• Registrarse
  • Iniciar sesión


  • Página 2 de 3 PrimeroPrimero 123 ÚltimoÚltimo
    Resultados 11 al 20 de 24

    Posible rootkit ya he seguido varios pasos y no sirven en mi caso

    Hola segui cuidadosamente cada paso de los que me indicaste. El unico problema que tuve fue cuando intente reiniciar en modo normal, otra vez se colgo todo y se reinicio, el problema es tb q ...

    1. #11
      Usuario Avatar de nmfa82
      Registrado
      ago 2012
      Ubicación
      Ecuador
      Mensajes
      29

      Re: Posible rootkit ya he seguido varios pasos y no sirven en mi caso

      Hola segui cuidadosamente cada paso de los que me indicaste. El unico problema que tuve fue cuando intente reiniciar en modo normal, otra vez se colgo todo y se reinicio, el problema es tb q cuando se reinicia no puedo poner el modo seguro pues se queda en la pantalla inicial de Acer y no responde. En fin, tuve que apagar y encender para entrar al modo seguro, asi que el malware bytes anti rootkit lo ejecute en modo seguro, pues no hay forma de hacerlo en modo normal. Por otra parte te comento que luego del malware, y del clean up me pidio reiniciar, lo hizo en modo normal y otra vez se colgo. En este momento te escribo con el sistema en modo seguro.

      Te copio los reportes, no sin antes agradecerte tanta paciencia, ya me esta sacando canas verdes esto =(

      USB FIX
      ############################## | UsbFix V 7.110 | [Supresión]

      Usuario: pc (Administrador) # PC-PC
      Actualizado el 25/02/2013 por El Desaparecido
      Comenzó a 10:38:23 | 25/02/2013

      Sitio web: SosVirus • Page d
      Contacto: [email protected]

      PC: Acer (Aspire 4752) (X86-based PC)
      CPU: Intel(R) Core(TM) i5-2450M CPU @ 2.50GHz (2494)
      RAM -> [Total : 3397 | Free : 2940]
      BIOS: AcerSystem v2.2
      BOOT: Fail-safe with network boot

      OS: Microsoft Windows 7 Home Premium (6.1.7600 32-Bit) #
      WB: Windows Internet Explorer 8.0.7600.16385

      SC: Security Center Service [Enabled]
      WU: Windows Update Service [Enabled]
      AV: avast! Antivirus [Enabled | (!) Outdated]
      FW: Windows FireWall Service [Enabled]

      C:\ (%systemdrive%) -> Disco fijo # 244 Gb (203 Mb libre(s) - 83%) [] # NTFS
      D:\ -> CD-ROM
      E:\ -> Disco fijo # 454 Gb (452 Mb libre(s) - 100%) [Nuevo vol] # NTFS
      F:\ -> Disco extraíble # 2 Gb (1 Mb libre(s) - 54%) [KINGSTON] # FAT

      ################## | Procesos Parados |

      Parado! C:\Windows\Explorer.EXE (1304)
      Parado! C:\Windows\system32\ctfmon.exe (1376)

      ################## | Archivos # Carpetas infectadas |


      (!) Archivos temporales suprimido.

      ################## | Registro |


      ################## | Mountpoints2 |

      Suprimido ! HKCU\.\.\.\.\Explorer\MountPoints2\F

      ################## | Listing |

      [21/02/2013 - 09:18:27 | SHD ] C:\$Recycle.Bin
      [24/02/2013 - 11:41:14 | N | 1156] C:\AdwCleaner[S1].txt
      [21/02/2013 - 09:18:15 | D ] C:\Archivos de programa
      [24/02/2013 - 16:11:33 | N | 8510] C:\AT-Destroyer.txt
      [10/06/2009 - 16:42:20 | N | 24] C:\autoexec.bat
      [10/06/2009 - 16:42:20 | N | 10] C:\config.sys
      [13/07/2009 - 23:53:55 | SHD ] C:\Documents and Settings
      [21/02/2013 - 11:14:55 | D ] C:\Dolby PCEE4
      [25/02/2013 - 10:31:22 | ASH | 2671656960] C:\hiberfil.sys
      [21/02/2013 - 11:00:51 | D ] C:\Intel
      [23/02/2013 - 12:22:37 | RHD ] C:\MSOCache
      [25/02/2013 - 10:31:25 | ASH | 3562209280] C:\pagefile.sys
      [13/07/2009 - 21:37:05 | D ] C:\PerfLogs
      [24/02/2013 - 11:46:13 | D ] C:\Program Files
      [23/02/2013 - 12:23:39 | HD ] C:\ProgramData
      [21/02/2013 - 09:18:15 | SHD ] C:\Recovery
      [23/02/2013 - 18:37:27 | SHD ] C:\System Volume Information
      [23/02/2013 - 18:06:13 | N | 240500] C:\TDSSKiller.2.8.16.0_23.02.2013_18.02.56_log.txt
      [23/02/2013 - 18:07:37 | N | 3926] C:\TDSSKiller.2.8.16.0_23.02.2013_18.07.32_log.txt
      [23/02/2013 - 18:37:24 | N | 240346] C:\TDSSKiller.2.8.16.0_23.02.2013_18.35.32_log.txt
      [23/02/2013 - 19:02:30 | N | 122158] C:\TDSSKiller.2.8.16.0_23.02.2013_19.01.20_log.txt
      [23/02/2013 - 21:20:40 | N | 122760] C:\TDSSKiller.2.8.16.0_23.02.2013_21.18.13_log.txt
      [23/02/2013 - 21:28:52 | N | 122760] C:\TDSSKiller.2.8.16.0_23.02.2013_21.28.01_log.txt
      [23/02/2013 - 19:01:54 | D ] C:\TDSSKiller_Quarantine
      [25/02/2013 - 10:39:10 | D ] C:\UsbFix
      [25/02/2013 - 10:39:16 | A | 2864] C:\UsbFix [Clean 1] PC-PC.txt
      [21/02/2013 - 09:18:20 | D ] C:\Users
      [25/02/2013 - 10:23:15 | D ] C:\Windows
      [24/02/2013 - 1640 | D ] C:\_AT-Destroyer
      [21/02/2013 - 15:35:54 | SHD ] E:\$RECYCLE.BIN
      [21/02/2013 - 15:26:26 | D ] E:\drivers
      [21/02/2013 - 15:46:31 | SHD ] E:\System Volume Information

      ################## | Vaccin |

      C:\Autorun.inf -> Vacuna creada por UsbFix (El Desaparecido)
      E:\Autorun.inf -> Vacuna creada por UsbFix (El Desaparecido)

      ################## | E.O.F | SosVirus • Page d |

      MALWARE ANTI ROOTKIT
      MBAR LOG TEXT
      Malwarebytes Anti-Rootkit BETA 1.01.0.1020
      Malwarebytes : Free anti-malware download

      Database version: v2013.02.25.06

      Windows 7 x86 NTFS (Safe Mode/Networking)
      Internet Explorer 8.0.7600.16385
      pc :: PC-PC [administrator]

      25/02/2013 10:58:39
      mbar-log-2013-02-25 (10-58-39).txt

      Scan type: Quick scan
      Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
      Scan options disabled:
      Objects scanned: 27102
      Time elapsed: 9 minute(s), 43 second(s)

      Memory Processes Detected: 0
      (No malicious items detected)

      Memory Modules Detected: 0
      (No malicious items detected)

      Registry Keys Detected: 0
      (No malicious items detected)

      Registry Values Detected: 0
      (No malicious items detected)

      Registry Data Items Detected: 0
      (No malicious items detected)

      Folders Detected: 0
      (No malicious items detected)

      Files Detected: 1
      c:\Users\pc\Downloads\WiNlOgOn.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.

