• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 14

    problema con rootkit

    hola tengo un problema con un rootkit que enloquece mi teclado agradecería su ayuda muchas gracias...

    1. #1
      Usuario Avatar de siayer
      Registrado
      sep 2007
      Ubicación
      colombia
      Mensajes
      59

      Malware problema con rootkit

      hola tengo un problema con un rootkit que enloquece mi teclado agradecería su ayuda muchas gracias

    2. #2
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Re: problema con rootkit

      Hola siayer:


      Como has llegado a la conclusión que es un rootkit?? Que herramienta te ha dicho que lo es ?


      Realiza lo siguiente:

      Paso 1.- : Desactiva temporalmente el Antivirus y/o Antispyware

      Paso 2.-: Descarga Malwarebytes Anti-Rootkit Beta y descomprima el contenido en su escritorio.


      1. Abra la carpeta Mbar. Doble clic en el archivo Mbar.exe
      2. En la interfaz del programa haga clic en Next.
      3. Haga clic en el botón Update. Terminando clic en Next
      4. Para iniciar el análisis clic en el botón Scan
      5. Terminando, si hay infección clic en CleanUp, si no hay clic en Exit.


      Al finalizar abra la carpeta Mbar, los archivos mbar-log.txt y system-log.txt, copie y pegue todo su contenido en la siguiente respuesta y comentando los resultados.



      Paso 3.-: Luego de reiniciar descarga la herramienta ComboFix.exe y guárdala en el escritorio.


      • Desactiva nuevamente el Antivirus y/o Antispyware


        Si te pide actualizar "Aceptas".
      • Cierra todas las ventanas abiertas.
      • Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
      • Cuando termine, generara un registro en C:\ComboFix.txt.
        • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
        • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.
      • Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.


      Nota Importante: Luego del primer reinicio que realiza el programa Combofix, realiza un reinicio mas.







      Salu2.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de siayer
      Registrado
      sep 2007
      Ubicación
      colombia
      Mensajes
      59

      Re: problema con rootkit

      Malwarebytes Anti-Rootkit BETA 1.01.0.1021

      (c) Malwarebytes Corporation 2011-2012

      OS version: 6.1.7601 Windows 7 Service Pack 1 x86

      Account is Administrative

      Internet Explorer version: 9.0.8112.16421

      Java version: 1.6.0_34

      File system is: NTFS
      Disk drives: C:\ DRIVE_FIXED, E:\ DRIVE_FIXED
      CPU speed: 2.294000 GHz
      Memory total: 3754078208, free: 2309025792

