Si hace mucha calor ahora, más donde vivo, en un atico que pega una calor que parece el infierno
Pues, ahora tranquilidad con esto, y ver si se puede ir aportando algo nuevo.Yo me voy a esperar a hablar con los técnicos que me están mirando el problema, y contrastar opiniones, haber si me llaman pronto y puedo avanzar más.
Muy bien, ya no espero que contestes, ya me has dicho lo que queria oir más o menos.Gracias.
Pero cualquiera que sepa , adelante, le estaría eternamente agradecido.
Haber, cuando me entren ganas, y empezaré a indagar más.Pero , ahora me apetece relajarme, por que llevo una temporada muy ajetreada la verdad.
Muchas gracias a todos por escucharme y por dejar el hilo abierto.Gracias.
Un saludo a todo el equipo.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Amenaza desconocida
Aunque no este trabajando, internet llega a todas partes y he visto lo que dices de que TIENES PINES DOBLADOS EN LA CPU !!! ...
Te indique lo de las memorias porque, dados tus problemas, cabia pensar en un mal proceso de los datos entrados debido a problemas de hardware, pero despues de lo que ahora dices, centra tu atencion en ello, claro !
Y si hace falta, ve pensando en adquirir una CPU identica y sustituir la que tienes (por ejemplo si se rompen los pines al enderezarlos)
Bueno, suerte, vista y al toro !
saludos
ms, 10-7-2015
Te indique lo de las memorias porque, dados tus problemas, cabia pensar en un mal proceso de los datos entrados debido a problemas de hardware, pero despues de lo que ahora dices, centra tu atencion en ello, claro !
Y si hace falta, ve pensando en adquirir una CPU identica y sustituir la que tienes (por ejemplo si se rompen los pines al enderezarlos)
Bueno, suerte, vista y al toro !
saludos
ms, 10-7-2015
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Amenaza desconocida
Saludos.
Hoy día 17 de Julio de 2015.
Esta mañana he estado con un técnico informático , el cual me estaba mirando una torre compack que había puesto un usb infectado ( está claro , o aparentemente fue el culpable de la infección, por estar afectado seguramente el master boot record )y me miraba el asunto de la placa base corrupta asus H81M-C.
Me ha verificado que efectivamente, la torre compak daba errores de funcionamiento, se ha puesto en contacto con el soporte técnico de hp, tramitándolo con garantía ( se ha portado muy bien ) ha seguido instrucciones de hp, para intentar solucionar el problema, y me ha entregado los mensajes de correo que ha tenido con soporte hp.El ordenador no iniciaba correctamente en modo uefi, no cargaba bien, ahora aparentemente si lo hace, me ha descargado un ubuntu con claves uefi y si arranca correctamente.Le estoy pasando el avast mbr complete scan , para ver si sale algo, pero lo pase con el técnico un quick scan y parece estar bien.
La placa base asus H81M-C, lo de los pines doblados, parece que no es el problema, aparentemente, los doble yo seguramente tanto toquetear la cpu, ( posiblemente), aparte tengo otra placa corrupta, y esta tiene los pines de la cpu bien, con lo que no es el problema.
Ha tramitado garantia de la placa, y me la han cambiado por una nueva , parece ser que esta vez carga bien los sistemas operativos con uefi mode.
Solo he visto que la placa base, viene con unas claves uefi precargadas, dice, estado de clave de plata cargado, se pueden eliminar y dejarlas descargadas sin claves, entonces hemos intentado cargar las claves uefi originales del disco original windows 8.1, pero no deja cargarlas, no hemos sabido por que, y no se si es normal o no. ¿estas claves , vienen por defecto precargadas en la placa base? , si es así, entonces , ¿son las encargadas de comparar el firmware correcto, con los discos originales que lleven claves uefi originales ? es decir, si se pone un disco que no tiene uefi mode, no deja arrancar, mientras que si ponemos el disco original windows 8.1, pues arranca al coincidir las firmas ¿ es así?, no lo comprendo muy bien. Agradeceria mucho una explicación.