      (end)

      SYSTEM LOG
      ---------------------------------------
      Malwarebytes Anti-Rootkit BETA 1.01.0.1020

      (c) Malwarebytes Corporation 2011-2012

      OS version: 6.1.7600 Windows 7 x86

      System is currently in a safe mode

      Account is Administrative

      Internet Explorer version: 8.0.7600.16385

      File system is: NTFS
      Disk drives: C:\ DRIVE_FIXED, E:\ DRIVE_FIXED
      CPU speed: 2.494000 GHz
      Memory total: 3562209280, free: 3090264064

      ------------ Kernel report ------------
      02/25/2013 10:47:46
      ------------ Loaded modules -----------
      \SystemRoot\system32\ntkrnlpa.exe
      \SystemRoot\system32\halmacpi.dll
      \SystemRoot\system32\kdcom.dll
      \SystemRoot\system32\mcupdate_GenuineIntel.dll
      \SystemRoot\system32\PSHED.dll
      \SystemRoot\system32\BOOTVID.dll
      \SystemRoot\system32\CLFS.SYS
      \SystemRoot\system32\CI.dll
      \SystemRoot\system32\drivers\Wdf01000.sys
      \SystemRoot\system32\drivers\WDFLDR.SYS
      \SystemRoot\system32\DRIVERS\ACPI.sys
      \SystemRoot\system32\DRIVERS\WMILIB.SYS
      \SystemRoot\system32\DRIVERS\msisadrv.sys
      \SystemRoot\system32\DRIVERS\pci.sys
      \SystemRoot\system32\DRIVERS\vdrvroot.sys
      \SystemRoot\System32\drivers\partmgr.sys
      \SystemRoot\system32\DRIVERS\compbatt.sys
      \SystemRoot\system32\DRIVERS\BATTC.SYS
      \SystemRoot\system32\DRIVERS\volmgr.sys
      \SystemRoot\System32\drivers\volmgrx.sys
      \SystemRoot\System32\drivers\mountmgr.sys
      \SystemRoot\system32\DRIVERS\atapi.sys
      \SystemRoot\system32\DRIVERS\ataport.SYS
      \SystemRoot\system32\DRIVERS\msahci.sys
      \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
      \SystemRoot\system32\DRIVERS\amdxata.sys
      \SystemRoot\system32\drivers\fltmgr.sys
      \SystemRoot\system32\drivers\fileinfo.sys
      \SystemRoot\System32\Drivers\Ntfs.sys
      \SystemRoot\System32\Drivers\msrpc.sys
      \SystemRoot\System32\Drivers\ksecdd.sys
      \SystemRoot\System32\Drivers\cng.sys
      \SystemRoot\System32\drivers\pcw.sys
      \SystemRoot\System32\Drivers\Fs_Rec.sys
      \SystemRoot\system32\drivers\ndis.sys
      \SystemRoot\system32\drivers\NETIO.SYS
      \SystemRoot\System32\Drivers\ksecpkg.sys
      \SystemRoot\System32\drivers\tcpip.sys
      \SystemRoot\System32\drivers\fwpkclnt.sys
      \SystemRoot\system32\DRIVERS\volsnap.sys
      \SystemRoot\System32\drivers\rdyboost.sys
      \SystemRoot\System32\Drivers\mup.sys
      \SystemRoot\System32\drivers\hwpolicy.sys
      \SystemRoot\System32\DRIVERS\fvevol.sys
      \SystemRoot\system32\DRIVERS\disk.sys
      \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
      \SystemRoot\System32\Drivers\Null.SYS
      \SystemRoot\System32\Drivers\Beep.SYS
      \SystemRoot\System32\drivers\vga.sys
      \SystemRoot\System32\drivers\VIDEOPRT.SYS
      \SystemRoot\System32\drivers\watchdog.sys
      \SystemRoot\system32\drivers\rdpencdd.sys
      \SystemRoot\System32\Drivers\Msfs.SYS
      \SystemRoot\System32\Drivers\Npfs.SYS
      \SystemRoot\system32\DRIVERS\tdx.sys
      \SystemRoot\system32\DRIVERS\TDI.SYS
      \SystemRoot\system32\drivers\afd.sys
      \SystemRoot\System32\DRIVERS\netbt.sys
      \SystemRoot\system32\DRIVERS\wfplwf.sys
      \SystemRoot\system32\DRIVERS\pacer.sys
      \SystemRoot\system32\DRIVERS\vwififlt.sys
      \SystemRoot\system32\DRIVERS\netbios.sys
      \SystemRoot\system32\DRIVERS\rdbss.sys
      \SystemRoot\system32\drivers\nsiproxy.sys
      \SystemRoot\System32\Drivers\dfsc.sys
      \SystemRoot\system32\DRIVERS\tunnel.sys
      \SystemRoot\system32\DRIVERS\usbehci.sys
      \SystemRoot\system32\DRIVERS\USBPORT.SYS
      \SystemRoot\system32\DRIVERS\HDAudBus.sys
      \SystemRoot\system32\DRIVERS\bcmwl6.sys
      \SystemRoot\system32\DRIVERS\vwifibus.sys
      \SystemRoot\system32\DRIVERS\k57nd60x.sys
      \SystemRoot\system32\DRIVERS\i8042prt.sys
      \SystemRoot\system32\DRIVERS\kbdclass.sys
      \SystemRoot\system32\DRIVERS\mouclass.sys
      \SystemRoot\system32\DRIVERS\cdrom.sys
      \SystemRoot\system32\DRIVERS\wmiacpi.sys
      \SystemRoot\system32\DRIVERS\blbdrive.sys
      \SystemRoot\system32\DRIVERS\CompositeBus.sys
      \SystemRoot\system32\DRIVERS\mssmbios.sys
      \SystemRoot\system32\DRIVERS\AgileVpn.sys
      \SystemRoot\system32\DRIVERS\rasl2tp.sys
      \SystemRoot\system32\DRIVERS\ndistapi.sys
      \SystemRoot\system32\DRIVERS\ndiswan.sys
      \SystemRoot\system32\DRIVERS\raspppoe.sys
      \SystemRoot\system32\DRIVERS\raspptp.sys
      \SystemRoot\system32\DRIVERS\rassstp.sys
      \SystemRoot\system32\DRIVERS\termdd.sys
      \SystemRoot\system32\DRIVERS\swenum.sys
      \SystemRoot\system32\DRIVERS\ks.sys
      \SystemRoot\system32\DRIVERS\umbus.sys
      \SystemRoot\system32\DRIVERS\usbhub.sys
      \SystemRoot\System32\Drivers\NDProxy.SYS
      \SystemRoot\System32\Drivers\crashdmp.sys
      \SystemRoot\System32\Drivers\dump_dumpata.sys
      \SystemRoot\System32\Drivers\dump_msahci.sys
      \SystemRoot\System32\Drivers\dump_dumpfve.sys
      \SystemRoot\System32\win32k.sys
      \SystemRoot\System32\drivers\Dxapi.sys
      \SystemRoot\System32\drivers\dxg.sys
      \SystemRoot\System32\TSDDD.dll
      \SystemRoot\System32\framebuf.dll
      \SystemRoot\system32\DRIVERS\hidusb.sys
      \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
      \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
      \SystemRoot\system32\DRIVERS\USBD.SYS
      \SystemRoot\system32\DRIVERS\mouhid.sys
      \SystemRoot\system32\DRIVERS\usbccgp.sys
      \SystemRoot\system32\drivers\WudfPf.sys
      \SystemRoot\system32\DRIVERS\nwifi.sys
      \SystemRoot\system32\DRIVERS\ndisuio.sys
      \SystemRoot\system32\DRIVERS\bowser.sys
      \SystemRoot\System32\drivers\mpsdrv.sys
      \SystemRoot\system32\DRIVERS\mrxsmb.sys
      \SystemRoot\system32\DRIVERS\mrxsmb10.sys
      \SystemRoot\system32\DRIVERS\mrxsmb20.sys
      \SystemRoot\system32\DRIVERS\vwifimp.sys
      \??\C:\Windows\system32\drivers\mbamchameleon.sys
      \??\C:\Windows\system32\drivers\mbamswissarmy.sys
      \Windows\System32\ntdll.dll
      \Windows\System32\smss.exe
      \Windows\System32\apisetschema.dll
      \Windows\System32\autochk.exe
      \Windows\System32\rpcrt4.dll
      \Windows\System32\wininet.dll
      \Windows\System32\difxapi.dll
      \Windows\System32\iertutil.dll
      \Windows\System32\usp10.dll
      \Windows\System32\comdlg32.dll
      \Windows\System32\nsi.dll
      \Windows\System32\lpk.dll
      \Windows\System32\normaliz.dll
      \Windows\System32\urlmon.dll
      \Windows\System32\ole32.dll
      \Windows\System32\clbcatq.dll
      \Windows\System32\sechost.dll
      \Windows\System32\advapi32.dll
      \Windows\System32\msctf.dll
      \Windows\System32\ws2_32.dll
      \Windows\System32\setupapi.dll
      \Windows\System32\shlwapi.dll
      \Windows\System32\Wldap32.dll
      \Windows\System32\user32.dll
      \Windows\System32\shell32.dll
      \Windows\System32\imm32.dll
      \Windows\System32\imagehlp.dll
      \Windows\System32\gdi32.dll
      \Windows\System32\msvcrt.dll
      \Windows\System32\oleaut32.dll
      \Windows\System32\psapi.dll
      \Windows\System32\kernel32.dll
      \Windows\System32\wintrust.dll
      \Windows\System32\devobj.dll
      \Windows\System32\comctl32.dll
      \Windows\System32\crypt32.dll
      \Windows\System32\KernelBase.dll
      \Windows\System32\cfgmgr32.dll
      \Windows\System32\msasn1.dll
      ----------- End -----------
      <<<1>>>
      Upper Device Name: \Device\Harddisk0\DR0
      Upper Device Object: 0xffffffff85472030
      Upper Device Driver Name: \Driver\Disk\
      Lower Device Name: \Device\Ide\IdeDeviceP0T0L0-0\
      Lower Device Object: 0xffffffff84f45908
      Lower Device Driver Name: \Driver\atapi\
      Driver name found: atapi
      Initialization returned 0x0
      Port sub-driver loaded: \??\C:\Windows\System32\drivers\ataport.sys (0x0)
      Load Function returned 0x0
      Downloaded database version: v2013.02.25.06
      Initializing...
      Done!
      <<<2>>>
      Device number: 0, partition: 2
      Physical Sector Size: 512
      Drive: 0, DevicePointer: 0xffffffff85472030, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      --------- Disk Stack ------
      DevicePointer: 0xffffffff85472d18, DeviceName: Unknown, DriverName: \Driver\partmgr\
      DevicePointer: 0xffffffff85472030, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      DevicePointer: 0xffffffff84f45908, DeviceName: \Device\Ide\IdeDeviceP0T0L0-0\, DriverName: \Driver\atapi\
      ------------ End ----------
      Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      Upper DeviceData: 0xffffffff98f41668, 0xffffffff85472030, 0xffffffff864bfac8
      Lower DeviceData: 0xffffffff98ed02f8, 0xffffffff84f45908, 0xffffffff8642e218
      <<<3>>>
      Volume: C:
      File system type: NTFS
      SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
      Scanning directory: C:\Windows\system32\drivers...
      <<<2>>>
      Device number: 0, partition: 2
      <<<3>>>
      Volume: C:
      File system type: NTFS
      SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
      Done!
      Drive 0
      Scanning MBR on drive 0...
      Inspecting partition table:
      MBR Signature: 55AA
      Disk Signature: CA15DC97