      ------------ Kernel report ------------
      03/22/2013 00:27:32
      ------------ Loaded modules -----------
      \SystemRoot\system32\ntkrnlpa.exe
      \SystemRoot\system32\halmacpi.dll
      \SystemRoot\system32\kdcom.dll
      \SystemRoot\system32\mcupdate_AuthenticAMD.dll
      \SystemRoot\system32\PSHED.dll
      \SystemRoot\system32\BOOTVID.dll
      \SystemRoot\system32\CLFS.SYS
      \SystemRoot\system32\CI.dll
      \SystemRoot\system32\drivers\Wdf01000.sys
      \SystemRoot\system32\drivers\WDFLDR.SYS
      \SystemRoot\system32\drivers\ACPI.sys
      \SystemRoot\system32\drivers\WMILIB.SYS
      \SystemRoot\system32\drivers\msisadrv.sys
      \SystemRoot\system32\drivers\pci.sys
      \SystemRoot\system32\drivers\vdrvroot.sys
      \SystemRoot\System32\drivers\partmgr.sys
      \SystemRoot\system32\DRIVERS\compbatt.sys
      \SystemRoot\system32\DRIVERS\BATTC.SYS
      \SystemRoot\system32\drivers\volmgr.sys
      \SystemRoot\System32\drivers\volmgrx.sys
      \SystemRoot\System32\drivers\mountmgr.sys
      \SystemRoot\system32\drivers\atapi.sys
      \SystemRoot\system32\drivers\ataport.SYS
      \SystemRoot\system32\drivers\msahci.sys
      \SystemRoot\system32\drivers\PCIIDEX.SYS
      \SystemRoot\system32\drivers\amdxata.sys
      \SystemRoot\system32\drivers\fltmgr.sys
      \SystemRoot\system32\drivers\fileinfo.sys
      \SystemRoot\System32\Drivers\Ntfs.sys
      \SystemRoot\System32\Drivers\msrpc.sys
      \SystemRoot\System32\Drivers\ksecdd.sys
      \SystemRoot\System32\Drivers\cng.sys
      \SystemRoot\System32\drivers\pcw.sys
      \SystemRoot\System32\Drivers\Fs_Rec.sys
      \SystemRoot\system32\drivers\ndis.sys
      \SystemRoot\system32\drivers\NETIO.SYS
      \SystemRoot\System32\Drivers\ksecpkg.sys
      \SystemRoot\System32\drivers\tcpip.sys
      \SystemRoot\System32\drivers\fwpkclnt.sys
      \SystemRoot\system32\drivers\volsnap.sys
      \SystemRoot\system32\DRIVERS\TVALZ_O.SYS
      \SystemRoot\system32\DRIVERS\tos_sps32.sys
      \SystemRoot\System32\Drivers\spldr.sys
      \SystemRoot\System32\drivers\rdyboost.sys
      \SystemRoot\System32\Drivers\mup.sys
      \SystemRoot\System32\drivers\hwpolicy.sys
      \SystemRoot\System32\DRIVERS\fvevol.sys
      \SystemRoot\system32\DRIVERS\disk.sys
      \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
      \SystemRoot\system32\DRIVERS\AtiPcie.sys
      \SystemRoot\system32\DRIVERS\cdrom.sys
      \SystemRoot\System32\Drivers\Null.SYS
      \SystemRoot\System32\Drivers\Beep.SYS
      \SystemRoot\System32\Drivers\aswKbd.SYS
      \SystemRoot\System32\drivers\vga.sys
      \SystemRoot\System32\drivers\VIDEOPRT.SYS
      \SystemRoot\System32\drivers\watchdog.sys
      \SystemRoot\System32\DRIVERS\RDPCDD.sys
      \SystemRoot\system32\drivers\rdpencdd.sys
      \SystemRoot\system32\drivers\rdprefmp.sys
      \SystemRoot\System32\Drivers\Msfs.SYS
      \SystemRoot\System32\Drivers\Npfs.SYS
      \SystemRoot\system32\DRIVERS\tdx.sys
      \SystemRoot\system32\DRIVERS\TDI.SYS
      \SystemRoot\system32\drivers\afd.sys
      \SystemRoot\System32\DRIVERS\netbt.sys
      \SystemRoot\system32\DRIVERS\wfplwf.sys
      \SystemRoot\system32\DRIVERS\pacer.sys
      \SystemRoot\system32\DRIVERS\vwififlt.sys
      \SystemRoot\system32\DRIVERS\netbios.sys
      \SystemRoot\system32\DRIVERS\wanarp.sys
      \SystemRoot\system32\drivers\termdd.sys
      \SystemRoot\system32\DRIVERS\rdbss.sys
      \SystemRoot\system32\drivers\nsiproxy.sys
      \SystemRoot\system32\drivers\mssmbios.sys
      \SystemRoot\System32\drivers\discache.sys
      \SystemRoot\System32\Drivers\dfsc.sys
      \SystemRoot\system32\DRIVERS\blbdrive.sys
      \SystemRoot\system32\DRIVERS\tunnel.sys
      \SystemRoot\system32\DRIVERS\amdppm.sys
      \SystemRoot\system32\DRIVERS\CmBatt.sys
      \SystemRoot\system32\DRIVERS\atikmdag.sys
      \SystemRoot\System32\drivers\dxgkrnl.sys
      \SystemRoot\System32\drivers\dxgmms1.sys
      \SystemRoot\system32\DRIVERS\rtl8192se.sys
      \SystemRoot\system32\DRIVERS\vwifibus.sys
      \SystemRoot\system32\DRIVERS\Rt86win7.sys
      \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
      \SystemRoot\system32\DRIVERS\usbohci.sys
      \SystemRoot\system32\DRIVERS\USBPORT.SYS
      \SystemRoot\system32\DRIVERS\usbehci.sys
      \SystemRoot\system32\drivers\HDAudBus.sys
      \SystemRoot\system32\drivers\i8042prt.sys
      \SystemRoot\system32\drivers\kbdclass.sys
      \SystemRoot\system32\DRIVERS\mouclass.sys
      \SystemRoot\system32\drivers\CompositeBus.sys
      \SystemRoot\system32\DRIVERS\AgileVpn.sys
      \SystemRoot\system32\DRIVERS\rasl2tp.sys
      \SystemRoot\system32\DRIVERS\ndistapi.sys
      \SystemRoot\system32\DRIVERS\ndiswan.sys
      \SystemRoot\system32\DRIVERS\raspppoe.sys
      \SystemRoot\system32\DRIVERS\raspptp.sys
      \SystemRoot\system32\DRIVERS\rassstp.sys
      \SystemRoot\system32\drivers\swenum.sys
      \SystemRoot\system32\drivers\ks.sys
      \SystemRoot\system32\drivers\umbus.sys
      \SystemRoot\system32\DRIVERS\usbhub.sys
      \SystemRoot\System32\Drivers\NDProxy.SYS
      \SystemRoot\system32\drivers\RTKVHDA.sys
      \SystemRoot\system32\drivers\portcls.sys
      \SystemRoot\system32\drivers\drmk.sys
      \SystemRoot\system32\DRIVERS\VSTAZL3.SYS
      \SystemRoot\system32\DRIVERS\VSTDPV3.SYS
      \SystemRoot\system32\DRIVERS\VSTCNXT3.SYS
      \SystemRoot\system32\drivers\modem.sys
      \SystemRoot\System32\win32k.sys
      \SystemRoot\System32\drivers\Dxapi.sys
      \SystemRoot\System32\Drivers\crashdmp.sys
      \SystemRoot\System32\Drivers\dump_dumpata.sys
      \SystemRoot\System32\Drivers\dump_msahci.sys
      \SystemRoot\System32\Drivers\dump_dumpfve.sys
      \SystemRoot\system32\DRIVERS\usbccgp.sys
      \SystemRoot\system32\DRIVERS\USBD.SYS
      \SystemRoot\System32\Drivers\usbvideo.sys
      \SystemRoot\system32\DRIVERS\pgeffect.sys
      \SystemRoot\system32\DRIVERS\monitor.sys
      \SystemRoot\System32\TSDDD.dll
      \SystemRoot\System32\cdd.dll
      \SystemRoot\System32\ATMFD.DLL
      \SystemRoot\system32\drivers\luafv.sys
      \SystemRoot\system32\drivers\WudfPf.sys
      \SystemRoot\system32\DRIVERS\lltdio.sys
      \SystemRoot\system32\DRIVERS\nwifi.sys
      \SystemRoot\system32\DRIVERS\ndisuio.sys
      \SystemRoot\system32\DRIVERS\rspndr.sys
      \SystemRoot\system32\drivers\HTTP.sys
      \SystemRoot\system32\DRIVERS\bowser.sys
      \SystemRoot\System32\drivers\mpsdrv.sys
      \SystemRoot\system32\DRIVERS\mrxsmb.sys
      \SystemRoot\system32\DRIVERS\mrxsmb10.sys
      \SystemRoot\system32\DRIVERS\mrxsmb20.sys
      \SystemRoot\system32\DRIVERS\vwifimp.sys
      \SystemRoot\system32\drivers\peauth.sys
      \SystemRoot\System32\Drivers\secdrv.SYS
      \SystemRoot\System32\DRIVERS\srvnet.sys
      \SystemRoot\System32\drivers\tcpipreg.sys
      \SystemRoot\System32\DRIVERS\srv2.sys
      \SystemRoot\System32\DRIVERS\srv.sys
      \SystemRoot\system32\DRIVERS\USBSTOR.SYS
      \SystemRoot\system32\drivers\spsys.sys
      \SystemRoot\system32\DRIVERS\ehdrv.sys
      \SystemRoot\system32\DRIVERS\epfwwfpr.sys
      \SystemRoot\system32\DRIVERS\eamon.sys
      \??\C:\Windows\system32\drivers\mbamchameleon.sys
      \??\C:\Windows\system32\drivers\mbamswissarmy.sys
      \Windows\System32\ntdll.dll
      \Windows\System32\smss.exe
      \Windows\System32\apisetschema.dll
      \Windows\System32\autochk.exe
      \Windows\System32\sechost.dll
      \Windows\System32\Wldap32.dll
      \Windows\System32\rpcrt4.dll
      ----------- End -----------
      <<<1>>>
      Upper Device Name: \Device\Harddisk1\DR1
      Upper Device Object: 0xffffffff85d81ac8
      Upper Device Driver Name: \Driver\Disk\
      Lower Device Name: \Device\0000006e\
      Lower Device Object: 0xffffffff88fff030
      Lower Device Driver Name: \Driver\USBSTOR\
      Driver name found: USBSTOR
      Initialization returned 0x0
      Load Function returned 0x0
      <<<1>>>
      Upper Device Name: \Device\Harddisk0\DR0
      Upper Device Object: 0xffffffff868eaaa0
      Upper Device Driver Name: \Driver\Disk\
      Lower Device Name: \Device\Ide\IdeDeviceP1T0L0-1\
      Lower Device Object: 0xffffffff868f4908
      Lower Device Driver Name: \Driver\atapi\
      Driver name found: atapi
      Initialization returned 0x0
      Port sub-driver loaded: \??\C:\Windows\System32\drivers\ataport.sys (0x0)
      Load Function returned 0x0
      Downloaded database version: v2013.03.22.02
      Initializing...
      Done!
      <<<2>>>
      Device number: 0, partition: 2
      Physical Sector Size: 512
      Drive: 0, DevicePointer: 0xffffffff868eaaa0, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      --------- Disk Stack ------
      DevicePointer: 0xffffffff85b30020, DeviceName: Unknown, DriverName: \Driver\partmgr\
      DevicePointer: 0xffffffff868eaaa0, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      DevicePointer: 0xffffffff86808918, DeviceName: Unknown, DriverName: \Driver\ACPI\
      DevicePointer: 0xffffffff868f4908, DeviceName: \Device\Ide\IdeDeviceP1T0L0-1\, DriverName: \Driver\atapi\
      ------------ End ----------
      Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      Upper DeviceData: 0xffffffffbdd27678, 0xffffffff868eaaa0, 0xffffffff86980ac8
      Lower DeviceData: 0xffffffff8be12668, 0xffffffff868f4908, 0xffffffff86063048
      <<<3>>>
      Volume: C:
      File system type: NTFS
      SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
      Scanning directory: C:\Windows\system32\drivers...
      <<<2>>>
      Device number: 0, partition: 2
      <<<3>>>
      Volume: C:
      File system type: NTFS
      SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
      Done!
      Drive 0
      Scanning MBR on drive 0...
      Inspecting partition table:
      MBR Signature: 55AA
      Disk Signature: D6CF2304

