Foro de elhacker.net

Saludos.
Pues nada, me está pasando algo curioso , haber que os parece:
Tengo un backdoor, o puerta trasera, (rootkit probablemente), tengo muchos logs que lo avalan, pero lo he llevado  a varias tiendas y lo que ha pasado:
 1 tienda:
Me abonaron el dinero y devolví una placa base , por lo menos bien.

2 tienda:
Me dijo que lo había reparado, pero no fue así, al llegar a casa comprove que continuaba teníendo el bacdoor, y ahora me dice el técnico que el no sabe repararlo y que lo lleve a unos péritos informáticos, habiendo perdido mucho tiempo y dinero....

3tienda:
Me dicen que ellos no se dedican a eso ( cuando es una tienda fuerte en la zona, y hay programadores, hacen cursos...), me dicen que ellos con sus herramientas no detectan nada, y que si creo que tengo algo que lo lleve a unos péritos informáticos.....no comprendo, si hasta el combofix me marca que hay un rootkit,el avast mbr encuentra cosas, el chkrootkit, el unhide, el rkhunter, y tienen la santa barra de decirme que ellos no ven nada.... pues no se que pensar....
Cuestión que en esta tienda lo llevé por el backdoor, pero  no lo han mirado y me han salido con que tenía el disco duro medio jodido me han dicho, cosa que han enviado a la casa para repararlo me han dicho, pero no han mirado nada del backdoor, y me lo tengo que quedar mal todo el equipo si o si....

¿Es cierto que siendo informáticos profesionales, no sepan que es un backdoor y no me lo solucionen?
Gracias, un saludo.

Buenas.

Eso es facil de quitar, pero tienes que andarte con cuidado para no perder informacion, porque tendras que formatear el ordenador, y limpiar todos los sectores de la placa base, para que se borre el backdoor. Si rellenas muchas veces el disco duro, se pierde la informacion. Te explico:

Que pasa cuando borras un archivo?

Cuando lo borras, realmente no se borra se pone como de forma que se pueda editar, pero si ese sector, en el que se ha quedado borrado, no lo editas (metes informacion), sigue estando, y es recuperable, con programas especificos.

Entonces, cuando borras el backdoor, vas a usar un programa que vas a meter en un usb (pen drive), que lo bootearas desde la BIOS.

Cuando enciendes el ordenador, no te sale la marca del ordenador? (Toshiba, Acer, Intel, HP, etc).

Pues, dependiendo del ordenador, la tecla para acceder a la BIOS, puede ser "Esc, F2, F6, F8 Supr, etc.

Tienes que encontrar la tuya. Aunque la mas generica, suele ser F2.

Entonces, una vez dentro, vas con las flechitas que tienes a la derecha (arriba, abajo, izquierda y derecha). Dandole a la de la derecha, hasta entrar en la pestaña "Boot".

Una vez hecho esto, ve abajo a donde pone la primera prioridad de booteo.

Depende del ordenador,leera primero el USB, antes que el disco duro:
"Hard Disc", o "CD/DVD/USB".

Esta parte, es intuitiva, en cuanto lo veas, lo sabras.

Hay una cosa, si no te sale en ningun lado "CD/DVD/USB" (Cuidado, que tenga USB. Si pone CD/DVD, le tienes que dar a Hard Disc), le tienes que poner Hard Disc.

Y, veras mas abajo, que sale un sitio que pone "Hard Disc Drive" (O algo por el estilo, como ya digo, en cada BIOS cambia).

Y, le das intro, y tienes que poner arriba el pen drive. Para ello, tendras que meterlo ANTES de iniciar el sistema, y meterte a la BIOS.

Bueno, cual es el programa, y como lo metes en el pen?

Hay varios programas para crear un USB booteable.
Algunos de ellos (los mejores) son:
1. UltraISO
2. Rufus
3.UniversalUSBInstaller

Bien, el programa que tienes que descargar se llama:

dban.

http://www.dban.org/download

Que haras con esto?

Es un programa que te va a meter informacion muchas veces, completando cada vez, todos los sectores del disco duro.

La gente suele darle 8 veces (yo tambien) para que te llene el disco, y te lo edite, para borrar toda la info.

Pero, tienes que usar otro pen, para instalarle windows. Tienes que tener un CD, con el instalador de windows, o un USB. Para poder instalarlo mas tarde.

Para que no pierdas la informacion, que tienes dentro de windows, te recomiendo que o lo metas en un USB, disco duro, o en cualquier nube (OneDrive, Dropbox, Drive, etc).

Pues bien, ya tienes un USB booteable con un editor de disco, que te borrara la info (paciencia, que suele tardar unas 10 horas, no es un proceso lento), el instalador de windows, y toda la info a salvo.

Ya solo tienes que instalar windows, una vez terminado todo, le metes la informacion que metiste en el pen, disco duro o nube, le instalas los programas, y ya esta.

Espero que te sirva. Y, para saber como usar dban, busca tutoriales en youtube, hay muchiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiisimos. Mirate VARIOS videos. Importante, no te mires uno, o como ocurra algo inesperado, no sabras reaccionar, y la vas a joder. Informate bien de usar la herramienta, y como se hace, y ya podras hacerlo con cierta seguridad y propiedad.

Y, eso es todo. Despues, para que no te infectes de virus, backdoors, gusanos, adwares, troyanos, etc. Sigue los consejos habituales. No descargues informacion, aplicaciones, etc, desde webs que no sean del autor, no navegues por sitios que no sean de confianza, etc.

Saludos, leetelo todo muy bien, y varias veces para entenderlo todo, de todas formas:

1. Crear USB booteable.
2. Guardar la info en pen drive.
3. Crear USB booteable con instalador de windows (Hay miles de videos en youtube, etc, que te traen la imagen ISO, mas el crack, para crackear windows, pero no puedo decirte como se crackea, dado que es ilegal, y no esta permitidio en este foro, ni en inguno decente).
4. Booteas desde la BIOS el pen drive booteable, y lo configuras para que te limpie el disco entero, sector por sector, todas las veces que quieras (Obvio, cuanta mas veces quieras que te limpie todos los sectores, te los vuelva a rellenar, los borre, y tal, para quedar todo bien destruido, pues ma tiempo tardara).
5. Instalas windows, los drivers, etc.
6. Metes los datos extraido en ell pen drive.
7. Navegar y descargar archivos desde webs del autor, y webs de seguridad.

Saludos, y espero que te sirva.

Gracias Alberto Perez , por toda la info, pero no creo que funcione lo que dices por que tengo el lio en el chipset de la placa base , no en el disco duro, si bien, reescribe el mbr , pero no es el problema principal.( si quieres saber exactamente lo que sufro, revisa mis mensajes y lo sabrás)

La duda principal, era saber si los técnicos de reparación, deberían saber repararme lo que tengo, o si ellos no  lo saben.Pero me parece extraño que dedicandose a reparar ordenadores no puedan reparar los mios.....

Lo que tengo , creo que se propaga por los firmwares de los componentes de hardware... aunque no estoy del todo seguro, tengo que hacer más pruebas cuando pueda permitirmelo económicamente....
He sustituido la placa base y nada, sigue el problema, y entonces una de dos, o queda  código maligno escondido en el firmware de la grabadora dvd, o me tangan el correo....por que entiendo que no puede quedar código en ningún otro sitio del pc, ni en la fuente, ni el la cpu, ni en las memorias ¿me equivoco?

Saludos.

Veamos, todo lo que sea virus, es software, no hardware. Entonces, ocurre un problema.

Hay MUCHOS, pero realmente MUCHOS virus, y tipos de estos. Desde los que te dan publicidad, hasta los que son para robarte las credenciales bancarias, mediante keyloggers. Entonces, hay un tipo de virus que es que se aloja en la BIOS. Entonces, tiene control completo y absoluto, no ya de tu S.O. (Sistema Operativo), sino de todo tu pc. Pasando por todo. Es como si el pc fuera del hacker, en vez de tuyo. Solo que tu no lo sabes (en este caso, obviamente si lo sabes).

Entonces, si formateas el ordenador, y te sigue quedando el backdoor, lo jodido sera cambiarle la BIOS (la verdad, de esto no estoy informado, no se si se le puede cambiar la BIOS a un pc, aunque supongo que si, dado que es software, no hardware).

Entonces, informate de como cambiar la BIOS, porque si te sigue estando el virus con backdoor aun cambiando el disco duro, significa que esta en otro lado.

Problema de esto: Cambiar la BIOS, y si te sigue estando, es un virus muy raro.

Solamente, los virus pueden meterse en dos sitios: En el S.O., o en la BIOS.

En el sistema operativo, hay muchisimos, desde los que se te meten hasta en las ventanas del navegador, hasta los troyanos alojados en C:, y System32.

Asi que, si sigue estando, mi consejo es que cambies de ordenador, porque vas a ahorrar tiempo y dinero.

Eso si, por si te sirve de ayuda.

Como funciona un virus? (Basico).

Un virus, como se comunica con el panel de control del atacante (hacker, cibercriminal)? Mediante internet.


Desactivale el wifi, o quitale el cable de LAN (el que va del pc al modem), y ya no hay virus que valga. Por eso, en windows esta el "modo seguro", y no te deja internet, porque al no haber internet, no hay virus que valga.

Asi que, lo dicho, o es de la BIOS, o realmente no sabria decirte. Aunque para que sea de la BIOS, es un virus ya en plan sofisticado. Porque, es jodido, muy jodido de quitar eso. A no ser, que se la cambies. Que, me parece que si, pero no estoy seguro.

Y, los informaticos esos, son unos inutiles, porque si estan alli, dando de todo, hasta cursos, etc. Y no saben quitar un simple virus con backdoor, no se que es loque hacen. Tambien es posible, que solo entiendan de sistemas y tal, en vez de virus (malware), tecnicas hacker, programacion, etc. Seran simples informaticos, pero virus, te enseñan a quitar no mas vayas a un curso que te enseñen a formatear un ordenador. Asi que, muy buenos profesionales, no es que lo sean.

Saludos, y espero que te sirva/aclare todo esto.

Muchisimas gracias por toda la información Alberto Perez.
Lo último que me has dicho es lo que queria saber, es lo que pensaba yo, que los informáticos profesionales, deberían poder repararmelo, o por lo menos decirme esto o aquello, pero no me lo solucionan, me lo vuelven a colar.

En un sitio he pedido hojas de reclamación haber que pasa y tal vez las pida en otro sitio, por que que lleve a reparar el pc por algo, y que me digan que ellos no ven nada, y me miran otra cosa.... no se....teniendo yo un montón de logs que avalan lo que digo....

Tengo un mobil hackeado  también y en teoria lo he mandado a la casa para que lo reparen.... haber como vuelve...

Pues todo lo que me has comentado ya lo sabia , muchas gracias, la bios ya la cambie varias veces haciendo pruebas, sustituyendo el chip bios por uno nuevo, pero se reescribe con el código malo, por que esta alojado en el firmware del dvd o me llegan mal las placas, y el código está en el conjunto del chipset, y de no coger y reflashear componente por componente de hardware,  es imposible limpiar, y la verdad no se como podría hacer de  reflashear componente por componente sin reiniciar, claro, por que cuando reinicio, se carga el código malo otra vez.... una faena...

Pero vamos, lo que queria saber , si me están engañando en las tiendas o no, pero según me dices, los técnicos deberían saber decirme algo más que :

No se repararlo.
Yo lo veo bien.
Ves a unos péritos informáticos.
Te hago el abono.

Y tengo que tener al sirvenguenza este de cracker aqui si o si....
Espero comprar todo nuevo otra vez, pero llevo perdido muchisimo tiempo y dinero.. y está vez que no se me contagie....

Sospecho que lo que tengo , como te he comentado anteriormente, se transmite por los firmwares, por los chips, de gráficas, controladoras de red, audio..... y no me deja limpiarlo.
Alguna manera tiene que haber, pero yo no la se, y los técnicos que me lo miran tampoco, o no quieren decirme nada....


Pero vamos la duda que preguntaba me la has resuelto, creo que los técnicos me engañan, ¿que opinais?
Por que si me dieran un informe favorable, y aunque no supieran repararlo, me dijeran que tengo un tinglado en el pc, podría acudir a la policia, pero como no dicen nada a mi favor, me tengo que joder, y no tengo para pagar unos péritos informáticos....

Hay algún técnico por españa, que me quiera mirar una placa base??, le mando la placa, y aunque no pueda repararlo, si me hiciera un parte técnico con factura diciendo lo que hay, sería muy bueno.


Un saludo y gracias.

Vete al psiquiatra, que yà nos tienes hartos con tu neura, llevas dos meses dando el coñazo con lo mismo, deja de montarte peliculas.... >:(

Podrias mostrar esos logs de los que hablas ? A ver que te reportan ?

Saludos

 Equinoxe , esa no es la solución, la solución es limpiar el problema que tengo.

#!drvy , si lees mis mensajes antiguos, están llenos de logs, si quieres puedo volverlos a poner más ordenadamente,pero repetiria más lo mismo.

Usuarios del foro me dijeron la forma como sacarmelo, pero no puedo por falta económica y por que no me lo reparan en ninguna tienda de mi zona, haciendome perder tiempo y dinero...