      Partition information:

      Partition 0 type is Primary (0x7)
      Partition is ACTIVE.
      Partition starts at LBA: 2048 Numsec = 204800
      Partition file system is NTFS
      Partition is bootable

      Partition 1 type is Primary (0x7)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 206848 Numsec = 512620544

      Partition 2 type is Primary (0x7)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 512827392 Numsec = 952315904

      Partition 3 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Disk Size: 750156374016 bytes
      Sector size: 512 bytes

      Scanning physical sectors of unpartitioned space on drive 0 (1-2047-1465129168-1465149168)...
      Done!
      Performing system, memory and registry scan...
      Infected: c:\Users\pc\Downloads\WiNlOgOn.exe --> [Heuristics.Reserved.Word.Exploit]
      Done!
      Scan finished
      Creating System Restore point...
      Could not create restore point...
      Scheduling clean up...
      <<<2>>>
      Device number: 0, partition: 2
      <<<3>>>
      Volume: C:
      File system type: NTFS
      SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
      Removal scheduling successful. System shutdown needed.
      System shutdown occurred
      =======================================


      ---------------------------------------
      Malwarebytes Anti-Rootkit BETA 1.01.0.1020

      (c) Malwarebytes Corporation 2011-2012

      OS version: 6.1.7600 Windows 7 x86

      Account is Administrative

      Internet Explorer version: 8.0.7600.16385

      File system is: NTFS
      Disk drives: C:\ DRIVE_FIXED, E:\ DRIVE_FIXED
      CPU speed: 2.494000 GHz
      Memory total: 3562209280, free: 2918297600