      Partition information:

      Partition 0 type is Other (0x27)
      Partition is ACTIVE.
      Partition starts at LBA: 2048 Numsec = 3072000
      Partition file system is NTFS
      Partition is bootable

      Partition 1 type is Primary (0x7)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 3074048 Numsec = 603164672

      Partition 2 type is HIDDEN (0x17)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 606238720 Numsec = 18903040
      Partition is not bootable
      Hidden partition VBR is not infected.

      Partition 3 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Disk Size: 320072933376 bytes
      Sector size: 512 bytes

      Scanning physical sectors of unpartitioned space on drive 0 (1-2047-625122448-625142448)...
      Physical Sector Size: 512
      Drive: 1, DevicePointer: 0xffffffff85d81ac8, DeviceName: \Device\Harddisk1\DR1\, DriverName: \Driver\Disk\
      --------- Disk Stack ------
      DevicePointer: 0xffffffff85b2f4f0, DeviceName: Unknown, DriverName: \Driver\partmgr\
      DevicePointer: 0xffffffff85d81ac8, DeviceName: \Device\Harddisk1\DR1\, DriverName: \Driver\Disk\
      DevicePointer: 0xffffffff88fff030, DeviceName: \Device\0000006e\, DriverName: \Driver\USBSTOR\
      ------------ End ----------
      Alternate DeviceName: \Device\Harddisk1\DR1\, DriverName: \Driver\Disk\
      Upper DeviceData: 0xffffffffb031c790, 0xffffffff85d81ac8, 0xffffffff8698e048
      Lower DeviceData: 0xffffffffc62304d8, 0xffffffff88fff030, 0xffffffff86c88338
      Drive 1
      Scanning MBR on drive 1...
      Inspecting partition table:
      MBR Signature: 55AA
      Disk Signature: C65B1685

