Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - CloudswX

#271
Seguridad / Como eliminar virus en el MBR
30 Octubre 2012, 19:54 PM
Como les había mencionado anteriormente lo prometido es deuda  :-\ y aqui les dejo un pequeño paper sobre que es el MBR (Master_Boot_Record)  y su vulnerabilidad ante algunos virus muy avanzados y potencialmente dañinos. Realizo este paper ya que en los últimos días tuve la oportunidad de trabajar con un PC  que tenia el MBR infectado y en el fanpage de FB del foro muchos algunos usuarios se mostraron interesados en leer un poquito mas sobre el tema. Mas que un manual de como hacer las cosas es algo asi como un hilo de introducción para que todos pueda in aportando sus experiencias

QUE ES Y COMO FUNCIONA EL MBR?

Primero empecemos por definir MBR (Master_Boot_Record), que segun madre "wikipedia" es Un registro de arranque principal, conocido también como registro de arranque maestro o por su nombre en inglés master boot record(abreviado MBR) es el primer sector ("sector cero") de un dispositivo de almacenamiento de datos, como por ejemplo un disco duro.

En palabras mas llanas es una porción del disco duro reservada y exclusiva donde se alberga una lista de los sistemas operativos capaces de iniciar el funcionamiento del computador, por ejemplo, cuando instalamos windows y algún sistema linux en el mismo equipo el MBR es el encargado de buscar y reconocer cada archivo boot.ini en los respectivos "SO" y así permitirnos elegir cual queremos usar.

Generalmente el BIOS de un sistema busca un MBR valido en cualquier disco particionado durante la secuencia de arranque, luego de encontrarlo el MBR busca los sistemas operativos disponibles, (así que el master boot record, como otros sectores de arranque, es un blanco para los virus que infectan el sector de arranque). El código del MBR, puede ser modificado por algún malware, para que realice una serie de tareas que son distintas al comportamiento normal del mismo.

VIRUS EN EL MASTER BOOT RECORD.

Todos tenemos mas o menos una idea de lo que es un virus informatico (malware, rootkits, etc..) pero aquí una definición por mi parte, "Un virus es un pequeño puñado de codigo creado con el objetivo de causar daños y alteraciones en los sistemas infectados, así como su propagación por cualquier medio" justo igual que la gripe. Pues como todo en la vida es un constante equilibrio existen las herramientas anti-malware, por ejemplos anti-virus, anti-rootkits, etc... Estas herramientas normalmente examinan el disco duro y los archivos en busca de código malicioso escondido. Pero generalmente JAMAS BUSCAN EN EL MBR que siendo una porción del disco duro que se ejecuta puede albergar código malicioso. Cabe aclarar que un formateo NO ELIMINA un virus alojado en el MBR

Por ejemplo el "Trojan:DOS/Alureon.A " es uno de esos virus que se enfocan en el MBR causando pantallazos azules y sintomas que a cualquier tecnico experimentado le harian pensar en segmentos de memoria dañados, disco duro defectuoso, etc... Al activarse desde el MBR (Master Boot Record), el virus se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.). Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que los virus no realizan modificaciones directas sobre este y puede pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel).

SINTOMAS DE UN VIRUS EN EL MBR

Los sintomas dependen del objetivo que el creador haya tenido en la cabeza, por ejemplo con el que me tope recientemente abria conexiones de red para comunicarse con DNS Dinamico (El clasico troyano) pero pueden aparecer muchos que te revienten el monitor de pantallazos azules o simplemente impidan el inicio correcto del sistema operativo.

COMO ELIMINAR UN VIRUS EN EL MBR.

Pues lo primero para eliminar un virus en el MBR es encontrarlo y estar seguros de que ese es el problema, yo recomiendo la aplicacion gratuita de Avast "aswMBR.exe" ya que tiene una interfaz sencilla y es muy potente, lo pueden descargar desde aqui http://public.avast.com/~gmerek/aswMBR.htm  después de descargarlo lo ejecutan,  al ejecutarlo por primera vez les preguntara si desean actualizar la base de datos, si disponen de una conexión a internet les recomiendo actualizar pues así sera mas seguro.
Cuando termine de actualizar les saldra algo como esto:


Hacemos clic en SCAN para que comience el análisis, al terminar el análisis tendremos  tres opciones, que son: FixMBR, Save Log y Exit. La primera vez que lo ejecutamos solo podemos RESTAURAR EL MBR y para ello hacemos click en FixMbr.