      Removal queue found; removal started
      Removing c:\Users\pc\Downloads\WiNlOgOn.exe...
      Removal finished
      =======================================

    2. #12
      Usuario Avatar de nmfa82
      Registrado
      ago 2012
      Ubicación
      Ecuador
      Mensajes
      29

      Re: Posible rootkit ya he seguido varios pasos y no sirven en mi caso

      Por cierto, en la primera vez que reinicio en modo normal, salio pantallazo azul, este es el informe de la aplicacion
      ==================================================
      Archivo de volcado: 022513-17908-01.dmp
      Hora del fallo : 25/02/2013 10:44:18
      Cadena de comprobación de error: CRITICAL_OBJECT_TERMINATION
      Código de comprobación de error: 0x000000f4
      Parámetro 1 : 0x00000003
      Parámetro 2 : 0x87831d40
      Parámetro 3 : 0x87831eac
      Parámetro 4 : 0x82e62d50
      Causado por controlador: ntkrnlpa.exe
      Causado por dirección: ntkrnlpa.exe+dcd10
      Descripción : NT Kernel & System
      Nombre : Microsoft® Windows® Operating System
      Companía : Microsoft Corporation
      Versión : 6.1.7600.16385 (win7_rtm.090713-1255)
      Proceso : 32-bit
      Crash Address : ntkrnlpa.exe+dcd10
      Stack Address 1 : ntkrnlpa.exe+2dc07b
      Stack Address 2 : ntkrnlpa.exe+25fe44
      Stack Address 3 : ntkrnlpa.exe+261cdf
      Computer Name :
      Full Path : C:\Windows\Minidump\022513-17908-01.dmp
      Processors Count : 4
      Major Version : 15
      Minor Version : 7600
      Dump File Size : 135.216
      ==================================================

    3. #13
      Ex-Colaborador Avatar de Gemsa_03
      Registrado
      feb 2012
      Ubicación
      Málaga-España
      Mensajes
      6.615

      Re: Posible rootkit ya he seguido varios pasos y no sirven en mi caso

      Hola!

      La detección del Malwarebytes Antirookit es un falso positivo. Debo entender que desinstalastes el Avast tal y como te indiqué en mi anterior post. Es vital que ya no figure en el Equipo. De no ser así (asegúrate) desinstálalo como te indiqué en el POST #10 antes de seguir con los pasos que te pongo a continuación.
      Antes de nada, en Inicio/Panel de Control/Apariencia/Opciones de Carpeta/Mostrar todas las carpetas y Archivos Ocultos te vas a: Archivos y Carpetas Ocultos y seleccionas Mostrar. Luego a Ocultar Archivos del Sistema Operativo y deseleccionas.

      Me copias el contenido de E:\$RECYCLE.BIN y de E:\drivers

      Luego deshaces los cambios, para ocultar carpetas y archivos protegidos y del Sistema.






      En Inicio escribe Servicios+Enter y ejecutas te saldrá una imagen como la de arriba y buscas:
      • "Centro de Seguridad" comprueba que está "Iniciado" "Automático/Inicio retrasado"
      • "Sistema de Eventos COM+" comprueba que está "Iniciado" Automático"
      • "Windows Update" comprueba que está en "Iniciado" "Automático/Inicio retrasado"

      Caso de que no estén en el estado que te indico clickeas 2 veces sobre la línea del SERVICIO y te saldrá una IMAGEN COMO ESTA con el "Nombre para Mostrar" "Tipo de Inicio: Automático/Manual" y Estado del Servicio: "Iniciar" / "Detener". TODOS TIENEN QUE ESTAR INICIADOS que no, le das al botón INICIAR.

      • Descarga OTM by OLDTimer y colócalo en tu Escritorio Manual de OTM - (OTMoveit)
      • Desactiva cualquier Programa de Seguridad que tengas Cómo deshabilitar temporalmente su Antivirus
      • Ejecútalo "como Administrador" y copia y pega las siguientes instrucciones (se excluye la palabra código) en Paste Instructions for Items to be Moved Parte izquierda de la ventana te adjunto IMAGEN DE MUESTRA
      • Código:
        :files
        C:\config.sys
        C:\autoexec.bat
        C:\Users\PC\Desktop\mbar /d
        C:\_AT-Destroyer /d
        C:\Users\"""NOMBRE DE TU EQUIPO"""\Desktop\AT
        :commands
        [createrestorepoint]
        [resethosts]
        [emptytemp]
        [reboot]
      • Posteriormente clickea en el Botón Move It! El Programa empezará a realizar las instrucciones que le hemos dado.
      • El Programa te pedirá reiniciar, en caso contrario, reálizalo manualmente.
      • Al reiniciar te aparecerá una ventana emergente con los resultados LA GUARDAS. Por otro lado el Informe se guardará en
        C: \ _ OTM\MovedFiles\***_***.log (Donde sale "***_***" es la fecha y hora).
      • Adjunta los resultados en tu próximo post a parte comentarios del estado de funcionamiento de tu Equipo.


      No te olvides de adjuntar el contenido de de E:\$RECICLE.BIN y E:\drivers
      SAludos.
      Última edición por Gemsa_03 fecha: 25/02/13 a las 22:53:45 Razón: corrección

    4. #14
      Usuario Avatar de nmfa82
      Registrado
      ago 2012
      Ubicación
      Ecuador
      Mensajes
      29

      Re: Posible rootkit ya he seguido varios pasos y no sirven en mi caso

      Hola, gracias por seguir ayudandome.
      Te cuento que desinstale el avast tal cual me dijiste. Inclusive con la herramienta.
      Hice esto de mostrar las carpetas. Te adjunto las imagenes.
      Ejecute servicios como me inidcaste. Los 3 servicios que me dijiste estaban bien en el modo de inicio, pero ninguno esta iniciado, cuando intente hacerlo, me salio error en cada uno. Me sale que Windows no puede iniciar el servicio en modo a prueba de fallos. Intente reiniciar la maquina en modo normal, pero como te comente anteriormente es imposible trabajar asi, se cae inmediatamente, es mas, ahora salen 2 ventanas, el informe del AT destroyer q ejecute en el momento que me inidcaste hace varios posts. Y un mensaje de error que dice "Problema al iniciar C:/Users/PC/Desktop/mbar/dck/cleanup.dll.
      He seguido los pasos al pie de la letra, tal como me has estado indicando.
      Por ultimo baje la aplicacion que me dijiste. Este es el log
      All processes killed
      ========== FILES ==========
      C:\config.sys moved successfully.
      C:\autoexec.bat moved successfully.
      File/Folder commands: not found.
      File/Folder [createrestorepoint] not found.
      File/Folder [resethosts] not found.
      File/Folder [emptytemp] not found.
      File/Folder [reboot] not found.