Otro punto visto , es que , poniendo el disco original windows 8.1 en la torre con asus H81M-C , sin discos duros ni nada conectado al pc, y haciendo está comprobación: Sacada de social.technet.microsoft.com
En Bios UEFI únicamente podemos instalar los sistemas de 64 bits. Los de 32 nunca se instalarán en modo UEFI.
1) Verificar en la Bios que efectivamente la Bios está en modo UEFI.
Algunas Bios tienen modo BIOS normal y modo UEFI. Debe estar en este ultimo modo.
2) Es imprescindible que la BIOS arranque el CDROM en este modo. Para ello, debemos tener el DVD de instalación metido. Apagar físicamente la maquina con él introducido y a continuación darle corriente. En general NO VALE meter el DVD mientras está encendida la maquina ya que no lo tomará. Si no lo toma en modo UEFI la instalación no será UEFI.
3) No se puede instalar por tanto desde un pen booteable en modo UEFI.
4) Para asegurarnos que está en modo UEFI, cuando se inicie la instalación de Windows en la misma pantalla de bienvenida de la instalación, pulsamos MAY+F10. Esto nos sacará una consola, desde ella ejecutamos:
notepad Windows\Panther\setupact.log
Veremos una de estas dos cosas:
Callback_BootEnvironmentDetect: Detected boot environment: BIOS
o bien:
Callback_BootEnvironmentDetect: Detected boot environment: UEFI
Solo estaremos en la instalación correcta en modo EFI en este ultimo caso. Si no está en dicho modo, o la Bios está mal configurada, no no hemos arrancado el CDROM en modo UEFI o encendido la maquina con el DVD ya introducido. No vale que continuemos ya que no se instalará en UEFI.
5) Las Bios UEFI necesitan que el disco de instalación sea GPT (no MBR) y además necesita instalar la partición UEFI de boot. Para ello, el disco debe estar vacío.
6) Para que el disco lo esté incluso sin el MBR, cuando lleguemos a la pantalla de instalación en donde se ve el disco a instalar, ejecutamos de nuevo MAY+F10 para obtener la consola. En ella:
DISKPART
select disk 0
clean
exit
7) A continuación damos al botón de refrescar en la pantalla en donde vemos el disco, y SIN seleccionar nada, es decir sin seleccionar el disco, le damos a continuar.
Esto creará la partición UEFI y en el resto instalará el sistema operativo.
Posteriormente si queremos gestionar mas particiones en el Disco, ya desde el sistema operativo y en el Administrador de Disco podremos reducir el tamaño de dicha partición y crear nuevas particiones a nuestro gusto.
Pues , resulta, que no aparece ni Callback_BootEnvironmentDetect: Detected boot environment: BIOS ni
Callback_BootEnvironmentDetect: Detected boot environment: UEFI, tampoco hemos sabido por que, yo pienso que debería aparecer, pero talvez es por que no hay disco duro o no lo entiendo, el técnico a buscado el archivo: notepad Windows\Panther\setupact.log pero no aparecia en el sistema, solo aparecia setupact, pero lo otro no, entonces no me queda claro por que.
Igualmente, en la torre compak , con el disco duro instalado con windows 8.1, en uefi mode , teoricamente, pues haciendo esta comprobación, pues dice que el sistema no puede encontrar la ruta especificada:?: no se por que.
¿Esta mal, o por que? ¿hay alguna otra forma de comprobarlo que esta correctamente instalado en uefi mode?
Otra duda que agradeceria mucho me aclararais mejor si es posible.
Me han mirado un router,y me han actualizado el firmware, en principio está bien, pero no quiero conectarme a internet aún hasta ir mirando más cosas y tenerlo todo más claro.(miedo me da:) )
Otro punto, es que tengo el disco caine: Kernel 3.13.0-36
Based on Ubuntu 14.04.1 64BIT - UEFI/SECURE BOOT Ready!