Posterior a esto reiniciamos el equipo y repetimos el proceso. Los archivos sospechosos aparecerán en rojo, y tenemos la opción de guardar un log para compartirlo en foros como este donde personas puedan ir sumando sus experiencias.

Saludos Familia.
#272
Jeejje

Esa imagen esta POR LO GRANDE...

Problema 1

No puedo iniciar Windows ya que cuando intento iniciar me aparece un pantallazo azul con el mensaje siguiente:
Bad Pool Caller 
Bad Pool Header


¿Qué puedo hacer?
Solución 1

Este problema puede ser debido a diversos factores:
un periférico defectuoso
un modulo de memoria HS
la BIOS tarda mucho en identificar los periféricos
los cables del ratón y el teclado están conectados al revés
se ha overclockeado demasiado el CPU o la tarjeta gráfica


Lo primero que debes hacer para solucionar este problema es desconectar todos los dispositivos USB, y comprobar que el conector del teclado no esté en el puerto destinado al ratón, ni que el conector del ratón esté en el puerto destinado al teclado.

Luego, intenta reiniciar el PC, si Windows inicia entonces el problema era debido a un periférico o a un periférico conectado a un puerto USB HS.

Si Windows no inicia:
Deja todos los dispositivos USB desconectados, luego reinicia el PC con un solo modulo de memoria.

Si Windows inicia, una de los módulos era HS, reemplázalo.

Si la BIOS de tu placa base es reciente, comprueba que no hayas conectado un lector de CD o disco rígido de los años 1998.

Desconecta todos los periféricos internos (excepto el disco rígido)

Si Windows inicia, un periférico interno era en HS, reemplázalo.

Esto sucede a veces, comprueba que no hayas hecho esto:


Cambia la posición de los conectores

Si Windows no inicia, continuamos!

Probablemente hayas overclockeado demasiado el CPU y/o la tarjeta gráfica desde la BIOS

Haz un "Load default setting" (resetea los parámetros de la BIOS), guarda luego reinicia.

Si sigues teniendo el problema, tu placa base debe estar defectuosa, reemplázala.
Problema 2

El pantallazo azul con el mensaje de error me aparece mientras estoy utilizando Windows.
Solución 2

Esto puede deberse:
a un controlador mal instalado
a un programa que intenta hacer una modificación critica a Windows
al uso de un videojuego o cuando el PC está siendo utilizado por varias horas


Reinstala los controladores, si necesitas ayuda pon tu post en el foro de Drivers de Kioskea

Si solucionaste el problema, perfecto! Si no, continuamos!

Quizás estás utilizando un programa que desea realizar alguna modificación crítica para el sistema (por ejemplo: modificar un archivo importante para el buen funcionamiento de Windows)

Si tu PC recalienta, quítale el polvo. Si esto no funciona, cambia la pasta térmica, reemplaza los ventiladores de refrigeración y pon unos más potentes.

Si los problemas continúan, no dudes en poner tu mensaje pidiendo ayuda en la sección de hardware del foro

PD: El artículo original fue escrito por Jeff, contribuidor de CommentCaMarche
#273
Pues les tengo noticias comunidad, intercambie las tarjetas DVR y resulta que ambas estan en perfectas condiciones. El problema era el siguiente:

DESACTIVAR EL HYPER THERADING DEL PROCESADOR.

Algunos drivers no estan preparados para el hyperthreading de Intel, especialmente si son driver NO CERTIFICADOS. Simplemente desactive la opcion en el BIOS y VOILA!!!!!!! El sistema de CCTV esta funcionando como nuevo.

Gracias a todos por sus respuestas y sugerencias, creo que sacare tiempo para escribir un humilde paper sobre este problema y subirlo en este hermoso paraiso del saber.

Saludos Familia!!!!
#274
Muchas cosas por hacer... ;D

Empezare por instalar una versión limpia y normal de WinXp, si el problema persiste intercambiare las tarjetas DVR, probare los módulos de memoria por separado y todo lo que se me ocurra. Ya les comentare como me fue.

Gracias infinitas por sus consejos, cada día me siento mejor por formar parte de esta gran comunidad.




