Tiendas de reparación técnica de pc, no saben reparar lo que tengo.

Iniciado por Hason, 13 Octubre 2015, 10:50 AM

0 Miembros y 1 Visitante están viendo este tema.

Hason

Saludos.
Pues nada, me está pasando algo curioso , haber que os parece:
Tengo un backdoor, o puerta trasera, (rootkit probablemente), tengo muchos logs que lo avalan, pero lo he llevado  a varias tiendas y lo que ha pasado:
1 tienda:
Me abonaron el dinero y devolví una placa base , por lo menos bien.

2 tienda:
Me dijo que lo había reparado, pero no fue así, al llegar a casa comprove que continuaba teníendo el bacdoor, y ahora me dice el técnico que el no sabe repararlo y que lo lleve a unos péritos informáticos, habiendo perdido mucho tiempo y dinero....

3tienda:
Me dicen que ellos no se dedican a eso ( cuando es una tienda fuerte en la zona, y hay programadores, hacen cursos...), me dicen que ellos con sus herramientas no detectan nada, y que si creo que tengo algo que lo lleve a unos péritos informáticos.....no comprendo, si hasta el combofix me marca que hay un rootkit,el avast mbr encuentra cosas, el chkrootkit, el unhide, el rkhunter, y tienen la santa barra de decirme que ellos no ven nada.... pues no se que pensar....
Cuestión que en esta tienda lo llevé por el backdoor, pero  no lo han mirado y me han salido con que tenía el disco duro medio jodido me han dicho, cosa que han enviado a la casa para repararlo me han dicho, pero no han mirado nada del backdoor, y me lo tengo que quedar mal todo el equipo si o si....

¿Es cierto que siendo informáticos profesionales, no sepan que es un backdoor y no me lo solucionen?
Gracias, un saludo.
Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla

https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/

AlbertoPerez

#1
Buenas.

Eso es facil de quitar, pero tienes que andarte con cuidado para no perder informacion, porque tendras que formatear el ordenador, y limpiar todos los sectores de la placa base, para que se borre el backdoor. Si rellenas muchas veces el disco duro, se pierde la informacion. Te explico:

Que pasa cuando borras un archivo?

Cuando lo borras, realmente no se borra se pone como de forma que se pueda editar, pero si ese sector, en el que se ha quedado borrado, no lo editas (metes informacion), sigue estando, y es recuperable, con programas especificos.

Entonces, cuando borras el backdoor, vas a usar un programa que vas a meter en un usb (pen drive), que lo bootearas desde la BIOS.

Cuando enciendes el ordenador, no te sale la marca del ordenador? (Toshiba, Acer, Intel, HP, etc).

Pues, dependiendo del ordenador, la tecla para acceder a la BIOS, puede ser "Esc, F2, F6, F8 Supr, etc.

Tienes que encontrar la tuya. Aunque la mas generica, suele ser F2.

Entonces, una vez dentro, vas con las flechitas que tienes a la derecha (arriba, abajo, izquierda y derecha). Dandole a la de la derecha, hasta entrar en la pestaña "Boot".

Una vez hecho esto, ve abajo a donde pone la primera prioridad de booteo.

Depende del ordenador,leera primero el USB, antes que el disco duro:
"Hard Disc", o "CD/DVD/USB".

Esta parte, es intuitiva, en cuanto lo veas, lo sabras.

Hay una cosa, si no te sale en ningun lado "CD/DVD/USB" (Cuidado, que tenga USB. Si pone CD/DVD, le tienes que dar a Hard Disc), le tienes que poner Hard Disc.

Y, veras mas abajo, que sale un sitio que pone "Hard Disc Drive" (O algo por el estilo, como ya digo, en cada BIOS cambia).

Y, le das intro, y tienes que poner arriba el pen drive. Para ello, tendras que meterlo ANTES de iniciar el sistema, y meterte a la BIOS.

Bueno, cual es el programa, y como lo metes en el pen?

Hay varios programas para crear un USB booteable.
Algunos de ellos (los mejores) son:
1. UltraISO
2. Rufus
3.UniversalUSBInstaller

Bien, el programa que tienes que descargar se llama:

dban.

http://www.dban.org/download

Que haras con esto?

Es un programa que te va a meter informacion muchas veces, completando cada vez, todos los sectores del disco duro.

La gente suele darle 8 veces (yo tambien) para que te llene el disco, y te lo edite, para borrar toda la info.

Pero, tienes que usar otro pen, para instalarle windows. Tienes que tener un CD, con el instalador de windows, o un USB. Para poder instalarlo mas tarde.

Para que no pierdas la informacion, que tienes dentro de windows, te recomiendo que o lo metas en un USB, disco duro, o en cualquier nube (OneDrive, Dropbox, Drive, etc).

Pues bien, ya tienes un USB booteable con un editor de disco, que te borrara la info (paciencia, que suele tardar unas 10 horas, no es un proceso lento), el instalador de windows, y toda la info a salvo.

Ya solo tienes que instalar windows, una vez terminado todo, le metes la informacion que metiste en el pen, disco duro o nube, le instalas los programas, y ya esta.

Espero que te sirva. Y, para saber como usar dban, busca tutoriales en youtube, hay muchiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiisimos. Mirate VARIOS videos. Importante, no te mires uno, o como ocurra algo inesperado, no sabras reaccionar, y la vas a joder. Informate bien de usar la herramienta, y como se hace, y ya podras hacerlo con cierta seguridad y propiedad.

Y, eso es todo. Despues, para que no te infectes de virus, backdoors, gusanos, adwares, troyanos, etc. Sigue los consejos habituales. No descargues informacion, aplicaciones, etc, desde webs que no sean del autor, no navegues por sitios que no sean de confianza, etc.

Saludos, leetelo todo muy bien, y varias veces para entenderlo todo, de todas formas:

1. Crear USB booteable.
2. Guardar la info en pen drive.
3. Crear USB booteable con instalador de windows (Hay miles de videos en youtube, etc, que te traen la imagen ISO, mas el crack, para crackear windows, pero no puedo decirte como se crackea, dado que es ilegal, y no esta permitidio en este foro, ni en inguno decente).
4. Booteas desde la BIOS el pen drive booteable, y lo configuras para que te limpie el disco entero, sector por sector, todas las veces que quieras (Obvio, cuanta mas veces quieras que te limpie todos los sectores, te los vuelva a rellenar, los borre, y tal, para quedar todo bien destruido, pues ma tiempo tardara).
5. Instalas windows, los drivers, etc.
6. Metes los datos extraido en ell pen drive.
7. Navegar y descargar archivos desde webs del autor, y webs de seguridad.

Saludos, y espero que te sirva.

Hason

Gracias Alberto Perez , por toda la info, pero no creo que funcione lo que dices por que tengo el lio en el chipset de la placa base , no en el disco duro, si bien, reescribe el mbr , pero no es el problema principal.( si quieres saber exactamente lo que sufro, revisa mis mensajes y lo sabrás)

La duda principal, era saber si los técnicos de reparación, deberían saber repararme lo que tengo, o si ellos no  lo saben.Pero me parece extraño que dedicandose a reparar ordenadores no puedan reparar los mios.....

Lo que tengo , creo que se propaga por los firmwares de los componentes de hardware... aunque no estoy del todo seguro, tengo que hacer más pruebas cuando pueda permitirmelo económicamente....
He sustituido la placa base y nada, sigue el problema, y entonces una de dos, o queda  código maligno escondido en el firmware de la grabadora dvd, o me tangan el correo....por que entiendo que no puede quedar código en ningún otro sitio del pc, ni en la fuente, ni el la cpu, ni en las memorias ¿me equivoco?

Saludos.


Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla

https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/

AlbertoPerez

#3
Veamos, todo lo que sea virus, es software, no hardware. Entonces, ocurre un problema.

Hay MUCHOS, pero realmente MUCHOS virus, y tipos de estos. Desde los que te dan publicidad, hasta los que son para robarte las credenciales bancarias, mediante keyloggers. Entonces, hay un tipo de virus que es que se aloja en la BIOS. Entonces, tiene control completo y absoluto, no ya de tu S.O. (Sistema Operativo), sino de todo tu pc. Pasando por todo. Es como si el pc fuera del hacker, en vez de tuyo. Solo que tu no lo sabes (en este caso, obviamente si lo sabes).

Entonces, si formateas el ordenador, y te sigue quedando el backdoor, lo jodido sera cambiarle la BIOS (la verdad, de esto no estoy informado, no se si se le puede cambiar la BIOS a un pc, aunque supongo que si, dado que es software, no hardware).

Entonces, informate de como cambiar la BIOS, porque si te sigue estando el virus con backdoor aun cambiando el disco duro, significa que esta en otro lado.

Problema de esto: Cambiar la BIOS, y si te sigue estando, es un virus muy raro.

Solamente, los virus pueden meterse en dos sitios: En el S.O., o en la BIOS.

En el sistema operativo, hay muchisimos, desde los que se te meten hasta en las ventanas del navegador, hasta los troyanos alojados en C:, y System32.

Asi que, si sigue estando, mi consejo es que cambies de ordenador, porque vas a ahorrar tiempo y dinero.

Eso si, por si te sirve de ayuda.

Como funciona un virus? (Basico).

Un virus, como se comunica con el panel de control del atacante (hacker, cibercriminal)? Mediante internet.


Desactivale el wifi, o quitale el cable de LAN (el que va del pc al modem), y ya no hay virus que valga. Por eso, en windows esta el "modo seguro", y no te deja internet, porque al no haber internet, no hay virus que valga.

