Solucionado Rookit Hidden

Estado
Cerrado para nuevas respuestas

selohu

Miembro
Miembro
Hola , me comentaron al enseñarles mi resultado HijackThis que estaba limpio. Resulta que hace poco me instale comodo fireawall, que me han dicho que es un buen cortafuegos. Y con una de las herramientas que tiene he escaneado el equipo y me detecta rootkit hidden.
Con GMER
Insertar CODE, HTML o PHP:
GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2016-11-18 03:39:00
Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002a WDC_WD1600AAJS-98PSA0 rev.05.06H05 149,05GB
Running: e09nphvm.exe; Driver: C:\Users\selohu\AppData\Local\Temp\ffldypod.sys


---- Threads - GMER 2.2 ----

Thread   C:\WINDOWS\system32\csrss.exe [744:832]           ffffe6a4429a6c20
Thread   C:\WINDOWS\system32\svchost.exe [1044:3568]       00007ffe9fed1240
Thread   C:\WINDOWS\system32\svchost.exe [1044:4660]       00007ffe9e79a3b0
Thread   C:\WINDOWS\system32\svchost.exe [1044:5932]       00007ffe9e2125e0

---- Services - GMER 2.2 ----

Service  system32\drivers\2A9DC7874.sys (*** hidden *** )  [BOOT] 2A9DC7874   <-- ROOTKIT !!!

---- EOF - GMER 2.2 ----
No me deja ni desactivarlo ni eliminarlo
He escaneado con esta herramienta a ver si me saben decir si ven algo.
https://mega.nz/#!qF1C3SBR!ta6y0-OqruFHEEsehnRirGrEbYqLA96ZJpTKD3jWIz0
Es un txt, no me dejaba meter todo el texto aquí.

Gracias
 

master_slave

Super Moderador
Super Moderador
Hola selohu, muevo el tema a Seguridad Informatica.

Sugiero como primer instancia utilizar TDSSkiller, te dejo el manual abajo: MANUAL TDSSSkiller

Luego de correrlo nos comentas como sigue.

Saludos
 

Kbite

Aprender y compartir
Administrador
Hola selohu.

Primero desactiva la Restauración del sistema por si algún punto de esa carpeta está infectado, cuando termines con el rootkit la vuelves a activar.

En el informe de OTL no veo rastro del rootkit que te detecta GMER.

Y lo que sería muy apropiado sería una herramienta autoejecutable para correrla antes de que el sistema esté iniciado, un CD de rescate sin que Windows esté corriendo es la mejor forma de eliminación del rootkit, se graba como imagen ISO en un disco, se introduce el CD en la lectora y se reinicia, te dejo algunas de las más eficientes:

CDs de inicio antimalware/antivirus.

Además como segunda opción aquí dejo un par de herrramientas que se han mostrado eficaces:

Sophos Antirootkits

AswMBR

Ya nos contarás los resultados. Saludos, Kbite
 

selohu

Miembro
Miembro
No puedo usar un rescate, lo instale en usb o cd. Se lia a dar vueltas y no me deja hacer nada. De la lista esa que me has facilitado he descargaso avira, por que avast lo he intentado ya desde el antivirus el hacer el rescate, si me dices que es diferente lo intento. Cual me aconsejarias de la lista?. Voy a probar el de kaspersky
 

Kbite

Aprender y compartir
Administrador
Hola selohu.

No entiendo la dificultad que mencionas con los discos de rescate, a no ser que la grabación en CD no se haya hecho correctamente. Del listado tengo muy buenas referencias de Kaspersky y de Bit Defender, lo mejor de estos discos de rescate es que se emplean sin estar el sistema iniciado y pueden "cazar" a los malwares con mayor facilidad, aunque los hay de difíciles de eliminar, intenta con esos dos ISOs y nos cuentas los resultados.