Recien acabo de formatear con una version normal de XP. El problema persiste y la verdad me temo lo peor   :-[ Mañana cambiare las tarjetas DVR y comprobare si efectivamente la fuente de poder se llevo la tarjeta a una mejor vida.
#275
Gracias  Aprendiz-Oscuro, por todos tus comentarios y observaciones. Pues en el otro equipo no tengo esa version de XP UE, la verdad tampoco suelo instalarlas, lo que pasa que por problemas de coordinacion era lo unico que tenia a la mano. El segundo equipo esta corriendo una version original del xp (CD ORIGINAL).

Comentare cualquier progreso.

Gracias a todos nuevamente.
#276
Cita de: Aprendiz-Oscuro en 22 Octubre 2012, 17:15 PM

Podrias quitar que se reinicie ante un error para que muestre el pantallazo azul (BSOD) y la información al respecto sobre el problema.

Ya desactive la opcion de reiniciar ante una falla, y en la pantalla azul de la muerte me muestra lo siguiente:

A problem has been detected and windows has been shut down to prevent damage to your computer.
PAGE_FAULT_IN_NONPAGED_AREA

BCCode: 50     0x00000050


Según estuve leyendo es un error causado por:

(a)Hardware defectuoso usualmente los módulos de memoria. (Pero como ya le pase un Memtest a las memorias me imagino que el mismo pico de voltaje que daño el motherboard pudo causar efecto la tarjeta DVR  :-[.....)

(b)Mal funcionamiento en algún servicio básico de windows (cifrados, transferencia, etc...)

(c) Dice que algún malware puede estar causandolo y tomando en cuenta de que formatee varias veces creo que si existe un virus debe estar en el MBR, ya que este queda fuera del alcance de los formateo.

Cita de: WHK en 22 Octubre 2012, 17:26 PM
Le has dado un vistazo al monitor de registros de sucesos de windows? ahí debería salir el suceso del reinicio y porque sucedió, si no aparece nada quiere decir que la placa forzó el reinicio y eso quiere decir que la tarjeta dvr venia con falla de fábrica, en caso contrario ya saldrá que sucedió.

Verificare el registro de sucesos a ver que encuentro y lo posteare.

Cita de: WHK en 22 Octubre 2012, 17:26 PM
Ahhh usas windows UE, esos son realmente jodidos xD te recomiendo utilizar siempre isos de windows normales.

Estoy descargando uno normal...

Gracias a todos por su atención y ayuda, seguiré posteando información del caso hasta dar con una conclusión.

#277
CitarSoftware y drivers actualizados? Sistema operativo original y nada de versiones modificadas supongo...

Pues la verdad es que el windows es uno de esos que rondan en PiratedBay una version "Pirated Editions UE"

Todas las demas aplicaciones funcionan normalmente, dale un ojo al hitjackthis "Dark_aprendiz"
#278
Cita de: Sk9ITk5Z en 22 Octubre 2012, 16:39 PM
cual aplicación la de las cámaras?
si es a si es posible que el drivers dela tarjeta de las cámaras no este bien... 

Sip...
Cuando intento iniciar la aplicación que controla las camaras (movimiento, grabacion, etc..) la pc se reinicia bruscamente. Lo de los drivers lo he pensado. Pero en un segundo equipo tengo la misma tarjeta con los mismo drivers y este funciona normal. He pensado que podría ser algún tipo de conflicto entre dispositivos. (por asuntos de cambiar de board y procesador)

Que opinan?
#279
Muy buen día distinguidos miembros del foro.

Vengo aquí porque después de varios dias de sin dormir creo que es justo compartir mi problema con ustedes. Sucede que mi padre tiene un sistema de DVR-PC (Digital Video Recorder basado en PC) para el manejo de 16 cámaras de seguridad de un CCTV (Circuito cerrado). El mismo esta basado en un PC normal con las siguientes características:

Windows XP Profesional SP3
Procesador Intel P4 2.4 Ghz
1.5 GB RAM
Tarjeta de video Ati Radeon 9000
Utiliza Una tarjeta capturadora de vídeo de 16 canales similar a esta:



Y utiliza un software llamado "M-series" del cual no encuentro absolutamente nada en internet, ni en la pagina del creador de los drivers. Ok, hasta ahora solo he dado descripciones, aquí viene el problema:

Hace 5 dias el equipo se apago y no quiso encender, entonces mi padre me llamo para que le tirara un ojo. Pues en mis observaciónes note el Power Supply un poco defectuoso (voltage de salida fuera de los valores normales) por lo que decidimos comprar otra fuente de alimentación, luego de cambiar la fuente de alimentación por otra de la misma capacidad (450w) me di cuenta de que el motherboard no hacia nada, estaba muerto. Al parecer se había quemado por algún pico de voltaje, entonces compramos un otro motherboard de repuesto.