      Partition information:

      Partition 0 type is Primary (0x7)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 2048 Numsec = 1953521072

      Partition 1 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Partition 2 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Partition 3 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Disk Size: 1000204886016 bytes
      Sector size: 512 bytes

      Done!
      Performing system, memory and registry scan...
      Done!
      Scan finished
      =======================================


      ---------------------------------------
      Malwarebytes Anti-Rootkit BETA 1.01.0.1021

      (c) Malwarebytes Corporation 2011-2012

      OS version: 6.1.7601 Windows 7 Service Pack 1 x86

      Account is Administrative

      Internet Explorer version: 9.0.8112.16421

      Java version: 1.6.0_34

      File system is: NTFS
      Disk drives: C:\ DRIVE_FIXED, E:\ DRIVE_FIXED
      CPU speed: 2.294000 GHz
      Memory total: 3754078208, free: 2925215744

      =======================================

      ComboFix 13-03-21.02 - user 22/03/2013 1:07.1.2 - x86
      Microsoft Windows 7 Home Premium 6.1.7601.1.1252.57.3082.18.3580.2170 [GMT -5:00]
      Running from: c:\users\user\Desktop\ComboFix.exe
      AV: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {CB0F8167-5331-BA19-698E-64816B6801A5}
      SP: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {706E6083-750B-B597-533E-5FF310EF4B18}
      SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
      .
      .
      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      E:\Autorun.inf
      .
      .
      ((((((((((((((((((((((((( Files Created from 2013-02-22 to 2013-03-22 )))))))))))))))))))))))))))))))
      .
      .
      2013-03-22 06:14 . 2013-03-22 06:14 -------- d-----w- c:\users\Default\AppData\Local\temp
      2013-03-22 06:03 . 2013-03-22 06:03 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{907D9496-54FB-4544-840D-D29FB05F6475}\offreg.dll
      2013-03-22 05:09 . 2013-03-22 05:09 -------- d-----w- c:\users\user\AppData\Local\Spotify
      2013-03-22 00:42 . 2013-03-22 00:42 -------- d-----w- c:\programdata\Sophos
      2013-03-22 00:41 . 2013-03-22 00:41 -------- d-----w- c:\program files\Sophos
      2013-03-21 23:01 . 2013-03-21 23:01 -------- d-----w- c:\users\user\AppData\Local\ESET
      2013-03-21 22:53 . 2013-03-21 23:08 -------- d-----w- c:\program files\ESET
      2013-03-21 22:23 . 2013-03-21 23:04 -------- d-----w- C:\_AT-Destroyer
      2013-03-21 20:13 . 2013-03-21 20:13 -------- d-----w- c:\users\user\AppData\Roaming\SUPERAntiSpyware.com
      2013-03-21 20:13 . 2013-03-21 22:04 -------- d-----w- c:\program files\SUPERAntiSpyware
      2013-03-21 20:13 . 2013-03-21 20:13 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
      2013-03-21 17:39 . 2013-03-21 17:39 -------- d-----w- c:\users\user\AppData\Roaming\Malwarebytes
      2013-03-21 17:39 . 2013-03-21 17:39 -------- d-----w- c:\programdata\Malwarebytes
      2013-03-21 17:39 . 2013-03-21 23:04 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
      2013-03-21 17:38 . 2013-03-21 17:38 -------- d-----w- c:\users\user\AppData\Local\Programs
      2013-03-05 19:31 . 2013-03-05 19:31 -------- d-----w- c:\program files\Common Files\Skype
      .
      .
      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2013-03-16 14:21 . 2012-08-07 23:29 693976 ----a-w- c:\windows\system32\FlashPlayerApp.exe
      2013-03-16 14:21 . 2011-08-06 21:33 73432 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
      2013-03-06 23:32 . 2011-08-06 15:48 228600 ----a-w- c:\windows\system32\aswBoot.exe
      2013-01-05 05:00 . 2013-02-13 14:38 3967848 ----a-w- c:\windows\system32\ntkrnlpa.exe
      2013-01-05 05:00 . 2013-02-13 14:38 3913064 ----a-w- c:\windows\system32\ntoskrnl.exe
      2013-01-04 04:50 . 2013-02-13 14:37 169984 ----a-w- c:\windows\system32\winsrv.dll
      2013-01-04 03:00 . 2013-02-13 14:38 2347008 ----a-w- c:\windows\system32\win32k.sys
      2013-01-03 05:05 . 2013-02-13 14:38 1293672 ----a-w- c:\windows\system32\drivers\tcpip.sys
      2013-01-03 05:04 . 2013-02-13 14:38 187752 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
      2012-09-04 22:31 . 2011-08-06 15:50 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
      .
      .
      ------- Sigcheck -------
      Note: Unsigned files aren't necessarily malware.
      .
      [-] 2010-11-20 . 8626F0C30D4E3564FFDD25C90F4426F1 . 811520 . . [6.1.7601.17514] . . c:\windows\System32\user32.dll
      [7] 2010-11-20 . F1DD3ACAEE5E6B4BBC69BC6DF75CEF66 . 811520 . . [6.1.7601.17514] . . c:\windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_cf3fd62ccb9e983d\user32.dll
      [7] 2009-07-14 . 34B7E222E81FAFA885F0C5F2CFA56861 . 811520 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_cd0ec264ceb014a3\user32.dll
      .
      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrive1]
      @="{F241C880-6982-4CE5-8CF7-7085BA96DA5A}"
      [HKEY_CLASSES_ROOT\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A}]
      2012-10-04 05:38 220632 ----a-w- c:\users\user\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveShell.dll
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrive2]
      @="{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}"
      [HKEY_CLASSES_ROOT\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}]
      2012-10-04 05:38 220632 ----a-w- c:\users\user\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveShell.dll
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrive3]
      @="{BBACC218-34EA-4666-9D7A-C78F2274A524}"
      [HKEY_CLASSES_ROOT\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524}]
      2012-10-04 05:38 220632 ----a-w- c:\users\user\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveShell.dll
      .
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "NokiaSuite.exe"="c:\program files\Nokia\Nokia Suite\NokiaSuite.exe" [2012-02-01 1083264]
      "Spotify"="c:\users\user\AppData\Roaming\Spotify\Spotify.exe" [2013-01-19 7880664]
      "Spotify Web Helper"="c:\users\user\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2013-01-19 1199576]
      "Skype"="c:\program files\Skype\Phone\Skype.exe" [2013-01-08 18709248]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-30 98304]
      "BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
      "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-07-29 7625248]
      "ToshibaServiceStation"="c:\program files\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" [2011-02-11 1295736]
      "TWebCamera"="c:\program files\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" [2009-08-29 2446648]
      "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2010-06-10 49208]
      "lxczbmgr.exe"="c:\program files\Lexmark 1200 Series\lxczbmgr.exe" [2009-04-27 74408]
      "APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-28 59280]
      "AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-03-15 499608]
      "SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
      "AdobeCS5.5ServiceManager"="c:\program files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]
      "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-09-10 421776]
      "TkBellExe"="c:\program files\Real\RealPlayer\Update\realsched.exe" [2012-10-14 296096]
      "UIExec"="c:\program files\Internet Movil Claro\UIExec.exe" [2012-05-11 156448]
      "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "ConsentPromptBehaviorAdmin"= 5 (0x5)