Saludos, Kbite
 

selohu

Miembro
Miembro
Resulta que encontro varias clases de virus pero todo de livecd Kaspersky lo conseguí renombrar todo con bitdefender. El problema es que al iniciar Windows se queda todo en negro menos comodo firewall, el recuadro es el único que sale. Si quiero sacar el además tareas no puedo. Solo veo la flecha del raton y el recuadro de comodo.
Ahora no puedo hacer nada. ¿Que hago?
Al querer abrir el administrador con control alt sup elijo admin, sale la bolita de leer y se quita y se queda como estaba todo en negro.
 

Kbite

Aprender y compartir
Administrador
Hola selohu.

En tu respuesta dinos que versión de Windows utilizas, las indicaciones según sea una u otra podrían variar, de momento te las doy para Windows 10 y Windows 7.

Es raro que te aparezca la pantalla en negro y solo veas la de Comodo, es de suponer que el renombrar archivos se hizo bien y no se alteró ninguno del sistema, Intenta iniciar en Modo seguro para ver si se reproduce el fallo, si fuese producido por alguna aplicación deberías entrar sin problema. Una vez dentro de Windows desinstala Comodo para ver si forma parte del problema, el que inicie por si solo no es normal.

Si no puedes entrar en Modo seguro o de poder pero continúa el problema te recomendaría Reparar la instalación de Windows, esto haría una comprobación de archivos y repararía la instalación:Instalar Windows 10 de manera limpia

De tratarse de un Windows 7 estos serían los pasos: Cómo reparar la instalación de Windows 7

Verás en la segunda imagen que te da la opción de Reparar, para ello necesitarás el CD de instalación que de no tenerlo tal vez tengas alguien allegado que te lo pueda dejar, pero si no te dejo la web oficial de Microsoft donde podrás descargar la imagen ISO de tu versión y arquitectura debida:

Cómo descargar una ISO de cualquier versión de Windows de forma legal desde Microsoft

Saludos, Kbite
 

selohu

Miembro
Miembro
Bueno dándole vueltas y probando cosas , tocando hasta la bios he conseguido arrancarlo y puedo ver escritorio y todo. Eso si lo que no consigo es analizarlo con los rescate. El último que probado Web cure rescue al arrancar se apaga. Y con el antivirus Cure Web me detectaba el de kaspersky rescate.


Mi OS: W10 Pro
Gracias por el anterior tema, me vendrá bien para mirarlo y tenerlo si tengo algún problema.
 

selohu

Miembro
Miembro
Bueno dándole vueltas y probando cosas , tocando hasta la bios he conseguido arrancarlo y puedo ver escritorio y todo. Eso si lo que no consigo es analizarlo con los rescate. El último que probado Web cure rescue al arrancar se apaga. Y con el antivirus Cure Web me detectaba el de kaspersky rescate, una clase de virus. Tenía software que no me dejaba desinstalar y le instale iobit para desinstalar todo lo que no me dejaba, resulta q iobit tambien tenía o no porque al analizar detectaba program.unwanted.1183 Cure Web. De lo demás de antes nada. Bitdefender me encontró de todo hasta 32 archivos de unos 8 o 9 clases diferentes. (Troyanos, virus, etc y un plugin de mi tv Dvbwiever). Supuestamente eliminados y renombrados por que no me eliminaba todos. Después de eso como si fuese de usar y tirar ya no me volvía a funcionar el rescate de bitdefender. Lo de Kaspersky lab AVP 17 , no me acordaba q lo tenía en foto. Unas 12/15 líneas de algunos archivos de kaspersky . Lo que quería analizarlo con algún rescate q funcionase para cerciorarme de que esté o no limpio del todo y saber si tengo que hacer algo o no.

Mi OS: W10 Pro
Gracias por el anterior tema, me vendrá bien para mirarlo y tenerlo si tengo algún problema.
 

Kbite

Aprender y compartir
Administrador
Perfecto, el que puedas entrar normalmente a Windows ya es buena señal, pero de tu mensaje no alcanzo a ver si necesitas algo más o das el tema por finalizado, ya nos dirás algo sobre los problemas que comentabas.