En fin, después de instalar Board nuevo y power supply nuevo todo funciono normal, le hice un memtest a los módulos de memoria y un chkdisk al disco duro los cuales resultaron en buen estado. Posterior a esto instale windows XP, sus respectivos drivers etc. Todo desde CD´s. Luego instale la aplicacion que se usa para el monitoreo de las cámaras y hasta ahi todo bien. El problema esta cuando intento iniciar la aplicación la computadora se reinicia bruscamente.

Le he formateado el disco con Gparted desde una distro linux. (Varias veces)
Le he reinstalado windows (varias veces).
Le pase antivirus AVAST actualizado en busca de basura.
Le pase el antivirus al MBR (MasterBootRecord) ya que muchos virus se esconden en este sitio.
Le cambie el disco duro y le instale desde cero.
Le hice Memtest a los módulos de memoria.
Probé quitando la tarjeta PCI DVR y de todas formas cuando quiero ejecutar la aplicación se reinicia.

Este mismo programa que me da problemas esta instalado en otro equipo y funciona normal. (Fue instalado con el mismo CD)

Aquí les dejo el "Log" del antivirus por si le quieren echar un ojo:
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-10-22 08:57:36
-----------------------------
08:57:36.078    OS Version: Windows 5.1.2600 Service Pack 3
08:57:36.078    Number of processors: 1 586 0x207
08:57:36.078    ComputerName: COMPUTER-8511  UserName: Owner
08:57:36.468    Initialize success
08:57:40.593    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
08:57:40.609    Disk 0 Vendor: ST3120023A 3.33 Size: 114473MB BusType: 3
08:57:40.625    Disk 0 MBR read successfully
08:57:40.625    Disk 0 MBR scan
08:57:40.640    Disk 0 Windows XP default MBR code
08:57:40.656    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       114463 MB offset 63
08:57:40.656    Disk 0 scanning sectors +234420480
08:57:40.734    Disk 0 scanning C:\WINDOWS\system32\drivers
08:57:46.390    Service scanning
08:58:07.125    Modules scanning
08:58:20.406    Disk 0 trace - called modules:
08:58:20.437    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
08:58:20.453    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89899ab8]
08:58:20.468    3 CLASSPNP.SYS[f7637fd7] -> nt!IofCallDriver -> \Device\00000056[0x89807f18]
08:58:20.484    5 ACPI.sys[f75ae620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x897a2b00]
08:58:20.500    Scan finished successfully
08:58:52.921    Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Owner\Desktop\AVAST\MBR.dat"
08:58:52.937    The log file has been saved successfully to "C:\Documents and Settings\Owner\Desktop\AVAST\aswMBR.txt"



Aquí les dejo un Hitjackthis que hice para que lo miren:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:56:57 a.m., on 22/10/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre7\bin\jqs.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Documents and Settings\Owner\Desktop\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zone54.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Microsoft .NET Framework v4 - Slow Windows XP Boot Fix.vbs
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O13 - Gopher Prefix:
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Program Files\Java\jre7\bin\jqs.exe
O23 - Service: User Profile Hive Cleanup (UPHClean) - Windows (R) Codename Longhorn DDK provider - C:\Program Files\UPHClean\uphclean.exe

--
End of file - 4185 bytes


Gracias de antemano hermanos, espero cualquier sugerencia por parte de ustedes.

PD. Si el tema esta en el lugar equivocado por favor moverlo Carlos, lo puse aqui pues como trata de hardware, software, windows, etc.. No sabia donde ponerlo.

#280
Dudas Generales / Re: que es mejor?
28 Septiembre 2012, 04:28 AM
Cual es el ancho de banda que tienes contratado?