      "ConsentPromptBehaviorUser"= 3 (0x3)
      "EnableUIADesktopToggle"= 0 (0x0)
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "aux"=wdmaud.drv
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
      2012-01-18 19:02 254696 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
      .
      R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
      R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [x]
      R3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [x]
      R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [x]
      R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [x]
      R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
      R3 WatAdminSvc;Servicio de tecnologías de activación de Windows;c:\windows\system32\Wat\WatAdminSvc.exe [x]
      S1 aswKbd;aswKbd; [x]
      S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [x]
      S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
      S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [x]
      S2 epfwwfpr;epfwwfpr;c:\windows\system32\DRIVERS\epfwwfpr.sys [x]
      S2 UI Assistant Service;UI Assistant Service;c:\program files\Internet Movil Claro\AssistantServices.exe [x]
      S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [x]
      S3 RTL8167;Controlador NT de Realtek 8167;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
      S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [x]
      S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [x]
      S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [x]
      S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [x]
      S3 TMachInfo;TMachInfo;c:\program files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [x]
      .
      .
      Contents of the 'Scheduled Tasks' folder
      .
      2013-03-22 c:\windows\Tasks\Adobe Flash Player Updater.job
      - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-07 14:21]
      .
      2013-03-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2012-03-02 16:32]
      .
      2013-03-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2012-03-02 16:32]
      .
      2013-03-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1302129703-2727273900-2193221580-1000Core.job
      - c:\users\user\AppData\Local\Google\Update\GoogleUpdate.exe [2012-03-01 16:32]
      .
      2013-03-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1302129703-2727273900-2193221580-1000UA.job
      - c:\users\user\AppData\Local\Google\Update\GoogleUpdate.exe [2012-03-01 16:32]
      .
      .
      ------- Supplementary Scan -------
      .
      uStart Page = Google
      mStart Page = Google
      uInternet Settings,ProxyOverride = *.local
      IE: &Enviar a OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
      IE: E&xportar a Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
      Trusted Zone: elenalandinez.com\www
      Trusted Zone: gmail.com
      Trusted Zone: gmail.com\www
      Trusted Zone: google.com.co\www
      Trusted Zone: grupobancolombia.com\www
      TCP: DhcpNameServer = 200.13.249.101 200.13.224.254
      TCP: Interfaces\{0793B05F-4104-4A28-A9EE-518AD56394E4}: NameServer = 8.8.8.8 190.157.8.1
      FF - ProfilePath - c:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\6147rx2y.default\
      FF - prefs.js: browser.startup.homepage - hxxp://google.com
      FF - prefs.js: keyword.URL - hxxps://www.google.com/search?q=
      FF - prefs.js: browser.search.selectedEngine - Google
      FF - prefs.js: browser.search.defaulturl - Google
      FF - prefs.js: network.proxy.type - 0
      FF - ExtSQL: !HIDDEN! 2012-02-16 14:33; {1FD91A9C-410C-4090-BBCC-55D3450EF433}; c:\program files\Windows iLivid Toolbar\Datamngr\FirefoxExtension
      .
      .
      ------- File Associations -------
      .
      .scr=AutoCADScriptFile
      .
      .
      --------------------- LOCKED REGISTRY KEYS ---------------------
      .
      [HKEY_USERS\S-1-5-21-1302129703-2727273900-2193221580-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.download\UserChoice]
      @Denied: (2) (LocalSystem)
      "Progid"="SafariDownload"
      .
      [HKEY_USERS\S-1-5-21-1302129703-2727273900-2193221580-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
      @Denied: (2) (S-1-5-21-1302129703-2727273900-2193221580-1000)
      @Denied: (2) (LocalSystem)
      "Progid"="ChromeHTML"
      .
      [HKEY_USERS\S-1-5-21-1302129703-2727273900-2193221580-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
      @Denied: (2) (S-1-5-21-1302129703-2727273900-2193221580-1000)
      @Denied: (2) (LocalSystem)
      "Progid"="ChromeHTML"
      .
      [HKEY_USERS\S-1-5-21-1302129703-2727273900-2193221580-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.safariextz\UserChoice]
      @Denied: (2) (LocalSystem)
      "Progid"="SafariExtension"
      .
      [HKEY_USERS\S-1-5-21-1302129703-2727273900-2193221580-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
      @Denied: (2) (S-1-5-21-1302129703-2727273900-2193221580-1000)
      @Denied: (2) (LocalSystem)
      "Progid"="ChromeHTML"
      .
      [HKEY_USERS\S-1-5-21-1302129703-2727273900-2193221580-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.svg\UserChoice]
      @Denied: (2) (LocalSystem)
      "Progid"="SafariHTML"
      .
      [HKEY_USERS\S-1-5-21-1302129703-2727273900-2193221580-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.webarchive\UserChoice]
      @Denied: (2) (LocalSystem)
      "Progid"="SafariHTML"
      .
      [HKEY_USERS\S-1-5-21-1302129703-2727273900-2193221580-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
      @Denied: (2) (S-1-5-21-1302129703-2727273900-2193221580-1000)
      @Denied: (2) (LocalSystem)
      "Progid"="ChromeHTML"
      .
      [HKEY_USERS\S-1-5-21-1302129703-2727273900-2193221580-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
      @Denied: (2) (S-1-5-21-1302129703-2727273900-2193221580-1000)
      @Denied: (2) (LocalSystem)
      "Progid"="ChromeHTML"
      .
      [HKEY_USERS\S-1-5-21-1302129703-2727273900-2193221580-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xml\UserChoice]
      @Denied: (2) (LocalSystem)
      "Progid"="SafariHTML"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="FlashBroker"
      "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
      "Enabled"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
      @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="IFlashBroker5"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
      @="{00020424-0000-0000-C000-000000000046}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      "Version"="1.0"
      .
      [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      .
      [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      .
      [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      .
      [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      .
      [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      .
      [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      .
      [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      .
      [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
      @Denied: (Full) (Everyone)
      .
      Completion time: 2013-03-22 01:17:21
      ComboFix-quarantined-files.txt 2013-03-22 06:17
      ComboFix2.txt 2013-03-22 01:00
      .
      Pre-Run: 199.745.843.200 bytes libres
      Post-Run: 199.411.871.744 bytes libres
      .
      - - End Of File - - 0E12E2F9488D0301E156B60623C2627C