Asi que, lo dicho, o es de la BIOS, o realmente no sabria decirte. Aunque para que sea de la BIOS, es un virus ya en plan sofisticado. Porque, es jodido, muy jodido de quitar eso. A no ser, que se la cambies. Que, me parece que si, pero no estoy seguro.

Y, los informaticos esos, son unos inutiles, porque si estan alli, dando de todo, hasta cursos, etc. Y no saben quitar un simple virus con backdoor, no se que es loque hacen. Tambien es posible, que solo entiendan de sistemas y tal, en vez de virus (malware), tecnicas hacker, programacion, etc. Seran simples informaticos, pero virus, te enseñan a quitar no mas vayas a un curso que te enseñen a formatear un ordenador. Asi que, muy buenos profesionales, no es que lo sean.

Saludos, y espero que te sirva/aclare todo esto.

Hason

Muchisimas gracias por toda la información Alberto Perez.
Lo último que me has dicho es lo que queria saber, es lo que pensaba yo, que los informáticos profesionales, deberían poder repararmelo, o por lo menos decirme esto o aquello, pero no me lo solucionan, me lo vuelven a colar.

En un sitio he pedido hojas de reclamación haber que pasa y tal vez las pida en otro sitio, por que que lleve a reparar el pc por algo, y que me digan que ellos no ven nada, y me miran otra cosa.... no se....teniendo yo un montón de logs que avalan lo que digo....

Tengo un mobil hackeado  también y en teoria lo he mandado a la casa para que lo reparen.... haber como vuelve...

Pues todo lo que me has comentado ya lo sabia , muchas gracias, la bios ya la cambie varias veces haciendo pruebas, sustituyendo el chip bios por uno nuevo, pero se reescribe con el código malo, por que esta alojado en el firmware del dvd o me llegan mal las placas, y el código está en el conjunto del chipset, y de no coger y reflashear componente por componente de hardware,  es imposible limpiar, y la verdad no se como podría hacer de  reflashear componente por componente sin reiniciar, claro, por que cuando reinicio, se carga el código malo otra vez.... una faena...

Pero vamos, lo que queria saber , si me están engañando en las tiendas o no, pero según me dices, los técnicos deberían saber decirme algo más que :

No se repararlo.
Yo lo veo bien.
Ves a unos péritos informáticos.
Te hago el abono.

Y tengo que tener al sirvenguenza este de cracker aqui si o si....
Espero comprar todo nuevo otra vez, pero llevo perdido muchisimo tiempo y dinero.. y está vez que no se me contagie....

Sospecho que lo que tengo , como te he comentado anteriormente, se transmite por los firmwares, por los chips, de gráficas, controladoras de red, audio..... y no me deja limpiarlo.
Alguna manera tiene que haber, pero yo no la se, y los técnicos que me lo miran tampoco, o no quieren decirme nada....


Pero vamos la duda que preguntaba me la has resuelto, creo que los técnicos me engañan, ¿que opinais?
Por que si me dieran un informe favorable, y aunque no supieran repararlo, me dijeran que tengo un tinglado en el pc, podría acudir a la policia, pero como no dicen nada a mi favor, me tengo que joder, y no tengo para pagar unos péritos informáticos....

Hay algún técnico por españa, que me quiera mirar una placa base??, le mando la placa, y aunque no pueda repararlo, si me hiciera un parte técnico con factura diciendo lo que hay, sería muy bueno.


Un saludo y gracias.
Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla

https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/

Equinoxe

Vete al psiquiatra, que yà nos tienes hartos con tu neura, llevas dos meses dando el coñazo con lo mismo, deja de montarte peliculas.... >:(
Ad maiora natus sum

#!drvy

Podrias mostrar esos logs de los que hablas ? A ver que te reportan ?

Saludos

Hason

 Equinoxe , esa no es la solución, la solución es limpiar el problema que tengo.

#!drvy , si lees mis mensajes antiguos, están llenos de logs, si quieres puedo volverlos a poner más ordenadamente,pero repetiria más lo mismo.

Usuarios del foro me dijeron la forma como sacarmelo, pero no puedo por falta económica y por que no me lo reparan en ninguna tienda de mi zona, haciendome perder tiempo y dinero...

Haré un resumen:

Tengo un intruso:solo hay  mi pc, el pc de mi madre y el router, pero sale esto:

   IP            At MAC Address      Count  Len   MAC Vendor                   
-----------------------------------------------------------------------------
222.222.222.2   10:fe:ed:71:59:8a    611    36660   Unknown vendor           
222.222.222.26  f8:a9:63:a6:70:57    5189    311340   Unknown vendor         
0.0.0.0         f8:a9:63:a6:70:57    4683    280980   Unknown vendor         
222.222.222.23  78:24:af:39:5c:ad    2300    138000   Unknown vendor         
222.222.222.2   78:24:af:39:5c:ad    639    38340   Unknown vendor         

El host 0.0.0.0 esta con los siguientes servicios:

host                name                 port                  proto                                info

0.0.0.0              rpcbind              111                  tcp            2-4 RPC # 100000
0.0.0.0              http                    3790                 tcp           nginx
0.0.0.0              meterpreter      20378                tcp          Metasploit meterpreter BACKDOOR
0.0.0.0               status               56430                tcp         1 RPC   # 100024

El programa OTL detecta zeroacces:

========== ZeroAccess Check ==========


[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2015/07/19 16:45:54 | 021,192,024 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2015/07/19 16:45:54 | 018,634,248 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2015/07/19 16:45:54 | 000,921,088 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2015/07/19 16:45:54 | 000,691,712 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2015/07/19 16:45:54 | 000,483,840 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

========== LOP Check ==========


========== Purity Check ==========



========== Custom Scans ==========

< :Files

>
[2015/07/19 16:45:54 | 000,000,006 | -H-- | C] () -- C:\Windows\Tasks\SA.DAT

< C:\Users\hp\AppData\Local\Temp\NOD9221.tmp
>

< C:\Users\hp\AppData\Local\Temp\*.*

>

< >

< :Commands

>

< [EmptyFlash]

>

< [EmptyTemp]

>

< [EmptyJava]
>

< End of report >


La última parte de rkhunter detecta algo:

Info: Starting test name 'filesystem'
[17:27:49] Performing filesystem checks
[17:27:49] Info: SCAN_MODE_DEV set to 'THOROUGH'
[17:27:49]   Checking /dev for suspicious file types         [ Warning ]
[17:27:50] Warning: Suspicious file types found in /dev:
[17:27:50]          /dev/.udev/rules.d/root.rules: ASCII text
[17:27:50]   Checking for hidden files and directories       [ Warning ]
[17:27:50] Warning: Hidden directory found: '/etc/.java: directory '
[17:27:50] Warning: Hidden directory found: '/dev/.udev: directory '
[17:27:50] Warning: Hidden file found: /dev/.blkid.tab: ASCII text
[17:27:50] Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text
[17:27:50] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
[17:28:47]
[17:28:47] Info: Test 'apps' disabled at users request.
[17:28:47]
[17:28:47] System checks summary
[17:28:47] =====================
[17:28:47]
[17:28:47] File properties checks...
[17:28:47] Files checked: 140
[17:28:47] Suspect files: 0
[17:28:47]
[17:28:47] Rootkit checks...
[17:28:47] Rootkits checked : 292
[17:28:47] Possible rootkits: 0
[17:28:47]
[17:28:47] Applications checks...
[17:28:47] All checks skipped
[17:28:47]
[17:28:47] The system checks took: 3 minutes and 21 seconds
[17:28:47]
[17:28:47] Info: End date is mer  2 set 2015, 17.28.47, CEST



El log de chkrootkit detecta muchas cosas, hago un resumen por que es muy largo el log:

Host key verification failed.
ssh_kex: BN_new failed
ssh_kex: BN_set_word failed
ssh_kex: BN_lshift failed
ssh_kex: BN_add_word failed
Encryption type: %.100s
Sent encrypted session key.
Server refused our key.
Bad passphrase.
RSA authentication refused.
%.30s@%.128s's password:
Permission denied.
Doing challenge response authentication.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS
Permission denied, please try again.
WARNING: Encryption is disabled! Response will be transmitted in clear text.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS_RESPONSE
respond_to_rsa_challenge: rsa_private_decrypt failed
respond_to_rsa_challenge: bad challenge length %d
Sending response to host key RSA challenge.
Waiting for server public key.
Warning: Server lies about size of server public key: actual size is %d bits vs. announced %d.
Warning: This may be due to an old implementation of ssh.
Warning: Server lies about size of server host key: actual size is %d bits vs. announced %d.
Received server public key (%d bits) and host key (%d bits).