Haré un resumen:

Tengo un intruso:solo hay  mi pc, el pc de mi madre y el router, pero sale esto:

   IP            At MAC Address      Count  Len   MAC Vendor                   
 -----------------------------------------------------------------------------
 222.222.222.2   10:fe:ed:71:59:8a    611    36660   Unknown vendor           
 222.222.222.26  f8:a9:63:a6:70:57    5189    311340   Unknown vendor         
 0.0.0.0         f8:a9:63:a6:70:57    4683    280980   Unknown vendor         
 222.222.222.23  78:24:af:39:5c:ad    2300    138000   Unknown vendor         
 222.222.222.2   78:24:af:39:5c:ad    639    38340   Unknown vendor         

El host 0.0.0.0 esta con los siguientes servicios:

host                name                 port                  proto                                info

 0.0.0.0              rpcbind              111                  tcp            2-4 RPC # 100000
 0.0.0.0              http                    3790                 tcp           nginx
 0.0.0.0              meterpreter      20378                tcp          Metasploit meterpreter BACKDOOR
 0.0.0.0               status               56430                tcp         1 RPC   # 100024

 El programa OTL detecta zeroacces:

========== ZeroAccess Check ==========


[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2015/07/19 16:45:54 | 021,192,024 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2015/07/19 16:45:54 | 018,634,248 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2015/07/19 16:45:54 | 000,921,088 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2015/07/19 16:45:54 | 000,691,712 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2015/07/19 16:45:54 | 000,483,840 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

========== LOP Check ==========


========== Purity Check ==========



========== Custom Scans ==========

< :Files

>
[2015/07/19 16:45:54 | 000,000,006 | -H-- | C] () -- C:\Windows\Tasks\SA.DAT

< C:\Users\hp\AppData\Local\Temp\NOD9221.tmp
>

< C:\Users\hp\AppData\Local\Temp\*.*

>

< >

< :Commands

>

< [EmptyFlash]

>

< [EmptyTemp]

>

< [EmptyJava]
>

< End of report >


La última parte de rkhunter detecta algo:

Info: Starting test name 'filesystem'
[17:27:49] Performing filesystem checks
[17:27:49] Info: SCAN_MODE_DEV set to 'THOROUGH'
[17:27:49]   Checking /dev for suspicious file types         [ Warning ]
[17:27:50] Warning: Suspicious file types found in /dev:
[17:27:50]          /dev/.udev/rules.d/root.rules: ASCII text
[17:27:50]   Checking for hidden files and directories       [ Warning ]
[17:27:50] Warning: Hidden directory found: '/etc/.java: directory '
[17:27:50] Warning: Hidden directory found: '/dev/.udev: directory '
[17:27:50] Warning: Hidden file found: /dev/.blkid.tab: ASCII text
[17:27:50] Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text
[17:27:50] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
[17:28:47]
[17:28:47] Info: Test 'apps' disabled at users request.
[17:28:47]
[17:28:47] System checks summary
[17:28:47] =====================
[17:28:47]
[17:28:47] File properties checks...
[17:28:47] Files checked: 140
[17:28:47] Suspect files: 0
[17:28:47]
[17:28:47] Rootkit checks...
[17:28:47] Rootkits checked : 292
[17:28:47] Possible rootkits: 0
[17:28:47]
[17:28:47] Applications checks...
[17:28:47] All checks skipped
[17:28:47]
[17:28:47] The system checks took: 3 minutes and 21 seconds
[17:28:47]
[17:28:47] Info: End date is mer  2 set 2015, 17.28.47, CEST



El log de chkrootkit detecta muchas cosas, hago un resumen por que es muy largo el log:

Host key verification failed.
ssh_kex: BN_new failed
ssh_kex: BN_set_word failed
ssh_kex: BN_lshift failed
ssh_kex: BN_add_word failed
Encryption type: %.100s
Sent encrypted session key.
Server refused our key.
Bad passphrase.
RSA authentication refused.
%.30s@%.128s's password:
Permission denied.
Doing challenge response authentication.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS
Permission denied, please try again.
WARNING: Encryption is disabled! Response will be transmitted in clear text.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS_RESPONSE
respond_to_rsa_challenge: rsa_private_decrypt failed
respond_to_rsa_challenge: bad challenge length %d
Sending response to host key RSA challenge.
Waiting for server public key.
Warning: Server lies about size of server public key: actual size is %d bits vs. announced %d.
Warning: This may be due to an old implementation of ssh.
Warning: Server lies about size of server host key: actual size is %d bits vs. announced %d.
Received server public key (%d bits) and host key (%d bits).




Trying RSA authentication with key '%.100s'
try_rsa_authentication: BN_new failed
Enter passphrase for RSA key '%.100s':
no passphrase given, try next key
bad passphrase given, try again...
Doing password authentication.
WARNING: Encryption is disabled! Password will be transmitted in clear text.
Protocol error: got %d in response to passwd auth
respond_to_rsa_challenge
explicit
key: %s (%p),%s
input_userauth_banner
no such identity: %s: %s






@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
The %s host key for %s has changed,
and the key for the corresponding IP address %s
%s. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in %s:%lu
Update the SSHFP RR in DNS with the new host key to get rid of this message.
Couldn't execute %s -c "%s": %s




@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the %s key sent by the remote host is
Please contact your system administrator.
ssh_connect: getnameinfo failed
Connecting to %.200s [%.100s] port %s.
Bogus return (%d) from select()
connect to address %s port %s: %s
setsockopt SO_KEEPALIVE: %.100s
ssh: connect to host %s port %s: %s
Could not create socketpair to communicate with proxy dialer: %.100s
Executing proxy dialer command: %.500s
proxy dialer did not pass back a connection
Could not create pipes to communicate with the proxy: %.100s





Warning: Permanently added '%.200s' (%s) to the list of known hosts.
@ WARNING: REVOKED HOST KEY DETECTED! @
The %s host key for %s is marked as revoked.
This could mean that a stolen key is being used to
%s host key for %.200s was revoked and you have requested strict checking.
Host certificate authority does not match %s in %s:%lu
Add correct host key in %.100s to get rid of this message.
remove with: ssh-keygen -f "%s" -R %s
%s host key for %.200s has changed and you have requested strict checking.
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
Challenge/response authentication is disabled to avoid man-in-the-middle attacks.
Agent forwarding is disabled to avoid man-in-the-middle attacks.
X11 forwarding is disabled to avoid man-in-the-middle attacks.
Port forwarding is disabled to avoid man-in-the-middle attacks.
Tunnel forwarding is disabled to avoid man-in-the-middle attacks.
Error: forwarding disabled due to host key check failure
Warning: the %s host key for '%.200s' differs from the key for the IP address '%.128s'
Offending key for IP in %s:%lu
Exiting, you have requested strict checking.
Are you sure you want to continue connecting (yes/no)?
No matching CA found. Retry with plain key
Host '%.200s' is known and matches the %s host %s.




Could not load "%s" as a RSA1 public key
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
Permissions 0%3.3o for '%s' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
could not open key file '%s': %s
bad permissions: ignore key: %s
%s: certificate does not match private key %s
%s: could not open keyfile "%s": %s


El avast mbr detectaba muchas cosas en el disco duro, esto pude repararlo:

aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2015-07-06 16:23:33
-----------------------------
16:23:33.202 OS Version: Windows x64 6.2.9200
16:23:33.202 Number of processors: 4 586 0x3C03
16:23:33.202 ComputerName: V UserName: f
16:23:36.071 Initialize success
16:23:36.071 VM: initialized successfully
16:23:36.071 VM: Intel CPU BiosDisabled
16:27:23.416 AVAST engine defs: 15070601
16:27:42.857 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000032
16:27:42.857 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 11
16:27:42.997 Disk 0 MBR read successfully
16:27:42.997 Disk 0 MBR scan
16:27:42.997 Disk 0 unknown MBR code
16:27:43.013 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
16:27:43.122 Disk 0 scanning C:\Windows\system32\drivers
16:27:53.650 Service scanning
16:28:01.402 Disk 0 statistics 109843/0/0 @ 9,45 MB/s
16:28:01.402 Scan stopped
16:30:30.556 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000032
16:30:30.556 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 11
16:30:30.624 Disk 0 MBR read successfully
16:30:30.624 Disk 0 MBR scan
16:30:30.640 Disk 0 unknown MBR code
16:30:30.643 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
16:30:30.710 Disk 0 scanning C:\Windows\system32\drivers
16:30:41.118 Service scanning
16:31:01.839 Modules scanning
16:31:01.839 Disk 0 trace - called modules:
16:31:01.886 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys storahci.sys hal.dll
16:31:01.901 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe00001927770]
16:31:01.901 3 CLASSPNP.SYS[fffff80000936abb] -> nt!IofCallDriver -> [0xffffe000001f9640]
16:31:01.917 5 ACPI.sys[fffff8000044f5f1] -> nt!IofCallDriver -> \Device\00000032[0xffffe0000173c060]
16:31:04.451 AVAST engine scan C:\
18:09:24.354 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_6.3.9600.16415_none_40f6b809cfbbe7eb\winload.efi **HIDDEN**
18:09:25.045 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_6.3.9600.16415_none_40f6b809cfbbe7eb\winload.exe **HIDDEN**
18:09:25.243 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ore-bootmanager-efi_31bf3856ad364e35_6.3.9600.16415_none_788bfa86701d3473\bootmgfw.efi **HIDDEN**
18:09:25.416 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ore-bootmanager-efi_31bf3856ad364e35_6.3.9600.16415_none_788bfa86701d3473\bootmgr.efi **HIDDEN**
18:09:25.645 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winload.efi **HIDDEN**
18:09:25.826 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winload.exe **HIDDEN**
18:09:26.049 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winresume.efi **HIDDEN**
18:09:26.229 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winresume.exe **HIDDEN**
18:09:26.459 File: C:\Windows\WinSxS\amd64_microsoft-windows-c..esources-mrmindexer_31bf3856ad364e35_6.3.9600.16412_none_59be9d25a315a723\MrmIndexer.dll **HIDDEN**
18:09:26.631 File: C:\Windows\WinSxS\amd64_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16412_none_dc86bb0c35a4f819\MrmCoreR.dll **HIDDEN**
18:09:26.772 File: C:\Windows\WinSxS\amd64_microsoft-windows-crypt32-dll.resources_31bf3856ad364e35_6.3.9600.16431_es-es_bee3ab218e3e9225\crypt32.dll.mui **HIDDEN**
18:09:26.977 File: C:\Windows\WinSxS\amd64_microsoft-windows-crypt32-dll_31bf3856ad364e35_6.3.9600.16431_none_4c61328ab1a4f2bb\crypt32.dll **HIDDEN**
18:09:27.181 File: C:\Windows\WinSxS\amd64_microsoft-windows-d..pwindowmanager-udwm_31bf3856ad364e35_6.3.9600.16483_none_79507f65946fd76d\uDWM.dll **HIDDEN**
18:09:27.369 File: C:\Windows\WinSxS\amd64_microsoft-windows-directcomposition_31bf3856ad364e35_6.3.9600.16457_none_8e56744e159f2032\dcomp.dll **HIDDEN**
18:09:27.590 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-direct3d11_31bf3856ad364e35_6.3.9600.16455_none_e09820d5a189e081\d3d11.dll **HIDDEN**
18:09:27.795 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-direct3d11_31bf3856ad364e35_6.3.9600.16506_none_e0cf32a1a1606b4a\d3d11.dll **HIDDEN**
18:09:27.955 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-dxgi_31bf3856ad364e35_6.3.9600.16455_none_2b5e4a51f26a82e7\dxgi.dll **HIDDEN**
18:09:28.146 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-dxgi_31bf3856ad364e35_6.3.9600.16506_none_2b955c1df2410db0\dxgi.dll **HIDDEN**
18:09:28.400 File: C:\Windows\WinSxS\amd64_microsoft-windows-g..policy-admin-appmgr_31bf3856ad364e35_6.3.9600.16457_none_eb9b2e9489d57172\appmgr.dll **HIDDEN**
18:09:28.549 File: C:\Windows\WinSxS\amd64_microsoft-windows-hal_31bf3856ad364e35_6.3.9600.16500_none_9c39d4b32d63f333\hal.dll **HIDDEN**
18:09:28.675 File: C:\Windows\WinSxS\amd64_microsoft-windows-i..timezones.resources_31bf3856ad364e35_6.3.9600.16471_es-es_7406dfed55df12ea\tzres.dll.mui **HIDDEN**
18:09:28.847 File: C:\Windows\WinSxS\amd64_microsoft-windows-managementregistration_31bf3856ad364e35_6.3.9600.16459_none_cfd9442b5a19555f\mdmregistration.dll **HIDDEN**
18:09:28.988 File: C:\Windows\WinSxS\amd64_microsoft-windows-mdmagent_31bf3856ad364e35_6.3.9600.16459_none_35e08045f1f9a9c2\MDMAgent.exe **HIDDEN**
18:09:29.113 File: C:\Windows\WinSxS\amd64_microsoft-windows-mediafoundation-mfsvr_31bf3856ad364e35_6.3.9600.16502_none_afd0030d8ebbf918\mfsvr.dll **HIDDEN**
18:09:29.180 File: C:\Windows\WinSxS\amd64_microsoft-windows-microsoftrawcodec_31bf3856ad364e35_6.3.9600.16453_none_28b4e8b21dbe718f\MicrosoftRawCodec.dll **HIDDEN**
18:09:29.431 File: C:\Windows\WinSxS\amd64_microsoft-windows-msftedit_31bf3856ad364e35_6.3.9600.16436_none_c6c76b270afe3788\msftedit.dll **HIDDEN**
18:09:29.583 File: C:\Windows\WinSxS\amd64_microsoft-windows-msieftp.resources_31bf3856ad364e35_6.3.9600.16456_es-es_a5203b7534b06fd4\msieftp.dll.mui **HIDDEN**
18:09:29.796 File: C:\Windows\WinSxS\amd64_microsoft-windows-ntdll_31bf3856ad364e35_6.3.9600.16502_none_49e9c0e4cfe59aa2\ntdll.dll **HIDDEN**
18:09:30.042 File: C:\Windows\WinSxS\amd64_microsoft-windows-ntfs_31bf3856ad364e35_6.3.9600.16657_none_9753001bf0c78fae\ntfs.sys **HIDDEN**
18:09:30.104 File: C:\Windows\WinSxS\amd64_microsoft-windows-os-kernel_31bf3856ad364e35_6.3.9600.16452_none_5d0d32c188038f82\ntoskrnl.exe **HIDDEN**
18:09:30.245 File: C:\Windows\WinSxS\amd64_microsoft-windows-p..ns-platform-library_31bf3856ad364e35_6.3.9600.16456_none_7775637956939b58\wpncore.dll **HIDDEN**
18:09:30.417 File: C:\Windows\WinSxS\amd64_microsoft-windows-propsys_31bf3856ad364e35_7.0.9600.16504_none_8c565e6bb0a9770c\propsys.dll **HIDDEN**
18:09:30.620 File: C:\Windows\WinSxS\amd64_microsoft-windows-qedit_31bf3856ad364e35_6.3.9600.16650_none_4b76b1061b499c81\qedit.dll **HIDDEN**
18:09:30.756 File: C:\Windows\WinSxS\amd64_microsoft-windows-rdbss_31bf3856ad364e35_6.3.9600.16493_none_4a876987356975c9\rdbss.sys **HIDDEN**
18:09:30.975 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..client-ui-wscollect_31bf3856ad364e35_6.3.9600.16477_none_fa7f9a480571cb5c\WSCollect.exe **HIDDEN**
18:09:31.065 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..ivesyncprovisioning_31bf3856ad364e35_6.3.9600.16490_none_89c3e18dbff7edfe\easwrt.dll **HIDDEN**
18:09:31.205 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..l-bulkoperationhost_31bf3856ad364e35_6.3.9600.16457_none_914837f4e4470d31\BulkOperationHost.exe **HIDDEN**
18:09:31.283 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..l-classextension-v2_31bf3856ad364e35_6.3.9600.16444_none_2ecb238e3daa1a34\SerCx2.sys **HIDDEN**
18:09:31.442 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..spellcheck.binaries_31bf3856ad364e35_6.3.9600.16500_none_13de64650a759886\MsSpellCheckingFacility.dll **HIDDEN**
18:09:31.505 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_47d1f1bea0bcf7a8\jscript9.dll **HIDDEN**
18:09:31.661 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_47d1f1bea0bcf7a8\jscript9diag.dll **HIDDEN**
18:09:31.770 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-vbscript_31bf3856ad364e35_11.0.9600.16483_none_4c14ac3810e39986\vbscript.dll **HIDDEN**
18:09:32.007 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16412_none_70eb3d5bf6e9a73b\SettingSyncHost.exe **HIDDEN**
18:09:32.180 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16456_none_70c3fed3f7067c5b\SettingSyncHost.exe **HIDDEN**
18:09:32.352 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16503_none_70f70f77f6e0a1c8\SettingSyncHost.exe **HIDDEN**
18:09:32.508 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-exehost_31bf3856ad364e35_6.3.9600.16412_none_7801462afe7fff72\SkyDrive.exe **HIDDEN**
18:09:32.664 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-exehost_31bf3856ad364e35_6.3.9600.16456_none_77da07a2fe9cd492\SkyDrive.exe **HIDDEN**
18:09:32.874 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-syncengine_31bf3856ad364e35_6.3.9600.16412_none_1e0e65f728d5bb87\SyncEngine.dll **HIDDEN**
18:09:33.167 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-syncengine_31bf3856ad364e35_6.3.9600.16457_none_1de827b928f1a9fe\SyncEngine.dll **HIDDEN**
18:09:33.335 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-telemetry_31bf3856ad364e35_6.3.9600.16412_none_74bbf4d100a74e13\SkyDriveTelemetry.dll **HIDDEN**
18:09:33.476 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-client-ui-wshost_31bf3856ad364e35_6.3.9600.16477_none_044f612c83e1996e\WSHost.exe **HIDDEN**
18:09:33.607 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-client-wssls_31bf3856ad364e35_6.3.9600.16477_none_d57fef54fc014473\WSSls.dll **HIDDEN**
18:09:33.710 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16477_none_f7dc016adcf85683\OEMLicense.dll **HIDDEN**
18:09:33.799 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16477_none_f7dc016adcf85683\WSClient.dll **HIDDEN**
18:09:33.865 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16504_none_f824b1e6dcc2440e\OEMLicense.dll **HIDDEN**
18:09:33.966 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16504_none_f824b1e6dcc2440e\WSClient.dll **HIDDEN**
18:09:34.107 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-service_31bf3856ad364e35_6.3.9600.16477_none_b0b1e8558b04aa7a\WSMigPlugin.dll **HIDDEN**
18:09:34.292 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-service_31bf3856ad364e35_6.3.9600.16477_none_b0b1e8558b04aa7a\WSService.dll **HIDDEN**
18:09:34.480 File: C:\Windows\WinSxS\amd64_microsoft-windows-twinui-appcore_31bf3856ad364e35_6.3.9600.16443_none_82b15f082eaa980d\twinui.appcore.dll **HIDDEN**
18:09:34.595 File: C:\Windows\WinSxS\amd64_microsoft-windows-twinui.resources_31bf3856ad364e35_6.3.9600.16459_es-es_1f5bdae675b1606d\twinui.dll.mui **HIDDEN**
18:09:34.740 File: C:\Windows\WinSxS\amd64_microsoft-windows-vsssystemprovider_31bf3856ad364e35_6.3.9600.16523_none_3c313ce747e5eaa3\swprv.dll **HIDDEN**
18:09:34.928 File: C:\Windows\WinSxS\amd64_microsoft-windows-wmiv2-mdmappprov-dll_31bf3856ad364e35_6.3.9600.16459_none_46250ca37f7b8eee\MDMAppProv.dll **HIDDEN**
18:09:35.162 File: C:\Windows\WinSxS\amd64_microsoft-windows-wmpdmc-ux_31bf3856ad364e35_6.3.9600.16460_none_df337169cb4b3f3b\WMPDMC.exe **HIDDEN**
18:09:35.372 File: C:\Windows\WinSxS\amd64_netfx4-aspnet_wp_exe_b03f5f7f11d50a3a_4.0.9600.16470_none_318dd958165a9e39\aspnet_wp.exe **HIDDEN**
18:09:35.528 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_4894817b1ac401c2\clrjit.dll **HIDDEN**
18:09:35.740 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_4898996b1ac04d7d\clrjit.dll **HIDDEN**
18:09:35.956 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_31cbdc513466e02a\clrjit.dll **HIDDEN**
18:09:35.988 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_6484417b85bcf6a1\clr.dll **HIDDEN**
18:09:36.035 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_6488596b85b9425c\clr.dll **HIDDEN**
18:09:36.066 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_4dbb9c519f5fd509\clr.dll **HIDDEN**
18:09:36.260 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_09fd4e179a2ba331\mscordacwks.dll **HIDDEN**
18:09:36.423 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_0a0166079a27eeec\mscordacwks.dll **HIDDEN**
18:09:36.555 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_f334a8edb3ce8199\mscordacwks.dll **HIDDEN**
18:09:36.790 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_2b71ecf2acf422a1\mscordbi.dll **HIDDEN**
18:09:37.006 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_2b7604e2acf06e5c\mscordbi.dll **HIDDEN**
18:09:37.196 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_14a947c8c6970109\mscordbi.dll **HIDDEN**
18:09:37.243 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.16441_none_f9b2b614610d9cf0\mscorlib.ni.dll **HIDDEN**
18:09:37.268 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.16480_none_f9b6ce046109e8ab\mscorlib.ni.dll **HIDDEN**
18:09:37.299 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.20491_none_e2ea10ea7ab07b58\mscorlib.ni.dll **HIDDEN**
18:09:37.460 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_0bb54c2ccb0f9d87\SOS.dll **HIDDEN**
18:09:37.632 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_0bb9641ccb0be942\SOS.dll **HIDDEN**
18:09:37.773 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_f4eca702e4b27bef\SOS.dll **HIDDEN**
18:09:37.915 File: C:\Windows\WinSxS\amd64_netfx4-system.web.applicationservices_b03f5f7f11d50a3a_4.0.9600.16470_none_ae0b563009bdc82a\System.Web.ApplicationServices.dll **HIDDEN**
18:09:38.094 File: C:\Windows\WinSxS\amd64_netfx4-system.web.extensions_b03f5f7f11d50a3a_4.0.9600.16470_none_63bcc4b5e55acab6\System.Web.Extensions.dll **HIDDEN**
18:09:38.251 File: C:\Windows\WinSxS\amd64_netfx4-webengine4_dll_b03f5f7f11d50a3a_4.0.9600.16470_none_fcf0187c71a908e6\webengine4.dll **HIDDEN**
18:09:38.346 File: C:\Windows\WinSxS\amd64_netfx4-webengine_dll_b03f5f7f11d50a3a_4.0.9600.16470_none_417ec1c67e391c40\webengine.dll **HIDDEN**
18:09:38.569 File: C:\Windows\WinSxS\amd64_spaceport.inf_31bf3856ad364e35_6.3.9600.16452_none_06b4923c2a59d5ec\spaceport.sys **HIDDEN**
18:09:38.612 File: C:\Windows\WinSxS\amd64_system.web_b03f5f7f11d50a3a_4.0.9600.16470_none_75246152a818c5ea\System.Web.dll **HIDDEN**
18:09:38.776 File: C:\Windows\WinSxS\amd64_volume.inf_31bf3856ad364e35_6.3.9600.16523_none_06b4fa95cfdc3a92\volsnap.sys **HIDDEN**
18:09:38.918 File: C:\Windows\WinSxS\amd64_wdma_usb.inf_31bf3856ad364e35_6.3.9600.16490_none_5dc76c7e8add9f91\USBAUDIO.sys **HIDDEN**
18:09:39.058 File: C:\Windows\WinSxS\amd64_windows-defender-drivers_31bf3856ad364e35_6.3.9600.16452_none_e1a9e060c919ad4c\WdBoot.sys **HIDDEN**
18:09:39.143 File: C:\Windows\WinSxS\amd64_windows-defender-drivers_31bf3856ad364e35_6.3.9600.16452_none_e1a9e060c919ad4c\WdFilter.sys **HIDDEN**
18:09:39.233 File: C:\Windows\WinSxS\amd64_windows-defender-events.resources_31bf3856ad364e35_6.3.9600.16452_es-es_d39c34d4a8e5133a\MpEvMsg.dll.mui **HIDDEN**
18:09:39.315 File: C:\Windows\WinSxS\amd64_windows-defender-events_31bf3856ad364e35_6.3.9600.16452_none_4d7bb02565c50f4c\MpEvMsg.dll **HIDDEN**
18:09:39.462 File: C:\Windows\WinSxS\amd64_windows-defender-nis-drivers_31bf3856ad364e35_6.3.9600.16452_none_39f65d93853c90dd\WdNisDrv.sys **HIDDEN**
18:09:39.585 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisIpsPlugin.dll **HIDDEN**
18:09:39.674 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisLog.dll **HIDDEN**
18:09:39.768 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisSrv.exe **HIDDEN**
18:09:39.825 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisWfp.dll **HIDDEN**
18:09:39.904 File: C:\Windows\WinSxS\amd64_windows-defender-service.resources_31bf3856ad364e35_6.3.9600.16452_es-es_60657c64db006dfc\MpAsDesc.dll.mui **HIDDEN**
18:09:39.987 File: C:\Windows\WinSxS\amd64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_782e9bb181491069\EppManifest.dll.mui **HIDDEN**
18:09:40.065 File: C:\Windows\WinSxS\amd64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_782e9bb181491069\MsMpRes.dll.mui **HIDDEN**
18:09:40.206 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\EppManifest.dll **HIDDEN**
18:09:40.311 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\MSASCui.exe **HIDDEN**
18:09:40.428 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\MsMpRes.dll **HIDDEN**
18:09:40.553 File: C:\Windows\WinSxS\amd64_windows-id-connecte..nt-provider-wlidcli_31bf3856ad364e35_6.3.9600.16453_none_91c6da4b8d50f772\wlidcli.dll **HIDDEN**
18:09:40.725 File: C:\Windows\WinSxS\amd64_windows-services-instrumentation-winbici_31bf3856ad364e35_6.3.9600.16457_none_8f0b646150ee446d\winbici.dll **HIDDEN**
18:09:41.072 File: C:\Windows\WinSxS\msil_microsoft.grouppolicy.reporting_31bf3856ad364e35_6.3.9600.16443_none_ded7156fc69e55d5\Microsoft.GroupPolicy.Reporting.dll **HIDDEN**
18:09:41.266 File: C:\Windows\WinSxS\msil_microsoft.grouppolicy.reporting_31bf3856ad364e35_6.3.9600.16500_none_deff5627c6809733\Microsoft.GroupPolicy.Reporting.dll **HIDDEN**
18:09:41.408 File: C:\Windows\WinSxS\msil_system.web.applicationservices_31bf3856ad364e35_4.0.9600.16470_none_38b9fe256a5b5fd3\System.Web.ApplicationServices.dll **HIDDEN**
18:09:41.580 File: C:\Windows\WinSxS\msil_system.web.extensions_31bf3856ad364e35_4.0.9600.16470_none_4308e9b1c3a04b93\System.Web.Extensions.dll **HIDDEN**
18:09:41.674 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\Flash.ocx **HIDDEN**
18:09:41.851 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashPlayerApp.exe **HIDDEN**
18:09:41.964 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashPlayerCPLApp.cpl **HIDDEN**
18:09:42.179 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashUtil_ActiveX.dll **HIDDEN**
18:09:42.327 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashUtil_ActiveX.exe **HIDDEN**
18:09:42.511 File: C:\Windows\WinSxS\wow64_microsoft-windows-appx-deployment-client_31bf3856ad364e35_6.3.9600.16452_none_b1134adfe297aef8\AppXDeploymentClient.dll **HIDDEN**
18:09:42.640 File: C:\Windows\WinSxS\wow64_microsoft-windows-appx-deployment-client_31bf3856ad364e35_6.3.9600.16457_none_b1184c51e2932dab\AppXDeploymentClient.dll **HIDDEN**
18:09:42.813 File: C:\Windows\WinSxS\wow64_microsoft-windows-directcomposition_31bf3856ad364e35_6.3.9600.16457_none_98ab1ea049ffe22d\dcomp.dll **HIDDEN**
18:09:43.050 File: C:\Windows\WinSxS\wow64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_11.0.9600.16518_none_a6b36bbac5320ac1\iexplore.exe **HIDDEN**
18:09:43.228 File: C:\Windows\WinSxS\wow64_microsoft-windows-ie-ieetwcollector_31bf3856ad364e35_11.0.9600.16518_none_d113a6391a330ac5\ieetwproxystub.dll **HIDDEN**
18:09:43.400 File: C:\Windows\WinSxS\wow64_microsoft-windows-ie-internetexplorer_31bf3856ad364e35_11.0.9600.16518_none_3d5f0f6a316ac3b6\ieUnatt.exe **HIDDEN**
18:09:43.608 File: C:\Windows\WinSxS\wow64_microsoft-windows-kernel32_31bf3856ad364e35_6.3.9600.16521_none_8f0ed2145e7557c0\kernel32.dll **HIDDEN**
18:09:43.803 File: C:\Windows\WinSxS\wow64_microsoft-windows-mfmpeg2srcsnk_31bf3856ad364e35_6.3.9600.16517_none_470956f4d6734459\mfmpeg2srcsnk.dll **HIDDEN**
18:09:43.971 File: C:\Windows\WinSxS\wow64_microsoft-windows-ntdll_31bf3856ad364e35_6.3.9600.16502_none_543e6b3704465c9d\ntdll.dll **HIDDEN**
18:09:44.175 File: C:\Windows\WinSxS\wow64_microsoft-windows-qedit_31bf3856ad364e35_6.3.9600.16650_none_55cb5b584faa5e7c\qedit.dll **HIDDEN**
18:09:44.312 File: C:\Windows\WinSxS\wow64_microsoft-windows-s..ivesyncprovisioning_31bf3856ad364e35_6.3.9600.16490_none_94188bdff458aff9\easwrt.dll **HIDDEN**
18:09:44.375 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_52269c10d51db9a3\jscript9.dll **HIDDEN**
18:09:44.570 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_52269c10d51db9a3\jscript9diag.dll **HIDDEN**
18:09:44.710 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-vbscript_31bf3856ad364e35_11.0.9600.16483_none_5669568a45445b81\vbscript.dll **HIDDEN**
18:09:44.757 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16456_none_675ea7791a399230\shell32.dll **HIDDEN**
18:09:44.798 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16483_none_673b36d71a5499fe\shell32.dll **HIDDEN**
18:09:44.848 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16660_none_674dd99d1a471065\shell32.dll **HIDDEN**
18:09:45.036 File: C:\Windows\WinSxS\wow64_microsoft-windows-twinui-appcore_31bf3856ad364e35_6.3.9600.16443_none_8d06095a630b5a08\twinui.appcore.dll **HIDDEN**
18:09:45.183 File: C:\Windows\WinSxS\wow64_microsoft-windows-twinui.resources_31bf3856ad364e35_6.3.9600.16459_es-es_29b08538aa122268\twinui.dll.mui **HIDDEN**
18:09:45.277 File: C:\Windows\WinSxS\wow64_windows-defender-events.resources_31bf3856ad364e35_6.3.9600.16452_es-es_ddf0df26dd45d535\MpEvMsg.dll.mui **HIDDEN**
18:09:45.371 File: C:\Windows\WinSxS\wow64_windows-defender-service.resources_31bf3856ad364e35_6.3.9600.16452_es-es_6aba26b70f612ff7\MpAsDesc.dll.mui **HIDDEN**
18:09:45.462 File: C:\Windows\WinSxS\wow64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_82834603b5a9d264\EppManifest.dll.mui **HIDDEN**
18:09:45.564 File: C:\Windows\WinSxS\wow64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_113a9994e83eb70e\EppManifest.dll **HIDDEN**
18:09:45.752 File: C:\Windows\WinSxS\wow64_windows-id-connecte..nt-provider-wlidcli_31bf3856ad364e35_6.3.9600.16453_none_9c1b849dc1b1b96d\wlidcli.dll **HIDDEN**
18:09:45.942 File: C:\Windows\WinSxS\x86_microsoft-windows-a..ence-mitigations-c4_31bf3856ad364e35_6.3.9600.16459_none_a0ea70ab0dc67517\AcSpecfc.dll **HIDDEN**
18:09:46.098 File: C:\Windows\WinSxS\x86_microsoft-windows-activexproxy_31bf3856ad364e35_6.3.9600.16443_none_a6d8394305c45fe0\actxprxy.dll **HIDDEN**
18:09:46.254 File: C:\Windows\WinSxS\x86_microsoft-windows-c..ent-xpsgdiconverter_31bf3856ad364e35_6.3.9600.16503_none_a7e1bcf306aa5e36\XpsGdiConverter.dll **HIDDEN**
18:09:46.411 File: C:\Windows\WinSxS\x86_microsoft-windows-c..esources-mrmindexer_31bf3856ad364e35_6.3.9600.16412_none_fda001a1eab835ed\MrmIndexer.dll **HIDDEN**
18:09:46.505 File: C:\Windows\WinSxS\x86_microsoft-windows-c..ialmigrationhandler_31bf3856ad364e35_6.3.9600.16443_none_08c09c961266541b\CredentialMigrationHandler.dll **HIDDEN**
18:09:46.661 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16412_none_80681f887d4786e3\MrmCoreR.dll **HIDDEN**
18:09:46.809 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16461_none_80310fa27d70f941\MrmCoreR.dll **HIDDEN**
18:09:47.013 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16471_none_80263fb67d791532\MrmCoreR.dll **HIDDEN**
18:09:47.127 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16477_none_802c41727d73ad3c\MrmCoreR.dll **HIDDEN**
18:09:47.274 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16504_none_8074f1ee7d3d9ac7\MrmCoreR.dll **HIDDEN**
18:09:47.289 Disk 0 statistics 15633183/0/0 @ 1,73 MB/s
18:09:47.289 Scan finished successfully
18:13:16.662 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
18:13:16.667 The log file has been saved successfully to "C:\Users\f\Desktop\log scan c mbr encontradas muchas entradas en rojo.txt"



