Mensajes

 Equinoxe , esa no es la solución, la solución es limpiar el problema que tengo.

#!drvy , si lees mis mensajes antiguos, están llenos de logs, si quieres puedo volverlos a poner más ordenadamente,pero repetiria más lo mismo.

Usuarios del foro me dijeron la forma como sacarmelo, pero no puedo por falta económica y por que no me lo reparan en ninguna tienda de mi zona, haciendome perder tiempo y dinero...

Haré un resumen:

Tengo un intruso:solo hay  mi pc, el pc de mi madre y el router, pero sale esto:

   IP            At MAC Address      Count  Len   MAC Vendor                   
-----------------------------------------------------------------------------
222.222.222.2   10:fe:ed:71:59:8a    611    36660   Unknown vendor           
222.222.222.26  f8:a9:63:a6:70:57    5189    311340   Unknown vendor         
0.0.0.0         f8:a9:63:a6:70:57    4683    280980   Unknown vendor         
222.222.222.23  78:24:af:39:5c:ad    2300    138000   Unknown vendor         
222.222.222.2   78:24:af:39:5c:ad    639    38340   Unknown vendor         

El host 0.0.0.0 esta con los siguientes servicios:

host                name                 port                  proto                                info

0.0.0.0              rpcbind              111                  tcp            2-4 RPC # 100000
0.0.0.0              http                    3790                 tcp           nginx
0.0.0.0              meterpreter      20378                tcp          Metasploit meterpreter BACKDOOR
0.0.0.0               status               56430                tcp         1 RPC   # 100024

El programa OTL detecta zeroacces:

========== ZeroAccess Check ==========


[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2015/07/19 16:45:54 | 021,192,024 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2015/07/19 16:45:54 | 018,634,248 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2015/07/19 16:45:54 | 000,921,088 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2015/07/19 16:45:54 | 000,691,712 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2015/07/19 16:45:54 | 000,483,840 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

========== LOP Check ==========


========== Purity Check ==========



========== Custom Scans ==========

< :Files

>
[2015/07/19 16:45:54 | 000,000,006 | -H-- | C] () -- C:\Windows\Tasks\SA.DAT

< C:\Users\hp\AppData\Local\Temp\NOD9221.tmp
>

< C:\Users\hp\AppData\Local\Temp\*.*

>

< >

< :Commands

>

< [EmptyFlash]

>

< [EmptyTemp]

>

< [EmptyJava]
>

< End of report >


La última parte de rkhunter detecta algo:

Info: Starting test name 'filesystem'
[17:27:49] Performing filesystem checks
[17:27:49] Info: SCAN_MODE_DEV set to 'THOROUGH'
[17:27:49]   Checking /dev for suspicious file types         [ Warning ]
[17:27:50] Warning: Suspicious file types found in /dev:
[17:27:50]          /dev/.udev/rules.d/root.rules: ASCII text
[17:27:50]   Checking for hidden files and directories       [ Warning ]
[17:27:50] Warning: Hidden directory found: '/etc/.java: directory '
[17:27:50] Warning: Hidden directory found: '/dev/.udev: directory '
[17:27:50] Warning: Hidden file found: /dev/.blkid.tab: ASCII text
[17:27:50] Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text
[17:27:50] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
[17:28:47]
[17:28:47] Info: Test 'apps' disabled at users request.
[17:28:47]
[17:28:47] System checks summary
[17:28:47] =====================
[17:28:47]
[17:28:47] File properties checks...
[17:28:47] Files checked: 140
[17:28:47] Suspect files: 0
[17:28:47]
[17:28:47] Rootkit checks...
[17:28:47] Rootkits checked : 292
[17:28:47] Possible rootkits: 0
[17:28:47]
[17:28:47] Applications checks...
[17:28:47] All checks skipped
[17:28:47]
[17:28:47] The system checks took: 3 minutes and 21 seconds
[17:28:47]
[17:28:47] Info: End date is mer  2 set 2015, 17.28.47, CEST



El log de chkrootkit detecta muchas cosas, hago un resumen por que es muy largo el log:

Host key verification failed.
ssh_kex: BN_new failed
ssh_kex: BN_set_word failed
ssh_kex: BN_lshift failed
ssh_kex: BN_add_word failed
Encryption type: %.100s
Sent encrypted session key.
Server refused our key.
Bad passphrase.
RSA authentication refused.
%.30s@%.128s's password:
Permission denied.
Doing challenge response authentication.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS
Permission denied, please try again.
WARNING: Encryption is disabled! Response will be transmitted in clear text.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS_RESPONSE
respond_to_rsa_challenge: rsa_private_decrypt failed
respond_to_rsa_challenge: bad challenge length %d
Sending response to host key RSA challenge.
Waiting for server public key.
Warning: Server lies about size of server public key: actual size is %d bits vs. announced %d.
Warning: This may be due to an old implementation of ssh.
Warning: Server lies about size of server host key: actual size is %d bits vs. announced %d.
Received server public key (%d bits) and host key (%d bits).




Trying RSA authentication with key '%.100s'
try_rsa_authentication: BN_new failed
Enter passphrase for RSA key '%.100s':
no passphrase given, try next key
bad passphrase given, try again...
Doing password authentication.
WARNING: Encryption is disabled! Password will be transmitted in clear text.
Protocol error: got %d in response to passwd auth
respond_to_rsa_challenge
explicit
key: %s (%p),%s
input_userauth_banner
no such identity: %s: %s






@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
The %s host key for %s has changed,
and the key for the corresponding IP address %s
%s. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in %s:%lu
Update the SSHFP RR in DNS with the new host key to get rid of this message.
Couldn't execute %s -c "%s": %s




@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the %s key sent by the remote host is
Please contact your system administrator.
ssh_connect: getnameinfo failed
Connecting to %.200s [%.100s] port %s.
Bogus return (%d) from select()
connect to address %s port %s: %s
setsockopt SO_KEEPALIVE: %.100s
ssh: connect to host %s port %s: %s
Could not create socketpair to communicate with proxy dialer: %.100s
Executing proxy dialer command: %.500s
proxy dialer did not pass back a connection
Could not create pipes to communicate with the proxy: %.100s





Warning: Permanently added '%.200s' (%s) to the list of known hosts.
@ WARNING: REVOKED HOST KEY DETECTED! @
The %s host key for %s is marked as revoked.
This could mean that a stolen key is being used to
%s host key for %.200s was revoked and you have requested strict checking.
Host certificate authority does not match %s in %s:%lu
Add correct host key in %.100s to get rid of this message.
remove with: ssh-keygen -f "%s" -R %s
%s host key for %.200s has changed and you have requested strict checking.
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
Challenge/response authentication is disabled to avoid man-in-the-middle attacks.
Agent forwarding is disabled to avoid man-in-the-middle attacks.
X11 forwarding is disabled to avoid man-in-the-middle attacks.
Port forwarding is disabled to avoid man-in-the-middle attacks.
Tunnel forwarding is disabled to avoid man-in-the-middle attacks.
Error: forwarding disabled due to host key check failure
Warning: the %s host key for '%.200s' differs from the key for the IP address '%.128s'
Offending key for IP in %s:%lu
Exiting, you have requested strict checking.
Are you sure you want to continue connecting (yes/no)?
No matching CA found. Retry with plain key
Host '%.200s' is known and matches the %s host %s.