    4. #4
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Re: problema con rootkit

      Hola :


      Como has llegado a la conclusión que es un rootkit?? Que herramienta te ha dicho que lo es ?

      Es importante que respondas.


      Ademas detalla que sintoma tiene el equipo???

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de siayer
      Registrado
      sep 2007
      Ubicación
      colombia
      Mensajes
      59

      Re: problema con rootkit

      porque cuando estoy escribiendo el teclado de pronto se frena presiono cualquier tecla no presiona por unos segundos, también intento dar click derecho a cualquier aplicación no me deja intenta salir pero se cierra enseguida y al iniciar windows me sale \noexecute=optin

    6. #6
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Re: problema con rootkit

      Hola siayer:


      Pues no es un síntoma excluyente de Rootkit.


      Tu equipo es un notebook o de escritorio?


      y al iniciar windows me sale \noexecute=optin

      Recuerdas si instalaste algo antes del problema?


      Realiza lo siguiente:


      Ve a Inicio >>> Ejecutar >>> escribes msconfig >>> enter.


      Toma una imagen de la Pestaña Arranque y la subes:

      ¿Cómo subir imágenes al Foro? *TUTORIAL*


      Con mucha atención realizas lo siguiente:


      1.-Abrir el Notepad (Bloc de Notas)
      • Ir a INICIO >>> EJECUTAR >>>
      • Escribir notepad.exe presionas ACEPTAR

      2.-Ahora copia y pega estos archivos dentro del Notepad. (Se excluye la palabra código)

      Código:
      KillAll::
      
      ClearJavaCache:: 
      
      File:: 
      c:\windows\system32\aswBoot.exe
      
      Folder::
       c:\program files\Windows iLivid Toolbar
      
      Driver::
      aswKbd
      
      FireFox::
      FF - ProfilePath - c:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\6147rx2y.default\
      FF - ExtSQL: !HIDDEN! 2012-02-16 14:33; {1FD91A9C-410C-4090-BBCC-55D3450EF433}; c:\program files\Windows iLivid Toolbar\Datamngr\FirefoxExtension
      3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

      4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

      • Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente?



      Descarga UsbFix a tu escritorio y lo ejecutas de este modo:
      1. Conecte todos sus dispositivos extraibles, Pendrive\Micro SD, etc.
      2. Haga doble Click sobre USBFix
      3. Pulse sobre la opción Supresión
      4. Aparecera una advertencia para que conecte sus USB, pulse en Aceptar y proceso de desinfección/vacunación se iniciará.
      5. Durante el análisis el escritorio puede desaparecer, esto es normal, si USBFix le pide reiniciar el sistema acepte y reinicie su equipo.
      6. Al finalizar, USBFix genera un reporte, el cual se encuentra generalmente en C:\USBFix.txt debe pegar su contenido en el próximo mensaje


      Nota: UsbFix creará una carpeta oculta llamada "$RECYCLE.BIN" "autorun.inf" en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimine esta carpeta ... eso le ayudará a proteger sus dispositivos USB de futuras infecciones.

      Nos traes los reportes, comentando como sigue todo.