Tras utilizar la herramienta avast mbr, las entradas hidden desaparecieron,pero tiene otras anomalias y unknow mbr:

aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2015-07-07 09:46:54
-----------------------------
09:46:54.736 OS Version: Windows x64 6.2.9200
09:46:54.736 Number of processors: 4 586 0x3C03
09:46:54.736 ComputerName: V UserName: f
09:46:56.722 Initialize success
09:46:56.800 VM: initialized successfully
09:46:56.800 VM: Intel CPU BiosDisabled
09:47:19.705 AVAST engine defs: 15070601
09:48:26.077 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
09:48:26.077 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 3
09:48:26.171 Disk 0 MBR read successfully
09:48:26.171 Disk 0 MBR scan
09:48:26.202 Disk 0 Windows 7 default MBR code
09:48:26.218 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
09:48:26.265 Disk 0 scanning C:\Windows\system32\drivers
09:48:36.730 Service scanning
09:48:56.372 Modules scanning
09:48:56.372 Disk 0 trace - called modules:
09:48:56.388 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys hal.dll PCIIDEX.SYS atapi.sys
09:48:56.388 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000019e2060]
09:48:56.388 3 CLASSPNP.SYS[fffff80001193abb] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xffffe00001717060]
09:48:59.929 AVAST engine scan C:\
10:37:41.089 Disk 0 statistics 16538982/0/0 @ 5,19 MB/s
10:37:41.089 Scan finished successfully
10:49:35.370 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
10:49:35.402 The log file has been saved successfully to "C:\Users\f\Desktop\nuevo log tras restaurar,no salen las entradas en rojo.txt"
10:49:44.307 Disk 0 MBR fix error
10:49:48.646 Disk 0 MBR fix error
10:49:49.254 Disk 0 MBR fix error
10:49:49.426 Disk 0 MBR fix error
10:49:49.614 Disk 0 MBR fix error
10:49:49.786 Disk 0 MBR fix error
10:49:49.911 Disk 0 MBR fix error
10:49:50.067 Disk 0 MBR fix error
10:49:50.239 Disk 0 MBR fix error
10:49:50.426 Disk 0 MBR fix error
10:49:53.089 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
10:49:53.089 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 3
10:49:53.577 Disk 0 MBR read successfully
10:49:53.592 Disk 0 MBR scan
10:49:53.592 Disk 0 Windows 7 default MBR code
10:49:53.655 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
10:49:54.146 Disk 0 scanning C:\Windows\system32\drivers
10:50:52.250 Service scanning
10:51:12.176 Modules scanning
10:51:12.176 Disk 0 trace - called modules:
10:51:12.207 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys hal.dll PCIIDEX.SYS atapi.sys
10:51:12.226 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000019e2060]
10:51:12.226 3 CLASSPNP.SYS[fffff80001193abb] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xffffe00001717060]
10:51:14.500 AVAST engine scan C:\Windows
10:51:41.823 AVAST engine scan C:\Windows\system32
10:54:27.058 AVAST engine scan C:\Windows\system32\drivers
10:54:39.620 AVAST engine scan C:\Users\f
10:56:03.058 AVAST engine scan C:\ProgramData
10:56:28.782 Disk 0 statistics 19220038/0/0 @ 5,18 MB/s
10:56:28.798 Scan finished successfully
10:57:39.646 Disk 0 MBR fix error
10:57:40.174 Disk 0 MBR fix error
10:57:40.424 Disk 0 MBR fix error
10:57:40.612 Disk 0 MBR fix error
10:57:40.786 Disk 0 MBR fix error
10:58:48.805 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
10:58:48.821 The log file has been saved successfully to "C:\Users\f\Desktop\log avast mbr despues de la reparación de sistema..txt"



Luego con el hirens boot, en un usb bootable ( grabado desde los pc comprometidos), utilizando malewarebytes, me encuentra 7 malwares, le doy eliminar, pero no se pueden eliminar, y con el combofix, me detecta rootkit activity, me dice por favor reiniciar el pc para eliminar rootkit, pero no se puede eliminar, sigue saliendo siempre lo mismo.

Los cd originales de linux con opción de arranque seguro uefi, no se inician en uefi, por que está mal la placa base, incluso windows 8.1 original hace que arranca en uefi mode, pero haciendo unas comprobaciones, no se instala en uefi mode.

Con wireshark tengo capturas de pantalla con una dirección mac duplicada.
En el router tengo una entrada en routing de una dirección ip desconocida 192.168.144.1 que se hace pasar por mi host, y que si no borro manualmente la dirección de routing anterior, la conexión a internet da muchos problemas.

Todos los archivos descargados o la gran mayoria , vienen con el cheksum mal, y aparte suelen venir con regalitos, encontrados analizando con clamtk.

El cracker me reinicia el navegador cuando le apetece, me desconecta el ratón, me ralentiza la navegación, me cuelga flash player, puede ponerme fotos en una carpeta del firefox, y controla mis movimientos, aparte no se que más hará.


No se ahora mismo si tengo más logs, es probable que si.
Haber, yo ya tengo bastante claro lo que tengo, pero no puedo limpiarlo....

Como dije, el problema no está en el disco duro,es la placa base, pero es probable que afecte los firmwares de la grabadora y del disco duro, aunque no lo se.

Con linux, no me deja instalarle los controladores adicionales y con windows,  los drivers me deja desinstalarlos pero se vuelven a cargar solos al reiniciar.


Bueno lo he vuelto a poner por que me lo has pedido #!drvy  , pero he repetido un poco más de lo mismo, yo solo preguntaba por si los técnicos profesionales, deberían poder decirme algo, o si ellos no saben estas cosas, cosa que me extrañaria, por que dedicándose profesionalmente a la informática deberían poder decirme algo por lo menos. Pero bueno, un técnico por lo menos me ha reconocido que hay algo y que el no sabe repararlo, algo es algo .

Más de uno pensará, pues compratelo todo nuevo y fuera, claro, si fuera tan fácil.... pero es que no tengo dinero ahora mismo, y si lo tengo, me hacen falta muchas otras cosas,  teniendo en cuenta, el miedo de comprarme algo nuevo , y que se me vuelva a contagiar, además de que tengo unos cuantos sistemas informáticos comprometidos y me duele el alma tener que tirarlos todos.

Un saludo y muchas gracias por leerme.

Para la proxima, utiliza las etiquetas [code][/code] para poner los logs. Se ven mucho mejor.

Vamos alla.


En lo que pones a continuación solo hay 3 PCs. Tienes solo 3 MAC en la lista. El 10:fe:ed:xx:xx:xx parace ser (http://www.coffer.com/mac_find/?string=10:fe:ed:3f:10:7d) el de tu router, las otras dos de una PC (la de tu madre y la tuya). Si te fijas, ambas MACs se repiten. No entiendo de donde sacas que te este suplantando la MAC. El router no debería ser tan idiota como para dejar 2 clientes con MAC igual.



Puedo preguntar en que sistema operativo has conseguido eso ? No vaya a ser Kali y tenga el servicio de Metasploit corriendo  :silbar: Si estabas en windows, tienes metasploit instalado ? En caso de que la respuesta sea no, probablemente sea el siguiente problema.



Entonces es muy probable que el rootkit este en el MBR del disco duro. Lo cual explicaría que se vuelva a propagar. Por que no intentas eliminarlo ?

https://www.symantec.com/es/es/security_response/writeup.jsp?docid=2011-121607-4952-99
http://support.eset.com/kb2895/

Ambas herramientas que he puesto arriba, son gratuitas y no te van a costar nada económicamente.


No, no detecta nada.