Could not load "%s" as a RSA1 public key
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
Permissions 0%3.3o for '%s' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
could not open key file '%s': %s
bad permissions: ignore key: %s
%s: certificate does not match private key %s
%s: could not open keyfile "%s": %s


El avast mbr detectaba muchas cosas en el disco duro, esto pude repararlo:

aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2015-07-06 16:23:33
-----------------------------
16:23:33.202 OS Version: Windows x64 6.2.9200
16:23:33.202 Number of processors: 4 586 0x3C03
16:23:33.202 ComputerName: V UserName: f
16:23:36.071 Initialize success
16:23:36.071 VM: initialized successfully
16:23:36.071 VM: Intel CPU BiosDisabled
16:27:23.416 AVAST engine defs: 15070601
16:27:42.857 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000032
16:27:42.857 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 11
16:27:42.997 Disk 0 MBR read successfully
16:27:42.997 Disk 0 MBR scan
16:27:42.997 Disk 0 unknown MBR code
16:27:43.013 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
16:27:43.122 Disk 0 scanning C:\Windows\system32\drivers
16:27:53.650 Service scanning
16:28:01.402 Disk 0 statistics 109843/0/0 @ 9,45 MB/s
16:28:01.402 Scan stopped
16:30:30.556 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000032
16:30:30.556 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 11
16:30:30.624 Disk 0 MBR read successfully
16:30:30.624 Disk 0 MBR scan
16:30:30.640 Disk 0 unknown MBR code
16:30:30.643 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
16:30:30.710 Disk 0 scanning C:\Windows\system32\drivers
16:30:41.118 Service scanning
16:31:01.839 Modules scanning
16:31:01.839 Disk 0 trace - called modules:
16:31:01.886 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys storahci.sys hal.dll
16:31:01.901 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe00001927770]
16:31:01.901 3 CLASSPNP.SYS[fffff80000936abb] -> nt!IofCallDriver -> [0xffffe000001f9640]
16:31:01.917 5 ACPI.sys[fffff8000044f5f1] -> nt!IofCallDriver -> \Device\00000032[0xffffe0000173c060]
16:31:04.451 AVAST engine scan C:\
18:09:24.354 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_6.3.9600.16415_none_40f6b809cfbbe7eb\winload.efi **HIDDEN**
18:09:25.045 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_6.3.9600.16415_none_40f6b809cfbbe7eb\winload.exe **HIDDEN**
18:09:25.243 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ore-bootmanager-efi_31bf3856ad364e35_6.3.9600.16415_none_788bfa86701d3473\bootmgfw.efi **HIDDEN**
18:09:25.416 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ore-bootmanager-efi_31bf3856ad364e35_6.3.9600.16415_none_788bfa86701d3473\bootmgr.efi **HIDDEN**
18:09:25.645 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winload.efi **HIDDEN**
18:09:25.826 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winload.exe **HIDDEN**
18:09:26.049 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winresume.efi **HIDDEN**
18:09:26.229 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winresume.exe **HIDDEN**
18:09:26.459 File: C:\Windows\WinSxS\amd64_microsoft-windows-c..esources-mrmindexer_31bf3856ad364e35_6.3.9600.16412_none_59be9d25a315a723\MrmIndexer.dll **HIDDEN**
18:09:26.631 File: C:\Windows\WinSxS\amd64_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16412_none_dc86bb0c35a4f819\MrmCoreR.dll **HIDDEN**
18:09:26.772 File: C:\Windows\WinSxS\amd64_microsoft-windows-crypt32-dll.resources_31bf3856ad364e35_6.3.9600.16431_es-es_bee3ab218e3e9225\crypt32.dll.mui **HIDDEN**
18:09:26.977 File: C:\Windows\WinSxS\amd64_microsoft-windows-crypt32-dll_31bf3856ad364e35_6.3.9600.16431_none_4c61328ab1a4f2bb\crypt32.dll **HIDDEN**
18:09:27.181 File: C:\Windows\WinSxS\amd64_microsoft-windows-d..pwindowmanager-udwm_31bf3856ad364e35_6.3.9600.16483_none_79507f65946fd76d\uDWM.dll **HIDDEN**
18:09:27.369 File: C:\Windows\WinSxS\amd64_microsoft-windows-directcomposition_31bf3856ad364e35_6.3.9600.16457_none_8e56744e159f2032\dcomp.dll **HIDDEN**
18:09:27.590 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-direct3d11_31bf3856ad364e35_6.3.9600.16455_none_e09820d5a189e081\d3d11.dll **HIDDEN**
18:09:27.795 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-direct3d11_31bf3856ad364e35_6.3.9600.16506_none_e0cf32a1a1606b4a\d3d11.dll **HIDDEN**
18:09:27.955 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-dxgi_31bf3856ad364e35_6.3.9600.16455_none_2b5e4a51f26a82e7\dxgi.dll **HIDDEN**
18:09:28.146 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-dxgi_31bf3856ad364e35_6.3.9600.16506_none_2b955c1df2410db0\dxgi.dll **HIDDEN**
18:09:28.400 File: C:\Windows\WinSxS\amd64_microsoft-windows-g..policy-admin-appmgr_31bf3856ad364e35_6.3.9600.16457_none_eb9b2e9489d57172\appmgr.dll **HIDDEN**
18:09:28.549 File: C:\Windows\WinSxS\amd64_microsoft-windows-hal_31bf3856ad364e35_6.3.9600.16500_none_9c39d4b32d63f333\hal.dll **HIDDEN**
18:09:28.675 File: C:\Windows\WinSxS\amd64_microsoft-windows-i..timezones.resources_31bf3856ad364e35_6.3.9600.16471_es-es_7406dfed55df12ea\tzres.dll.mui **HIDDEN**
18:09:28.847 File: C:\Windows\WinSxS\amd64_microsoft-windows-managementregistration_31bf3856ad364e35_6.3.9600.16459_none_cfd9442b5a19555f\mdmregistration.dll **HIDDEN**
18:09:28.988 File: C:\Windows\WinSxS\amd64_microsoft-windows-mdmagent_31bf3856ad364e35_6.3.9600.16459_none_35e08045f1f9a9c2\MDMAgent.exe **HIDDEN**
18:09:29.113 File: C:\Windows\WinSxS\amd64_microsoft-windows-mediafoundation-mfsvr_31bf3856ad364e35_6.3.9600.16502_none_afd0030d8ebbf918\mfsvr.dll **HIDDEN**
18:09:29.180 File: C:\Windows\WinSxS\amd64_microsoft-windows-microsoftrawcodec_31bf3856ad364e35_6.3.9600.16453_none_28b4e8b21dbe718f\MicrosoftRawCodec.dll **HIDDEN**