Un saludo, Kbite
 

selohu

Miembro
Miembro
Si, no me dejaba agregar cosas y se me pasó el tiempo de 10 min que me da para agregar cosas. En el anterior mensaje al que me mandaste agregue como nuevo lo que no me dejaba.
 

Kbite

Aprender y compartir
Administrador
Hola selohu.

Ya disculparás pero con la edición de tu mensaje no me queda claro si se resolvió el problema o necesitas algo más, de ser así amplia detalles para saber dónde estamos, espero que todo te vaya bien ahora.

Saludos, Kbite
 

selohu

Miembro
Miembro
Pues lo que quiero es encontrar un anti-software malintencionado en modo rescate para utilizarlo desde usb y que si al analizarse en modo normal no me encuentre nada. Ya que se supone que se trata de un software que limpia, no que infecte o que salgan falsos positivos. Si es posible de la web original. Para hacer una análisis y cerciorarme si de verdad hay aún algo o no. Por que en las anteriores versiones o se apagaba el equipo al iniciar la instalación del software al arrancar el equipo, no terminaba de instalarse o no se podía volver a instalar una vez instalado pero ya saliendo me para quitar el usb. Si volvía a enchufarlo como por ejemplo Bitdefender, ya no me dejaba ni actualizar las bases antes de analizar. Saltando un error de conexión y 20 min antes al iniciarlo por primera vez no me daba ningún problema.
 

Kbite

Aprender y compartir
Administrador
Hola selohu.

Un USB de rescate que puedes utilizar es el ESET SysRescue Live, siendo de ESET, fabricante del NOD32 ya es una garantía.

También puedes crearlo con Kaspersky Rescue Disk en USB ,tanto ESET como Kaspersky son de lo mejor en antivirus.

No obstante hay que recordar que, si efectivamente tuvieses un rootkit, este sería muy dificil de eliminar ya que se instala como administrador del sistema y cualquier intento de eliminación debería pasar por su conformidad, algo que lógicamente no daría. Peor aún sería si se instaló en el sector de arranque (MBR) y ahí si que no se pillaría por mucho que se intentase, o sería muy difícil hacerlo.

Saludos, Kbite
 

selohu

Miembro
Miembro
Al parecer lo he conseguido con avira, noto bastante mejora. Lo que no consigo encontrar el log para ver los archivos advertidos y los virus.
 

Kbite

Aprender y compartir
Administrador
Hola selohu.

No conozco Avira, pero por la información encontrada los informes los guarda en su sección "Información general" y clic en "Informes" en su panel izquierdo:

66n5uZWIMOBQ.jpg


Si se trata del Avira Rescue System en USB la ruta del informe sería:
Insertar CODE, HTML o PHP:
C:/Rescue-System_Scan.log

Será esa ruta si has empleado la que te da Avira por defecto ya que según lo leído con la nueva versión debes guardarlo manualmente ya que no lo hace de forma automática::

Guardar informes con el nuevo Avira Rescue System

Cuando creas que has resuelto el tema nos lo haces saber para darlo por solucionado.

Saludos, Kbite
 

selohu

Miembro
Miembro
Yo se que lo he guardado en c: pero no se donde, he intentado buscarlo en el buscador y no veo nada de
C:/Rescue-System_Scan.log
 

Kbite

Aprender y compartir
Administrador
Pues sí no recuerdas el nombre y ubicación donde guardaste el archivo y siguiendo las indicaciones que da Avira en el enlace que te deje no lo encuentras poco más te puedo decir.

De todas formas no es tan importante si se ha resuelto el problema, tal vez un día lo veas en la carpeta menos esperada con en nombre que le diste.

Saludos, Kbite
 

selohu

Miembro
Miembro
en principio si, lo que me interesaba para saber los archivos defectuosos que sale como advertencia. Pero en fin , ya aparecerá. ok

creo q se puede dar por solucionado
 
Estado
Cerrado para nuevas respuestas
Arriba Pie