Caine 6.0 can boot on Uefi/Uefi+secure boot/Legacy Bios/Bios.
Me lo grabaron en una tienda, el checksum original es MD5 : 26A7E61190D5E33ADF6E29D0C0F94548 caine6.0.iso, pero en el cd que tengo yo es todo igual pero en minúsculas,¿tiene que coincidir mayusculas con mayusculas, o no importa que sea en uno con mayúsculas y en el otro con minúsculas? lo digo, por que este disco que nombro, no arranca en uefi mode, cuando si tiene uefi mode, que extraño, el técnico me ha grabado un disco ubuntu con claves uefi y esté si arranca, entonces, ¿debo pensar que este disco está mal, o que puede estar pasando?
De momento, perdonar si me he excedido escribiendo, son las dudas que tengo ahora mismo.
Total que el informe que me ha dado el técnico es el siguiente:
Los errores detectados en los equipos informáticos han sido provocados por malware indeterminado que se ha solucionado actualizando el firmware en el equipo de la torre compaq y sutituyendo la placa ASUS H81M-C en el otro caso ya que no se podía solucionar de otra manera en este último caso.
Recomiendo acudir a una empresa de peritaje informático para localizar de donde vienen estos ataques que sufre el cliente.
Recomiendo aislar y no usar las unidades de almacenaje(discos duros, Pendrives, routers y el material informático contaminado) para evitar contaminar los equipos limpios.
Y bueno, eso es todo de momento, me lo estoy tomando con calma, poco a poco, no quiero conectarme hasta ver más cosas, en cuanto avance más postearé, y si podeis aclararme mejor estas dudas que tengo , sería muy bueno para mí.
Debo hacer muchas comprobaciones y cosas, de momento ya digo que en la torre compak, el mbr, parece ok, pero aún no ha terminado el scan completo.
Ahora mismo, esto es el menor de mis problemas, tengo problemas enormemente mayores.
Espero avanzar mirando cosas, y haber si un día de estos me conecto con estos equipos subsanados, de momento continuo con los equipos comprometidos, y con los equipos subsanados aislados.(por que quiero mirar todo y asegurarme bien antes de conectarme).
Saludos a todo el equipo, y a quien lea esto.
Muchas gracias por dejar el hilo abierto y otra vez perdonarme si me he excedido mucho escribiendo.
Hoy día 17 de Julio de 2015.
Esta mañana he estado con un técnico informático , el cual me estaba mirando una torre compack que había puesto un usb infectado ( está claro , o aparentemente fue el culpable de la infección, por estar afectado seguramente el master boot record )y me miraba el asunto de la placa base corrupta asus H81M-C.
Me ha verificado que efectivamente, la torre compak daba errores de funcionamiento, se ha puesto en contacto con el soporte técnico de hp, tramitándolo con garantía ( se ha portado muy bien ) ha seguido instrucciones de hp, para intentar solucionar el problema, y me ha entregado los mensajes de correo que ha tenido con soporte hp.El ordenador no iniciaba correctamente en modo uefi, no cargaba bien, ahora aparentemente si lo hace, me ha descargado un ubuntu con claves uefi y si arranca correctamente.Le estoy pasando el avast mbr complete scan , para ver si sale algo, pero lo pase con el técnico un quick scan y parece estar bien.
La placa base asus H81M-C, lo de los pines doblados, parece que no es el problema, aparentemente, los doble yo seguramente tanto toquetear la cpu, ( posiblemente), aparte tengo otra placa corrupta, y esta tiene los pines de la cpu bien, con lo que no es el problema.
Ha tramitado garantia de la placa, y me la han cambiado por una nueva , parece ser que esta vez carga bien los sistemas operativos con uefi mode.