18:09:29.431 File: C:\Windows\WinSxS\amd64_microsoft-windows-msftedit_31bf3856ad364e35_6.3.9600.16436_none_c6c76b270afe3788\msftedit.dll **HIDDEN**
18:09:29.583 File: C:\Windows\WinSxS\amd64_microsoft-windows-msieftp.resources_31bf3856ad364e35_6.3.9600.16456_es-es_a5203b7534b06fd4\msieftp.dll.mui **HIDDEN**
18:09:29.796 File: C:\Windows\WinSxS\amd64_microsoft-windows-ntdll_31bf3856ad364e35_6.3.9600.16502_none_49e9c0e4cfe59aa2\ntdll.dll **HIDDEN**
18:09:30.042 File: C:\Windows\WinSxS\amd64_microsoft-windows-ntfs_31bf3856ad364e35_6.3.9600.16657_none_9753001bf0c78fae\ntfs.sys **HIDDEN**
18:09:30.104 File: C:\Windows\WinSxS\amd64_microsoft-windows-os-kernel_31bf3856ad364e35_6.3.9600.16452_none_5d0d32c188038f82\ntoskrnl.exe **HIDDEN**
18:09:30.245 File: C:\Windows\WinSxS\amd64_microsoft-windows-p..ns-platform-library_31bf3856ad364e35_6.3.9600.16456_none_7775637956939b58\wpncore.dll **HIDDEN**
18:09:30.417 File: C:\Windows\WinSxS\amd64_microsoft-windows-propsys_31bf3856ad364e35_7.0.9600.16504_none_8c565e6bb0a9770c\propsys.dll **HIDDEN**
18:09:30.620 File: C:\Windows\WinSxS\amd64_microsoft-windows-qedit_31bf3856ad364e35_6.3.9600.16650_none_4b76b1061b499c81\qedit.dll **HIDDEN**
18:09:30.756 File: C:\Windows\WinSxS\amd64_microsoft-windows-rdbss_31bf3856ad364e35_6.3.9600.16493_none_4a876987356975c9\rdbss.sys **HIDDEN**
18:09:30.975 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..client-ui-wscollect_31bf3856ad364e35_6.3.9600.16477_none_fa7f9a480571cb5c\WSCollect.exe **HIDDEN**
18:09:31.065 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..ivesyncprovisioning_31bf3856ad364e35_6.3.9600.16490_none_89c3e18dbff7edfe\easwrt.dll **HIDDEN**
18:09:31.205 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..l-bulkoperationhost_31bf3856ad364e35_6.3.9600.16457_none_914837f4e4470d31\BulkOperationHost.exe **HIDDEN**
18:09:31.283 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..l-classextension-v2_31bf3856ad364e35_6.3.9600.16444_none_2ecb238e3daa1a34\SerCx2.sys **HIDDEN**
18:09:31.442 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..spellcheck.binaries_31bf3856ad364e35_6.3.9600.16500_none_13de64650a759886\MsSpellCheckingFacility.dll **HIDDEN**
18:09:31.505 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_47d1f1bea0bcf7a8\jscript9.dll **HIDDEN**
18:09:31.661 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_47d1f1bea0bcf7a8\jscript9diag.dll **HIDDEN**
18:09:31.770 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-vbscript_31bf3856ad364e35_11.0.9600.16483_none_4c14ac3810e39986\vbscript.dll **HIDDEN**
18:09:32.007 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16412_none_70eb3d5bf6e9a73b\SettingSyncHost.exe **HIDDEN**
18:09:32.180 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16456_none_70c3fed3f7067c5b\SettingSyncHost.exe **HIDDEN**
18:09:32.352 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16503_none_70f70f77f6e0a1c8\SettingSyncHost.exe **HIDDEN**
18:09:32.508 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-exehost_31bf3856ad364e35_6.3.9600.16412_none_7801462afe7fff72\SkyDrive.exe **HIDDEN**
18:09:32.664 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-exehost_31bf3856ad364e35_6.3.9600.16456_none_77da07a2fe9cd492\SkyDrive.exe **HIDDEN**
18:09:32.874 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-syncengine_31bf3856ad364e35_6.3.9600.16412_none_1e0e65f728d5bb87\SyncEngine.dll **HIDDEN**
18:09:33.167 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-syncengine_31bf3856ad364e35_6.3.9600.16457_none_1de827b928f1a9fe\SyncEngine.dll **HIDDEN**
18:09:33.335 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-telemetry_31bf3856ad364e35_6.3.9600.16412_none_74bbf4d100a74e13\SkyDriveTelemetry.dll **HIDDEN**
18:09:33.476 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-client-ui-wshost_31bf3856ad364e35_6.3.9600.16477_none_044f612c83e1996e\WSHost.exe **HIDDEN**
18:09:33.607 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-client-wssls_31bf3856ad364e35_6.3.9600.16477_none_d57fef54fc014473\WSSls.dll **HIDDEN**
18:09:33.710 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16477_none_f7dc016adcf85683\OEMLicense.dll **HIDDEN**
18:09:33.799 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16477_none_f7dc016adcf85683\WSClient.dll **HIDDEN**
18:09:33.865 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16504_none_f824b1e6dcc2440e\OEMLicense.dll **HIDDEN**
18:09:33.966 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16504_none_f824b1e6dcc2440e\WSClient.dll **HIDDEN**
18:09:34.107 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-service_31bf3856ad364e35_6.3.9600.16477_none_b0b1e8558b04aa7a\WSMigPlugin.dll **HIDDEN**
18:09:34.292 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-service_31bf3856ad364e35_6.3.9600.16477_none_b0b1e8558b04aa7a\WSService.dll **HIDDEN**
18:09:34.480 File: C:\Windows\WinSxS\amd64_microsoft-windows-twinui-appcore_31bf3856ad364e35_6.3.9600.16443_none_82b15f082eaa980d\twinui.appcore.dll **HIDDEN**
18:09:34.595 File: C:\Windows\WinSxS\amd64_microsoft-windows-twinui.resources_31bf3856ad364e35_6.3.9600.16459_es-es_1f5bdae675b1606d\twinui.dll.mui **HIDDEN**
18:09:34.740 File: C:\Windows\WinSxS\amd64_microsoft-windows-vsssystemprovider_31bf3856ad364e35_6.3.9600.16523_none_3c313ce747e5eaa3\swprv.dll **HIDDEN**
18:09:34.928 File: C:\Windows\WinSxS\amd64_microsoft-windows-wmiv2-mdmappprov-dll_31bf3856ad364e35_6.3.9600.16459_none_46250ca37f7b8eee\MDMAppProv.dll **HIDDEN**
18:09:35.162 File: C:\Windows\WinSxS\amd64_microsoft-windows-wmpdmc-ux_31bf3856ad364e35_6.3.9600.16460_none_df337169cb4b3f3b\WMPDMC.exe **HIDDEN**
18:09:35.372 File: C:\Windows\WinSxS\amd64_netfx4-aspnet_wp_exe_b03f5f7f11d50a3a_4.0.9600.16470_none_318dd958165a9e39\aspnet_wp.exe **HIDDEN**
18:09:35.528 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_4894817b1ac401c2\clrjit.dll **HIDDEN**