Trying RSA authentication with key '%.100s'
try_rsa_authentication: BN_new failed
Enter passphrase for RSA key '%.100s':
no passphrase given, try next key
bad passphrase given, try again...
Doing password authentication.
WARNING: Encryption is disabled! Password will be transmitted in clear text.
Protocol error: got %d in response to passwd auth
respond_to_rsa_challenge
explicit
key: %s (%p),%s
input_userauth_banner
no such identity: %s: %s






@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
The %s host key for %s has changed,
and the key for the corresponding IP address %s
%s. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in %s:%lu
Update the SSHFP RR in DNS with the new host key to get rid of this message.
Couldn't execute %s -c "%s": %s




@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the %s key sent by the remote host is
Please contact your system administrator.
ssh_connect: getnameinfo failed
Connecting to %.200s [%.100s] port %s.
Bogus return (%d) from select()
connect to address %s port %s: %s
setsockopt SO_KEEPALIVE: %.100s
ssh: connect to host %s port %s: %s
Could not create socketpair to communicate with proxy dialer: %.100s
Executing proxy dialer command: %.500s
proxy dialer did not pass back a connection
Could not create pipes to communicate with the proxy: %.100s





Warning: Permanently added '%.200s' (%s) to the list of known hosts.
@ WARNING: REVOKED HOST KEY DETECTED! @
The %s host key for %s is marked as revoked.
This could mean that a stolen key is being used to
%s host key for %.200s was revoked and you have requested strict checking.
Host certificate authority does not match %s in %s:%lu
Add correct host key in %.100s to get rid of this message.
remove with: ssh-keygen -f "%s" -R %s
%s host key for %.200s has changed and you have requested strict checking.
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
Challenge/response authentication is disabled to avoid man-in-the-middle attacks.
Agent forwarding is disabled to avoid man-in-the-middle attacks.
X11 forwarding is disabled to avoid man-in-the-middle attacks.
Port forwarding is disabled to avoid man-in-the-middle attacks.
Tunnel forwarding is disabled to avoid man-in-the-middle attacks.
Error: forwarding disabled due to host key check failure
Warning: the %s host key for '%.200s' differs from the key for the IP address '%.128s'
Offending key for IP in %s:%lu
Exiting, you have requested strict checking.
Are you sure you want to continue connecting (yes/no)?
No matching CA found. Retry with plain key
Host '%.200s' is known and matches the %s host %s.




Could not load "%s" as a RSA1 public key
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
Permissions 0%3.3o for '%s' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
could not open key file '%s': %s
bad permissions: ignore key: %s
%s: certificate does not match private key %s
%s: could not open keyfile "%s": %s


El avast mbr detectaba muchas cosas en el disco duro, esto pude repararlo:

aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2015-07-06 16:23:33
-----------------------------
16:23:33.202 OS Version: Windows x64 6.2.9200
16:23:33.202 Number of processors: 4 586 0x3C03
16:23:33.202 ComputerName: V UserName: f
16:23:36.071 Initialize success
16:23:36.071 VM: initialized successfully
16:23:36.071 VM: Intel CPU BiosDisabled
16:27:23.416 AVAST engine defs: 15070601
16:27:42.857 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000032
16:27:42.857 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 11
16:27:42.997 Disk 0 MBR read successfully
16:27:42.997 Disk 0 MBR scan
16:27:42.997 Disk 0 unknown MBR code
16:27:43.013 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
16:27:43.122 Disk 0 scanning C:\Windows\system32\drivers
16:27:53.650 Service scanning
16:28:01.402 Disk 0 statistics 109843/0/0 @ 9,45 MB/s
16:28:01.402 Scan stopped
16:30:30.556 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000032
16:30:30.556 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 11
16:30:30.624 Disk 0 MBR read successfully
16:30:30.624 Disk 0 MBR scan
16:30:30.640 Disk 0 unknown MBR code
16:30:30.643 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
16:30:30.710 Disk 0 scanning C:\Windows\system32\drivers
16:30:41.118 Service scanning
16:31:01.839 Modules scanning
16:31:01.839 Disk 0 trace - called modules:
16:31:01.886 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys storahci.sys hal.dll
16:31:01.901 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe00001927770]
16:31:01.901 3 CLASSPNP.SYS[fffff80000936abb] -> nt!IofCallDriver -> [0xffffe000001f9640]
16:31:01.917 5 ACPI.sys[fffff8000044f5f1] -> nt!IofCallDriver -> \Device\00000032[0xffffe0000173c060]
16:31:04.451 AVAST engine scan C:\
18:09:24.354 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_6.3.9600.16415_none_40f6b809cfbbe7eb\winload.efi **HIDDEN**
18:09:25.045 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_6.3.9600.16415_none_40f6b809cfbbe7eb\winload.exe **HIDDEN**
18:09:25.243 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ore-bootmanager-efi_31bf3856ad364e35_6.3.9600.16415_none_788bfa86701d3473\bootmgfw.efi **HIDDEN**
18:09:25.416 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ore-bootmanager-efi_31bf3856ad364e35_6.3.9600.16415_none_788bfa86701d3473\bootmgr.efi **HIDDEN**
18:09:25.645 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winload.efi **HIDDEN**
18:09:25.826 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winload.exe **HIDDEN**
18:09:26.049 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winresume.efi **HIDDEN**
18:09:26.229 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winresume.exe **HIDDEN**
18:09:26.459 File: C:\Windows\WinSxS\amd64_microsoft-windows-c..esources-mrmindexer_31bf3856ad364e35_6.3.9600.16412_none_59be9d25a315a723\MrmIndexer.dll **HIDDEN**
18:09:26.631 File: C:\Windows\WinSxS\amd64_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16412_none_dc86bb0c35a4f819\MrmCoreR.dll **HIDDEN**
18:09:26.772 File: C:\Windows\WinSxS\amd64_microsoft-windows-crypt32-dll.resources_31bf3856ad364e35_6.3.9600.16431_es-es_bee3ab218e3e9225\crypt32.dll.mui **HIDDEN**
18:09:26.977 File: C:\Windows\WinSxS\amd64_microsoft-windows-crypt32-dll_31bf3856ad364e35_6.3.9600.16431_none_4c61328ab1a4f2bb\crypt32.dll **HIDDEN**
18:09:27.181 File: C:\Windows\WinSxS\amd64_microsoft-windows-d..pwindowmanager-udwm_31bf3856ad364e35_6.3.9600.16483_none_79507f65946fd76d\uDWM.dll **HIDDEN**
18:09:27.369 File: C:\Windows\WinSxS\amd64_microsoft-windows-directcomposition_31bf3856ad364e35_6.3.9600.16457_none_8e56744e159f2032\dcomp.dll **HIDDEN**
18:09:27.590 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-direct3d11_31bf3856ad364e35_6.3.9600.16455_none_e09820d5a189e081\d3d11.dll **HIDDEN**
18:09:27.795 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-direct3d11_31bf3856ad364e35_6.3.9600.16506_none_e0cf32a1a1606b4a\d3d11.dll **HIDDEN**
18:09:27.955 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-dxgi_31bf3856ad364e35_6.3.9600.16455_none_2b5e4a51f26a82e7\dxgi.dll **HIDDEN**
18:09:28.146 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-dxgi_31bf3856ad364e35_6.3.9600.16506_none_2b955c1df2410db0\dxgi.dll **HIDDEN**
18:09:28.400 File: C:\Windows\WinSxS\amd64_microsoft-windows-g..policy-admin-appmgr_31bf3856ad364e35_6.3.9600.16457_none_eb9b2e9489d57172\appmgr.dll **HIDDEN**
18:09:28.549 File: C:\Windows\WinSxS\amd64_microsoft-windows-hal_31bf3856ad364e35_6.3.9600.16500_none_9c39d4b32d63f333\hal.dll **HIDDEN**
18:09:28.675 File: C:\Windows\WinSxS\amd64_microsoft-windows-i..timezones.resources_31bf3856ad364e35_6.3.9600.16471_es-es_7406dfed55df12ea\tzres.dll.mui **HIDDEN**
18:09:28.847 File: C:\Windows\WinSxS\amd64_microsoft-windows-managementregistration_31bf3856ad364e35_6.3.9600.16459_none_cfd9442b5a19555f\mdmregistration.dll **HIDDEN**
18:09:28.988 File: C:\Windows\WinSxS\amd64_microsoft-windows-mdmagent_31bf3856ad364e35_6.3.9600.16459_none_35e08045f1f9a9c2\MDMAgent.exe **HIDDEN**
18:09:29.113 File: C:\Windows\WinSxS\amd64_microsoft-windows-mediafoundation-mfsvr_31bf3856ad364e35_6.3.9600.16502_none_afd0030d8ebbf918\mfsvr.dll **HIDDEN**
18:09:29.180 File: C:\Windows\WinSxS\amd64_microsoft-windows-microsoftrawcodec_31bf3856ad364e35_6.3.9600.16453_none_28b4e8b21dbe718f\MicrosoftRawCodec.dll **HIDDEN**
18:09:29.431 File: C:\Windows\WinSxS\amd64_microsoft-windows-msftedit_31bf3856ad364e35_6.3.9600.16436_none_c6c76b270afe3788\msftedit.dll **HIDDEN**
18:09:29.583 File: C:\Windows\WinSxS\amd64_microsoft-windows-msieftp.resources_31bf3856ad364e35_6.3.9600.16456_es-es_a5203b7534b06fd4\msieftp.dll.mui **HIDDEN**
18:09:29.796 File: C:\Windows\WinSxS\amd64_microsoft-windows-ntdll_31bf3856ad364e35_6.3.9600.16502_none_49e9c0e4cfe59aa2\ntdll.dll **HIDDEN**
18:09:30.042 File: C:\Windows\WinSxS\amd64_microsoft-windows-ntfs_31bf3856ad364e35_6.3.9600.16657_none_9753001bf0c78fae\ntfs.sys **HIDDEN**
18:09:30.104 File: C:\Windows\WinSxS\amd64_microsoft-windows-os-kernel_31bf3856ad364e35_6.3.9600.16452_none_5d0d32c188038f82\ntoskrnl.exe **HIDDEN**
18:09:30.245 File: C:\Windows\WinSxS\amd64_microsoft-windows-p..ns-platform-library_31bf3856ad364e35_6.3.9600.16456_none_7775637956939b58\wpncore.dll **HIDDEN**
18:09:30.417 File: C:\Windows\WinSxS\amd64_microsoft-windows-propsys_31bf3856ad364e35_7.0.9600.16504_none_8c565e6bb0a9770c\propsys.dll **HIDDEN**
18:09:30.620 File: C:\Windows\WinSxS\amd64_microsoft-windows-qedit_31bf3856ad364e35_6.3.9600.16650_none_4b76b1061b499c81\qedit.dll **HIDDEN**
18:09:30.756 File: C:\Windows\WinSxS\amd64_microsoft-windows-rdbss_31bf3856ad364e35_6.3.9600.16493_none_4a876987356975c9\rdbss.sys **HIDDEN**
18:09:30.975 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..client-ui-wscollect_31bf3856ad364e35_6.3.9600.16477_none_fa7f9a480571cb5c\WSCollect.exe **HIDDEN**
18:09:31.065 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..ivesyncprovisioning_31bf3856ad364e35_6.3.9600.16490_none_89c3e18dbff7edfe\easwrt.dll **HIDDEN**
18:09:31.205 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..l-bulkoperationhost_31bf3856ad364e35_6.3.9600.16457_none_914837f4e4470d31\BulkOperationHost.exe **HIDDEN**
18:09:31.283 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..l-classextension-v2_31bf3856ad364e35_6.3.9600.16444_none_2ecb238e3daa1a34\SerCx2.sys **HIDDEN**
18:09:31.442 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..spellcheck.binaries_31bf3856ad364e35_6.3.9600.16500_none_13de64650a759886\MsSpellCheckingFacility.dll **HIDDEN**
18:09:31.505 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_47d1f1bea0bcf7a8\jscript9.dll **HIDDEN**
18:09:31.661 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_47d1f1bea0bcf7a8\jscript9diag.dll **HIDDEN**
18:09:31.770 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-vbscript_31bf3856ad364e35_11.0.9600.16483_none_4c14ac3810e39986\vbscript.dll **HIDDEN**
18:09:32.007 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16412_none_70eb3d5bf6e9a73b\SettingSyncHost.exe **HIDDEN**
18:09:32.180 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16456_none_70c3fed3f7067c5b\SettingSyncHost.exe **HIDDEN**
18:09:32.352 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16503_none_70f70f77f6e0a1c8\SettingSyncHost.exe **HIDDEN**
18:09:32.508 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-exehost_31bf3856ad364e35_6.3.9600.16412_none_7801462afe7fff72\SkyDrive.exe **HIDDEN**
18:09:32.664 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-exehost_31bf3856ad364e35_6.3.9600.16456_none_77da07a2fe9cd492\SkyDrive.exe **HIDDEN**
18:09:32.874 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-syncengine_31bf3856ad364e35_6.3.9600.16412_none_1e0e65f728d5bb87\SyncEngine.dll **HIDDEN**
18:09:33.167 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-syncengine_31bf3856ad364e35_6.3.9600.16457_none_1de827b928f1a9fe\SyncEngine.dll **HIDDEN**
18:09:33.335 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-telemetry_31bf3856ad364e35_6.3.9600.16412_none_74bbf4d100a74e13\SkyDriveTelemetry.dll **HIDDEN**
18:09:33.476 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-client-ui-wshost_31bf3856ad364e35_6.3.9600.16477_none_044f612c83e1996e\WSHost.exe **HIDDEN**
18:09:33.607 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-client-wssls_31bf3856ad364e35_6.3.9600.16477_none_d57fef54fc014473\WSSls.dll **HIDDEN**
18:09:33.710 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16477_none_f7dc016adcf85683\OEMLicense.dll **HIDDEN**
18:09:33.799 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16477_none_f7dc016adcf85683\WSClient.dll **HIDDEN**
18:09:33.865 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16504_none_f824b1e6dcc2440e\OEMLicense.dll **HIDDEN**
18:09:33.966 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16504_none_f824b1e6dcc2440e\WSClient.dll **HIDDEN**
18:09:34.107 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-service_31bf3856ad364e35_6.3.9600.16477_none_b0b1e8558b04aa7a\WSMigPlugin.dll **HIDDEN**
18:09:34.292 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-service_31bf3856ad364e35_6.3.9600.16477_none_b0b1e8558b04aa7a\WSService.dll **HIDDEN**
18:09:34.480 File: C:\Windows\WinSxS\amd64_microsoft-windows-twinui-appcore_31bf3856ad364e35_6.3.9600.16443_none_82b15f082eaa980d\twinui.appcore.dll **HIDDEN**
18:09:34.595 File: C:\Windows\WinSxS\amd64_microsoft-windows-twinui.resources_31bf3856ad364e35_6.3.9600.16459_es-es_1f5bdae675b1606d\twinui.dll.mui **HIDDEN**
18:09:34.740 File: C:\Windows\WinSxS\amd64_microsoft-windows-vsssystemprovider_31bf3856ad364e35_6.3.9600.16523_none_3c313ce747e5eaa3\swprv.dll **HIDDEN**
18:09:34.928 File: C:\Windows\WinSxS\amd64_microsoft-windows-wmiv2-mdmappprov-dll_31bf3856ad364e35_6.3.9600.16459_none_46250ca37f7b8eee\MDMAppProv.dll **HIDDEN**
18:09:35.162 File: C:\Windows\WinSxS\amd64_microsoft-windows-wmpdmc-ux_31bf3856ad364e35_6.3.9600.16460_none_df337169cb4b3f3b\WMPDMC.exe **HIDDEN**
18:09:35.372 File: C:\Windows\WinSxS\amd64_netfx4-aspnet_wp_exe_b03f5f7f11d50a3a_4.0.9600.16470_none_318dd958165a9e39\aspnet_wp.exe **HIDDEN**
18:09:35.528 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_4894817b1ac401c2\clrjit.dll **HIDDEN**
18:09:35.740 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_4898996b1ac04d7d\clrjit.dll **HIDDEN**
18:09:35.956 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_31cbdc513466e02a\clrjit.dll **HIDDEN**