[17:28:47] Suspect files: 0
[17:28:47] Possible rootkits: 0



No te detecta muchas cosas, te detecta unas posible man-in-the-middle que a saber que se puede deber. Lo mismo no lo ejecutas bien (porque en vez de %s/%d se deberían de ver cifras), lo mismo tienes los certificados mal o la fecha mal puesta o lo que sea..



https://forum.avast.com/index.php?topic=72185.0


A ver, lo primero, todas las herramientas de limpieza que vayas a utilizar, descargalas y si tienes que grabarlas grabalas en un PC limpio. Lo segundo, lo que te comente arriba, si malwarebytes y combofix encuentran ese rootkit del que hablamos antes, poco van a hacer si este esta en el MBR.


Comprueba que en la UEFI tienes la opción de Secure Boot activada.. o en su defecto, desactivala para que arranquen las distros de linux sin problemas (nota que esto puede hacer que Windows no arranque mientras esta desactivada).


Entonces esta claro que tienes algun malware que esta haciendo un ataque man-in-the-middle. REPITO: NO DESCARGUES LA HERRAMIENTAS que vayas a utilizar PARA LIMPIAR, DESDE LOS PCs INFECTADOS. Es como si yo para exterminar una plaga zombie, primero me convierto en uno.. no tiene sentido verdad ?


Despues de limpiar el MBR, borra TODO del disco duro, haz un formateo limpio si hace falta de bajo nivel. Descarga una ISO de Windows o de Linux de un sitio FIABLE.


Muy poco malware hoy en dia es capaz de hacer eso que dices. Y la mayoria de esos malware tienen prioridades especificas. No atacan a un usuario cualquiera porque a la minima las casas de AV los detectan y se joden. La probabilidad de que algún componente de tu PC (que no sea el disco duro) este infectado es de menos del 1%.

Mira, entiendo tu frustacion de que siempre aparezca a pesar de lo que haces, pero si hacemos mal las cosas es normal. Necesitas librarte primero del virus, descargar las herramientas adecuadas de un ordenador limpio (y el de tu madre no te fíes que este limpio) y ya luego si todo falla entonces es cuando te pones a pensar que eres el elegido.


Eso es completamente normal.


No están obligados a saber de estas cosas. Nadie esta obligado a saber resolver un problema al 100%. Hay técnicos y hay técnicos, no todos saben lo mismo y a nadie le enseñan a como tratar todos los malware que salen por ahí. Es cierto que hay gente especializada pero la mayoría de los técnicos en una tienda son gente que tiene lo suficiente conocimiento como para tratar los problemas mas generales.

Es como si tu vas al medico de atención primaria (el familiar) y le pides que te haga una cirugía o cualquier cosa.... te va a mandar a un especialista. Los profesionales no lo saben todo y porque no sepan algo, no quiere decir que no se puedan dedicar profesionalmente a ello. Para eso existen las ramas de especialización.

Saludos

Muchas gracias #!drvy por tu tiempo y paciencia, te estoy agradecido.


Vamos por partes:




Pues tengo unas capturas de pantalla con wireshark, que están posteadas por el foro también , donde me dice que tengo la dirección mac duplicada, el router no detecta nada, solo aparece la entrada de routing con la dirección ip desconocida que se me asigna como mi host predeterminado, las capturas de wiresahark son estas:

http://postimg.org/image/tjanlx6yl/ (http://postimg.org/image/tjanlx6yl/)
http://postimg.org/image/4skz83rlp/ (http://postimg.org/image/4skz83rlp/)




Esto también lo tengo posteado por ahí, , lo hice con el sistema operativo bugtraq , scaneando con zenmap, utilizando ettercap y wireshark, donde encontraba lo de mac duplicada y me marca ataque arp spofing...el metasploit está instalado en este sistema operativo, le hice scans al host 0.0.0.0, pero luego cerré el programa, y utilice los que he comentado anteriormente, el zenmap, ettercap y wireshark.




Si intenté eliminarlo, pude eliminar todas las entradas en rojo hidden, pero el problema persiste, tuve que batallar bastante...
Pero no está en el disco duro como comento, por que  haciendo las pruebas, poniendo usa placa base nueva en la torre, sin disco duro, haciendo las pruebas con un live cd caine, ya tenía todos los problemas, y lo único antiguo que había en el pc susceptible de llevar algo, era la grabadora dvd, y la pantalla externa, con lo que no me explico.

Igualmente, compré un chip bios nuevo y no funciono, se reescribe con el código malo, el técnico me dijo que tenía la placa base corrupta o defectuosa,me lo dijo el que me vendió el chip y estuvimos hablando del tema.

Por ello, el problema está en la placa base en los controladores, drivers, chipset... si bien es verdad, que reescribe el mbr del disco duro y de los usb que conecte.




Es verdad que no detecta nada pero dice:

 
Dice que hay directorios escondidos y cosas sospechosas.





Si detecta man in the middle y errores , que seguro lo sufro por lo comentado anteriormente, las capturas de wireshark y que todas las descargas me llegan con regalitos y el checksum mal, por que la fecha está bien, los certificados no lo se, puedo poner en un nuevo mensaje el log completo de chkrootkit completo que alomejor dice mucho más pero yo no lo comprendo, pero es muy extenso, no se si cabe en un mensaje, si quieres lo posteo entero, el comando que utilizo es sudo chkrootkit -x , lo saque de una web , y detecta todo.




Lo que comentan aqui no lo he probado con la herramienta que aconsejan, puedo probarlo cuando tenga los equipos en casa, pero no creo que sirva de mucho, por que se volverá a infectar otra vez con solo reiniciar el equipo, pero será probarlo y ver que pasa.




Bueno, lo único que tengo limpio es el cd original windows 8.1, y varios discos más de caine, bugtraq y kali linux, que son los que utilizo, además tengo un disco hirens boot original, pero yo no tengo conexión limpia a internet, ni ningún equipo sano.
Supongo que no podrá hacer nada, además como está grabado desde el pc infectado, pues seguro que hay algo malo en el usb bootable de hirens que utilicé.





Si conozco bastante el tema, mi windows arranca de todas las maneras con uefi , sin uefi como sea.... los linux  arrancan sin uefi mode, pero hay algunas distribuciones y live cd , que soportan el arranque uefi, pues bien, no funcionan, o bien arrancan algunas dando problemas.




Está claro que si tengo algo, y todo lo que descargo está mal....entiendo perfectamente, pero no tengo amigos que pueda pedir nada, ni acceso a internet limpio , ni nada de nada....




Pero como te comento no servirá de nada, por que utilizo un live cd sin disco duro ni usb, y puede hacermelo todo igual, de hecho los logs continuan igual, salvo los del mbr del disco duro, por que no lo hay, está claro.
Es decir , yo utilizo un live cd  caine 6.0 que el cheksum está bien y coincide, tiene arranque uefi mode y herramientas para windows, pero no me arranca en uefi, y sufró igualmente man in the midle viniéndome todas las descargas mal, y todos los problemas persisten, puede desactivarme el teclado , o el ratón, puede modificar teclas del teclado, puede reiniciarme el navegador,me carga scripts en el navegador, etc, etc, etc....






Te entiendo perfectamente, ni yo mismo me lo planteaba hasta hace un tiempo, pero tengo fuertes sospechas e indicios para sospechar que algo raro tengo en el pc, por que no es normal todo lo que ocurre.
Es que ya lo he probado todo, en el foro virus total , tratamos el mismo tema, y me dijeron que era problema de hardware, la placa base corrupta, igualmente, el técnico de biosflash, me dijo lo mismo, que estaba las placas corruptas o defectuosas, entonces,puedo probar eso que me has puesto en los enlaces, por ver que ocurre, pero se que el problema no se solucionará haciendo eso.

Ya te digo que virus en si, no hay ninguno, no se detecta nada, es un rootkit, backdoor, de raíz que reescribe el mbr en los discos.
Según tengo entendido , estos bichos se esconden en el chipset de la placa base, incluso he leido que hay algunos si no todos, que se esconden también en el firmware del disco duro, grabadora ,supongo que en los routers, y no se pueden limpiar facilmente, por que la única manera seria reflashseando todos los componentes a la vez, desde un equipo sano externo, creo que es la teoria, en la práctica, no tengo ni remota idea de que hace falta exactamente, y no encuentro mucha información al respecto la verdad.




Esto lo desconozco, pero recuerdo que hace unos años, cuando instalaba linux, siempre me dejaba instalar los controladores adicionales, y ahora no .Con windows, recuerdo que antes no salian los drivers, tenía que instalarlos manualmente, pero ahora salen automáticamente, aún cuando desconecto la actualización automática de los drivers.
Toqueteando cosas en linux, he conseguido que me detectara un controlador adicional de la gráfica, pero nada más, y ahora mismo ni recuerdo como lo hice.
Al arrancar caine, va diciendo todos los servicios que tiene y toda la información, solo iniciar, dice, load pre loaded drivers modules, o algo así, como que se cargan unos drivers automáticamente, predefinidos, y no puedo modificarlos.





Si supongo que así es, y que el problema que tengo no podrán repararmelo en ninguna de las 5 tiendas informáticas en las que he estado, habiendome gastado bastante dinero.Me parece aceptable que no sepan repararlo, por que es complicado lo entiendo perfectamente,pero por lo menos podían emitirme un parte diciendolo, y yo me quedaría tranquilo, pero bueno de hecho, en las 4 tiendas que tengo ahora mismo algo, ha pasado lo siguiente:

1tienda:
Me emitió una factura diciendome que había comportamiento extraño del pc, y que necesitaba un examen más profundo, entendiendose, por unos especialistas, o peritos informáticos.
El hombre me hizo el abono de una placa base.

2 tienda:
Me emitió una factura diciendome entre varias cosas, que lo había reparado, y que en otra placa base la había cambiado por garantia por no poderse reparar, y que me recomendaba acudir a unos peritos informáticos , la cuestión que no se reparó, estaba todo mal, bien se infectó por que quedaba rastro en la grabadora, o me viene mal la placa ,y he tenido que pedir las hojas de reclamación.

3tienda, me han dicho que ellos con sus herramientas no encuentran nada, cosa que se me hace dificil de creer, han mirado otra cosa que no les dije , pero bueno, si dicen que el disco duro estaba mal, pues no se, lo han arreglado, y me lo van a devolver igual que se lo di... eso sí , me han dicho que si tengo las sospechas que tengo algo raro, que vaya a un sitio especializado de informática forense... pero ellos no ven nada, me parece increible vamos...

4 tienda, de telefonía, les he explicado el problema, en esta ocasión , sin aportar logs ni nada, simplemete , les he dicho que tenía sospechas por ciertas situaciones que me han pasado con el teléfono, que no tenían explicación si no era por  que estaba hackeado, y me lo han cogido a tramitar por garantia, sin ningún problema.


Entonces, yo ya no quiero batallar mucho más con esto, costará lo que costará, pero creo que lo tengo bastante claro, solo quería saber más que nada si los técnicos informáticos profesionales, deberían poder decirme algo más que lo que me han dicho, e incluso repararlo.

Yo he probado de todo practicamente,y la verdad me gustaría saber repararlo, pero como voy a repararlo yo , si tan siquiera soy informático.... vale que se 4 cosas de pelear, pero si unos técnicos profesionales, no pueden ayudarme, como voy a limpiarlo yo, desde mis equipos comprometidos, sin money, y sin posibilidad de pedir ningún favor a nadie....a tener paciencia ..., pronto en un par de meses o un poco antes, tendré algo de trabajo, y podré avanzar con esto, de momento, estoy atascado.

Y llevarlo a unos péritos informáticos como me han recomendado es muy caro, no me explico como un técnico no puede decir nada, cuando hay tantas evidencias... en fin, hubo usuarios que me dijeron, que libra al foro de una tercera entrega, pero ya la ha habido.... en fin lo siento, parece ser que va para largo mi problema....pero bueno, no pensaba volver a poner nada, pero como me lo ha pedido
#!drvy  pues lo he puesto.

Por cierto el log de unhide también detecta algo:
 


Pues muchisimas gracias por tu tiempo #!drvy  y todo aquel que lo lea.
Y lo dicho si alguien quiere una placa base, a peligro que se le contagie todo, que me lo diga y se la envio.
Yo lo que quisiera saber es como actualizar componente por componente de hardware sin reiniciar o la manera de solucionar esto.

Un saludo.

(https://upload.wikimedia.org/wikipedia/commons/3/3b/Paris_Tuileries_Garden_Facepalm_statue.jpg)

esto es lo que pasa al no entender si quiera lo básico del funcionamiento se un SO especifico o intentar buscarlo en googl... ahí no hay nada raro

Muy bien engel lex , creo que el log de rkhunter es el menor de mis males, estoy deacuerdo con que no hay nada malo,ya que tampoco dice nada mas que hay unos hidden files, pero el programa ya dice que no hay nada.
Y si no tengo idea de como funciona , más que 4 cosas que se.

Que no todo lo que parece es, por supuesto.

Un saludo.

Ahí no veo nada extraño. Simplemente tienes configurada una IP que tambien esta configurada en otro dispositivo.. es un warn nada mas.


Entonces mas que normal que te reporte esas conexiones y puertos como abiertos. Recuerda que metasploit tiene su servicio.. por mucho que cierres el programa el servicio seguirá corriendo.


Me decanto mas por problemas de fuente o conexión de red. Insisto en que las posibilidades de que un malware afecte al firmware de cualquier cosa que no sea la propia BIOS o los HDD son ínfimas. Quien se preocupa en crear un malware para infectar un lector de discos cuando eso esta a punto de ser obsoleto ? Y por que no quitas el lector de discos o lo cambias por otro para ver si el problema persiste ?


Estas mezclado temas.. chip BIOS ? BIOS en una UEFI ?


Si, es paranoico y por eso te dice que ha encontrado archivos ocultos. Nada raro.


En todo caso postealo en pastebin.com y pones el enlace. También me gustaría que descargaras un ejecutable cualquiera, lo subieras a:

• https://www.virustotal.com/
• https://anubis.iseclab.org/

y mostraras aquí los correspondientes resultados.

