rootkit hidden file (Terminado)

**RevesdeLiberte** · 24/12/11, 05:16:15

Hola.

Realiza lo siguiente:

Descargue aswMBR.exe en su escritorio.

Haga doble clic en el archivo aswMBR.exe para ejecutarlo
Cuando se le notifique, haga clic Si para descargar las actualizaciones.
A continuación clic en el botón Scan para comenzar el análisis
Tenga paciencia hasta que aparezca Scan finished successfully
Pulsa el botón Save log para guardar el archivo aswASW.log en el escritorio
En caso de infección no tome ninguna acción únicamente pulse Exit

Copia el contenido del archivo aswASW.log que guardaste anteriormente en tu siguiente respuesta.

**Quini71** · 25/12/11, 19:03:20

Os dejo los resultados. Indicar q se realizo al 2º intento ya q en el 1º windows se reinicio tras nuevo pantallazo azul. Saludos y gracias

vaswMBR version 0.9.9.1120 Copyright(c) 2011 AVAST Software
Run date: 2011-12-26 00:32:02
-----------------------------
00:32:02.202 OS Version: Windows x64 6.1.7601 Service Pack 1
00:32:02.202 Number of processors: 4 586 0x2505
00:32:02.203 ComputerName: SU-PC UserName: Su
00:32:03.819 Initialize success
00:32:03.953 AVAST engine defs: 11122501
00:32:06.621 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
00:32:06.624 Disk 0 Vendor: ST950032 0001 Size: 476940MB BusType: 3
00:32:06.646 Disk 0 MBR read successfully
00:32:06.649 Disk 0 MBR scan
00:32:06.654 Disk 0 Windows 7 default MBR code
00:32:06.665 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 15360 MB offset 2048
00:32:06.686 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 31459328
00:32:06.700 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 461478 MB offset 31664128
00:32:06.707 Service scanning
00:32:07.976 Modules scanning
00:32:07.982 Disk 0 trace - called modules:
00:32:07.997 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys
00:32:08.004 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006fed060]
00:32:08.012 3 CLASSPNP.SYS[fffff88001b5643f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004fae050]
00:32:09.102 AVAST engine scan C:\Windows
00:32:11.468 AVAST engine scan C:\Windows\system32
00:33:26.644 AVAST engine scan C:\Windows\system32\drivers
00:33:35.181 AVAST engine scan C:\Users\Su
00:54:11.395 AVAST engine scan C:\ProgramData
00:55:34.648 Scan finished successfully
01:00:30.846 Disk 0 MBR has been saved successfully to "C:\Users\Su\Desktop\MBR.dat"
01:00:30.851 The log file has been saved successfully to "C:\Users\Su\Desktop\aswMBR.txt"

**RevesdeLiberte** · 25/12/11, 19:07:00

Hola.

No se muestra ningún malware en el ordenador, por favor en modo seguro con funciones de red intenta hacer el siguiente análisis:

Con Internet Explorer realiza un Análisis completo con Panda ActiveScan 2.0

Recuerda Habilitar la vista de compatibilidad para que te permita ejecutar el análisis.
Al finalizar presiona el símbolo Exportar a: y guardas el reporte en el escritorio.

Pegas el reporte en la siguiente respuesta comentando que problemas tienes actualmente en el ordenador.

**Quini71** · 25/12/11, 20:48:28

El analisis se inicio pero no pudo completarse por reinicio automatico de windows al 30% analizado. Hasta ese momento se habia encontrado 1 archivo infectado.
Gracias

**RevesdeLiberte** · 25/12/11, 23:10:18

Hola.

Realiza los pasos que se indican aquí: ¿Cómo desactivar el reinicio automático en caso de error del sistema?

Ademas:

Descarga BlueScreenView.zip y el Parche al español.zip
- Crea una carpeta y descomprime ambos archivos dentro de ella.
- Ejecute BlueScreenView.exe, diríjase a la pestaña Editar y seleccione la opción Seleccionar Todo.
- Diríjase a la pestaña Archivo y seleccione la opción Guardar Elementos Seleccionados.
- Aparecerá la ventana de guardar. Guarde el archivo con el nombre BSOD.txt en el escritorio.

Abra el archivo BSOD.txt y pegue todo su contenido en la siguiente respuesta.

**Quini71** · 26/12/11, 07:24:49

Hola. Antes de seguir tus ultimas instrucciones he podido realizar un analisis completo con avast, detectando un total de 1537 archivos infectados. adjunto pantallazos de inicio y fin de informes ya q no puedo copiarlo.

El resultado de la ultima accion es el siguiente:

==================================================
Archivo de volcado: 122411-47627-01.dmp
Hora del fallo : 24/12/2011 11:06:42
Cadena de comprobación de error: KMODE_EXCEPTION_NOT_HANDLED
Código de comprobación de error: 0x0000001e
Parámetro 1 : 00000000`00000000
Parámetro 2 : 00000000`00000000
Parámetro 3 : 00000000`00000000
Parámetro 4 : 00000000`00000000
Causado por controlador: ntoskrnl.exe
Causado por dirección: ntoskrnl.exe+7cc10
Descripción : NT Kernel & System
Nombre : Microsoft® Windows® Operating System
Companía : Microsoft Corporation
Versión : 6.1.7601.17640 (win7sp1_gdr.110622-1506)
Proceso : x64
Crash Address : ntoskrnl.exe+7cc10
Stack Address 1 :
Stack Address 2 :
Stack Address 3 :
Computer Name :
Full Path : C:\Windows\Minidump\122411-47627-01.dmp
Processors Count : 4
Major Version : 15
Minor Version : 7601
Dump File Size : 262.144
==================================================

**RevesdeLiberte** · 26/12/11, 18:21:55

Hola.

Ya he reportado tu tema para que nos den una opinión, aunque sinceramente no luce nada bien, aunque sea la ultima opción yo te aconsejo que vayas haciendo un respaldo de tu información importante ya que el sistema esta echo un desastre.

Descarga Dr. Web CureIt y ejecútalo como indica su Manual.

Al finalizar no olvides guardar el informe como se indica en el manual y pegarlo en tu siguiente respuesta comentando como va todo.

**Quini71** · 26/12/11, 19:32:17

Hola, de momento el scaneo rapido:

En cuanto acabe pongo el resultado del analisis completo.
Muchas gracias por el interes

**RevesdeLiberte** · 26/12/11, 19:33:41

Originalmente publicado por Quini71

Hola, de momento el scaneo rapido:

En cuanto acabe pongo el resultado del analisis completo.
Muchas gracias por el interes

OK.

**Quini71** · 27/12/11, 06:15:10

Hola
Me temo q no es posible completar el analisis, llegados a cierto punto deja de responder. Os dejo el reporte hasta donde se pudo analizar y el pantallazo con el programa ya sin responder

Gracias

rootkit hidden file (Terminado)

Herramientas

Re: rootkit hidden file

Re: rootkit hidden file

Re: rootkit hidden file

Re: rootkit hidden file

Re: rootkit hidden file

Re: rootkit hidden file

Re: rootkit hidden file

Re: rootkit hidden file

Re: rootkit hidden file

Re: rootkit hidden file