      Salu2.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Usuario Avatar de siayer
      Registrado
      sep 2007
      Ubicación
      colombia
      Mensajes
      59

      Re: problema con rootkit

      sigue igual aveces puedo dar click derecho otras no al inciciar siempre me sale la informacion \noexecute=optin si tengo conectado algun dispositivo pita y pita hasta que presione suprimir sea arrancar del cd o usb conectada
      estos son los logs realizados

      ############################## | UsbFix V 7.117 | [Buscar]

      Usuario: francisco (Administrador) # FRANCISCO-PC
      Actualizado el 21/03/2013 por El Desaparecido
      Comenzó a 01:28:21 | 23/03/2013

      Sitio web: SosVirus
      Upload Malware: Upload SosVirus
      Contacto: [email protected]

      PC: TOSHIBA (Satellite L505D) (X86-based PC)
      CPU: AMD Turion(tm) II Dual-Core Mobile M520 (2294)
      RAM -> [Total : 3580 | Free : 3002]
      BIOS: InsydeH2O Version 1.10
      BOOT: Fail-safe boot

      OS: Microsoft Windows 7 Ultimate (6.1.7600 32-Bit) #
      WB: Windows Internet Explorer 8.0.7600.16385

      SC: Security Center Service [Enabled]
      WU: Windows Update Service [Enabled]
      AS: Windows Defender [Enabled | Updated]
      FW: Windows FireWall Service [Enabled]

      C:\ (%systemdrive%) -> Disco fijo # 100 Gb (88 Mb libre(s) - 88%) [] # NTFS
      D:\ -> Disco fijo # 188 Gb (188 Mb libre(s) - 100%) [] # NTFS
      E:\ -> Disco fijo # 9 Gb (9 Mb libre(s) - 99%) [] # NTFS
      F:\ -> CD-ROM
      G:\ -> Disco fijo # 932 Gb (769 Mb libre(s) - 83%) [PiSon] # NTFS

      ################## | Procesos Activos |

      C:\Windows\system32\csrss.exe (300)
      C:\Windows\system32\wininit.exe (336)
      C:\Windows\system32\csrss.exe (348)
      C:\Windows\system32\services.exe (404)
      C:\Windows\system32\lsass.exe (412)
      C:\Windows\system32\lsm.exe (420)
      C:\Windows\system32\winlogon.exe (460)
      C:\Windows\system32\svchost.exe (548)
      C:\Windows\system32\svchost.exe (608)
      C:\Windows\System32\svchost.exe (708)
      C:\Windows\system32\svchost.exe (748)
      C:\Program Files\SUPERAntiSpyware\SASCORE.EXE (824)
      C:\Windows\system32\svchost.exe (848)
      C:\Windows\System32\svchost.exe (880)
      C:\Windows\Explorer.EXE (1100)
      C:\Windows\system32\ctfmon.exe (1144)
      C:\Windows\system32\wbem\wmiprvse.exe (1476)
      C:\UsbFix\Go.exe (1780)

      ################## | Archivos # Carpetas infectadas |


      ################## | Registro |

      Encontrado ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools

      ################## | Mountpoints2 |



      ################## | Vaccin |

      C:\Autorun.inf -> Vacuna creada por UsbFix (El Desaparecido)
      D:\Autorun.inf -> Vacuna creada por UsbFix (El Desaparecido)
      E:\Autorun.inf -> Vacuna creada por UsbFix (El Desaparecido)