18:09:35.740 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_4898996b1ac04d7d\clrjit.dll **HIDDEN**
18:09:35.956 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_31cbdc513466e02a\clrjit.dll **HIDDEN**
18:09:35.988 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_6484417b85bcf6a1\clr.dll **HIDDEN**
18:09:36.035 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_6488596b85b9425c\clr.dll **HIDDEN**
18:09:36.066 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_4dbb9c519f5fd509\clr.dll **HIDDEN**
18:09:36.260 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_09fd4e179a2ba331\mscordacwks.dll **HIDDEN**
18:09:36.423 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_0a0166079a27eeec\mscordacwks.dll **HIDDEN**
18:09:36.555 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_f334a8edb3ce8199\mscordacwks.dll **HIDDEN**
18:09:36.790 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_2b71ecf2acf422a1\mscordbi.dll **HIDDEN**
18:09:37.006 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_2b7604e2acf06e5c\mscordbi.dll **HIDDEN**
18:09:37.196 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_14a947c8c6970109\mscordbi.dll **HIDDEN**
18:09:37.243 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.16441_none_f9b2b614610d9cf0\mscorlib.ni.dll **HIDDEN**
18:09:37.268 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.16480_none_f9b6ce046109e8ab\mscorlib.ni.dll **HIDDEN**
18:09:37.299 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.20491_none_e2ea10ea7ab07b58\mscorlib.ni.dll **HIDDEN**
18:09:37.460 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_0bb54c2ccb0f9d87\SOS.dll **HIDDEN**
18:09:37.632 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_0bb9641ccb0be942\SOS.dll **HIDDEN**
18:09:37.773 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_f4eca702e4b27bef\SOS.dll **HIDDEN**
18:09:37.915 File: C:\Windows\WinSxS\amd64_netfx4-system.web.applicationservices_b03f5f7f11d50a3a_4.0.9600.16470_none_ae0b563009bdc82a\System.Web.ApplicationServices.dll **HIDDEN**
18:09:38.094 File: C:\Windows\WinSxS\amd64_netfx4-system.web.extensions_b03f5f7f11d50a3a_4.0.9600.16470_none_63bcc4b5e55acab6\System.Web.Extensions.dll **HIDDEN**
18:09:38.251 File: C:\Windows\WinSxS\amd64_netfx4-webengine4_dll_b03f5f7f11d50a3a_4.0.9600.16470_none_fcf0187c71a908e6\webengine4.dll **HIDDEN**
18:09:38.346 File: C:\Windows\WinSxS\amd64_netfx4-webengine_dll_b03f5f7f11d50a3a_4.0.9600.16470_none_417ec1c67e391c40\webengine.dll **HIDDEN**
18:09:38.569 File: C:\Windows\WinSxS\amd64_spaceport.inf_31bf3856ad364e35_6.3.9600.16452_none_06b4923c2a59d5ec\spaceport.sys **HIDDEN**
18:09:38.612 File: C:\Windows\WinSxS\amd64_system.web_b03f5f7f11d50a3a_4.0.9600.16470_none_75246152a818c5ea\System.Web.dll **HIDDEN**
18:09:38.776 File: C:\Windows\WinSxS\amd64_volume.inf_31bf3856ad364e35_6.3.9600.16523_none_06b4fa95cfdc3a92\volsnap.sys **HIDDEN**
18:09:38.918 File: C:\Windows\WinSxS\amd64_wdma_usb.inf_31bf3856ad364e35_6.3.9600.16490_none_5dc76c7e8add9f91\USBAUDIO.sys **HIDDEN**
18:09:39.058 File: C:\Windows\WinSxS\amd64_windows-defender-drivers_31bf3856ad364e35_6.3.9600.16452_none_e1a9e060c919ad4c\WdBoot.sys **HIDDEN**
18:09:39.143 File: C:\Windows\WinSxS\amd64_windows-defender-drivers_31bf3856ad364e35_6.3.9600.16452_none_e1a9e060c919ad4c\WdFilter.sys **HIDDEN**
18:09:39.233 File: C:\Windows\WinSxS\amd64_windows-defender-events.resources_31bf3856ad364e35_6.3.9600.16452_es-es_d39c34d4a8e5133a\MpEvMsg.dll.mui **HIDDEN**
18:09:39.315 File: C:\Windows\WinSxS\amd64_windows-defender-events_31bf3856ad364e35_6.3.9600.16452_none_4d7bb02565c50f4c\MpEvMsg.dll **HIDDEN**
18:09:39.462 File: C:\Windows\WinSxS\amd64_windows-defender-nis-drivers_31bf3856ad364e35_6.3.9600.16452_none_39f65d93853c90dd\WdNisDrv.sys **HIDDEN**
18:09:39.585 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisIpsPlugin.dll **HIDDEN**
18:09:39.674 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisLog.dll **HIDDEN**
18:09:39.768 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisSrv.exe **HIDDEN**
18:09:39.825 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisWfp.dll **HIDDEN**
18:09:39.904 File: C:\Windows\WinSxS\amd64_windows-defender-service.resources_31bf3856ad364e35_6.3.9600.16452_es-es_60657c64db006dfc\MpAsDesc.dll.mui **HIDDEN**
18:09:39.987 File: C:\Windows\WinSxS\amd64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_782e9bb181491069\EppManifest.dll.mui **HIDDEN**
18:09:40.065 File: C:\Windows\WinSxS\amd64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_782e9bb181491069\MsMpRes.dll.mui **HIDDEN**
18:09:40.206 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\EppManifest.dll **HIDDEN**
18:09:40.311 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\MSASCui.exe **HIDDEN**
18:09:40.428 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\MsMpRes.dll **HIDDEN**
18:09:40.553 File: C:\Windows\WinSxS\amd64_windows-id-connecte..nt-provider-wlidcli_31bf3856ad364e35_6.3.9600.16453_none_91c6da4b8d50f772\wlidcli.dll **HIDDEN**
18:09:40.725 File: C:\Windows\WinSxS\amd64_windows-services-instrumentation-winbici_31bf3856ad364e35_6.3.9600.16457_none_8f0b646150ee446d\winbici.dll **HIDDEN**
18:09:41.072 File: C:\Windows\WinSxS\msil_microsoft.grouppolicy.reporting_31bf3856ad364e35_6.3.9600.16443_none_ded7156fc69e55d5\Microsoft.GroupPolicy.Reporting.dll **HIDDEN**
18:09:41.266 File: C:\Windows\WinSxS\msil_microsoft.grouppolicy.reporting_31bf3856ad364e35_6.3.9600.16500_none_deff5627c6809733\Microsoft.GroupPolicy.Reporting.dll **HIDDEN**
18:09:41.408 File: C:\Windows\WinSxS\msil_system.web.applicationservices_31bf3856ad364e35_4.0.9600.16470_none_38b9fe256a5b5fd3\System.Web.ApplicationServices.dll **HIDDEN**
18:09:41.580 File: C:\Windows\WinSxS\msil_system.web.extensions_31bf3856ad364e35_4.0.9600.16470_none_4308e9b1c3a04b93\System.Web.Extensions.dll **HIDDEN**
