Empece con un FAKETOOL y ahora un Waledac (TERMINADO)

mana · Mensaje por **mana** » 19 Feb 2012, 16:58

Archivo comprimido y enviado...

Saludos

Mensaje por **msc hotline sat** » 19 Feb 2012, 17:01

Pues lo analizaremos con el otro e informaremos del resultado, gracias

saludos

ms, 19-2-2012

Mensaje por **msc hotline sat** » 20 Feb 2012, 15:45

mana:

Pues en el fichero no se aprecian rutinas maliciosas:

file version.............: 3.47.0.0 built by: WinDDK

description..............: Plug and Play BIOS Extension

y el el MBR.dat el código es el normal de windows, por lo que creemos que tiene tecnicas stealth y cuando está en memoria se oculta el real y nos enseña el que realmente existe y tiene en memoria...

Pero si arrancando con el CD de instalacion y lanzando un FIXMBR luego persiste la anomalía, posiblemente haya un rootkit que lo vuelva a insertar cuando volvemos a reiniciar normalmente

Como ultimo paso propongo lanzar el GMER a ver qué detecta:

http://www2.gmer.net/gmer.zip

Tras lanzarlo posteanos el informe resultante, y crucemos los dedos...

saludos

ms, 20-2-2012

mana · Mensaje por **mana** » 20 Feb 2012, 16:19

Aquí estoy de nuevo y ya he pasado el Gmer.

Al ejecutarlo sale un aviso en pantalla que pone:

Aviso: LoadDriver ("C:\DOCUME-1\Batxi\CONFIG-1\Temp\pxtdgpoc.sys) error 0XC000010E: No se puede crear una subclave en una clave primaria volátil.

A continuación arranca el programa y tras salvar el Informe, su contenido es el siguiente:

GMER 1.0.15.15641 - http://www.gmer.net

Rootkit quick scan 2012-02-20 16:11:51

Windows 5.1.2600 Service Pack 3

Running: gmer.exe; Driver: C:\DOCUME~1\Batxi\CONFIG~1\Temp\pxtdqpoc.sys

---- Modules - GMER 1.0.15 ----

Module _________ F7470000-F7488000 (98304 bytes)

---- EOF - GMER 1.0.15 ----

Saludos

Mensaje por **msc hotline sat** » 20 Feb 2012, 16:25

Pues a ver si nos puedes enviar el fichero de marras:

C:\DOCUME~1\Batxi\CONFIG~1\Temp\pxtdqpoc.sys

Tras analizarlo, informaremos

SALUDOS

MS, 20-2-2012

mana · Mensaje por **mana** » 20 Feb 2012, 16:36

No llego a localizar el archivo ni con el buscador de Inicio.

Puedo entrar desde Mipc al directorio de Documents and Settings, luego a Batxi, pero no me aparece el subdirectorio Config y consecuentemente el Temp, ni el fichero.

Desde el dos tampoco veo el subdirectorio.

¿Cómo hago?

Gracias

Mensaje por **msc hotline sat** » 20 Feb 2012, 16:48

Mira si lo cazas con el ELIMOVER

http://www.zonavirus.com/descargas/descargar-elimover.asp

y con un copiar y pegar le insertas esta ruta/nombre fichero:

C:\DOCUME~1\Batxi\CONFIG~1\Temp\pxtdqpoc.sys

saludos

ms, 20-2-2012

mana · Mensaje por **mana** » 20 Feb 2012, 16:52

Archivo cazado y enviado...

Saludos

Mensaje por **msc hotline sat** » 20 Feb 2012, 17:27

Pues no se detectan rutinas maliciosas en dicho fichero.

Cabe pensar que el disco duro tiene una anomalia fisica que no permite grabar nada en el MBR, razon por la que ni el ELISTARA, ni el SPROCES, ni el FIXMBR arrancando desde CD pueden modificarlo y por ello salta la alerta, sin que sea necesariamente virus

De todas formas ni notara alguna otra anomalia, recuerde que tiene esta "caracteristica" anomala, y nos lo comenta en el Tema que abra al respecto, pues nos quedamos en la duda.

Y dando por terminado el Tema, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 20/2/2012

Empece con un FAKETOOL y ahora un Waledac (TERMINADO)

Re: Empece con un FAKETOOL y ahora un Waledac

Re: Empece con un FAKETOOL y ahora un Waledac

Re: Empece con un FAKETOOL y ahora un Waledac

Re: Empece con un FAKETOOL y ahora un Waledac

Re: Empece con un FAKETOOL y ahora un Waledac

Re: Empece con un FAKETOOL y ahora un Waledac

Re: Empece con un FAKETOOL y ahora un Waledac

Re: Empece con un FAKETOOL y ahora un Waledac

Re: Empece con un FAKETOOL y ahora un Waledac