      ################## | E.O.F | SosVirus |



      ComboFix 13-03-21.02 - francisco 23/03/2013 1:14.1.2 - x86
      Microsoft Windows 7 Ultimate 6.1.7600.0.1252.34.3082.18.3580.2693 [GMT 1:00]
      Running from: c:\users\francisco\Desktop\ComboFix.exe
      Command switches used :: c:\users\francisco\Desktop\CFScript.txt
      SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
      * Created a new restore point
      .
      FILE ::
      "c:\windows\system32\aswBoot.exe"
      .
      .
      ((((((((((((((((((((((((( Files Created from 2013-02-23 to 2013-03-23 )))))))))))))))))))))))))))))))
      .
      .
      2013-03-22 22:53 . 2013-03-22 22:53 58368 ----a-w- C:\MbrFix.exe
      2013-03-22 22:20 . 2013-02-19 02:58 6954968 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{9A573F2D-98DF-4799-8673-7C24EF1C6D3E}\mpengine.dll
      2013-03-22 22:20 . 2013-01-17 00:28 232336 ------w- c:\windows\system32\MpSigStub.exe
      2013-03-22 22:13 . 2013-03-22 22:13 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
      2013-03-22 22:13 . 2013-03-22 22:13 -------- d-----w- c:\programdata\Malwarebytes
      2013-03-22 22:13 . 2012-12-14 15:49 21104 ----a-w- c:\windows\system32\drivers\mbam.sys
      2013-03-22 22:09 . 2013-03-22 22:16 -------- d-sh--w- c:\windows\Installer
      2013-03-22 22:04 . 2013-03-22 22:10 -------- d-----w- c:\program files\Google
      2013-03-22 22:04 . 2013-03-22 22:04 -------- d-----w- c:\program files\SUPERAntiSpyware
      2013-03-22 22:04 . 2013-03-22 22:04 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
      2013-03-22 22:01 . 2013-03-22 22:01 0 ----a-w- c:\windows\ativpsrm.bin
      2013-03-22 21:35 . 2012-02-15 05:44 826368 ----a-w- c:\windows\system32\rdpcore.dll
      2013-03-22 21:35 . 2012-02-15 04:22 177152 ----a-w- c:\windows\system32\drivers\rdpwd.sys
      2013-03-22 21:35 . 2012-02-15 04:22 24064 ----a-w- c:\windows\system32\drivers\tdtcp.sys
      2013-03-22 21:35 . 2010-01-09 06:52 132608 ----a-w- c:\windows\system32\cabview.dll
      2013-03-22 15:31 . 2013-03-22 23:21 -------- d-----w- c:\windows\system32\wbem\Performance
      2013-03-22 15:31 . 2012-06-02 22:19 53784 ----a-w- c:\windows\system32\wuauclt.exe
      2013-03-22 15:31 . 2012-06-02 22:19 45080 ----a-w- c:\windows\system32\wups2.dll
      2013-03-22 15:31 . 2012-06-02 22:19 1933848 ----a-w- c:\windows\system32\wuaueng.dll
      2013-03-22 15:31 . 2012-06-02 22:12 2422272 ----a-w- c:\windows\system32\wucltux.dll
      2013-03-22 15:30 . 2012-06-02 22:19 35864 ----a-w- c:\windows\system32\wups.dll
      2013-03-22 15:30 . 2012-06-02 22:19 577048 ----a-w- c:\windows\system32\wuapi.dll
      2013-03-22 15:30 . 2012-06-02 22:12 88576 ----a-w- c:\windows\system32\wudriver.dll
      2013-03-22 15:30 . 2012-06-02 14:19 171904 ----a-w- c:\windows\system32\wuwebv.dll
      2013-03-22 15:30 . 2012-06-02 14:12 33792 ----a-w- c:\windows\system32\wuapp.exe
      2013-03-22 15:09 . 2013-03-22 15:27 -------- d-----w- c:\windows\Panther
      .
      .
      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      .
      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4
      .
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-11-01 4763008]
      "RESTART_STICKY_NOTES"="c:\windows\System32\StikyNot.exe" [2009-07-14 354304]
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "ConsentPromptBehaviorAdmin"= 5 (0x5)
      "ConsentPromptBehaviorUser"= 3 (0x3)
      "EnableUIADesktopToggle"= 0 (0x0)
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "aux"=wdmaud.drv
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
      @=""
      .
      R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [x]
      R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [x]
      R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
      R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]
      R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
      R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
      R3 RTL8167;Controlador NT de Realtek 8167;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
      R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [x]
      R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [x]
      R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [x]
      S2 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCORE.EXE [x]
      .
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
      2013-03-22 22:10 1629648 ----a-w- c:\program files\Google\Chrome\Application\25.0.1364.172\Installer\chrmstp.exe
      .
      Contents of the 'Scheduled Tasks' folder
      .
      2013-03-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2013-03-22 22:04]
      .
      2013-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2013-03-22 22:04]
      .
      2013-03-22 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task 50edccc4-64b8-40d6-85e5-da0cf07ece36.job
      - c:\program files\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
      .
      2013-03-22 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task 712546fe-8045-4143-92a6-148d980e34f7.job
      - c:\program files\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
      .
      .
      ------- Supplementary Scan -------
      .
      TCP: DhcpNameServer = 200.13.249.101 200.13.224.254
      .
      .
      --------------------- LOCKED REGISTRY KEYS ---------------------
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
      @Denied: (Full) (Everyone)
      .
      ------------------------ Other Running Processes ------------------------
      .
      c:\windows\system32\conhost.exe
      c:\windows\helppane.exe
      .
      **************************************************************************
      .
      Completion time: 2013-03-23 01:23:53 - machine was rebooted
      ComboFix-quarantined-files.txt 2013-03-23 00:23
      .
      Pre-Run: 94.441.218.048 bytes libres
      Post-Run: 94.508.756.992 bytes libres
      .
      - - End Of File - - 063F515F4B38BB18F9DAA34F4D3EEAB0

    8. #8
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Re: problema con rootkit

      Hola:


      Faltaría la imagen que te pedí en el punto de mi anterior respuesta.



      Salu2.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    9. #9
      Usuario Avatar de siayer
      Registrado
      sep 2007
      Ubicación
      colombia
      Mensajes
      59

      Re: problema con rootkit

      Hola



    10. #10
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Re: problema con rootkit

      Hola :


      Una consulta tu equipo inicia en Modo Normal?


      Tu equipo es un notebook o de escritorio?




      Realiza lo siguiente:


      Descarga TDSSKiller.zip a tu escritorio.

      Desconecta tu ordenador de Internet (Desconecta el cable).


      • Descomprime el archivo Tdsskiller.zip
      • Ejecuta el archivo TDSSKiller.exe Si usas Vista o 7 presiona clic derecho ejecutar como administrador.
      • Presiona clic sobre


      Marca todas las casillas:



      Presiona clic sobre el botón .


      TDSSKiller comenzara a analizar el equipo.


      • Si el equipo no está infectado:
      • Mostrara
      • No threats found.
      • Presiona clic sobre el botón "Close"



      • Si el equipo está infectado:
      • Mostrara:
      • Threats detected.
      • Select action for found objects:


      • Malware object, high risk. La acción predeterminada es "Cure" o "Delete".
      • Suspicious object, medium risk. Usa siempre la opción "Skip"
      • El programa selecciona de forma automática la acción a tomar.


      • Presiona clic sobre el botón "Continue"
      • Para desinfectar correctamente el Sistema, puede solicitarle reiniciar el equipo.
      • Presiona clic sobre el botón


      • Abre el reporte de TDSSKiller, ubicado en C:\TDSSKiller.x.xx.x_xx.xx.xxxx_xx.xx.xx_log.txt, donde "x.xx.x_xx.xx.xxxx_xx.xx.xx" son versión, fecha y hora.
      • Copia y pega su contenido en tu próxima respuesta.



      Salu2.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    Página 1 de 2 12 ÚltimoÚltimo