¿Rootkit en sfloppy.sys? [SOLUCIONADO: Avast confirma falso positivo]

Iniciado por Aberroncho, 6 Diciembre 2011, 13:11 PM

0 Miembros y 2 Visitantes están viendo este tema.

Aberroncho

Tengo instalado un Windows XP versión 2002 con el SP3. Mi antivirus es un Avast Free 6.0.1367.

El escudo en tiempo real hoy ha comenzado a darme el aviso de que tengo un rootkit en c:\windows\system32\drivers\sfloppy.sys. Le doy a "eliminar". Me dice que programa la eliminación para el siguiente arranque junto con un scanner completo. Rearranco. Hace el escaneo sin encontrar nada. Y al volver a arrancar el equipo me vuelve a saltar la alarma.

He subido el archivo a Virus Total y todos los motores de antivirus, incluído el Avast, me lo dan por bueno. El Spybot Search & Destroy tampoco encuentra nada.

El Kaspersky TDSSKiller tampoco ha encontrado nada sospechoso.

Mirando en los foros de Avast parece que le pasa a más gente desde la última actualización del programa (yo la hice hace 48 horas más o menos) y alguno ha comparando el hash MD5 de su archivo con el original de la instalación y es el mismo.

Todo apunta a que es un falso positivo (por si acaso voy a entrar con una Live de Linux y lo voy a borrar :silbar:)
"La ignorancia es la noche de la mente, pero una noche sin Luna ni estrellas."
(Confucio)

incierto

Aberroncho, a mi me esta pasando lo mismo. Solo he visto algunos antivirus online y luego me diriji hasta aca por si encontraba algo referente al tema y di con tu post. Ahora descargue el HijackThis y me arrojo lo siguiente, espero lo analicen y me comenten porque puede que tenga otras cosas y como soy newbie no me he dado cuenta. Gracias.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:36:50, on 06-12-2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\AVAST Software\Avast\avastUI.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Yuna Software\Messenger Plus!\PlusService.exe
C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast] "C:\Archivos de programa\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [PlusService] C:\Archivos de programa\Yuna Software\Messenger Plus!\PlusService.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O8 - Extra context menu item: Append Link Target to Existing PDF - res://c:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://c:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://codigopostal.correos.cl/correos_cp/soporte_web/consulta_web/versionphp2006/pagina_interior/codigo_postal/consulta_web/cab_mapg/mgaxctrl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Archivos de programa\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Archivos de programa\WinPcap\rpcapd.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--
End of file - 9059 bytes

fluqsz

Hola, a mi me pasa lo mismo y no soy capaz de eliminarlo.
el problema es que no me deja entrar en según que programas que necesitan acceder a la red.
Como puedo eliminarlo desde el ubuntu??
Gracias.

Claimer_Onorex

Muchachos, por lo que estuve investigando, pareciera ser un F/P... igualmente estoy tratando de ubicarlo concretamente y empezar a analizarlo por mi cuenta, sin el Avast.

TheMegaAir

Buenas, soy nuevo por aqui por el FORO... pero me he registrado aposta para informaros que a mi me lleva pasando lo mismo con el AVAST toda la puñetera mañana, y solo salta el AVAST los demás ninguno me lo detecta. No sé que pueda ser pero es un cachondeo porque ya pasó algo parecido hace un tiempo con la actualización del AVAST.

yamir83

hola a mi me ha ocurrido hoy tambien alguien sabe cual es el problema muchos dicen lo del falso positivo ojala sea asi me pasa todo lo mencionado en el comentario original

ednar33

Me pasó exactamente lo mismo. Empecé la mañana con esa alarma constante que pide eliminar y reiniciar mi ordenador.
Hice un análisis con Malwarebytes y Adaware pero ninguno lo detectó.
Habrá que esperar a que alguien explique si se trata de un F/P a causa de la actualización de Avast o en realidad es un rootkit muy astuto.
Saludos

pimpa

En la misma situación que vosotros.

Tras la actualización del nuevo AVAST!!!

¿Alguna solución encontrada?

Estoy con varios spybot, antispyware, hijack,...

:rolleyes:

Aberroncho

Yo he arrancado con una Live CD de Ubuntu y lo he movido a "Mis Documentos". He arrancado con Windows y lo he escaneado con el Avast en la carpeta "Mis documentos" y ¡¡¡Sorpresa!!!: No lo detecta como malware.

Yo diría que es un falso positivo pero como no tengo unidad de diskete instalada, he borrado el archivo y se acabaron mis problemas.

A los de Avast les informé esta mañana y no me han contestado. En su muro de Facebook hay una persona que también les está preguntando por lo mismo y tampoco le han contestado.
"La ignorancia es la noche de la mente, pero una noche sin Luna ni estrellas."
(Confucio)

LEOCADIA

hola amigos
me pasa lo mismo que a vosotros pero se me ha agravado el problema porque me he descargado el antirootkit de karspenski (no se como se escribe) despues de pasarlo me ha detectado dos amenazas que he borrado y se me ha desconfigurado la resolucion de la pantalla, no me deja volver a mi resolucion inicial ya que ha desaparecido igual que las conexiones inalambricas. no se que hacer, ayuda plis!!! me he metido en administracion de dispositivos y me dice que estan danados:
- adaptador de red broadcom 802 11g
- controladora simple de comunicaciones PCI
- vinyl AC97 codec combo driver (WDM)
- ATI mobility radeon x700

necesito mi ordenador porque trabajo con el
muchas gracias