18:09:41.674 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\Flash.ocx **HIDDEN**
18:09:41.851 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashPlayerApp.exe **HIDDEN**
18:09:41.964 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashPlayerCPLApp.cpl **HIDDEN**
18:09:42.179 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashUtil_ActiveX.dll **HIDDEN**
18:09:42.327 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashUtil_ActiveX.exe **HIDDEN**
18:09:42.511 File: C:\Windows\WinSxS\wow64_microsoft-windows-appx-deployment-client_31bf3856ad364e35_6.3.9600.16452_none_b1134adfe297aef8\AppXDeploymentClient.dll **HIDDEN**
18:09:42.640 File: C:\Windows\WinSxS\wow64_microsoft-windows-appx-deployment-client_31bf3856ad364e35_6.3.9600.16457_none_b1184c51e2932dab\AppXDeploymentClient.dll **HIDDEN**
18:09:42.813 File: C:\Windows\WinSxS\wow64_microsoft-windows-directcomposition_31bf3856ad364e35_6.3.9600.16457_none_98ab1ea049ffe22d\dcomp.dll **HIDDEN**
18:09:43.050 File: C:\Windows\WinSxS\wow64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_11.0.9600.16518_none_a6b36bbac5320ac1\iexplore.exe **HIDDEN**
18:09:43.228 File: C:\Windows\WinSxS\wow64_microsoft-windows-ie-ieetwcollector_31bf3856ad364e35_11.0.9600.16518_none_d113a6391a330ac5\ieetwproxystub.dll **HIDDEN**
18:09:43.400 File: C:\Windows\WinSxS\wow64_microsoft-windows-ie-internetexplorer_31bf3856ad364e35_11.0.9600.16518_none_3d5f0f6a316ac3b6\ieUnatt.exe **HIDDEN**
18:09:43.608 File: C:\Windows\WinSxS\wow64_microsoft-windows-kernel32_31bf3856ad364e35_6.3.9600.16521_none_8f0ed2145e7557c0\kernel32.dll **HIDDEN**
18:09:43.803 File: C:\Windows\WinSxS\wow64_microsoft-windows-mfmpeg2srcsnk_31bf3856ad364e35_6.3.9600.16517_none_470956f4d6734459\mfmpeg2srcsnk.dll **HIDDEN**
18:09:43.971 File: C:\Windows\WinSxS\wow64_microsoft-windows-ntdll_31bf3856ad364e35_6.3.9600.16502_none_543e6b3704465c9d\ntdll.dll **HIDDEN**
18:09:44.175 File: C:\Windows\WinSxS\wow64_microsoft-windows-qedit_31bf3856ad364e35_6.3.9600.16650_none_55cb5b584faa5e7c\qedit.dll **HIDDEN**
18:09:44.312 File: C:\Windows\WinSxS\wow64_microsoft-windows-s..ivesyncprovisioning_31bf3856ad364e35_6.3.9600.16490_none_94188bdff458aff9\easwrt.dll **HIDDEN**
18:09:44.375 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_52269c10d51db9a3\jscript9.dll **HIDDEN**
18:09:44.570 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_52269c10d51db9a3\jscript9diag.dll **HIDDEN**
18:09:44.710 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-vbscript_31bf3856ad364e35_11.0.9600.16483_none_5669568a45445b81\vbscript.dll **HIDDEN**
18:09:44.757 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16456_none_675ea7791a399230\shell32.dll **HIDDEN**
18:09:44.798 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16483_none_673b36d71a5499fe\shell32.dll **HIDDEN**
18:09:44.848 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16660_none_674dd99d1a471065\shell32.dll **HIDDEN**
18:09:45.036 File: C:\Windows\WinSxS\wow64_microsoft-windows-twinui-appcore_31bf3856ad364e35_6.3.9600.16443_none_8d06095a630b5a08\twinui.appcore.dll **HIDDEN**
18:09:45.183 File: C:\Windows\WinSxS\wow64_microsoft-windows-twinui.resources_31bf3856ad364e35_6.3.9600.16459_es-es_29b08538aa122268\twinui.dll.mui **HIDDEN**
18:09:45.277 File: C:\Windows\WinSxS\wow64_windows-defender-events.resources_31bf3856ad364e35_6.3.9600.16452_es-es_ddf0df26dd45d535\MpEvMsg.dll.mui **HIDDEN**
18:09:45.371 File: C:\Windows\WinSxS\wow64_windows-defender-service.resources_31bf3856ad364e35_6.3.9600.16452_es-es_6aba26b70f612ff7\MpAsDesc.dll.mui **HIDDEN**
18:09:45.462 File: C:\Windows\WinSxS\wow64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_82834603b5a9d264\EppManifest.dll.mui **HIDDEN**
18:09:45.564 File: C:\Windows\WinSxS\wow64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_113a9994e83eb70e\EppManifest.dll **HIDDEN**
18:09:45.752 File: C:\Windows\WinSxS\wow64_windows-id-connecte..nt-provider-wlidcli_31bf3856ad364e35_6.3.9600.16453_none_9c1b849dc1b1b96d\wlidcli.dll **HIDDEN**
18:09:45.942 File: C:\Windows\WinSxS\x86_microsoft-windows-a..ence-mitigations-c4_31bf3856ad364e35_6.3.9600.16459_none_a0ea70ab0dc67517\AcSpecfc.dll **HIDDEN**
18:09:46.098 File: C:\Windows\WinSxS\x86_microsoft-windows-activexproxy_31bf3856ad364e35_6.3.9600.16443_none_a6d8394305c45fe0\actxprxy.dll **HIDDEN**
18:09:46.254 File: C:\Windows\WinSxS\x86_microsoft-windows-c..ent-xpsgdiconverter_31bf3856ad364e35_6.3.9600.16503_none_a7e1bcf306aa5e36\XpsGdiConverter.dll **HIDDEN**
18:09:46.411 File: C:\Windows\WinSxS\x86_microsoft-windows-c..esources-mrmindexer_31bf3856ad364e35_6.3.9600.16412_none_fda001a1eab835ed\MrmIndexer.dll **HIDDEN**
18:09:46.505 File: C:\Windows\WinSxS\x86_microsoft-windows-c..ialmigrationhandler_31bf3856ad364e35_6.3.9600.16443_none_08c09c961266541b\CredentialMigrationHandler.dll **HIDDEN**
18:09:46.661 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16412_none_80681f887d4786e3\MrmCoreR.dll **HIDDEN**
18:09:46.809 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16461_none_80310fa27d70f941\MrmCoreR.dll **HIDDEN**
18:09:47.013 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16471_none_80263fb67d791532\MrmCoreR.dll **HIDDEN**
18:09:47.127 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16477_none_802c41727d73ad3c\MrmCoreR.dll **HIDDEN**
18:09:47.274 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16504_none_8074f1ee7d3d9ac7\MrmCoreR.dll **HIDDEN**
18:09:47.289 Disk 0 statistics 15633183/0/0 @ 1,73 MB/s
18:09:47.289 Scan finished successfully
18:13:16.662 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
18:13:16.667 The log file has been saved successfully to "C:\Users\f\Desktop\log scan c mbr encontradas muchas entradas en rojo.txt"