18:09:35.988 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_6484417b85bcf6a1\clr.dll **HIDDEN**
18:09:36.035 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_6488596b85b9425c\clr.dll **HIDDEN**
18:09:36.066 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_4dbb9c519f5fd509\clr.dll **HIDDEN**
18:09:36.260 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_09fd4e179a2ba331\mscordacwks.dll **HIDDEN**
18:09:36.423 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_0a0166079a27eeec\mscordacwks.dll **HIDDEN**
18:09:36.555 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_f334a8edb3ce8199\mscordacwks.dll **HIDDEN**
18:09:36.790 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_2b71ecf2acf422a1\mscordbi.dll **HIDDEN**
18:09:37.006 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_2b7604e2acf06e5c\mscordbi.dll **HIDDEN**
18:09:37.196 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_14a947c8c6970109\mscordbi.dll **HIDDEN**
18:09:37.243 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.16441_none_f9b2b614610d9cf0\mscorlib.ni.dll **HIDDEN**
18:09:37.268 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.16480_none_f9b6ce046109e8ab\mscorlib.ni.dll **HIDDEN**
18:09:37.299 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.20491_none_e2ea10ea7ab07b58\mscorlib.ni.dll **HIDDEN**
18:09:37.460 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_0bb54c2ccb0f9d87\SOS.dll **HIDDEN**
18:09:37.632 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_0bb9641ccb0be942\SOS.dll **HIDDEN**
18:09:37.773 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_f4eca702e4b27bef\SOS.dll **HIDDEN**
18:09:37.915 File: C:\Windows\WinSxS\amd64_netfx4-system.web.applicationservices_b03f5f7f11d50a3a_4.0.9600.16470_none_ae0b563009bdc82a\System.Web.ApplicationServices.dll **HIDDEN**
18:09:38.094 File: C:\Windows\WinSxS\amd64_netfx4-system.web.extensions_b03f5f7f11d50a3a_4.0.9600.16470_none_63bcc4b5e55acab6\System.Web.Extensions.dll **HIDDEN**
18:09:38.251 File: C:\Windows\WinSxS\amd64_netfx4-webengine4_dll_b03f5f7f11d50a3a_4.0.9600.16470_none_fcf0187c71a908e6\webengine4.dll **HIDDEN**
18:09:38.346 File: C:\Windows\WinSxS\amd64_netfx4-webengine_dll_b03f5f7f11d50a3a_4.0.9600.16470_none_417ec1c67e391c40\webengine.dll **HIDDEN**
18:09:38.569 File: C:\Windows\WinSxS\amd64_spaceport.inf_31bf3856ad364e35_6.3.9600.16452_none_06b4923c2a59d5ec\spaceport.sys **HIDDEN**
18:09:38.612 File: C:\Windows\WinSxS\amd64_system.web_b03f5f7f11d50a3a_4.0.9600.16470_none_75246152a818c5ea\System.Web.dll **HIDDEN**
18:09:38.776 File: C:\Windows\WinSxS\amd64_volume.inf_31bf3856ad364e35_6.3.9600.16523_none_06b4fa95cfdc3a92\volsnap.sys **HIDDEN**
18:09:38.918 File: C:\Windows\WinSxS\amd64_wdma_usb.inf_31bf3856ad364e35_6.3.9600.16490_none_5dc76c7e8add9f91\USBAUDIO.sys **HIDDEN**
18:09:39.058 File: C:\Windows\WinSxS\amd64_windows-defender-drivers_31bf3856ad364e35_6.3.9600.16452_none_e1a9e060c919ad4c\WdBoot.sys **HIDDEN**
18:09:39.143 File: C:\Windows\WinSxS\amd64_windows-defender-drivers_31bf3856ad364e35_6.3.9600.16452_none_e1a9e060c919ad4c\WdFilter.sys **HIDDEN**
18:09:39.233 File: C:\Windows\WinSxS\amd64_windows-defender-events.resources_31bf3856ad364e35_6.3.9600.16452_es-es_d39c34d4a8e5133a\MpEvMsg.dll.mui **HIDDEN**
18:09:39.315 File: C:\Windows\WinSxS\amd64_windows-defender-events_31bf3856ad364e35_6.3.9600.16452_none_4d7bb02565c50f4c\MpEvMsg.dll **HIDDEN**
18:09:39.462 File: C:\Windows\WinSxS\amd64_windows-defender-nis-drivers_31bf3856ad364e35_6.3.9600.16452_none_39f65d93853c90dd\WdNisDrv.sys **HIDDEN**
18:09:39.585 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisIpsPlugin.dll **HIDDEN**
18:09:39.674 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisLog.dll **HIDDEN**
18:09:39.768 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisSrv.exe **HIDDEN**
18:09:39.825 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisWfp.dll **HIDDEN**
18:09:39.904 File: C:\Windows\WinSxS\amd64_windows-defender-service.resources_31bf3856ad364e35_6.3.9600.16452_es-es_60657c64db006dfc\MpAsDesc.dll.mui **HIDDEN**
18:09:39.987 File: C:\Windows\WinSxS\amd64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_782e9bb181491069\EppManifest.dll.mui **HIDDEN**
18:09:40.065 File: C:\Windows\WinSxS\amd64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_782e9bb181491069\MsMpRes.dll.mui **HIDDEN**
18:09:40.206 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\EppManifest.dll **HIDDEN**
18:09:40.311 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\MSASCui.exe **HIDDEN**
18:09:40.428 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\MsMpRes.dll **HIDDEN**
18:09:40.553 File: C:\Windows\WinSxS\amd64_windows-id-connecte..nt-provider-wlidcli_31bf3856ad364e35_6.3.9600.16453_none_91c6da4b8d50f772\wlidcli.dll **HIDDEN**
18:09:40.725 File: C:\Windows\WinSxS\amd64_windows-services-instrumentation-winbici_31bf3856ad364e35_6.3.9600.16457_none_8f0b646150ee446d\winbici.dll **HIDDEN**
18:09:41.072 File: C:\Windows\WinSxS\msil_microsoft.grouppolicy.reporting_31bf3856ad364e35_6.3.9600.16443_none_ded7156fc69e55d5\Microsoft.GroupPolicy.Reporting.dll **HIDDEN**
18:09:41.266 File: C:\Windows\WinSxS\msil_microsoft.grouppolicy.reporting_31bf3856ad364e35_6.3.9600.16500_none_deff5627c6809733\Microsoft.GroupPolicy.Reporting.dll **HIDDEN**
18:09:41.408 File: C:\Windows\WinSxS\msil_system.web.applicationservices_31bf3856ad364e35_4.0.9600.16470_none_38b9fe256a5b5fd3\System.Web.ApplicationServices.dll **HIDDEN**
18:09:41.580 File: C:\Windows\WinSxS\msil_system.web.extensions_31bf3856ad364e35_4.0.9600.16470_none_4308e9b1c3a04b93\System.Web.Extensions.dll **HIDDEN**
18:09:41.674 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\Flash.ocx **HIDDEN**
18:09:41.851 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashPlayerApp.exe **HIDDEN**
18:09:41.964 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashPlayerCPLApp.cpl **HIDDEN**
18:09:42.179 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashUtil_ActiveX.dll **HIDDEN**
18:09:42.327 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashUtil_ActiveX.exe **HIDDEN**
18:09:42.511 File: C:\Windows\WinSxS\wow64_microsoft-windows-appx-deployment-client_31bf3856ad364e35_6.3.9600.16452_none_b1134adfe297aef8\AppXDeploymentClient.dll **HIDDEN**
18:09:42.640 File: C:\Windows\WinSxS\wow64_microsoft-windows-appx-deployment-client_31bf3856ad364e35_6.3.9600.16457_none_b1184c51e2932dab\AppXDeploymentClient.dll **HIDDEN**
18:09:42.813 File: C:\Windows\WinSxS\wow64_microsoft-windows-directcomposition_31bf3856ad364e35_6.3.9600.16457_none_98ab1ea049ffe22d\dcomp.dll **HIDDEN**
18:09:43.050 File: C:\Windows\WinSxS\wow64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_11.0.9600.16518_none_a6b36bbac5320ac1\iexplore.exe **HIDDEN**
18:09:43.228 File: C:\Windows\WinSxS\wow64_microsoft-windows-ie-ieetwcollector_31bf3856ad364e35_11.0.9600.16518_none_d113a6391a330ac5\ieetwproxystub.dll **HIDDEN**
18:09:43.400 File: C:\Windows\WinSxS\wow64_microsoft-windows-ie-internetexplorer_31bf3856ad364e35_11.0.9600.16518_none_3d5f0f6a316ac3b6\ieUnatt.exe **HIDDEN**
18:09:43.608 File: C:\Windows\WinSxS\wow64_microsoft-windows-kernel32_31bf3856ad364e35_6.3.9600.16521_none_8f0ed2145e7557c0\kernel32.dll **HIDDEN**
18:09:43.803 File: C:\Windows\WinSxS\wow64_microsoft-windows-mfmpeg2srcsnk_31bf3856ad364e35_6.3.9600.16517_none_470956f4d6734459\mfmpeg2srcsnk.dll **HIDDEN**
18:09:43.971 File: C:\Windows\WinSxS\wow64_microsoft-windows-ntdll_31bf3856ad364e35_6.3.9600.16502_none_543e6b3704465c9d\ntdll.dll **HIDDEN**
18:09:44.175 File: C:\Windows\WinSxS\wow64_microsoft-windows-qedit_31bf3856ad364e35_6.3.9600.16650_none_55cb5b584faa5e7c\qedit.dll **HIDDEN**
18:09:44.312 File: C:\Windows\WinSxS\wow64_microsoft-windows-s..ivesyncprovisioning_31bf3856ad364e35_6.3.9600.16490_none_94188bdff458aff9\easwrt.dll **HIDDEN**
18:09:44.375 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_52269c10d51db9a3\jscript9.dll **HIDDEN**
18:09:44.570 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_52269c10d51db9a3\jscript9diag.dll **HIDDEN**
18:09:44.710 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-vbscript_31bf3856ad364e35_11.0.9600.16483_none_5669568a45445b81\vbscript.dll **HIDDEN**
18:09:44.757 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16456_none_675ea7791a399230\shell32.dll **HIDDEN**
18:09:44.798 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16483_none_673b36d71a5499fe\shell32.dll **HIDDEN**
18:09:44.848 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16660_none_674dd99d1a471065\shell32.dll **HIDDEN**
18:09:45.036 File: C:\Windows\WinSxS\wow64_microsoft-windows-twinui-appcore_31bf3856ad364e35_6.3.9600.16443_none_8d06095a630b5a08\twinui.appcore.dll **HIDDEN**
18:09:45.183 File: C:\Windows\WinSxS\wow64_microsoft-windows-twinui.resources_31bf3856ad364e35_6.3.9600.16459_es-es_29b08538aa122268\twinui.dll.mui **HIDDEN**
18:09:45.277 File: C:\Windows\WinSxS\wow64_windows-defender-events.resources_31bf3856ad364e35_6.3.9600.16452_es-es_ddf0df26dd45d535\MpEvMsg.dll.mui **HIDDEN**
18:09:45.371 File: C:\Windows\WinSxS\wow64_windows-defender-service.resources_31bf3856ad364e35_6.3.9600.16452_es-es_6aba26b70f612ff7\MpAsDesc.dll.mui **HIDDEN**
18:09:45.462 File: C:\Windows\WinSxS\wow64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_82834603b5a9d264\EppManifest.dll.mui **HIDDEN**
18:09:45.564 File: C:\Windows\WinSxS\wow64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_113a9994e83eb70e\EppManifest.dll **HIDDEN**
18:09:45.752 File: C:\Windows\WinSxS\wow64_windows-id-connecte..nt-provider-wlidcli_31bf3856ad364e35_6.3.9600.16453_none_9c1b849dc1b1b96d\wlidcli.dll **HIDDEN**
18:09:45.942 File: C:\Windows\WinSxS\x86_microsoft-windows-a..ence-mitigations-c4_31bf3856ad364e35_6.3.9600.16459_none_a0ea70ab0dc67517\AcSpecfc.dll **HIDDEN**
18:09:46.098 File: C:\Windows\WinSxS\x86_microsoft-windows-activexproxy_31bf3856ad364e35_6.3.9600.16443_none_a6d8394305c45fe0\actxprxy.dll **HIDDEN**
18:09:46.254 File: C:\Windows\WinSxS\x86_microsoft-windows-c..ent-xpsgdiconverter_31bf3856ad364e35_6.3.9600.16503_none_a7e1bcf306aa5e36\XpsGdiConverter.dll **HIDDEN**
18:09:46.411 File: C:\Windows\WinSxS\x86_microsoft-windows-c..esources-mrmindexer_31bf3856ad364e35_6.3.9600.16412_none_fda001a1eab835ed\MrmIndexer.dll **HIDDEN**
18:09:46.505 File: C:\Windows\WinSxS\x86_microsoft-windows-c..ialmigrationhandler_31bf3856ad364e35_6.3.9600.16443_none_08c09c961266541b\CredentialMigrationHandler.dll **HIDDEN**
18:09:46.661 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16412_none_80681f887d4786e3\MrmCoreR.dll **HIDDEN**
18:09:46.809 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16461_none_80310fa27d70f941\MrmCoreR.dll **HIDDEN**
18:09:47.013 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16471_none_80263fb67d791532\MrmCoreR.dll **HIDDEN**
18:09:47.127 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16477_none_802c41727d73ad3c\MrmCoreR.dll **HIDDEN**
18:09:47.274 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16504_none_8074f1ee7d3d9ac7\MrmCoreR.dll **HIDDEN**
18:09:47.289 Disk 0 statistics 15633183/0/0 @ 1,73 MB/s
18:09:47.289 Scan finished successfully
18:13:16.662 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
18:13:16.667 The log file has been saved successfully to "C:\Users\f\Desktop\log scan c mbr encontradas muchas entradas en rojo.txt"