Recuerda: Descargar un ejecutable cualquiera desde el PC infectado, subirlo a esos servios y postear aquí los resultados.


La idea de esa herramienta es limpiar el MBR y los archivos que no podría cuando el SO esta en uso. Por probar no pasa nada.


Conexión limpia ? Mira, haz un reset al router que tienes (para que vuelva a su configuración por defecto), coge una PC que nunca hayas usado y conectala a la red.. listo. Eso suponiendo que lo quieres hacer desde casa, siempre puedes ir a una biblioteca con ordenadores o a un locutorio o una sala de ordenadores y descargar ahí lo que necesitas.. incluso pedirle prestado el PC y el internet al vecino...

No me puedo cree que prefieras comprar placas bases antes que hacer eso..


Entonces todo normal no veo cual es el problema... Las distros tienen muchos problemas todavia con el Secure Boot.


Esto ya me parece absurdo. Encima de que se instala en el firmware del lector de cd, también es multiplataforma y funciona igual en windows que en linux, en serio ?  :-\


Repito es normal. En las distros de linux lo mismo te detecta todo que lo mismo no te detecta nada. Y en Windows una vez instalados los drivers, se los queda a pesar de que los borres para tener el Plug&Play.


Según he podido leer es un falso positivo.
http://sourceforge.net/p/unhide/discussion/1236874/thread/cb3a1484/

---

Ahora ya el tema se te va de las manos. Estas hablado que incluso tu Android esta infectado.. estamos hablando de 4 plataformas con diferentes tipos de firmware, diferente software y diferente hardware infectadas por el mismo malware.

Una de tres.

• O eres un espiá súper secreto de la KGB a la que la NSA esta intentando capturar..
• O eres tan paranoico que cualquier falso positivo lo conviertes en un drama.
• O estas trolleando

Es que me niego a creer tal historia.. sinceramente... yo hasta aquí me quedo. Es probable que tengas un PC infectado, otro con problemas de hardware.. que tu Internet tenga cortes y produzca archivos corruptos (o que sea por culpa de los problemas de hardware).. pero de ahí a afirmar que tienes todo infectado es poco realista.

En fin, espero el log y los reportes de virustotal y anubis.. el tema de las infecciones de firmware y cosas así lo dejo de lado..

Saludos

 :xD ;-) :xD

Bueno gracias por tu interés.

vamos por partes:



Si pero yo tengo una ip distinta para cada pc, es seguro por que se las ip de memoria y no tengo ninguna repetida.
fijate en estos  logs de wireshark, donde aparecen mac ajenas que no son mias

http://postimg.org/image/9r3w8w60t/ (http://postimg.org/image/9r3w8w60t/)
http://postimg.org/image/a59tm8fi5/ (http://postimg.org/image/a59tm8fi5/)




Bueno, entonces será repetir la experiencia sin el metasploit, para ver que sale entonces, deacuerdo.






Cuando tenga algo de pasta, compraré una nueva placa en una gran superficie  y una grabadora nueva para ver que pasa.
Hombre, tengo un programador willem usb programmer, y pude confirmar con el técnico de biosflash, que la máquina reescribia código malo en el chip bios nuevo, con que algo hay, y tiene que venir, del chipset o de algún firmware de la máquina como el dvd, por que la pantalla externa no creo vamos, ni las memorias, ni la fuente, ni la cpu, si no me equivoco, aunque la pantalla externa también tiene firmware...el teclado y ratón me imagino , que no pero no lo se tampoco.
Además, hay algo, que impide que funcione correctamente el programador willem usb programmer, ya que puedo leer, y escribir en los chips, pero cuando le grabo la imagen de la bios, luego el pc no arranca.
Este tipo de malware hace tiempo que va, con lo cual , sería posible que alguien entendido del tema pudiera hacerlo.





Haber, me pasa en una placa asus con uefi, que tiene el chip bios con patillas, y puedo sacar y poner facilmente, pero el mismo problema lo tengo en todos los pc igual; mira el pc que utilizo ahora , es un compak presario portatil, no le va la grabadora por que no se puede cargar el driver,  cuando inicia, dice que la suma de comprobación no es válida, ya prové de todo, pero tras actualizar con un usb bootable, solo cambie la versión de bios, el problema persiste, e incluso al entrar en la bios, me marca un montón de errores con una numeración, que seguro tienen un significado que no se, esto lo único que podría hacer es hacerle fotos y postearlo, pero este pc no tiene uefi.





Ni idea, pero agradeceria una mayor explicación o lo buscaré por google algún día.Yo como decía lo de sospechoso, y escondido, pues en fin.





Pues el log de chkrootkit es muy largo y no puedo postearlo en pastebin.com con usuario free.Si acaso me atreveré a postearlo aquí directamente con tu permiso aunque sea por partes, si das la aprobación.

En cuanto a los archivos, he estado haciendo pruebas en algunos detecta cosas en otros no, voy a ver que pongo:


Por ejemplo el  programa ccleaner me viene con:
virus total: ESET-NOD32    Win32/Bundled.Toolbar.Google.D potentially unsafe    20151014

En anubis:


El programa universal usb installer:
virus total:  McAfee-GW-Edition    BehavesLike.Win32.Dropper.tc    20151014

En anubis:

El programa daemon tools lite:
virus total:
Comodo    UnclassifiedMalware                  20151014
Rising    PE:Malware.RDM.35!5.29[F1]    20151013
Symantec    PUA.OpenCandy                                 0151013

con anubis:


Con anubis va muy lento,dice que le cuesta mucho, no se por que tanta diferencia de tiempo de uno con otro, por eso no he puesto nada, pero he visto completarse uno mientras escribia el mensaje,y sale mucha información, yo no veo nada en concreto, pero dice muchas cosas , no se como mostrarlo todo, creo que con virus total ya se ve que vienen regalitos.
Aparte si analizo con clamtk las descargas ya te digo que suelen venir con regalitos, no siempre, y no todas, pero si la mayoria.




Por provar no pierdo nada no, lo probaré para saber que pasa, pero ya te digo que no es el problema principal.





Ya pero si hago un reset, no pasa nada, se queda mal igual, con el host ajeno a mi red y la entrada de routing con una ip ajena... si tuviera un pc limpio, seria fantástico.... con los vecinos no tengo confianza para pedir nada,y a nadie vamos le puedo pedir nada.
Pero, es que aunque traiga herramientas limpias, creo que no se puede reparar desde estos pc, ya tengo el caine, bugtraq, kali linux, y no puedo limpiarlo con todo lo que trae....




Hombre mira esto:

 haciendo está comprobación: Sacada de social.technet.microsoft.com

En Bios UEFI únicamente podemos instalar los sistemas de 64 bits. Los de 32 nunca se instalarán en modo UEFI.

1) Verificar en la Bios que efectivamente la Bios está en modo UEFI.
Algunas Bios tienen modo BIOS normal y modo UEFI. Debe estar en este ultimo modo.

2) Es imprescindible que la BIOS arranque el CDROM en este modo. Para ello, debemos tener el DVD de instalación metido. Apagar físicamente la maquina con él introducido y a continuación darle corriente. En general NO VALE meter el DVD mientras está encendida la maquina ya que no lo tomará. Si no lo toma en modo UEFI la instalación no será UEFI.

3) No se puede instalar por tanto desde un pen booteable en modo UEFI.

4) Para asegurarnos que está en modo UEFI, cuando se inicie la instalación de Windows en la misma pantalla de bienvenida de la instalación, pulsamos MAY+F10. Esto nos sacará una consola, desde ella ejecutamos:

notepad Windows\Panther\setupact.log

Veremos una de estas dos cosas:

Callback_BootEnvironmentDetect: Detected boot environment: BIOS

o bien:

Callback_BootEnvironmentDetect: Detected boot environment: UEFI

Solo estaremos en la instalación correcta en modo EFI en este ultimo caso. Si no está en dicho modo, o la Bios está mal configurada, no no hemos arrancado el CDROM en modo UEFI o encendido la maquina con el DVD ya introducido. No vale que continuemos ya que no se instalará en UEFI.

5) Las Bios UEFI necesitan que el disco de instalación sea GPT (no MBR) y además necesita instalar la partición UEFI de boot. Para ello, el disco debe estar vacío.

6) Para que el disco lo esté incluso sin el MBR, cuando lleguemos a la pantalla de instalación en donde se ve el disco a instalar, ejecutamos de nuevo MAY+F10 para obtener la consola. En ella:

DISKPART
select disk 0
clean
exit

7) A continuación damos al botón de refrescar en la pantalla en donde vemos el disco, y SIN seleccionar nada, es decir sin seleccionar el disco, le damos a continuar.

Esto creará la partición UEFI y en el resto instalará el sistema operativo.
Posteriormente si queremos gestionar mas particiones en el Disco, ya desde el sistema operativo y en el Administrador de Disco podremos reducir el tamaño de dicha partición y crear nuevas particiones a nuestro gusto.



Pues , resulta, que no aparece ni Callback_BootEnvironmentDetect: Detected boot environment: BIOS ni
Callback_BootEnvironmentDetect: Detected boot environment: UEFI por lo que mi s.o. windows 8.1 no se instala en uefi mode por este motivo.

Igualmente, por ejemplo, el bit defencer live, se carga en uefi mode pero da errores, pero el caine ya ni se carge en uefi cuando debería cargarse, por eso se que está mal, vamos sospecho.
Cuando introduzco un usb o un disco duro, en la pantalla de la bios, en el asus h81m-c, me muestra las claves uefi del disco, y salen unas malas, de igual forma, las claves uefi que hay precargadas en la placa base, no son las correctas, y no puedo cargarle las claves uefi del disco original windows8.1, por que al hacerlo se queda congelado el pc, y hay que reiniciarlo, volviendo a aparecer las claves malas  con unos interrogantes, la única manera de que no aparezcan es dejando los discos sin formato, pero entonces al formatear , aparecen nuevamente las claves uefi malas y en la placa base no se le pueden cargar las claves uefi, cuando viene preparado para ello, y muchas más opciones.




Te juro que con un live cd original con el checksum correcto, sin ningún usb ni disco duro, el cracker me podía hacer de todo, bueno, sobre todo, cuando en vez de utilizar el live cd original, utilizaba uno corrupto que había grabado con el pc corrupto, entonces si que era  malo el asunto, pero desde que fui a una tienda y me grabaron el cd original, pues, la verdad no puede hacerme casi nada, pero de lo que yo veo que puede hacerme:
maninthe midle, registra teclas, registra audio, tiene cierto control sobre el navegador, puede modificar el teclado o desconectarlo, puede desconectarme el ratón, etc, esto es fijo siempre que puede, luego si consigue entrar, pues puede hacer lo que quiera, pero dentro creo que no lo tengo, es más bien una puerta trasera preparada para entrarme facilmente, haciendo el maninthemidle y colandome regalitos en las descargas para que pueda entrar, utilizando linux, no puede entrar aparentemente, pero de vez en cuanto me veo alguna sorpresa, como que me desaparecian las opciones del escritorio del sistema operativo o que me aparecen fotos desconocidas en una carpeta del navegador.... en fin.

Cuando me entra facilmente, es cuando utilizo windows, y hago descargas; en linux, pues parece que no sufro tanto, aunque, ahora tengo whine y he hecho descargas, con lo que no me extrañaria que tenga porqueria aparte.




No lo se lo desconozco, pues debe ser normal entonces.
El otro día instale windows vista, en el compak presario que viene preparado para windows7 y en este no me reconocia los drivers, me alegre y todo, ya que como te comento, con todos los demás me salen automáticamente, supongo que si instalara windows xp , tampoco saldrían los drivers automáticamente.




Deacuerdo, debe ser un falso positivo, yo no lo se para debatirlo.




Que va no soy nada de eso,si acaso soy parecido a un solitario de esos, que no salgo nunca practicamente, más que cuando hace falta, o en algún acto especial.... siempre estoy en casa, no tengo trabajo, más que  a ratos en las fincas familiares, y lo único especial que hago, pues consumo y planto marihuana, no creo que sea ese el motivo, quien sabe....

Yo también pensaba que no podía ser, pero es que en todos los pc, me salen los mismos logs, tengo lo mismo en todos, lo único que no tengo ninguna prueba es con el teléfono mobil, esto solo son sospechas mias por cosas que me han pasado, me descargue un sistema operativo para mirar los móbiles, el santoku, pero no se utilizarlo y no me quedan ganas de momento.

Hombre, como bien sabes , los virus, malware y demás se contagia, si todos los ordenadores están en red, comparten usb, y para colmo utilice el telefono con los ordenadores , utilizandolo como disco duro y como modem, pues es normal que se pueda contagiar todo, ya sería diferente que te dijera, tengo 5 ordenadores aislados todos de si, con diferentes tomas de internet, que no comparten nada, y que estén infectados todos con lo mismo, hay, si que sería increible, pero lo que yo comento, no es para nada imposible, de hecho si no lo sospechara , no lo miraria tanto.


Ya si fuera una simple infección podría sacarla yo mismo, pero si no pueden los técnicos pagando, pues yo dificilmente.
Lo dicho, voy a intentar pegar el log entero si es posible en varios mensajes, y si no dime la forma para publicarlo entero el de chkrootkit.

En principio no queria mirarlo más por que creo que lo tengo bastante claro, no se puede limpiar con lo que tengo, y la única solución que me dan es llevarlo a unos péritos informáticos, aparte de por supuesto lo que me dices tu,pero como te digo viene del firmware y no podrá repararse, con lo cual, no se ni si mirarlo, lo haré, pero no se cuando, ya que no tengo acceso a descargar nada limpio de momento y lo veo que será una pérdida de tiempo, probablemente, por que tras reiniciar, se volverá a poner malo, por que si ya el chip bios, se corrompe tras sustituirlo y reiniciar, pues figurate tu el disco duro.

He acabado exponiendo nuevamente el tema, pero vamos que lo que preguntaba era sobre los técnicos si deberían poder decirme algo y supongo que no me quedará otra que llevarlo a unos peritos algún día..... lejano seguramente....