Tras utilizar la herramienta avast mbr, las entradas hidden desaparecieron,pero tiene otras anomalias y unknow mbr:

aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2015-07-07 09:46:54
-----------------------------
09:46:54.736 OS Version: Windows x64 6.2.9200
09:46:54.736 Number of processors: 4 586 0x3C03
09:46:54.736 ComputerName: V UserName: f
09:46:56.722 Initialize success
09:46:56.800 VM: initialized successfully
09:46:56.800 VM: Intel CPU BiosDisabled
09:47:19.705 AVAST engine defs: 15070601
09:48:26.077 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
09:48:26.077 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 3
09:48:26.171 Disk 0 MBR read successfully
09:48:26.171 Disk 0 MBR scan
09:48:26.202 Disk 0 Windows 7 default MBR code
09:48:26.218 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
09:48:26.265 Disk 0 scanning C:\Windows\system32\drivers
09:48:36.730 Service scanning
09:48:56.372 Modules scanning
09:48:56.372 Disk 0 trace - called modules:
09:48:56.388 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys hal.dll PCIIDEX.SYS atapi.sys
09:48:56.388 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000019e2060]
09:48:56.388 3 CLASSPNP.SYS[fffff80001193abb] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xffffe00001717060]
09:48:59.929 AVAST engine scan C:\
10:37:41.089 Disk 0 statistics 16538982/0/0 @ 5,19 MB/s
10:37:41.089 Scan finished successfully
10:49:35.370 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
10:49:35.402 The log file has been saved successfully to "C:\Users\f\Desktop\nuevo log tras restaurar,no salen las entradas en rojo.txt"
10:49:44.307 Disk 0 MBR fix error
10:49:48.646 Disk 0 MBR fix error
10:49:49.254 Disk 0 MBR fix error
10:49:49.426 Disk 0 MBR fix error
10:49:49.614 Disk 0 MBR fix error
10:49:49.786 Disk 0 MBR fix error
10:49:49.911 Disk 0 MBR fix error
10:49:50.067 Disk 0 MBR fix error
10:49:50.239 Disk 0 MBR fix error
10:49:50.426 Disk 0 MBR fix error
10:49:53.089 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
10:49:53.089 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 3
10:49:53.577 Disk 0 MBR read successfully
10:49:53.592 Disk 0 MBR scan
10:49:53.592 Disk 0 Windows 7 default MBR code
10:49:53.655 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
10:49:54.146 Disk 0 scanning C:\Windows\system32\drivers
10:50:52.250 Service scanning
10:51:12.176 Modules scanning
10:51:12.176 Disk 0 trace - called modules:
10:51:12.207 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys hal.dll PCIIDEX.SYS atapi.sys
10:51:12.226 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000019e2060]
10:51:12.226 3 CLASSPNP.SYS[fffff80001193abb] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xffffe00001717060]
10:51:14.500 AVAST engine scan C:\Windows
10:51:41.823 AVAST engine scan C:\Windows\system32
10:54:27.058 AVAST engine scan C:\Windows\system32\drivers
10:54:39.620 AVAST engine scan C:\Users\f
10:56:03.058 AVAST engine scan C:\ProgramData
10:56:28.782 Disk 0 statistics 19220038/0/0 @ 5,18 MB/s
10:56:28.798 Scan finished successfully
10:57:39.646 Disk 0 MBR fix error
10:57:40.174 Disk 0 MBR fix error
10:57:40.424 Disk 0 MBR fix error
10:57:40.612 Disk 0 MBR fix error
10:57:40.786 Disk 0 MBR fix error
10:58:48.805 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
10:58:48.821 The log file has been saved successfully to "C:\Users\f\Desktop\log avast mbr despues de la reparación de sistema..txt"