Tras utilizar la herramienta avast mbr, las entradas hidden desaparecieron,pero tiene otras anomalias y unknow mbr:

aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2015-07-07 09:46:54
-----------------------------
09:46:54.736 OS Version: Windows x64 6.2.9200
09:46:54.736 Number of processors: 4 586 0x3C03
09:46:54.736 ComputerName: V UserName: f
09:46:56.722 Initialize success
09:46:56.800 VM: initialized successfully
09:46:56.800 VM: Intel CPU BiosDisabled
09:47:19.705 AVAST engine defs: 15070601
09:48:26.077 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
09:48:26.077 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 3
09:48:26.171 Disk 0 MBR read successfully
09:48:26.171 Disk 0 MBR scan
09:48:26.202 Disk 0 Windows 7 default MBR code
09:48:26.218 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
09:48:26.265 Disk 0 scanning C:\Windows\system32\drivers
09:48:36.730 Service scanning
09:48:56.372 Modules scanning
09:48:56.372 Disk 0 trace - called modules:
09:48:56.388 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys hal.dll PCIIDEX.SYS atapi.sys
09:48:56.388 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000019e2060]
09:48:56.388 3 CLASSPNP.SYS[fffff80001193abb] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xffffe00001717060]
09:48:59.929 AVAST engine scan C:\
10:37:41.089 Disk 0 statistics 16538982/0/0 @ 5,19 MB/s
10:37:41.089 Scan finished successfully
10:49:35.370 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
10:49:35.402 The log file has been saved successfully to "C:\Users\f\Desktop\nuevo log tras restaurar,no salen las entradas en rojo.txt"
10:49:44.307 Disk 0 MBR fix error
10:49:48.646 Disk 0 MBR fix error
10:49:49.254 Disk 0 MBR fix error
10:49:49.426 Disk 0 MBR fix error
10:49:49.614 Disk 0 MBR fix error
10:49:49.786 Disk 0 MBR fix error
10:49:49.911 Disk 0 MBR fix error
10:49:50.067 Disk 0 MBR fix error
10:49:50.239 Disk 0 MBR fix error
10:49:50.426 Disk 0 MBR fix error
10:49:53.089 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
10:49:53.089 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 3
10:49:53.577 Disk 0 MBR read successfully
10:49:53.592 Disk 0 MBR scan
10:49:53.592 Disk 0 Windows 7 default MBR code
10:49:53.655 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
10:49:54.146 Disk 0 scanning C:\Windows\system32\drivers
10:50:52.250 Service scanning
10:51:12.176 Modules scanning
10:51:12.176 Disk 0 trace - called modules:
10:51:12.207 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys hal.dll PCIIDEX.SYS atapi.sys
10:51:12.226 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000019e2060]
10:51:12.226 3 CLASSPNP.SYS[fffff80001193abb] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xffffe00001717060]
10:51:14.500 AVAST engine scan C:\Windows
10:51:41.823 AVAST engine scan C:\Windows\system32
10:54:27.058 AVAST engine scan C:\Windows\system32\drivers
10:54:39.620 AVAST engine scan C:\Users\f
10:56:03.058 AVAST engine scan C:\ProgramData
10:56:28.782 Disk 0 statistics 19220038/0/0 @ 5,18 MB/s
10:56:28.798 Scan finished successfully
10:57:39.646 Disk 0 MBR fix error
10:57:40.174 Disk 0 MBR fix error
10:57:40.424 Disk 0 MBR fix error
10:57:40.612 Disk 0 MBR fix error
10:57:40.786 Disk 0 MBR fix error
10:58:48.805 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
10:58:48.821 The log file has been saved successfully to "C:\Users\f\Desktop\log avast mbr despues de la reparación de sistema..txt"



Luego con el hirens boot, en un usb bootable ( grabado desde los pc comprometidos), utilizando malewarebytes, me encuentra 7 malwares, le doy eliminar, pero no se pueden eliminar, y con el combofix, me detecta rootkit activity, me dice por favor reiniciar el pc para eliminar rootkit, pero no se puede eliminar, sigue saliendo siempre lo mismo.

Los cd originales de linux con opción de arranque seguro uefi, no se inician en uefi, por que está mal la placa base, incluso windows 8.1 original hace que arranca en uefi mode, pero haciendo unas comprobaciones, no se instala en uefi mode.

Con wireshark tengo capturas de pantalla con una dirección mac duplicada.
En el router tengo una entrada en routing de una dirección ip desconocida 192.168.144.1 que se hace pasar por mi host, y que si no borro manualmente la dirección de routing anterior, la conexión a internet da muchos problemas.

Todos los archivos descargados o la gran mayoria , vienen con el cheksum mal, y aparte suelen venir con regalitos, encontrados analizando con clamtk.

El cracker me reinicia el navegador cuando le apetece, me desconecta el ratón, me ralentiza la navegación, me cuelga flash player, puede ponerme fotos en una carpeta del firefox, y controla mis movimientos, aparte no se que más hará.


No se ahora mismo si tengo más logs, es probable que si.
Haber, yo ya tengo bastante claro lo que tengo, pero no puedo limpiarlo....

Como dije, el problema no está en el disco duro,es la placa base, pero es probable que afecte los firmwares de la grabadora y del disco duro, aunque no lo se.

Con linux, no me deja instalarle los controladores adicionales y con windows,  los drivers me deja desinstalarlos pero se vuelven a cargar solos al reiniciar.


Bueno lo he vuelto a poner por que me lo has pedido #!drvy  , pero he repetido un poco más de lo mismo, yo solo preguntaba por si los técnicos profesionales, deberían poder decirme algo, o si ellos no saben estas cosas, cosa que me extrañaria, por que dedicándose profesionalmente a la informática deberían poder decirme algo por lo menos. Pero bueno, un técnico por lo menos me ha reconocido que hay algo y que el no sabe repararlo, algo es algo .

Más de uno pensará, pues compratelo todo nuevo y fuera, claro, si fuera tan fácil.... pero es que no tengo dinero ahora mismo, y si lo tengo, me hacen falta muchas otras cosas,  teniendo en cuenta, el miedo de comprarme algo nuevo , y que se me vuelva a contagiar, además de que tengo unos cuantos sistemas informáticos comprometidos y me duele el alma tener que tirarlos todos.

Un saludo y muchas gracias por leerme.



Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla

https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/

#!drvy

Para la proxima, utiliza las etiquetas [code][/code] para poner los logs. Se ven mucho mejor.

Vamos alla.

CitarTengo un intruso:solo hay  mi pc, el pc de mi madre y el router, pero sale esto:

En lo que pones a continuación solo hay 3 PCs. Tienes solo 3 MAC en la lista. El 10:fe:ed:xx:xx:xx parace ser el de tu router, las otras dos de una PC (la de tu madre y la tuya). Si te fijas, ambas MACs se repiten. No entiendo de donde sacas que te este suplantando la MAC. El router no debería ser tan idiota como para dejar 2 clientes con MAC igual.


CitarEl host 0.0.0.0 esta con los siguientes servicios:

Puedo preguntar en que sistema operativo has conseguido eso ? No vaya a ser Kali y tenga el servicio de Metasploit corriendo  :silbar: Si estabas en windows, tienes metasploit instalado ? En caso de que la respuesta sea no, probablemente sea el siguiente problema.


CitarEl programa OTL detecta zeroacces:

Entonces es muy probable que el rootkit este en el MBR del disco duro. Lo cual explicaría que se vuelva a propagar. Por que no intentas eliminarlo ?

https://www.symantec.com/es/es/security_response/writeup.jsp?docid=2011-121607-4952-99
http://support.eset.com/kb2895/

Ambas herramientas que he puesto arriba, son gratuitas y no te van a costar nada económicamente.

CitarLa última parte de rkhunter detecta algo:

No, no detecta nada.

[17:28:47] Suspect files: 0
[17:28:47] Possible rootkits: 0



CitarEl log de chkrootkit detecta muchas cosas, hago un resumen por que es muy largo el log:

No te detecta muchas cosas, te detecta unas posible man-in-the-middle que a saber que se puede deber. Lo mismo no lo ejecutas bien (porque en vez de %s/%d se deberían de ver cifras), lo mismo tienes los certificados mal o la fecha mal puesta o lo que sea..


CitarTras utilizar la herramienta avast mbr, las entradas hidden desaparecieron,pero tiene otras anomalias y unknow mbr:

https://forum.avast.com/index.php?topic=72185.0

CitarLuego con el hirens boot, en un usb bootable ( grabado desde los pc comprometidos), utilizando malewarebytes, me encuentra 7 malwares, le doy eliminar, pero no se pueden eliminar, y con el combofix, me detecta rootkit activity, me dice por favor reiniciar el pc para eliminar rootkit, pero no se puede eliminar, sigue saliendo siempre lo mismo.