      OTM by OldTimer - Version 3.1.21.0 log created on 02252013_204300




    5. #15
      Usuario Avatar de nmfa82
      Registrado
      ago 2012
      Ubicación
      Ecuador
      Mensajes
      29

      Re: Posible rootkit ya he seguido varios pasos y no sirven en mi caso

      Ejecute nuevamente el ccleaner y me encontro el problema de ese dll ya esta arreglado. Sin embargo sigue dandome al iniciar normal, el log del at destroyer, y trate en 2 ocasiones de iniciar lo que me dijiste del centro de seguridad, sistema de eventos y windows update, aparentemente iniciaron, pero se colgo el sistema ambas veces y reinicio, veo en modo a prueba de fallos, y aca me salen no iniciados.

    6. #16
      Ex-Colaborador Avatar de Gemsa_03
      Registrado
      feb 2012
      Ubicación
      Málaga-España
      Mensajes
      6.615

      Re: Posible rootkit ya he seguido varios pasos y no sirven en mi caso

      Hola!

      En el OTM había un error de transcripción en los comandos ejecútalo nuevamente NUEVO OTM. Caso de que, cuando reinicies te vuelva a salir el reporte del AT, reinicia en Modo Seguro y lo ejecutas (el AT) y le das al Botón desinstalar.


      Adjúntame resultado del nuevo OTM e intenta activar los Servicios en Modo Normal. Me comentas.

      Saludos.

    7. #17
      Usuario Avatar de nmfa82
      Registrado
      ago 2012
      Ubicación
      Ecuador
      Mensajes
      29

      Re: Posible rootkit ya he seguido varios pasos y no sirven en mi caso

      Gracias!
      Te comento que ejecute las nuevas instrucciones en el OTM. Reinicie en modo normal, otra vez me salio el informe, y enseguida se colgo y reinicio, luego en modo seguro di desinstalar el at destroyer. Luego x si acaso ejecute el ccleaner, pero no encuentra ningun problema. Al iniciar en modo normal, ahora me sale un error q trta de desplegar el log y al parecer como no lo ncuentra, me salta que no puede encontrar el archvo en c:atdestroyer. Intente 2 veces y en ambas sucede lo mismo, el ccleaner no me da ningun problema.
      Por otra parte intente iniciar los servicios pero es inutil, toda vez que clickeo en iniciar se cuelga el sistema. =(
      Este es el resultado del nuevo OTM

      All processes killed
      ========== FILES ==========
      File/Folder C:\config.sys not found.
      File/Folder C:\autoexec.bat not found.
      C:\Users\PC\Desktop\mbar\Languages\English.lng deleted successfully.
      C:\Users\PC\Desktop\mbar\Languages folder deleted successfully.
      C:\Users\PC\Desktop\mbar\imageformats\qico4.dll deleted successfully.
      C:\Users\PC\Desktop\mbar\imageformats\qicod4.dll deleted successfully.
      C:\Users\PC\Desktop\mbar\imageformats folder deleted successfully.
      C:\Users\PC\Desktop\mbar\Data\Configuration\build.conf deleted successfully.
      C:\Users\PC\Desktop\mbar\Data\Configuration\config.conf deleted successfully.
      C:\Users\PC\Desktop\mbar\Data\Configuration\database.conf deleted successfully.
      C:\Users\PC\Desktop\mbar\Data\Configuration\local.conf deleted successfully.
      C:\Users\PC\Desktop\mbar\Data\Configuration\manifest.conf deleted successfully.
      C:\Users\PC\Desktop\mbar\Data\Configuration folder deleted successfully.
      C:\Users\PC\Desktop\mbar\Data\rules.ref deleted successfully.
      C:\Users\PC\Desktop\mbar\Data\swissarmy.ref deleted successfully.
      C:\Users\PC\Desktop\mbar\Data folder deleted successfully.
      C:\Users\PC\Desktop\mbar\fixdamage.exe deleted successfully.
      C:\Users\PC\Desktop\mbar\License.rtf deleted successfully.
      C:\Users\PC\Desktop\mbar\mbam.dll deleted successfully.
      C:\Users\PC\Desktop\mbar\mbamcore.dll deleted successfully.
      C:\Users\PC\Desktop\mbar\mbamnet.dll deleted successfully.
      C:\Users\PC\Desktop\mbar\mbar-log-2013-02-25 (10-58-39).txt deleted successfully.
      C:\Users\PC\Desktop\mbar\mbar.exe deleted successfully.
      C:\Users\PC\Desktop\mbar\msvcp100.dll deleted successfully.
      C:\Users\PC\Desktop\mbar\msvcr100.dll deleted successfully.
      C:\Users\PC\Desktop\mbar\QtCore4.dll deleted successfully.
      C:\Users\PC\Desktop\mbar\QtGui4.dll deleted successfully.
      C:\Users\PC\Desktop\mbar\ReadMe.rtf deleted successfully.
      C:\Users\PC\Desktop\mbar\system-log.txt deleted successfully.
      C:\Users\PC\Desktop\mbar folder deleted successfully.
      C:\_AT-Destroyer\AT-Cuarentena folder deleted successfully.
      C:\_AT-Destroyer\AT-Backup folder deleted successfully.
      C:\_AT-Destroyer\1348218368_help-browser.ico deleted successfully.
      C:\_AT-Destroyer\1348919517_find.ico deleted successfully.
      C:\_AT-Destroyer\1349548385_gtk-configure.ico deleted successfully.
      C:\_AT-Destroyer\1349552456_Registry.ico deleted successfully.
      C:\_AT-Destroyer\1349552478_unknown.ico deleted successfully.
      C:\_AT-Destroyer\1349553527_Settings.ico deleted successfully.
      C:\_AT-Destroyer\20071113Peligro-biologico.jpg deleted successfully.
      C:\_AT-Destroyer\diagram.ico deleted successfully.
      C:\_AT-Destroyer\Forospyware_Logo.jpg deleted successfully.
      C:\_AT-Destroyer\icono.ico deleted successfully.
      C:\_AT-Destroyer\program.exe deleted successfully.
      C:\_AT-Destroyer\registro.txt deleted successfully.
      C:\_AT-Destroyer\shield.ico deleted successfully.
      C:\_AT-Destroyer\trash.ico deleted successfully.
      C:\_AT-Destroyer folder deleted successfully.
      File/Folder C:\Users\"""pc-PC"""\Desktop\AT not found.
      ========== COMMANDS ==========
      Error creating restore point.
      C:\Windows\System32\drivers\etc\Hosts moved successfully.
      HOSTS file reset successfully

      [EMPTYTEMP]

      User: All Users

      User: Default
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: Default User
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: pc
      ->Temp folder emptied: 16137 bytes
      ->Temporary Internet Files folder emptied: 71434 bytes
      ->FireFox cache emptied: 57108354 bytes
      ->Google Chrome cache emptied: 0 bytes

      User: Public

      %systemdrive% .tmp files removed: 0 bytes
      %systemroot% .tmp files removed: 0 bytes
      %systemroot%\System32 .tmp files removed: 0 bytes
      %systemroot%\System32\drivers .tmp files removed: 0 bytes
      Windows Temp folder emptied: 0 bytes
      %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50539 bytes
      RecycleBin emptied: 0 bytes

      Total Files Cleaned = 55,00 mb


      OTM by OldTimer - Version 3.1.21.0 log created on 02252013_220548

    8. #18
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Re: Posible rootkit ya he seguido varios pasos y no sirven en mi caso

      Hola nmfa82:


      Los siguientes ficheros no debieron ser eliminados:

      C:\config.sys
      C:\autoexec.bat



      config.sys - Wikipedia, la enciclopedia libre


      El Pantallazo azul lo tienes por un error de un controlador le pediremos ayuda a un compañero Staff sobre el tema ya que los pantallazos azules no son mi especialidad.