Luego con el hirens boot, en un usb bootable ( grabado desde los pc comprometidos), utilizando malewarebytes, me encuentra 7 malwares, le doy eliminar, pero no se pueden eliminar, y con el combofix, me detecta rootkit activity, me dice por favor reiniciar el pc para eliminar rootkit, pero no se puede eliminar, sigue saliendo siempre lo mismo.

Los cd originales de linux con opción de arranque seguro uefi, no se inician en uefi, por que está mal la placa base, incluso windows 8.1 original hace que arranca en uefi mode, pero haciendo unas comprobaciones, no se instala en uefi mode.

Con wireshark tengo capturas de pantalla con una dirección mac duplicada.
En el router tengo una entrada en routing de una dirección ip desconocida 192.168.144.1 que se hace pasar por mi host, y que si no borro manualmente la dirección de routing anterior, la conexión a internet da muchos problemas.

Todos los archivos descargados o la gran mayoria , vienen con el cheksum mal, y aparte suelen venir con regalitos, encontrados analizando con clamtk.

El cracker me reinicia el navegador cuando le apetece, me desconecta el ratón, me ralentiza la navegación, me cuelga flash player, puede ponerme fotos en una carpeta del firefox, y controla mis movimientos, aparte no se que más hará.


No se ahora mismo si tengo más logs, es probable que si.
Haber, yo ya tengo bastante claro lo que tengo, pero no puedo limpiarlo....

Como dije, el problema no está en el disco duro,es la placa base, pero es probable que afecte los firmwares de la grabadora y del disco duro, aunque no lo se.

Con linux, no me deja instalarle los controladores adicionales y con windows,  los drivers me deja desinstalarlos pero se vuelven a cargar solos al reiniciar.


Bueno lo he vuelto a poner por que me lo has pedido #!drvy  , pero he repetido un poco más de lo mismo, yo solo preguntaba por si los técnicos profesionales, deberían poder decirme algo, o si ellos no saben estas cosas, cosa que me extrañaria, por que dedicándose profesionalmente a la informática deberían poder decirme algo por lo menos. Pero bueno, un técnico por lo menos me ha reconocido que hay algo y que el no sabe repararlo, algo es algo .

Más de uno pensará, pues compratelo todo nuevo y fuera, claro, si fuera tan fácil.... pero es que no tengo dinero ahora mismo, y si lo tengo, me hacen falta muchas otras cosas,  teniendo en cuenta, el miedo de comprarme algo nuevo , y que se me vuelva a contagiar, además de que tengo unos cuantos sistemas informáticos comprometidos y me duele el alma tener que tirarlos todos.

Un saludo y muchas gracias por leerme.

Muchisimas gracias por toda la información Alberto Perez.
Lo último que me has dicho es lo que queria saber, es lo que pensaba yo, que los informáticos profesionales, deberían poder repararmelo, o por lo menos decirme esto o aquello, pero no me lo solucionan, me lo vuelven a colar.

En un sitio he pedido hojas de reclamación haber que pasa y tal vez las pida en otro sitio, por que que lleve a reparar el pc por algo, y que me digan que ellos no ven nada, y me miran otra cosa.... no se....teniendo yo un montón de logs que avalan lo que digo....

Tengo un mobil hackeado  también y en teoria lo he mandado a la casa para que lo reparen.... haber como vuelve...

Pues todo lo que me has comentado ya lo sabia , muchas gracias, la bios ya la cambie varias veces haciendo pruebas, sustituyendo el chip bios por uno nuevo, pero se reescribe con el código malo, por que esta alojado en el firmware del dvd o me llegan mal las placas, y el código está en el conjunto del chipset, y de no coger y reflashear componente por componente de hardware,  es imposible limpiar, y la verdad no se como podría hacer de  reflashear componente por componente sin reiniciar, claro, por que cuando reinicio, se carga el código malo otra vez.... una faena...

Pero vamos, lo que queria saber , si me están engañando en las tiendas o no, pero según me dices, los técnicos deberían saber decirme algo más que :

No se repararlo.
Yo lo veo bien.
Ves a unos péritos informáticos.
Te hago el abono.

Y tengo que tener al sirvenguenza este de cracker aqui si o si....
Espero comprar todo nuevo otra vez, pero llevo perdido muchisimo tiempo y dinero.. y está vez que no se me contagie....

Sospecho que lo que tengo , como te he comentado anteriormente, se transmite por los firmwares, por los chips, de gráficas, controladoras de red, audio..... y no me deja limpiarlo.
Alguna manera tiene que haber, pero yo no la se, y los técnicos que me lo miran tampoco, o no quieren decirme nada....


Pero vamos la duda que preguntaba me la has resuelto, creo que los técnicos me engañan, ¿que opinais?
Por que si me dieran un informe favorable, y aunque no supieran repararlo, me dijeran que tengo un tinglado en el pc, podría acudir a la policia, pero como no dicen nada a mi favor, me tengo que joder, y no tengo para pagar unos péritos informáticos....

Hay algún técnico por españa, que me quiera mirar una placa base??, le mando la placa, y aunque no pueda repararlo, si me hiciera un parte técnico con factura diciendo lo que hay, sería muy bueno.


Un saludo y gracias.

Gracias Alberto Perez , por toda la info, pero no creo que funcione lo que dices por que tengo el lio en el chipset de la placa base , no en el disco duro, si bien, reescribe el mbr , pero no es el problema principal.( si quieres saber exactamente lo que sufro, revisa mis mensajes y lo sabrás)

La duda principal, era saber si los técnicos de reparación, deberían saber repararme lo que tengo, o si ellos no  lo saben.Pero me parece extraño que dedicandose a reparar ordenadores no puedan reparar los mios.....

Lo que tengo , creo que se propaga por los firmwares de los componentes de hardware... aunque no estoy del todo seguro, tengo que hacer más pruebas cuando pueda permitirmelo económicamente....
He sustituido la placa base y nada, sigue el problema, y entonces una de dos, o queda  código maligno escondido en el firmware de la grabadora dvd, o me tangan el correo....por que entiendo que no puede quedar código en ningún otro sitio del pc, ni en la fuente, ni el la cpu, ni en las memorias ¿me equivoco?

Saludos.

Saludos.
Pues nada, me está pasando algo curioso , haber que os parece:
Tengo un backdoor, o puerta trasera, (rootkit probablemente), tengo muchos logs que lo avalan, pero lo he llevado  a varias tiendas y lo que ha pasado:
1 tienda:
Me abonaron el dinero y devolví una placa base , por lo menos bien.

2 tienda:
Me dijo que lo había reparado, pero no fue así, al llegar a casa comprove que continuaba teníendo el bacdoor, y ahora me dice el técnico que el no sabe repararlo y que lo lleve a unos péritos informáticos, habiendo perdido mucho tiempo y dinero....

3tienda:
Me dicen que ellos no se dedican a eso ( cuando es una tienda fuerte en la zona, y hay programadores, hacen cursos...), me dicen que ellos con sus herramientas no detectan nada, y que si creo que tengo algo que lo lleve a unos péritos informáticos.....no comprendo, si hasta el combofix me marca que hay un rootkit,el avast mbr encuentra cosas, el chkrootkit, el unhide, el rkhunter, y tienen la santa barra de decirme que ellos no ven nada.... pues no se que pensar....
Cuestión que en esta tienda lo llevé por el backdoor, pero  no lo han mirado y me han salido con que tenía el disco duro medio jodido me han dicho, cosa que han enviado a la casa para repararlo me han dicho, pero no han mirado nada del backdoor, y me lo tengo que quedar mal todo el equipo si o si....

¿Es cierto que siendo informáticos profesionales, no sepan que es un backdoor y no me lo solucionen?
Gracias, un saludo.