A ver, lo primero, todas las herramientas de limpieza que vayas a utilizar, descargalas y si tienes que grabarlas grabalas en un PC limpio. Lo segundo, lo que te comente arriba, si malwarebytes y combofix encuentran ese rootkit del que hablamos antes, poco van a hacer si este esta en el MBR.

CitarLos cd originales de linux con opción de arranque seguro uefi, no se inician en uefi, por que está mal la placa base, incluso windows 8.1 original hace que arranca en uefi mode, pero haciendo unas comprobaciones, no se instala en uefi mode.

Comprueba que en la UEFI tienes la opción de Secure Boot activada.. o en su defecto, desactivala para que arranquen las distros de linux sin problemas (nota que esto puede hacer que Windows no arranque mientras esta desactivada).

CitarTodos los archivos descargados o la gran mayoria , vienen con el cheksum mal, y aparte suelen venir con regalitos, encontrados analizando con clamtk.

Entonces esta claro que tienes algun malware que esta haciendo un ataque man-in-the-middle. REPITO: NO DESCARGUES LA HERRAMIENTAS que vayas a utilizar PARA LIMPIAR, DESDE LOS PCs INFECTADOS. Es como si yo para exterminar una plaga zombie, primero me convierto en uno.. no tiene sentido verdad ?

CitarEl cracker me reinicia el navegador cuando le apetece, me desconecta el ratón, me ralentiza la navegación, me cuelga flash player, puede ponerme fotos en una carpeta del firefox, y controla mis movimientos, aparte no se que más hará.

Despues de limpiar el MBR, borra TODO del disco duro, haz un formateo limpio si hace falta de bajo nivel. Descarga una ISO de Windows o de Linux de un sitio FIABLE.

CitarComo dije, el problema no está en el disco duro,es la placa base, pero es probable que afecte los firmwares de la grabadora y del disco duro, aunque no lo se.

Muy poco malware hoy en dia es capaz de hacer eso que dices. Y la mayoria de esos malware tienen prioridades especificas. No atacan a un usuario cualquiera porque a la minima las casas de AV los detectan y se joden. La probabilidad de que algún componente de tu PC (que no sea el disco duro) este infectado es de menos del 1%.

Mira, entiendo tu frustacion de que siempre aparezca a pesar de lo que haces, pero si hacemos mal las cosas es normal. Necesitas librarte primero del virus, descargar las herramientas adecuadas de un ordenador limpio (y el de tu madre no te fíes que este limpio) y ya luego si todo falla entonces es cuando te pones a pensar que eres el elegido.

CitarCon linux, no me deja instalarle los controladores adicionales y con windows,  los drivers me deja desinstalarlos pero se vuelven a cargar solos al reiniciar.

Eso es completamente normal.

CitarBueno lo he vuelto a poner por que me lo has pedido #!drvy  , pero he repetido un poco más de lo mismo, yo solo preguntaba por si los técnicos profesionales, deberían poder decirme algo, o si ellos no saben estas cosas, cosa que me extrañaria, por que dedicándose profesionalmente a la informática deberían poder decirme algo por lo menos. Pero bueno, un técnico por lo menos me ha reconocido que hay algo y que el no sabe repararlo, algo es algo .

No están obligados a saber de estas cosas. Nadie esta obligado a saber resolver un problema al 100%. Hay técnicos y hay técnicos, no todos saben lo mismo y a nadie le enseñan a como tratar todos los malware que salen por ahí. Es cierto que hay gente especializada pero la mayoría de los técnicos en una tienda son gente que tiene lo suficiente conocimiento como para tratar los problemas mas generales.

Es como si tu vas al medico de atención primaria (el familiar) y le pides que te haga una cirugía o cualquier cosa.... te va a mandar a un especialista. Los profesionales no lo saben todo y porque no sepan algo, no quiere decir que no se puedan dedicar profesionalmente a ello. Para eso existen las ramas de especialización.

Saludos

Hason

Muchas gracias #!drvy por tu tiempo y paciencia, te estoy agradecido.


Vamos por partes:


CitarEn lo que pones a continuación solo hay 3 PCs. Tienes solo 3 MAC en la lista. El 10:fe:ed:xx:xx:xx parace ser el de tu router, las otras dos de una PC (la de tu madre y la tuya). Si te fijas, ambas MACs se repiten. No entiendo de donde sacas que te este suplantando la MAC. El router no debería ser tan idiota como para dejar 2 clientes con MAC igual.


Pues tengo unas capturas de pantalla con wireshark, que están posteadas por el foro también , donde me dice que tengo la dirección mac duplicada, el router no detecta nada, solo aparece la entrada de routing con la dirección ip desconocida que se me asigna como mi host predeterminado, las capturas de wiresahark son estas:

http://postimg.org/image/tjanlx6yl/
http://postimg.org/image/4skz83rlp/


CitarPuedo preguntar en que sistema operativo has conseguido eso ? No vaya a ser Kali y tenga el servicio de Metasploit corriendo  :silbar: Si estabas en windows, tienes metasploit instalado ? En caso de que la respuesta sea no, probablemente sea el siguiente problema.


Esto también lo tengo posteado por ahí, , lo hice con el sistema operativo bugtraq , scaneando con zenmap, utilizando ettercap y wireshark, donde encontraba lo de mac duplicada y me marca ataque arp spofing...el metasploit está instalado en este sistema operativo, le hice scans al host 0.0.0.0, pero luego cerré el programa, y utilice los que he comentado anteriormente, el zenmap, ettercap y wireshark.


CitarEntonces es muy probable que el rootkit este en el MBR del disco duro. Lo cual explicaría que se vuelva a propagar. Por que no intentas eliminarlo ?


Si intenté eliminarlo, pude eliminar todas las entradas en rojo hidden, pero el problema persiste, tuve que batallar bastante...
Pero no está en el disco duro como comento, por que  haciendo las pruebas, poniendo usa placa base nueva en la torre, sin disco duro, haciendo las pruebas con un live cd caine, ya tenía todos los problemas, y lo único antiguo que había en el pc susceptible de llevar algo, era la grabadora dvd, y la pantalla externa, con lo que no me explico.

Igualmente, compré un chip bios nuevo y no funciono, se reescribe con el código malo, el técnico me dijo que tenía la placa base corrupta o defectuosa,me lo dijo el que me vendió el chip y estuvimos hablando del tema.

Por ello, el problema está en la placa base en los controladores, drivers, chipset... si bien es verdad, que reescribe el mbr del disco duro y de los usb que conecte.


CitarNo, no detecta nada.

[17:28:47] Suspect files: 0
[17:28:47] Possible rootkits: 0


Es verdad que no detecta nada pero dice:

Checking /dev for suspicious file types         [ Warning ]
 Checking for hidden files and directories       [ Warning ]
Warning: Hidden directory found: '/etc/.java: directory '
[17:27:50] Warning: Hidden directory found: '/dev/.udev: directory '
[17:27:50] Warning: Hidden file found: /dev/.blkid.tab: ASCII text
[17:27:50] Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text
[17:27:50] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
[17:28:47]
[17:28:47] Info: Test 'apps' disabled at users request.


Dice que hay directorios escondidos y cosas sospechosas.


CitarNo te detecta muchas cosas, te detecta unas posible man-in-the-middle que a saber que se puede deber. Lo mismo no lo ejecutas bien (porque en vez de %s/%d se deberían de ver cifras), lo mismo tienes los certificados mal o la fecha mal puesta o lo que sea..



Si detecta man in the middle y errores , que seguro lo sufro por lo comentado anteriormente, las capturas de wireshark y que todas las descargas me llegan con regalitos y el checksum mal, por que la fecha está bien, los certificados no lo se, puedo poner en un nuevo mensaje el log completo de chkrootkit completo que alomejor dice mucho más pero yo no lo comprendo, pero es muy extenso, no se si cabe en un mensaje, si quieres lo posteo entero, el comando que utilizo es sudo chkrootkit -x , lo saque de una web , y detecta todo.



Citar
https://forum.avast.com/index.php?topic=72185.0

Lo que comentan aqui no lo he probado con la herramienta que aconsejan, puedo probarlo cuando tenga los equipos en casa, pero no creo que sirva de mucho, por que se volverá a infectar otra vez con solo reiniciar el equipo, pero será probarlo y ver que pasa.


CitarA ver, lo primero, todas las herramientas de limpieza que vayas a utilizar, descargalas y si tienes que grabarlas grabalas en un PC limpio. Lo segundo, lo que te comente arriba, si malwarebytes y combofix encuentran ese rootkit del que hablamos antes, poco van a hacer si este esta en el MBR.


Bueno, lo único que tengo limpio es el cd original windows 8.1, y varios discos más de caine, bugtraq y kali linux, que son los que utilizo, además tengo un disco hirens boot original, pero yo no tengo conexión limpia a internet, ni ningún equipo sano.
Supongo que no podrá hacer nada, además como está grabado desde el pc infectado, pues seguro que hay algo malo en el usb bootable de hirens que utilicé.




CitarComprueba que en la UEFI tienes la opción de Secure Boot activada.. o en su defecto, desactivala para que arranquen las distros de linux sin problemas (nota que esto puede hacer que Windows no arranque mientras esta desactivada).