Solo he visto que la placa base, viene con unas claves uefi precargadas, dice, estado de clave de plata cargado, se pueden eliminar y dejarlas descargadas sin claves, entonces hemos intentado cargar las claves uefi originales del disco original windows 8.1, pero no deja cargarlas, no hemos sabido por que, y no se si es normal o no. ¿estas claves , vienen por defecto precargadas en la placa base? , si es así, entonces , ¿son las encargadas de comparar el firmware correcto, con los discos originales que lleven claves uefi originales ? es decir, si se pone un disco que no tiene uefi mode, no deja arrancar, mientras que si ponemos el disco original windows 8.1, pues arranca al coincidir las firmas ¿ es así?, no lo comprendo muy bien. Agradeceria mucho una explicación.
Otro punto visto , es que , poniendo el disco original windows 8.1 en la torre con asus H81M-C , sin discos duros ni nada conectado al pc, y haciendo está comprobación: Sacada de social.technet.microsoft.com
En Bios UEFI únicamente podemos instalar los sistemas de 64 bits. Los de 32 nunca se instalarán en modo UEFI.
1) Verificar en la Bios que efectivamente la Bios está en modo UEFI.
Algunas Bios tienen modo BIOS normal y modo UEFI. Debe estar en este ultimo modo.
2) Es imprescindible que la BIOS arranque el CDROM en este modo. Para ello, debemos tener el DVD de instalación metido. Apagar físicamente la maquina con él introducido y a continuación darle corriente. En general NO VALE meter el DVD mientras está encendida la maquina ya que no lo tomará. Si no lo toma en modo UEFI la instalación no será UEFI.
3) No se puede instalar por tanto desde un pen booteable en modo UEFI.
4) Para asegurarnos que está en modo UEFI, cuando se inicie la instalación de Windows en la misma pantalla de bienvenida de la instalación, pulsamos MAY+F10. Esto nos sacará una consola, desde ella ejecutamos:
notepad Windows\Panther\setupact.log
Veremos una de estas dos cosas:
Callback_BootEnvironmentDetect: Detected boot environment: BIOS
o bien:
Callback_BootEnvironmentDetect: Detected boot environment: UEFI
Solo estaremos en la instalación correcta en modo EFI en este ultimo caso. Si no está en dicho modo, o la Bios está mal configurada, no no hemos arrancado el CDROM en modo UEFI o encendido la maquina con el DVD ya introducido. No vale que continuemos ya que no se instalará en UEFI.
5) Las Bios UEFI necesitan que el disco de instalación sea GPT (no MBR) y además necesita instalar la partición UEFI de boot. Para ello, el disco debe estar vacío.
6) Para que el disco lo esté incluso sin el MBR, cuando lleguemos a la pantalla de instalación en donde se ve el disco a instalar, ejecutamos de nuevo MAY+F10 para obtener la consola. En ella:
DISKPART
select disk 0
clean
exit
7) A continuación damos al botón de refrescar en la pantalla en donde vemos el disco, y SIN seleccionar nada, es decir sin seleccionar el disco, le damos a continuar.
Esto creará la partición UEFI y en el resto instalará el sistema operativo.
Posteriormente si queremos gestionar mas particiones en el Disco, ya desde el sistema operativo y en el Administrador de Disco podremos reducir el tamaño de dicha partición y crear nuevas particiones a nuestro gusto.
Pues , resulta, que no aparece ni Callback_BootEnvironmentDetect: Detected boot environment: BIOS ni
Callback_BootEnvironmentDetect: Detected boot environment: UEFI, tampoco hemos sabido por que, yo pienso que debería aparecer, pero talvez es por que no hay disco duro o no lo entiendo, el técnico a buscado el archivo: notepad Windows\Panther\setupact.log pero no aparecia en el sistema, solo aparecia setupact, pero lo otro no, entonces no me queda claro por que.
Igualmente, en la torre compak , con el disco duro instalado con windows 8.1, en uefi mode , teoricamente, pues haciendo esta comprobación, pues dice que el sistema no puede encontrar la ruta especificada
¿Esta mal, o por que? ¿hay alguna otra forma de comprobarlo que esta correctamente instalado en uefi mode?
Otra duda que agradeceria mucho me aclararais mejor si es posible.