      Archivo de volcado: 022513-17908-01.dmp
      Hora del fallo : 25/02/2013 10:44:18
      Cadena de comprobación de error: CRITICAL_OBJECT_TERMINATION
      Código de comprobación de error: 0x000000f4
      Parámetro 1 : 0x00000003
      Parámetro 2 : 0x87831d40
      Parámetro 3 : 0x87831eac
      Parámetro 4 : 0x82e62d50
      Causado por controlador: ntkrnlpa.exe
      Causado por dirección: ntkrnlpa.exe+dcd10
      Descripción : NT Kernel & System
      Nombre : Microsoft® Windows® Operating System
      Companía : Microsoft Corporation
      Versión : 6.1.7600.16385 (win7_rtm.090713-1255)
      Proceso : 32-bit
      Crash Address : ntkrnlpa.exe+dcd10
      Stack Address 1 : ntkrnlpa.exe+2dc07b
      Stack Address 2 : ntkrnlpa.exe+25fe44
      Stack Address 3 : ntkrnlpa.exe+261cdf
      Computer Name :
      Full Path : C:\Windows\Minidump\022513-17908-01.dmp
      Processors Count : 4
      Major Version : 15
      Minor Version : 7600
      Dump File Size : 135.216

      Es muuuuy raro que Malwarebytes Anti-rootkit tenga un Falso Positivo y no se puede asegurar sin comprobarlo por ello realiza lo siguiente:


      Vuelve a descargarlo y ejecutarlo de la siguiente Manera:

      Realiza lo siguiente:

      Paso 1.- : Desactiva temporalmente el Antivirus y/o Antispyware

      Paso 2.-: Descarga Malwarebytes Anti-Rootkit Beta y descomprima el contenido en su escritorio.


      1. Abra la carpeta Mbar. Doble clic en el archivo Mbar.exe
      2. En la interfaz del programa haga clic en Next.
      3. Haga clic en el botón Update. Terminando clic en Next
      4. Para iniciar el análisis clic en el botón Scan
      5. Terminando, si hay infección clic en CleanUp, si no hay clic en Exit.


      Al finalizar abra la carpeta Mbar, los archivos mbar-log.txt y system-log.txt, copie y pegue todo su contenido en la siguiente respuesta y comentando los resultados.



      Paso 3.-: Luego de reiniciar :

      • Abre la carpeta Mbar nuevamente. Doble clic sobre el archivo fixdamage.exe
      • Presiona la tecla Y y luego pulsa en Enter
      • A continuación pulsa nuevamente Y y por ultimo Enter
      • Si no se reinicia el ordenador, reinicia manualmente el mismo.


      Tras el reinicio, comprueba si continua sin funcionar los servicios afectados. Y nos comentas resultados.


      Salu2-

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    9. #19
      Usuario Avatar de nmfa82
      Registrado
      ago 2012
      Ubicación
      Ecuador
      Mensajes
      29

      Re: Posible rootkit ya he seguido varios pasos y no sirven en mi caso

      Hola. Solo he seguido todos los pasos que me han indicado =(
      Descargue el malware antirootkit, lo descomprimi en escritorio y ejecute todo como me indicaste.
      Luego reinicie y ejecute fixdamage.
      Intente reiniciar 2 veces en modo normal, pero nada, sigue ocurriendo lo mismo, inestabilidad del sistema, x lo cual, pasan apenas unos segundos, se cuelga, a veces me da pantallazo azul, otras no, e invariablemente cuando va a reiniciar tb se queda colgada.
      Los logs son estos
      M-BAR LOG
      Malwarebytes Anti-Rootkit BETA 1.01.0.1020
      Malwarebytes : Free anti-malware download

      Database version: v2013.02.26.08

      Windows 7 x86 NTFS (Safe Mode/Networking)
      Internet Explorer 8.0.7600.16385
      pc :: PC-PC [administrator]

      26/02/2013 11:58:10
      mbar-log-2013-02-26 (11-58-10).txt

      Scan type: Quick scan
      Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
      Scan options disabled:
      Objects scanned: 27102
      Time elapsed: 9 minute(s), 22 second(s)

      Memory Processes Detected: 0
      (No malicious items detected)

      Memory Modules Detected: 0
      (No malicious items detected)

      Registry Keys Detected: 0
      (No malicious items detected)

      Registry Values Detected: 0
      (No malicious items detected)

      Registry Data Items Detected: 0
      (No malicious items detected)

      Folders Detected: 0
      (No malicious items detected)

      Files Detected: 0
      (No malicious items detected)

      (end)


      SYSTEM LOG
      ---------------------------------------
      Malwarebytes Anti-Rootkit BETA 1.01.0.1020

      (c) Malwarebytes Corporation 2011-2012

      OS version: 6.1.7600 Windows 7 x86

      System is currently in a safe mode

      Account is Administrative

      Internet Explorer version: 8.0.7600.16385

      File system is: NTFS
      Disk drives: C:\ DRIVE_FIXED, E:\ DRIVE_FIXED
      CPU speed: 2.494000 GHz
      Memory total: 3562209280, free: 3087597568