¿Unos ingenieros informáticos , con sabiduria en programación, podrían hacerme esto verdad?
Todo viene, por que tengo amenazado al cracker con que voy a denunciarlo, y le digo de todo, me he acabado discutiendo con todos los amigos, y ahora casi no tengo ningún trato con nadie, y menos de pedir favores... todo por culpa del elemento este, y como le he dicho de todo, lo he amenazado, le digo que lo quiero denunciar, pues por eso me apretan, para que lo deje estar  y pase, o no se, alomejor me quieren controlar para saber que hago, pero me están jodiendo, por que no puedo hacer nada de provecho con el pc, más que el tonto, pasar el rato,por que teniendo esto, quien es el valiente, que va a abrir por ejemplo una cuenta de forex, o conocer chicas y escribir, o hacer compras con una tarjeta de crédito, o emprender algún proyecto serio, no se se pueden hacer muchas cosas, pero con el energumeno este encima, no hago nada de nada por su culpa.... en fin, perdonarme todos, pero no podeis imaginaros la frustación que se siente, cuando deseas algo, que a priori no parece tan complicado, pero que luego no acaba nunca y no hay manera de limpiarlo....ya es una forma de vida que me he acostumbrado, en fin.

Si te niegas a creerlo, no se que decirte, pero es que si quieres te envio la placa base, de verdad, y lo compruebas tu mismo,asi luego podrías exponerlo mejor en el foro y contrastar opiniones.
Un saludo y gracias.

Hola aqui tienes info acerca de los directorios ocultos:

Warnings/advertencias rkhunter:
http://askubuntu.com/questions/1537/rkhunter-warning-about-etc-java-etc-udev-etc-initramfs

No se si tendrás algo más pero rkhunter ya te avisaba de un posible hijacking de los dns...

Whois:
http://whois.domaintools.com/222.222.222.2

ISP hijacked (AS4134 CHINANET-BACKBONE No.31,Jin-rong Street):
http://www.bgpmon.net/chinese-isp-hijacked-10-of-the-internet/

Cómo borrar la caché DNS en Windows, Mac OS y Linux:
http://librosweb.es/tutorial/como-borrar-la-cache-dns-en-windows-mac-os-y-linux/

Saludos.

MACs ajenas que no son tuyas ? Una MAC solo se obtiene en el ámbito de una red local.
https://es.wikipedia.org/wiki/Direcci%C3%B3n_MAC


Son simplemente directorios ocultos, no tienen porque ser malignos (y no lo son en tu caso).


Si es muy largo no lo postees en el foro ni mucho menos. Intenta usar otros como http://paste.debian.net/ o http://paste.ubuntu.com/ . Tambien lo puedes escribir en un fichero y subirlo a algún host como mediafire o mega.



Todo normal. Las aplicaciones que has mostrado me muestran prácticamente los mismos positivos. Nada anormal.


No vienen regalitos, son o bien falsos positivos o bien adware que viene con el instalador (caso conocido en el de Daemon Tools). Respecto a Anubis, solo te pedia la URL del resultado, no que postearas el informe entero. Anubis tarda mucho mas porque analiza el comportamiento durante la ejecución del programa, no es un antivirus en si sino un servicio que analiza como se comporta el programa cuando es ejecutado.


host ajeno a tu red ? Routing ? Podrías mostrar unas capturas de pantalla ? Sobre todo en la parte de DNS (del router) y del "Routing".


Lo que has pegado es valido solo para instalar/ejecutar Windows.. no es valido para distros de GNU/Linux. Es mas, como te he dicho antes, muchas aun tienen problemas con UEFI y las licencias necesarias así que es mas que normal. Te dije que desactivaras el Secure Boot.. no se cuanto caso me habrás hecho.


El caso se da desde Windows 7 en adelante, repito, es normal. Con cada versión de Windows, Microsoft añade mas y mas soporte con drivers genéricos que se activan automáticamente para Plug&Play. Nada de que preocuparte.



Sinceramente ? Si. Realisticamente ? No.

A ver si me explico. Cada dispositivo tiene su propio firmware, sus propios mecanismos, su propia infraestructura. El "cracker" que dices, tendría que saber exactamente que modelo de "lector de discos" usas, tendría que saber exactamente que placa-base usas, exactamente los modelos de tus dispositivos y lo que es mas, tendría que reversar TODO el código de estos firmware para que pueda incluir código malicioso sin dañar o dejar inútil el componente. PERO AUN MAS, tiene que programar el firmware para que inyecte codigo malicioso en dos sistemas operativos COMPLETAMENTE DIFERENTES. No se si te das cuenta pero esto requiere MUCHO MUCHO tiempo y MUCHO conocimiento sobre el tema.. y todo esto solo para joderte ? Venga ya, mas fácil seria contratar un par de sicarios y matarte si tantos problemas tiene contigo...

Por eso te digo que descarto completamente infecciones de firmware.. como mucho el MBR del HDD.

---

Coincido con @r32 que puede ser un hijacking de las DNS, por eso te recomendé también reiniciar el router a su estado de fabrica (el router también incluye mecanismos de DNS). Y si dices que has reinstalado Windows y/o te pasa lo mismo en las distro Linux descarto que sea a nivel SO.

PD: Sinceramente, espero que nada de esto sea una trolleada... porque ya se esta pasando de rosca todo esto...

Saludos

Dicho el 24 de Julio de 2015:


Demencial....... :rolleyes:

Visto lo visto, creo que apoyo el punto de vista expresado por @Equinoxe.....



Saludos.

Ya esto viene siendo un doble post, porque en uno anterior trato el mismo problema...

Salute.

Saludos.
Estoy teniendo problemillas con el pc.
Darme tiempo que ponga otra vez todo bien como pueda y mirare de contestarte #!drvy.

No es ninguna trolleada, si bien , yo sospecho que es lo que digo, pero ni mucho menos lo se seguro.
 Definitivamente hay algo, que no se exactamente lo que es, pero , diantres, teniendo en cuenta, que utilizando un live cd, sin discos duros , sufria lo mismo, pues que otra explicacion hay.
El checksum del cd coincide con el de la web, solo varia de minusculas a mayusculas, pero es normal, entonces si esta bien el cd, y sin los discos duros, sucede lo mismo, ya sabemos que no es fallo de los discos duros, es fallo, de la placa base, bios, conjunto de controladores, o alomejor solo el de la grafica y la bios, no se ni idea, de hecho la placa base me la han cambiado por garantia 2/3 veces, y el problema persiste.

Estoy con un usb live, y no puedo hacer nada hasta que reinstale un disco duro, estoy probando Qubes, pero volvere a instalar caine.

No se exactamente lo que tengo, si no, no lo preguntaria, mi nivel de informatica es bajo, no tengo ningun estudio, no pretendais que sepa muchas cosas.

Espero mirar otra vez 4 cosas y volver a responder, ya con calma.

Un saludo.

¿Podrías explicar ESPECIFICAMENTE que problema tienes? :huh:, es decir, dices que tienes un backdoor o que la placa madre esta corrupta pero, ¿Cómo lo sabes? Notas algo extraño aparte de los logs que crees que tienen algo raro, algo que modifique el software/hardware como que se abra la bandeja de CD, se borren archivos o cambie alguna configuración del equipo.

1) Suponiendo que tengas un malware, el 99% se encuentra en el disco duro o la RAM,
2) muy difícilmente en el MBR, la memoria de la grafica, el firmware (ROM, BIOS, etc).
3) Ahora bien, que tengas un malware en algún otro hardware es improbable (no imposible),
4) pero que hallas cambiado la placa base y sigas con tu problema… mmm… :-\

La única solución que veo es que:
-Desconecta la pc de internet.
-Deja un SOLO disco duro conectado si tienes varios.
-Consigue una distribución de Linux que no esté comprometida, descárgala de una biblioteca, grábala en un CD, consigue un lector de CD de solo lectura para evitar que el malware se grabe en el disco y se vuelva a copiar.
-Al instalarla borra TODAS las particiones del disco y vuélvelas a crear, esto debería borrar el MBR.

Si el problema persigue suponiendo que el malware este en el firmware este debería ser creado para cada modelo particular de placa base y de la bios, así que si compras otra asegúrate que nadie vea el modelo que compraste  :xD y cree otra versión del malware.

(Hay otra opción (4) pero es mas probable que trabajes para la KGB a que pase eso.)

Yo soy Ingeniero en Computacion tengo mi propio local y reparo Celulares, Tablets, Laptops y PCs.

Trae tu computadora a mi local y yo personalemente lo reparo, despues de ver minusiosamente los LOGS note algo muy curioso tal vez nadie de los presentes se dio cuenta de ello y ahi esta el problema, tardara un poco dependiendo de que Chipset tenga tu equipo.

Saludos!

Muchas gracias por la información r32

 
Si que tengo algo más, el controlador de red está afectado sospecho al igual que otros, por eso sufro varios problemas con la gráfica, la red cable, red wifi,  sobre todo.

Bien #!drvy , las direcciones mac las saque con el programa netdiscover, de hecho deje el pc corriendo este programa varios días,  habiendo solo conectado el pc de mi madre, mi pc y el router, no estaba el meterpreter de armitage, ya que el pc de mi madre lleva windows 8.1 sin nada, y yo el caine, que no tiene instalado armitage ni meterpreter.

El resultado de netdiscover, sin tener armitage meterpreter fue:


   IP            At MAC Address      Count  Len   MAC Vendor                   
 -----------------------------------------------------------------------------
 222.222.222.2   10:fe:ed:71:59:8a    611    36660   Unknown vendor           
 222.222.222.26  f8:a9:63:a6:70:57    5189    311340   Unknown vendor         
 0.0.0.0         f8:a9:63:a6:70:57    4683    280980   Unknown vendor         
 222.222.222.23  78:24:af:39:5c:ad    2300    138000   Unknown vendor         
 222.222.222.2   78:24:af:39:5c:ad    639    38340   Unknown vendor         


Cuando utilice bugtraq con el armitage, fue conectándo un tercer ordenador para escanear las anteriores direcciones.

Me di cuenta que en el router, sin haberlo puesto yo, en la sección acces management  en el apartado ACL estaba activado , con la dirección segura 0.0.0.0, no se que es esto, ahora lo tengo desactivado, pero los problemas igual en general.

Entonces, aqui está el router, que es 222.222.222.2 está mi pc, pero no sale la ip, mi pc, utiliza la ip 222.222.222.22, está el pc de mi madre que es 222.222.222.23 , está el pc con la dirección 222.222.222.26, que supongo sería un tercer pc que conecté,(lo más probable,  pero no estoy seguro si lo conecté), y está la dirección 0.0.0.0. , que o es el host atacante, o viene del router, del ACL activo, pero no lo se, y lo curioso que no sale mi dirección ip, tal vez por que ejecutara el programa de ese pc y entonces es normal que no muestre la ip, o ni idea.
Aparte tenemos la dirección del router , doblada con dos mac, la cual   10:fe:ed:71:59:8a es la original del router, y la otra dirección doblada de 222.222.222.2  es la mac 78:24:af:39:5c:ad que responde al pc de mi madre.
No se, pero algo no me cuadra , pero no lo se.



Entonces dices que está bien las descargas,  bueno yo no lo se, pero los checksum md5 me los baja mal en muchas cosas te lo aseguro. Y se escaneo con clamtk tras descargar archivos siempre encuentra algo, sobre todo archivos PUA, a cientos.
Por ejemplo ayer, perdí el sistema operativo, tras eliminar un montón de archivos infectados y troyanos, que justamente los tenía en wine, para windows....  todo por haber descargado archivos.... por eso tenía problemas de navegación lenta, cuelgues, etc, etc... trastee demasiado, y me cargue el sistema operativo, no pude restaurarlo, pero no he perdido nada.

Haber si puedo conectarme al anubis, que ahora mismo no puedo acceder a la página no se por que,y les haré el scan a los mismos archivos que pasé con virus total.


Lo de los drivers, yo se que hay algo extraño, es probable que sean el problema de una u otra forma,¿por que los drivers, no se alojan en los chips correspondientes, es decir, el driver de audio, en el chip de audio, el driver de red en el chip de red, y así con todos, o me equivoco?


Hombre, sabeis, que, mis  equipos informáticos, saben lo que tengo, por que dejaba entrar a alguna persona y veia todo lo que tenía, incluso, deje solas las personas delante del pc por unos minutos hace tiempo.....entonces, podrían saber exactamente todo lo que tengo, y más si me siguen, con que eso es bien probable, se da una condición, y comento, que esto vengo batallando con el cracker este muchos años, y ha ido aprendiendo mucho por lo que se ve....

#!drvy, tu dices que descartas infección de firmware, pero, como explicas que persistan los problemas sin los discos duros???? estoy abierto a todo tipo de sugerencias.
No me digas lo de los sicarios que ya solo me faltaba eso....por que por defenderme de un atacante....yo creo que el podría borrar sus rastros si quisiera , quemar su pc, y dejarlo, pero no cesa.


Por cierto, creo que el router también es posible que tenga afectado algo, que sería el firmware... cuando lo reinicio a estado de fábrica, creo que no tiene todas las opciones como debería, no se si por culpa del pc o el router.
Trate de actualizar el router como root, por ftp creo que era, pero me daba error , no podía, decia error imput/output bios.

#!drvy te aseguro que no es ninguna trolleada, que ganaría yo, simplemente busco ayuda, para saber que es exactamente lo que tengo.

Yo solo quiero limpiarlo  y saber que es , ya se que es doble post, pero como me han preguntado otra vez, pues lo expongo, mirá desde la primera vez que lo postee, lo ha visto más gente que a aportado más cosas, y yo he aprendido un poco más.