Si conozco bastante el tema, mi windows arranca de todas las maneras con uefi , sin uefi como sea.... los linux  arrancan sin uefi mode, pero hay algunas distribuciones y live cd , que soportan el arranque uefi, pues bien, no funcionan, o bien arrancan algunas dando problemas.


CitarEntonces esta claro que tienes algun malware que esta haciendo un ataque man-in-the-middle. REPITO: NO DESCARGUES LA HERRAMIENTAS que vayas a utilizar PARA LIMPIAR, DESDE LOS PCs INFECTADOS. Es como si yo para exterminar una plaga zombie, primero me convierto en uno.. no tiene sentido verdad ?


Está claro que si tengo algo, y todo lo que descargo está mal....entiendo perfectamente, pero no tengo amigos que pueda pedir nada, ni acceso a internet limpio , ni nada de nada....


CitarDespues de limpiar el MBR, borra TODO del disco duro, haz un formateo limpio si hace falta de bajo nivel. Descarga una ISO de Windows o de Linux de un sitio FIABLE


Pero como te comento no servirá de nada, por que utilizo un live cd sin disco duro ni usb, y puede hacermelo todo igual, de hecho los logs continuan igual, salvo los del mbr del disco duro, por que no lo hay, está claro.
Es decir , yo utilizo un live cd  caine 6.0 que el cheksum está bien y coincide, tiene arranque uefi mode y herramientas para windows, pero no me arranca en uefi, y sufró igualmente man in the midle viniéndome todas las descargas mal, y todos los problemas persisten, puede desactivarme el teclado , o el ratón, puede modificar teclas del teclado, puede reiniciarme el navegador,me carga scripts en el navegador, etc, etc, etc....



CitarMuy poco malware hoy en dia es capaz de hacer eso que dices. Y la mayoria de esos malware tienen prioridades especificas. No atacan a un usuario cualquiera porque a la minima las casas de AV los detectan y se joden. La probabilidad de que algún componente de tu PC (que no sea el disco duro) este infectado es de menos del 1%.

Mira, entiendo tu frustacion de que siempre aparezca a pesar de lo que haces, pero si hacemos mal las cosas es normal. Necesitas librarte primero del virus, descargar las herramientas adecuadas de un ordenador limpio (y el de tu madre no te fíes que este limpio) y ya luego si todo falla entonces es cuando te pones a pensar que eres el elegido.



Te entiendo perfectamente, ni yo mismo me lo planteaba hasta hace un tiempo, pero tengo fuertes sospechas e indicios para sospechar que algo raro tengo en el pc, por que no es normal todo lo que ocurre.
Es que ya lo he probado todo, en el foro virus total , tratamos el mismo tema, y me dijeron que era problema de hardware, la placa base corrupta, igualmente, el técnico de biosflash, me dijo lo mismo, que estaba las placas corruptas o defectuosas, entonces,puedo probar eso que me has puesto en los enlaces, por ver que ocurre, pero se que el problema no se solucionará haciendo eso.

Ya te digo que virus en si, no hay ninguno, no se detecta nada, es un rootkit, backdoor, de raíz que reescribe el mbr en los discos.
Según tengo entendido , estos bichos se esconden en el chipset de la placa base, incluso he leido que hay algunos si no todos, que se esconden también en el firmware del disco duro, grabadora ,supongo que en los routers, y no se pueden limpiar facilmente, por que la única manera seria reflashseando todos los componentes a la vez, desde un equipo sano externo, creo que es la teoria, en la práctica, no tengo ni remota idea de que hace falta exactamente, y no encuentro mucha información al respecto la verdad.


CitarCon linux, no me deja instalarle los controladores adicionales y con windows,  los drivers me deja desinstalarlos pero se vuelven a cargar solos al reiniciar.

Eso es completamente normal.


Esto lo desconozco, pero recuerdo que hace unos años, cuando instalaba linux, siempre me dejaba instalar los controladores adicionales, y ahora no .Con windows, recuerdo que antes no salian los drivers, tenía que instalarlos manualmente, pero ahora salen automáticamente, aún cuando desconecto la actualización automática de los drivers.
Toqueteando cosas en linux, he conseguido que me detectara un controlador adicional de la gráfica, pero nada más, y ahora mismo ni recuerdo como lo hice.
Al arrancar caine, va diciendo todos los servicios que tiene y toda la información, solo iniciar, dice, load pre loaded drivers modules, o algo así, como que se cargan unos drivers automáticamente, predefinidos, y no puedo modificarlos.



CitarNo están obligados a saber de estas cosas. Nadie esta obligado a saber resolver un problema al 100%. Hay técnicos y hay técnicos, no todos saben lo mismo y a nadie le enseñan a como tratar todos los malware que salen por ahí. Es cierto que hay gente especializada pero la mayoría de los técnicos en una tienda son gente que tiene lo suficiente conocimiento como para tratar los problemas mas generales.

Es como si tu vas al medico de atención primaria (el familiar) y le pides que te haga una cirugía o cualquier cosa.... te va a mandar a un especialista. Los profesionales no lo saben todo y porque no sepan algo, no quiere decir que no se puedan dedicar profesionalmente a ello. Para eso existen las ramas de especialización.


Si supongo que así es, y que el problema que tengo no podrán repararmelo en ninguna de las 5 tiendas informáticas en las que he estado, habiendome gastado bastante dinero.Me parece aceptable que no sepan repararlo, por que es complicado lo entiendo perfectamente,pero por lo menos podían emitirme un parte diciendolo, y yo me quedaría tranquilo, pero bueno de hecho, en las 4 tiendas que tengo ahora mismo algo, ha pasado lo siguiente:

1tienda:
Me emitió una factura diciendome que había comportamiento extraño del pc, y que necesitaba un examen más profundo, entendiendose, por unos especialistas, o peritos informáticos.
El hombre me hizo el abono de una placa base.

2 tienda:
Me emitió una factura diciendome entre varias cosas, que lo había reparado, y que en otra placa base la había cambiado por garantia por no poderse reparar, y que me recomendaba acudir a unos peritos informáticos , la cuestión que no se reparó, estaba todo mal, bien se infectó por que quedaba rastro en la grabadora, o me viene mal la placa ,y he tenido que pedir las hojas de reclamación.

3tienda, me han dicho que ellos con sus herramientas no encuentran nada, cosa que se me hace dificil de creer, han mirado otra cosa que no les dije , pero bueno, si dicen que el disco duro estaba mal, pues no se, lo han arreglado, y me lo van a devolver igual que se lo di... eso sí , me han dicho que si tengo las sospechas que tengo algo raro, que vaya a un sitio especializado de informática forense... pero ellos no ven nada, me parece increible vamos...

4 tienda, de telefonía, les he explicado el problema, en esta ocasión , sin aportar logs ni nada, simplemete , les he dicho que tenía sospechas por ciertas situaciones que me han pasado con el teléfono, que no tenían explicación si no era por  que estaba hackeado, y me lo han cogido a tramitar por garantia, sin ningún problema.


Entonces, yo ya no quiero batallar mucho más con esto, costará lo que costará, pero creo que lo tengo bastante claro, solo quería saber más que nada si los técnicos informáticos profesionales, deberían poder decirme algo más que lo que me han dicho, e incluso repararlo.

Yo he probado de todo practicamente,y la verdad me gustaría saber repararlo, pero como voy a repararlo yo , si tan siquiera soy informático.... vale que se 4 cosas de pelear, pero si unos técnicos profesionales, no pueden ayudarme, como voy a limpiarlo yo, desde mis equipos comprometidos, sin money, y sin posibilidad de pedir ningún favor a nadie....a tener paciencia ..., pronto en un par de meses o un poco antes, tendré algo de trabajo, y podré avanzar con esto, de momento, estoy atascado.

Y llevarlo a unos péritos informáticos como me han recomendado es muy caro, no me explico como un técnico no puede decir nada, cuando hay tantas evidencias... en fin, hubo usuarios que me dijeron, que libra al foro de una tercera entrega, pero ya la ha habido.... en fin lo siento, parece ser que va para largo mi problema....pero bueno, no pensaba volver a poner nada, pero como me lo ha pedido
#!drvy  pues lo he puesto.

Por cierto el log de unhide también detecta algo:

y@y:~$ sudo unhide checksysinfo
Unhide 20121229
Copyright © 2012 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later
http://www.unhide-forensics.info

NOTE : This version of unhide is for systems using Linux >= 2.6

Used options:
[*]Searching for Hidden processes through sysinfo() scanning

1 HIDDEN Processes Found sysinfo.procs reports 434 processes and ps sees 435 processes
y@y:~$ sudo unhide checksysinfo2
Unhide 20121229
Copyright © 2012 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later
http://www.unhide-forensics.info

NOTE : This version of unhide is for systems using Linux >= 2.6

Used options:
[*]Searching for Hidden processes through sysinfo() scanning

1 HIDDEN Processes Found sysinfo.procs reports 435 processes and ps sees 436 processes
y@y:~$ sudo unhide checksysinfo3
Unhide 20121229
Copyright © 2012 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later
http://www.unhide-forensics.info

NOTE : This version of unhide is for systems using Linux >= 2.6

Used options:
[*]Searching for Hidden processes through sysinfo() scanning

1 HIDDEN Processes Found sysinfo.procs reports 435 processes and ps sees 436 processes



Pues muchisimas gracias por tu tiempo #!drvy  y todo aquel que lo lea.
Y lo dicho si alguien quiere una placa base, a peligro que se le contagie todo, que me lo diga y se la envio.
Yo lo que quisiera saber es como actualizar componente por componente de hardware sin reiniciar o la manera de solucionar esto.

Un saludo.
Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla

https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/