Título: ¿Rootkit en sfloppy.sys? [SOLUCIONADO: Avast confirma falso positivo] Publicado por: Aberroncho en 6 Diciembre 2011, 13:11 pm Tengo instalado un Windows XP versión 2002 con el SP3. Mi antivirus es un Avast Free 6.0.1367.
El escudo en tiempo real hoy ha comenzado a darme el aviso de que tengo un rootkit en c:\windows\system32\drivers\sfloppy.sys. Le doy a "eliminar". Me dice que programa la eliminación para el siguiente arranque junto con un scanner completo. Rearranco. Hace el escaneo sin encontrar nada. Y al volver a arrancar el equipo me vuelve a saltar la alarma. He subido el archivo a Virus Total y todos los motores de antivirus, incluído el Avast, me lo dan por bueno. El Spybot Search & Destroy tampoco encuentra nada. El Kaspersky TDSSKiller tampoco ha encontrado nada sospechoso. Mirando en los foros de Avast parece que le pasa a más gente desde la última actualización del programa (yo la hice hace 48 horas más o menos) y alguno ha comparando el hash MD5 de su archivo con el original de la instalación y es el mismo. Todo apunta a que es un falso positivo (por si acaso voy a entrar con una Live de Linux y lo voy a borrar :silbar:) Título: Re: ¿Rootkit en sfloppy.sys? Publicado por: incierto en 6 Diciembre 2011, 14:45 pm Aberroncho, a mi me esta pasando lo mismo. Solo he visto algunos antivirus online y luego me diriji hasta aca por si encontraba algo referente al tema y di con tu post. Ahora descargue el HijackThis y me arrojo lo siguiente, espero lo analicen y me comenten porque puede que tenga otras cosas y como soy newbie no me he dado cuenta. Gracias.
Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 10:36:50, on 06-12-2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Archivos de programa\Java\jre6\bin\jqs.exe C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Archivos de programa\AVAST Software\Avast\avastUI.exe C:\WINDOWS\system32\RunDll32.exe C:\Archivos de programa\Winamp\winampa.exe C:\Archivos de programa\Yuna Software\Messenger Plus!\PlusService.exe C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe C:\WINDOWS\system32\ctfmon.exe C:\Archivos de programa\McAfee Security Scan\2.0.181\SSScheduler.exe C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe C:\WINDOWS\system32\msiexec.exe C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [avast] "C:\Archivos de programa\AVAST Software\Avast\avastUI.exe" /nogui O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe" O4 - HKLM\..\Run: [PlusService] C:\Archivos de programa\Yuna Software\Messenger Plus!\PlusService.exe O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\BlackCrystal™\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio de red') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: McAfee Security Scan Plus.lnk = ? O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://codigopostal.correos.cl/correos_cp/soporte_web/consulta_web/versionphp2006/pagina_interior/codigo_postal/consulta_web/cab_mapg/mgaxctrl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Archivos de programa\McAfee Security Scan\2.0.181\McCHSvc.exe O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Archivos de programa\WinPcap\rpcapd.exe O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe -- End of file - 9059 bytes Título: Re: ¿Rootkit en sfloppy.sys? Publicado por: fluqsz en 6 Diciembre 2011, 15:12 pm Hola, a mi me pasa lo mismo y no soy capaz de eliminarlo.
el problema es que no me deja entrar en según que programas que necesitan acceder a la red. Como puedo eliminarlo desde el ubuntu?? Gracias. Título: Re: ¿Rootkit en sfloppy.sys? Publicado por: Claimer_Onorex en 6 Diciembre 2011, 15:20 pm Muchachos, por lo que estuve investigando, pareciera ser un F/P... igualmente estoy tratando de ubicarlo concretamente y empezar a analizarlo por mi cuenta, sin el Avast.
Título: Re: ¿Rootkit en sfloppy.sys? Publicado por: TheMegaAir en 6 Diciembre 2011, 16:00 pm Buenas, soy nuevo por aqui por el FORO... pero me he registrado aposta para informaros que a mi me lleva pasando lo mismo con el AVAST toda la puñetera mañana, y solo salta el AVAST los demás ninguno me lo detecta. No sé que pueda ser pero es un cachondeo porque ya pasó algo parecido hace un tiempo con la actualización del AVAST.
Título: Re: ¿Rootkit en sfloppy.sys? Publicado por: yamir83 en 6 Diciembre 2011, 16:05 pm hola a mi me ha ocurrido hoy tambien alguien sabe cual es el problema muchos dicen lo del falso positivo ojala sea asi me pasa todo lo mencionado en el comentario original
Título: Re: ¿Rootkit en sfloppy.sys? Publicado por: ednar33 en 6 Diciembre 2011, 17:29 pm Me pasó exactamente lo mismo. Empecé la mañana con esa alarma constante que pide eliminar y reiniciar mi ordenador.
Hice un análisis con Malwarebytes y Adaware pero ninguno lo detectó. Habrá que esperar a que alguien explique si se trata de un F/P a causa de la actualización de Avast o en realidad es un rootkit muy astuto. Saludos Título: Re: ¿Rootkit en sfloppy.sys? Publicado por: pimpa en 6 Diciembre 2011, 18:03 pm En la misma situación que vosotros.
Tras la actualización del nuevo AVAST!!! ¿Alguna solución encontrada? Estoy con varios spybot, antispyware, hijack,... :rolleyes: Título: Re: ¿Rootkit en sfloppy.sys? Publicado por: Aberroncho en 6 Diciembre 2011, 18:08 pm Yo he arrancado con una Live CD de Ubuntu y lo he movido a "Mis Documentos". He arrancado con Windows y lo he escaneado con el Avast en la carpeta "Mis documentos" y ¡¡¡Sorpresa!!!: No lo detecta como malware.
Yo diría que es un falso positivo pero como no tengo unidad de diskete instalada, he borrado el archivo y se acabaron mis problemas. A los de Avast les informé esta mañana y no me han contestado. En su muro de Facebook hay una persona que también les está preguntando por lo mismo y tampoco le han contestado. Título: Re: ¿Rootkit en sfloppy.sys? Publicado por: LEOCADIA en 6 Diciembre 2011, 18:49 pm hola amigos
me pasa lo mismo que a vosotros pero se me ha agravado el problema porque me he descargado el antirootkit de karspenski (no se como se escribe) despues de pasarlo me ha detectado dos amenazas que he borrado y se me ha desconfigurado la resolucion de la pantalla, no me deja volver a mi resolucion inicial ya que ha desaparecido igual que las conexiones inalambricas. no se que hacer, ayuda plis!!! me he metido en administracion de dispositivos y me dice que estan danados: - adaptador de red broadcom 802 11g - controladora simple de comunicaciones PCI - vinyl AC97 codec combo driver (WDM) - ATI mobility radeon x700 necesito mi ordenador porque trabajo con el muchas gracias Título: Re: ¿Rootkit en sfloppy.sys? Publicado por: Aberroncho en 6 Diciembre 2011, 19:43 pm El antirootkit de Kaspersky (supongo que te refieres a Kaspersky TDSSKiller) al eliminar los otros rootkit que tenías te habrá dañado los controladores. Reinstala los controladores de vídeo, audio y red.
Título: Re: ¿Rootkit en sfloppy.sys? Publicado por: califa5 en 6 Diciembre 2011, 19:46 pm El problema se soluciona con la nueva actualizacion, es un falso positivo, ya está todo arreglado, aquí podeis verlo :D :D
http://forum.avast.com/index.php?topic=89963.75 |