      ------------ Kernel report ------------
      02/26/2013 11:47:29
      ------------ Loaded modules -----------
      \SystemRoot\system32\ntkrnlpa.exe
      \SystemRoot\system32\halmacpi.dll
      \SystemRoot\system32\kdcom.dll
      \SystemRoot\system32\mcupdate_GenuineIntel.dll
      \SystemRoot\system32\PSHED.dll
      \SystemRoot\system32\BOOTVID.dll
      \SystemRoot\system32\CLFS.SYS
      \SystemRoot\system32\CI.dll
      \SystemRoot\system32\drivers\Wdf01000.sys
      \SystemRoot\system32\drivers\WDFLDR.SYS
      \SystemRoot\system32\DRIVERS\ACPI.sys
      \SystemRoot\system32\DRIVERS\WMILIB.SYS
      \SystemRoot\system32\DRIVERS\msisadrv.sys
      \SystemRoot\system32\DRIVERS\pci.sys
      \SystemRoot\system32\DRIVERS\vdrvroot.sys
      \SystemRoot\System32\drivers\partmgr.sys
      \SystemRoot\system32\DRIVERS\compbatt.sys
      \SystemRoot\system32\DRIVERS\BATTC.SYS
      \SystemRoot\system32\DRIVERS\volmgr.sys
      \SystemRoot\System32\drivers\volmgrx.sys
      \SystemRoot\System32\drivers\mountmgr.sys
      \SystemRoot\system32\DRIVERS\atapi.sys
      \SystemRoot\system32\DRIVERS\ataport.SYS
      \SystemRoot\system32\DRIVERS\msahci.sys
      \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
      \SystemRoot\system32\DRIVERS\amdxata.sys
      \SystemRoot\system32\drivers\fltmgr.sys
      \SystemRoot\system32\drivers\fileinfo.sys
      \SystemRoot\System32\Drivers\Ntfs.sys
      \SystemRoot\System32\Drivers\msrpc.sys
      \SystemRoot\System32\Drivers\ksecdd.sys
      \SystemRoot\System32\Drivers\cng.sys
      \SystemRoot\System32\drivers\pcw.sys
      \SystemRoot\System32\Drivers\Fs_Rec.sys
      \SystemRoot\system32\drivers\ndis.sys
      \SystemRoot\system32\drivers\NETIO.SYS
      \SystemRoot\System32\Drivers\ksecpkg.sys
      \SystemRoot\System32\drivers\tcpip.sys
      \SystemRoot\System32\drivers\fwpkclnt.sys
      \SystemRoot\system32\DRIVERS\volsnap.sys
      \SystemRoot\System32\drivers\rdyboost.sys
      \SystemRoot\System32\Drivers\mup.sys
      \SystemRoot\System32\drivers\hwpolicy.sys
      \SystemRoot\System32\DRIVERS\fvevol.sys
      \SystemRoot\system32\DRIVERS\disk.sys
      \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
      \SystemRoot\System32\Drivers\Null.SYS
      \SystemRoot\System32\Drivers\Beep.SYS
      \SystemRoot\System32\drivers\vga.sys
      \SystemRoot\System32\drivers\VIDEOPRT.SYS
      \SystemRoot\System32\drivers\watchdog.sys
      \SystemRoot\system32\drivers\rdpencdd.sys
      \SystemRoot\System32\Drivers\Msfs.SYS
      \SystemRoot\System32\Drivers\Npfs.SYS
      \SystemRoot\system32\DRIVERS\tdx.sys
      \SystemRoot\system32\DRIVERS\TDI.SYS
      \SystemRoot\system32\drivers\afd.sys
      \SystemRoot\System32\DRIVERS\netbt.sys
      \SystemRoot\system32\DRIVERS\wfplwf.sys
      \SystemRoot\system32\DRIVERS\pacer.sys
      \SystemRoot\system32\DRIVERS\vwififlt.sys
      \SystemRoot\system32\DRIVERS\netbios.sys
      \SystemRoot\system32\DRIVERS\rdbss.sys
      \SystemRoot\system32\drivers\nsiproxy.sys
      \SystemRoot\System32\Drivers\dfsc.sys
      \SystemRoot\system32\DRIVERS\tunnel.sys
      \SystemRoot\system32\DRIVERS\usbehci.sys
      \SystemRoot\system32\DRIVERS\USBPORT.SYS
      \SystemRoot\system32\DRIVERS\HDAudBus.sys
      \SystemRoot\system32\DRIVERS\bcmwl6.sys
      \SystemRoot\system32\DRIVERS\vwifibus.sys
      \SystemRoot\system32\DRIVERS\k57nd60x.sys
      \SystemRoot\system32\DRIVERS\i8042prt.sys
      \SystemRoot\system32\DRIVERS\kbdclass.sys
      \SystemRoot\system32\DRIVERS\mouclass.sys
      \SystemRoot\system32\DRIVERS\cdrom.sys
      \SystemRoot\system32\DRIVERS\wmiacpi.sys
      \SystemRoot\system32\DRIVERS\blbdrive.sys
      \SystemRoot\system32\DRIVERS\CompositeBus.sys
      \SystemRoot\system32\DRIVERS\mssmbios.sys
      \SystemRoot\system32\DRIVERS\AgileVpn.sys
      \SystemRoot\system32\DRIVERS\rasl2tp.sys
      \SystemRoot\system32\DRIVERS\ndistapi.sys
      \SystemRoot\system32\DRIVERS\ndiswan.sys
      \SystemRoot\system32\DRIVERS\raspppoe.sys
      \SystemRoot\system32\DRIVERS\raspptp.sys
      \SystemRoot\system32\DRIVERS\rassstp.sys
      \SystemRoot\system32\DRIVERS\termdd.sys
      \SystemRoot\system32\DRIVERS\swenum.sys
      \SystemRoot\system32\DRIVERS\ks.sys
      \SystemRoot\system32\DRIVERS\umbus.sys
      \SystemRoot\system32\DRIVERS\usbhub.sys
      \SystemRoot\System32\Drivers\NDProxy.SYS
      \SystemRoot\System32\Drivers\crashdmp.sys
      \SystemRoot\System32\Drivers\dump_dumpata.sys
      \SystemRoot\System32\Drivers\dump_msahci.sys
      \SystemRoot\System32\Drivers\dump_dumpfve.sys
      \SystemRoot\System32\win32k.sys
      \SystemRoot\System32\drivers\Dxapi.sys
      \SystemRoot\System32\drivers\dxg.sys
      \SystemRoot\System32\TSDDD.dll
      \SystemRoot\System32\framebuf.dll
      \SystemRoot\system32\DRIVERS\hidusb.sys
      \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
      \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
      \SystemRoot\system32\DRIVERS\USBD.SYS
      \SystemRoot\system32\DRIVERS\mouhid.sys
      \SystemRoot\system32\DRIVERS\usbccgp.sys
      \SystemRoot\system32\drivers\WudfPf.sys
      \SystemRoot\system32\DRIVERS\nwifi.sys
      \SystemRoot\system32\DRIVERS\ndisuio.sys
      \SystemRoot\system32\DRIVERS\bowser.sys
      \SystemRoot\System32\drivers\mpsdrv.sys
      \SystemRoot\system32\DRIVERS\mrxsmb.sys
      \SystemRoot\system32\DRIVERS\mrxsmb10.sys
      \SystemRoot\system32\DRIVERS\mrxsmb20.sys
      \SystemRoot\system32\DRIVERS\vwifimp.sys
      \??\C:\Windows\system32\drivers\mbamchameleon.sys
      \??\C:\Windows\system32\drivers\mbamswissarmy.sys
      \Windows\System32\ntdll.dll
      \Windows\System32\smss.exe
      \Windows\System32\apisetschema.dll
      \Windows\System32\autochk.exe
      \Windows\System32\msvcrt.dll
      \Windows\System32\nsi.dll
      \Windows\System32\comdlg32.dll
      \Windows\System32\psapi.dll
      \Windows\System32\wininet.dll
      \Windows\System32\Wldap32.dll
      \Windows\System32\shell32.dll
      \Windows\System32\setupapi.dll
      \Windows\System32\gdi32.dll
      \Windows\System32\sechost.dll
      \Windows\System32\rpcrt4.dll
      \Windows\System32\imagehlp.dll
      \Windows\System32\user32.dll
      \Windows\System32\msctf.dll
      \Windows\System32\ws2_32.dll
      \Windows\System32\normaliz.dll
      \Windows\System32\difxapi.dll
      \Windows\System32\shlwapi.dll
      \Windows\System32\imm32.dll
      \Windows\System32\ole32.dll
      \Windows\System32\urlmon.dll
      \Windows\System32\usp10.dll
      \Windows\System32\lpk.dll
      \Windows\System32\advapi32.dll
      \Windows\System32\iertutil.dll
      \Windows\System32\clbcatq.dll
      \Windows\System32\kernel32.dll
      \Windows\System32\oleaut32.dll
      \Windows\System32\devobj.dll
      \Windows\System32\comctl32.dll
      \Windows\System32\cfgmgr32.dll
      \Windows\System32\wintrust.dll
      \Windows\System32\crypt32.dll
      \Windows\System32\KernelBase.dll
      \Windows\System32\msasn1.dll
      ----------- End -----------
      <<<1>>>
      Upper Device Name: \Device\Harddisk0\DR0
      Upper Device Object: 0xffffffff85472030
      Upper Device Driver Name: \Driver\Disk\
      Lower Device Name: \Device\Ide\IdeDeviceP0T0L0-0\
      Lower Device Object: 0xffffffff84f46908
      Lower Device Driver Name: \Driver\atapi\
      Driver name found: atapi
      Initialization returned 0x0
      Port sub-driver loaded: \??\C:\Windows\System32\drivers\ataport.sys (0x0)
      Load Function returned 0x0
      Downloaded database version: v2013.02.26.08
      Initializing...
      Done!
      <<<2>>>
      Device number: 0, partition: 2
      Physical Sector Size: 512
      Drive: 0, DevicePointer: 0xffffffff85472030, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      --------- Disk Stack ------
      DevicePointer: 0xffffffff85472d18, DeviceName: Unknown, DriverName: \Driver\partmgr\
      DevicePointer: 0xffffffff85472030, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      DevicePointer: 0xffffffff84f46908, DeviceName: \Device\Ide\IdeDeviceP0T0L0-0\, DriverName: \Driver\atapi\
      ------------ End ----------
      Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      Upper DeviceData: 0xffffffff99bb67a8, 0xffffffff85472030, 0xffffffff8576c7d0
      Lower DeviceData: 0xffffffff966fee78, 0xffffffff84f46908, 0xffffffff860f2a48
      <<<3>>>
      Volume: C:
      File system type: NTFS
      SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
      Scanning directory: C:\Windows\system32\drivers...
      <<<2>>>
      Device number: 0, partition: 2
      <<<3>>>
      Volume: C:
      File system type: NTFS
      SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
      Done!
      Drive 0
      Scanning MBR on drive 0...
      Inspecting partition table:
      MBR Signature: 55AA
      Disk Signature: CA15DC97