Me han mirado un router,y me han actualizado el firmware, en principio está bien, pero no quiero conectarme a internet aún hasta ir mirando más cosas y tenerlo todo más claro.(miedo me da
Otro punto, es que tengo el disco caine: Kernel 3.13.0-36
Based on Ubuntu 14.04.1 64BIT - UEFI/SECURE BOOT Ready!
Caine 6.0 can boot on Uefi/Uefi+secure boot/Legacy Bios/Bios.
Me lo grabaron en una tienda, el checksum original es MD5 : 26A7E61190D5E33ADF6E29D0C0F94548 caine6.0.iso, pero en el cd que tengo yo es todo igual pero en minúsculas,¿tiene que coincidir mayusculas con mayusculas, o no importa que sea en uno con mayúsculas y en el otro con minúsculas? lo digo, por que este disco que nombro, no arranca en uefi mode, cuando si tiene uefi mode, que extraño, el técnico me ha grabado un disco ubuntu con claves uefi y esté si arranca, entonces, ¿debo pensar que este disco está mal, o que puede estar pasando?
De momento, perdonar si me he excedido escribiendo, son las dudas que tengo ahora mismo.
Total que el informe que me ha dado el técnico es el siguiente:
Los errores detectados en los equipos informáticos han sido provocados por malware indeterminado que se ha solucionado actualizando el firmware en el equipo de la torre compaq y sutituyendo la placa ASUS H81M-C en el otro caso ya que no se podía solucionar de otra manera en este último caso.
Recomiendo acudir a una empresa de peritaje informático para localizar de donde vienen estos ataques que sufre el cliente.
Recomiendo aislar y no usar las unidades de almacenaje(discos duros, Pendrives, routers y el material informático contaminado) para evitar contaminar los equipos limpios.
Y bueno, eso es todo de momento, me lo estoy tomando con calma, poco a poco, no quiero conectarme hasta ver más cosas, en cuanto avance más postearé, y si podeis aclararme mejor estas dudas que tengo , sería muy bueno para mí.
Debo hacer muchas comprobaciones y cosas, de momento ya digo que en la torre compak, el mbr, parece ok, pero aún no ha terminado el scan completo.
Ahora mismo, esto es el menor de mis problemas, tengo problemas enormemente mayores.
Espero avanzar mirando cosas, y haber si un día de estos me conecto con estos equipos subsanados, de momento continuo con los equipos comprometidos, y con los equipos subsanados aislados.(por que quiero mirar todo y asegurarme bien antes de conectarme).
Saludos a todo el equipo, y a quien lea esto.
Muchas gracias por dejar el hilo abierto y otra vez perdonarme si me he excedido mucho escribiendo.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Amenaza desconocida
Pues celebramos que tras cambiar la placa se resolvieran los problemas.
Y ya que conoce buenos especialistas que pueden ayudarle mas que nosotros en el particular, le sugerimos que les consulte los problemas que le vayan surgiendo, especialmente de hardware que, como le hemos indicado, ya no nos dedicamos a ello mas que en el soporte de nuestros ordenadores, y centrando nuestra dedicacion a la investigación de malwares y creacion de utilidades contra ellos
Asi pues, damos por termi nado el Tema y procedemos a cerrarlo, no sin antes agradecerle la confianza demostrada y desearle mucha suerte en su empeño.
saludos
ms. 18-7-2015
Y ya que conoce buenos especialistas que pueden ayudarle mas que nosotros en el particular, le sugerimos que les consulte los problemas que le vayan surgiendo, especialmente de hardware que, como le hemos indicado, ya no nos dedicamos a ello mas que en el soporte de nuestros ordenadores, y centrando nuestra dedicacion a la investigación de malwares y creacion de utilidades contra ellos
Asi pues, damos por termi nado el Tema y procedemos a cerrarlo, no sin antes agradecerle la confianza demostrada y desearle mucha suerte en su empeño.
saludos
ms. 18-7-2015
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online