Mirar que dicen por aquí:

http://centroalternews.blogspot.com.es/2015/02/el-escandalo-del-calentamiento-global.html

Bueno, la verdad, he estado mirando unos minutos, y he encontrado mucha información al respecto.
No se que pensar.

Un saludo.

Me rindo #!drvy

Me faltan argumentos para contestarte, no tengo ganas de buscar información.

Entonces si el sol está bajando la radiación emitida , y la temperatura global no desciende, quiere decir que efectivamente hay un calentamiento global. OK.

Es que juro y rejuro que lei por ahí eso de que esto del calentamiento global era un cuento para recaudar más impuestos, pero no tengo las fuentes ahora, y ni idea, me rindo.

Un saludo.

Hombre, no me parece bien lo que pasa con internet.

Pero la explicación de eso es que se intenta que no lleguen noticias contradictorias al regimen para que no se subleve la población, seguro los que saben de informática en este pais pueden saltarse las restricciones.

Haber, no me parece bien como vive el pueblo norcoreano, pero es por los embargos comerciales, y por la campaña mediatica, si dejaran entrar las noticias del exterior , abria peligro de que se hundiera todo.

Por una parte me parece mal, pero por otra puedo comprender el motivo por el cual lo hacen.
Es que yo no creo que sean los malos, si les dejaran en paz, podrían abrirse al exterior al 100%, y les iria mucho mejor.


Bueno no quiero discutir el tema, por que va para largo si no.
Por cierto, hay cosas que no se pueden decir en internet en cualquier parte.
Y la información que hay por internet está muy difuminada, encontramos mucha información contradictoria  para que nos liemos y no sepamos a ciencia cierta que creer, lo mejor es mirar mucho, leer mucho, y contrastar las informaciones.

Desde luego yo no quiero vivir allí, pero yo mismo, tengo todas las comunicaciones interceptadas, pero me da igual, digo lo que quiero, por que supuestamente soy libre de hacerlo ¿no?

Un saludo.

Si ya lo he visto hace tiempo.
Es bueno lo que comentas.
Pero eso pasa como en todos lados, la gente más rica, o en este caso, que desempeña cargos más importantes, tiene acceso a otros caprichos.
Por llevar un reloj y unas gafas, no es tanto, si una persona que ocupa altos cargos no puede permitirse tal cosa, mal vamos, quien quisiera tener un puesto de mucha responsabilidad sin tener algún premio extra? es que unas gafas y un reloj, ya ves tú.
Aqui en España, los altos cargos pueden permitirse algo más que unas gafas y un reloj..... pero bastante más, y los pobres de clase baja y la cada vez más extinta clase media, están perdiéndolo todo.

¿Tu quisieras un trabajo de responsabilidad por 1 euro al mes en Corea del Norte? ( al cambio de moneda , 1 euro ,debe ser algo de dinero allí) creo no aceptarias si no es por que tienes algún capricho de más.
Es como en cualquier pais del mundo, los altos cargos o gente con más poder, tienen más derechos, no solo ocurre en Corea.
¿Cuantos coches oficiales de lujo hay en españa?,trajes que salen gratis, dinero negro, y mil historias.... no generalizemos pensando que solo pasa en corea, y por unas tristes gafas y un reloj...

La bomba atómica claro que están orgullosos, si no fuera por ella, su país sería invadido con total seguridad, es como un salvaconducto.

Si eso , volveré a ver el video otra vez.
Un saludo.

Bueno, no te voy a discutir que el hombre está contaminando el medioambiente, por que efectivamente se contamina y mucho , además de que nos estamos cargando los pulmones del planeta, los grandes bosques....

Pero sin saberlo a ciencia cierta , dudo que sea posible un calentamiento global espectacular más alla de unos pocos grados. que a su vez, aunque sea poco , tal vez si podría desestabilizar el medioambiente, quizá si, quien sabe si lo veremos nosotros.

Aunque ciertamente, hay fotos de satelite  comparanto los polos en diferentes años ,y efectivamente se están derritiendo, tal vez haya algo, no se cual será el motivo exacto.

Pero, si viene un descenso en la radiación solar, si o si, la temperatura global bajará.
Bueno, haber si lo llegamos a ver....o una cosa o la otra.
Dejemos lo de los volcanes pues.

Un saludo.

Perdón, si me he explicado bastante mal.

Haber, lo que intento decir, es que desde tiempos inmemoriables, antes de la revolución industrial, el hombre siempre a contaminado el medio ambiente con los fuegos, está claro que el fuego tira humo que contamina, y a lo que quiero llegar es que hace tiempo, se harian muchos fuegos por doquier, ya que no había ninguna forma de hacer luz o calor más que quemando leña.

Actualmente se le da la culpa a las  térmicas y fabricas que tiren contaminantes, y claro que contaminan si las juntamos todas y medimos las emisiones todo junto con las emisiones de vehiculos y demás.

Pero a lo que quiero llegar, es que aunque un solo volcán , no contamine más, si por lo que fuera, erupcionaran, pues por ejemplo 13-14 volcanes grandes por todo el mundo, la contaminación atmósferica sería muy superior a lo que nosotros contaminamos, en ese caso si que se podría llegar al calentamiento global por efecto invernadero, pero para ello debería cubrirse toda la atmósfera de polución.


Pues si cuando erupcionó el volcán de islandia se lió una que para que, cortaron el tráfico aereo , imaginaos que erupcionan 14 volcanes como ese.... vamos, no me digas que no contaminaria enormemente más.

La contaminación que hacemos nosotros, da tiempo de sobra a disiparse por que se va hechando poco a poco, no es tanta, pero  si de golpe erupcionan 14 volcanes en toda su plenitud, la naturaleza no sería capaz de disipar tal cantidad de polución.

Entonces, parece bastante improbable que erupcionen tantos volcanes a la vez, (esperemos) por lo que no me creo lo del calentamiento global, me inclino a que es una forma más de recaudar impuesto por las emisiones emitidas.

Simplemente con que el sol bajara un poco en la radiación emitida, podría producirse una glaciación o si se produciera un aumento de radiación solar entonces aumentaria la temperatura.

Luego también está la teoria de las corrientes del oceano , que hay un flujo de agua cálida, que dicen que se está acabando o cambiando dirección, y en las zonas donde llegaba esta agua cálida, si dejara de hacerlo, bajarían las temperaturas mucho, pero no creo que afecte a escala global.

¿Sabrias decirme cuanta polución contaminante producia en el pasado una ciudad antigua como podía ser Roma, o cualquier similar, con todos los fuegos , candelabros, velas y demás cosas que utilizaran? seguro también contaminanban mucho, y no pasò  nada.

Es que tira más polución varios volcanes pero seguro.( que no digo que un volcan contamine más ojo, si no que varios volcanes juntos a la vez)

Un saludo.