      Partition information:

      Partition 0 type is Primary (0x7)
      Partition is ACTIVE.
      Partition starts at LBA: 2048 Numsec = 204800
      Partition file system is NTFS
      Partition is bootable

      Partition 1 type is Primary (0x7)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 206848 Numsec = 512620544

      Partition 2 type is Primary (0x7)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 512827392 Numsec = 952315904

      Partition 3 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Disk Size: 750156374016 bytes
      Sector size: 512 bytes

      Scanning physical sectors of unpartitioned space on drive 0 (1-2047-1465129168-1465149168)...
      Done!
      Performing system, memory and registry scan...
      Done!
      Scan finished
      =======================================


      ---------------------------------------
      Malwarebytes Anti-Rootkit BETA 1.01.0.1020

      (c) Malwarebytes Corporation 2011-2012

      OS version: 6.1.7600 Windows 7 x86

      Account is Administrative

      Internet Explorer version: 8.0.7600.16385

      File system is: NTFS
      Disk drives: C:\ DRIVE_FIXED, E:\ DRIVE_FIXED
      CPU speed: 2.494000 GHz
      Memory total: 3562209280, free: 2914652160

      =======================================
      ---------------------------------------
      Malwarebytes Anti-Rootkit BETA 1.01.0.1020

      (c) Malwarebytes Corporation 2011-2012

      OS version: 6.1.7600 Windows 7 x86

      Account is Administrative

      Internet Explorer version: 8.0.7600.16385

      File system is: NTFS
      Disk drives: C:\ DRIVE_FIXED, E:\ DRIVE_FIXED
      CPU speed: 2.494000 GHz
      Memory total: 3562209280, free: 2916524032

      =======================================

      Adicionalmente copio el resultado del ultimo pantallazo
      ==================================================
      Archivo de volcado: 022613-18252-01.dmp
      Hora del fallo : 26/02/2013 12:07:26
      Cadena de comprobación de error: CRITICAL_OBJECT_TERMINATION
      Código de comprobación de error: 0x000000f4
      Parámetro 1 : 0x00000003
      Parámetro 2 : 0x87836d40
      Parámetro 3 : 0x87836eac
      Parámetro 4 : 0x82e71d50
      Causado por controlador: ntkrnlpa.exe
      Causado por dirección: ntkrnlpa.exe+dcd10
      Descripción : NT Kernel & System
      Nombre : Microsoft® Windows® Operating System
      Companía : Microsoft Corporation
      Versión : 6.1.7600.16385 (win7_rtm.090713-1255)
      Proceso : 32-bit
      Crash Address : ntkrnlpa.exe+dcd10
      Stack Address 1 : ntkrnlpa.exe+2dc07b
      Stack Address 2 : ntkrnlpa.exe+25fe44
      Stack Address 3 : ntkrnlpa.exe+261cdf
      Computer Name :
      Full Path : C:\Windows\Minidump\022613-18252-01.dmp
      Processors Count : 4
      Major Version : 15
      Minor Version : 7600
      Dump File Size : 131.072
      ==================================================

      Los servicios siguen detenidos, y ya que me es imposible ejecutar nada en modo normal, no tengo como iniciarlos y en modo a prueba de fallos no se me permite.

      Por ultimo te comento que desde ayer cada que inicio en modo normal me sale esto


    10. #20
      Ex-Colaborador Avatar de JackBauer
      Registrado
      dic 2008
      Ubicación
      Argentina
      Mensajes
      7.695

      Re: Posible rootkit ya he seguido varios pasos y no sirven en mi caso

      Buenas,

      nmfa82, a ver si te puedo dar una mano con el pantallazo. Tenemos que identificar el proceso crítico del sistema que terminó inesperadamente. Por ahora NO EJECUTES CCLEANER o alguna otra herramienta que elimine temporales, ya que perderás los archivos dmp que contienen la información del pantallazo.

      Instala Debuggins Tools For Windows 32 Bits.
      Luego ejecuta WinDBG siguiendo esa guía y traes el reporte del último archivo dmp.

      Salu2.
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.