Voy a poner unos enlaces para mayor información del log de chkrootkit, y de system testing hecho con una herramienta de caine, en la que puede verse anomalias, entre ellas, invalid host name, haber si puedo postearlo bien, por que creo que aportan información:

http://paste.ubuntu.com/12797204/plain/ (http://paste.ubuntu.com/12797204/plain/)
http://paste.ubuntu.com/12797719/plain/ (http://paste.ubuntu.com/12797719/plain/)

Creo no se ve, y el log de chkrootkit es verdaderamente largo de verdad, el otro es algo largo, sale en el navegador web los resustados, pero no se como mostrarlo, tal vez podría hacer varias tomas de pantalla ordenadamente y se verían los resultados, pero tendría que hacer unas cuantas tomas, tal vez más de 10-15.


Voy a poner capturas del router:

Primero con la dirección acl  0.0.0.0, que no se si tiene que ver con lo anterior.

(http://s6.postimg.org/bx7ns3r7l/acl_0_0_0_0_activo.png) (http://postimg.org/image/lhraezgjh/full/)
subirimagenes (http://postimage.org/index.php?lang=spanish)

Ahora una captura de status donde puede verse que mi gateway predeterminado que debería ser 222.222.222.2  pues es 192.168.144.1, y si se modifica, se cae la conexión a internet, es decir solo funciona con el fake, si pongo mi dirección no conecta:

(http://s6.postimg.org/q67aa65q9/status.png) (http://postimg.org/image/k59ld3j3x/full/)
hosting imagenes (http://postimage.org/index.php?lang=spanish)


Y por último , una captura del router, del apartado routing, donde cada vez que reinicio el router , me aparece una dirección ip como la del status, la 192.168.144.1, la cual si no borro manualmente, puede  putearme mucho.... tardé bastante a verlo, y luego, fue una pelea, por que cada vez que la borraba, volvia a aparecer a los pocos minutos, y así pasaban los días yo quitandolo, y volviendose a poner sola, hasta que ahora ya, con quitarlo una vez, no me lo vuelve a meter, a menos que reinicie, o algún día si me despisto, en cuanto se pone esa dirección, empiezan a haber cortes de red, y mil problemas:


(http://s6.postimg.org/45qxtjn29/routing.png) (http://postimg.org/image/vt3n7n88t/full/)
subir fotos online (http://postimage.org/index.php?lang=spanish)

Hola _TTFH_3500 



Pues los problemas con el pc ya los he comentado: Me desconecta el ratón, me cambia el estado del teclado, por ejemplo me cambia de minúsculas a mayusculas, provocándome errores al escribir, me reinicia el navegador, varias veces seguidas, me carga scripts en el navegador, se ralentiza, cuando hago descargas de imágenes y compruebo el checksum , la mayoria vienen mal, si no todas, comparo el checksum y es diferente, me aparecen fotos en una carpeta de firefox que no he puesto yo, sufro man in the midle, acoso con publicidad ofensiva que bloqueo con addblock, más cosas que se me escaparán y que ahora no recuerdo, todo esto con linux, en window, no lo utilizo, por que me entra facilmente, y me la lia.... en linux, creo que si no descargo wine, con lo comentado anteriormente, creo no puede hacerme más.
El otro día me atreví a utilizar windows 8.1 en el compak presario que utilizo, y me duro dos días, pantallazo azul, reinicie, y no funcionaba el raton, en linux, desenchufo el raton lo vuelvo a enchufar y funciona, pero en windows, no había manera, no funcionaba, al final desisti de utilizar windows 8 en este pc con conexion a internet, solo lo utilizo  sin conexión a internet para jugar a algún juego si apetece.

Haber, ultimamente, no, pero cuando tenía una impresora conectada hace años, me iniciaba a imprimirme hojas con emoticonos.... se me abria y cerraba la tapa del cd sola, cuando iba a meter el cd se me cerraba.... y putadas de estas muchas.

¿Podría haber algún malware el la tarjeta de memoria que tengo de 8gb bastante nueva?? o en algún otro componente? Por que si los problemas están sin los discos duros, el problema de donde puede venir?


Es dificil que esté en los controladores dices, pero por ejemplo tengo un televisor oki, que utilizo de pantalla externa, el cual , tiene algo afectado, por que tiene la retroiluminación al 100% y no puede bajarse, con el consiguiente fastidio para la vista, prové de actualizar el firmware, pero solo conseguí que me aparecieran dos opciones de graduar brillo y contraste, algo es algo, pero la retroiluminación continua inamovible al 100%, esta pantalla la utilizo con los pc, y comparte usb.
En los pc me dan problemas los drivers, de gráfica, de red, de la grabadora ... no se.

Yo no se exactamente lo que tengo, pero tengo muchos indicios de que algo va mal, y se decanta hacia los firmwares, lo cual no quiere decir que sea otra cosa, no se.

Si he cambiado la placa base 3 veces, compré un pc todo nuevo con teclado y ratón, listo de mi, le conecté un usb de los infectados, corruptos, lo que sea, y el pc se infectó con lo mismo, esto hace muy poquito...aparte le conecté la pantalla externa oki comentada anteriormente, que de una u otra forma tiene también algo mal.
El pc que compré era un compak, de sobremesa barato, muy simplón, de la misma marca que el compak que tengo con problemas.

Si tengo discos originales, windows 8.1, caine 6.0, kali linux, bugtraq, y utilizándolos en live sesion, ya pasando programas y mirando todo, ya están todos los problemas.
Esta mañana he grabado el  caine desde otro pc, he cogido el disco duro que tengo en el compak, lo he metido en la torre asus h81m-c  y le he grabado el caine 6.0 desconectado de internet, luego lo he cogido y lo he metido en el compak desde el que escribo ahora, y de momento bien , lo que es el funcionamiento del s.o. pero los problemas comentados persisten, y solo pueden ir empeorando hasta que consigue entrarme.


Yo creo que lo he probado prácticamente todo lo que está en mi mano, con mis pobres conocimientos.
Los equipos informáticos comprometidos son:
placa asus h81m-c x 2 placas
compak hp  presario portatil
portatil acer
televisor smart tv lg
routers  más que probable
tv oki tiene algo de la gráfica también.
El teléfono móvil no tengo ninguna prueba,( más que indicios y sospechas personales) y que se ha conectado a  varios sistemas informáticos comentados anteriormente, con lo cual puede suponerse que es posible que se contaminara, pero no lo se.

¿Hay modelos de placas base que tengan un jumper de protección de escritura de la bios?he estado buscando, pero no he encontrado, ¿que placas base son las más seguras y por que?
Si compro alguna, será un modelo desconocido o marca rara, o el pc nuevo, o una Raspberry Pi , pantalla nueva, teclado nuevo, ratón nuevo, router nuevo, sin wifi y a rezar.


jajaja, no trabajo para la kgb,  pero me gustaría oir tu teoria.



AlbertoBSD, menuda noticia más buena me has dado:





Es maravilloso que sepas ver algo , comparte con todos tus conocimientos porfavor.
De donde eres, podría enviarte una placa base por envio certificado.

Por ejemplo una de las placas base con lo que sufro esto es:
Asus H81M-C
Serial No.: EAMOCS301498
Part No. : 90MB0GT0-M0EAY0
 
LGA 1150,Intel H81, 1* DDR3,DVI,D_Sub,2*USB 3.0 , 2*SATA
6Gb/s, 1PCI,1*PClex16, 2*PCIEx1, COM header , LPT
Port, TPM header, 8CH Audio , Gb LAN , UEFI BIOS,
U3 Boost, Fan Xpert,All Solid Cap, Win8 Ready

Check number 8843

AlbertoBSD , muchas gracias, si quieres que te diga algo en especial comenta, y seas de donde seas, te podría enviar una placa para que la vieras, si tienes que hacer presupuesto aproximado me lo dices por privado o como quieras.

Un saludo y muchas gracias.

Esto es una movida impresionante sinceramente.

Has probado a ir cambiando componentes del pc y probando? en plan, dices que la placa, vale, pues (si puedes) a usar otra placa, con el resto de lsod emás componentes, o cambiando disco duro, etc etc etc. Más que nada, porque así vas a volver loco al personal, por lo que antes de hacer locuras, es ir probando para poder ir aislando donde están los problemas, es que puede ser muy ambiguo, y estar en el disco duro, en la BIOS, en la RAM, o puede que en todos!!

Y lo más importante, que se supone que has estado haciendo para estar "infectado" con algo así? Porque sinceramente, si vas a realizar algo que sepas que puede perjudicar tu equipo para algo están las máquinas virtuales, para evitar cosas como estas.

Yo no quiero crear polémicas ni nada, e igual me paso diciendo las cosas, pero no desprestigies a "profesionales" que pueden ser más chapuzas o menos chapuzas, o que ni lo sean, llevándoles un problema así, que se van a quedar con cara de poker, con tus logs, tus capturas y demás, pensando... y que cojones a hecho esta persona para tener esta movida? de ser así y tan entendido, porqué coño no usa máquinas virtuales?

Aún así, con todo, puede que lo que esté infectado también sea el router, y desde ahí propague e infecte a los equipos. Así que mi consejo, si lo quieres seguir, ve probando y aislando, que seguro das con lo que está afectado de verdad.

Esto es una movida si  Hurdano , no te puedes llegar a imaginar.

Que esté en la ram , no tengo idea, de como son estos bichos.
En la bios está fijo, y en los discos duros y usb también hay mal.
En el firmware, pues saberlo fijo no lo se.
Pero como comento:

Torre sin discos duros, placa base nueva, y está contaminado.
He comprado en total 7 routers,, varios pc, varios discos duros,  varias memorias usb... ahora no estoy para comprar mucho más y tirar el dinero....

Yo me decanto por que está en todas partes.... es decir se reescribe por doquier que puede, son suposiciones mias.

No he hecho nada raro con el pc,  me han jodido  a proposito, va de largo, y he tenido discusiones con los amigos, hasta quedarme solo.



Todo lo que digas, para mi bien, sea bueno, o sea malo.
Tienens razón, no tengo por que desprestigiar profesionales, ya que por lo que veo el problema que tengo no es cualquier cosa, y vamos , las tiendas que he ido , ya me dijeron al final, que ellos llegaban hasta donde llegaban, que no sabían más, que si eso lo llevara a especialistas.
Entonces en principio, yo no creia que me dijeran la verdad, pero según veo , el problema es bastante complicado, y alomejor les estoy exigiendo demasiado no se, pero, lo que no me entra que alguno, me dice que no ve nada de nada, pero bueno , llegaran hasta donde llegaran, no se.

Es que no uso maquinas virtuales, por que no me hace falta, no estoy seguro ni lo que son, supongo las virtualbox.

Si ya lo he hecho de aislarlo, pero el problema yo veo que está en la placa base, o bien, me llega mal , que un usuario del foro, me lo sugirio, no hay que descartar esa posibilidad tal vez.
El router de seguro está afectado, probablemente.

Vamos Hurdano, que lo que comentas ya lo he hecho.
Si a alguien se le ocurre algún procedimiento a seguir  como a comentado AlbertoBSD , adelante.

Ahora no puedo hacer gran cosa, me lo tomo con calma, hasta que pueda avanzar más, que será al comprarme nuevos equipos o que alguien tenga una idea.
Pasando el rato  con el pc, no lo utilizo para nada importante....

Un saludo.

Tienes un desastre de configuración de red, mejor en lugar de lanzar estas hipotesis absurdas y de enviar equipos que probablemente esten perfectamente bien a arreglar (aunque despues de todo lo que has hecho, quien sabe), contrata a un tecnico que venga a tu casa a arreglarte tus problemas de red.

Fijate que tienes 2 dispositivos como routers y uno de ellos esta usando direccionamiento público.

Me gustaría ver ese detalle pequeñito que se nos ha pasado a todos.. ese detalle tan pequeñito que es capaz de infectar routers, varias placas, varios discos duros, una tele y un móvil y lectores de discos... y que supuestamente permite el control tanto de distros Linux como de Windows...


Saludos

Nose si sabes que esto ya no se lo está creyendo nadie, y que nos estás haciendo perder el tiempo a todos, básicamente, que sepas todo lo que estás contando, incluso "conocer"armitage, meterpreter y cia, y que no tengas ni p**a idea de que es una máquina virtual... por ahí ya no pasa el aro tío.

Pues no descarto que haya algo en la red, pero ni idea, no llego a tanto, probablemente estén mal los routers, por que ¿Podría estar infectada lo que es la linea teléfonica de alguna forma, pinchada o yo que se?lo desconozco, pero creo que no.
Te voy a contar una cosa que me hacia el cracker, me tiene montado un router cerca, tiene wifi, es de algún vecino, pues, teniendo yo un router activado el wifi,  me entraba a traves del router donde estaba conectada la tv, y podia cambiarme el canal o apagarme el televisor que estaba conectado al router... y tengo la maldita señal de wifi aqui al lado que tiene que ser del que me lo hace fijo.... por que no hay otra señal aqui mismo, a no ser que utilice antenas claro, con que tampoco es seguro que sea el.¿pero aunque utilizara antenas le veria la señal, no , entonces tiene que ser la única señal wifi que hay?

Te aseguro los pc están mal, las pruebas las hago desconectado de internet sin el router, y el problema ya está.

En system check, el programa que viene con caine para hacer un chekeo completo del sistema, advierte unos cuantos fallos, precisamente de los drivers, entre ellos, aparece invalid host name, en rojo, lo que el log que he puesto yo , no se ve muy bien, la verdad y es muy extenso.

Creo que los enlaces que he puesto si funcionan.

Y recordar que no soy informático porfavor, en especial te comento a ti Hurdano, no tengo ningún estudio, y lo que se es por estar mirando todo esto, y pelearme con el cracker hace años.
Pero es que no me entra en la cabeza que me digas que no se lo cree nadie, haber algo hay, yo solo doy mi opinión y mis sospechas dentro de mi ignorancia.
Un saludo.

Yo también pienso @Equinoxe tenia razón....... >:(


Saludetes.

Pues bueno, algo hay, ya direis lo que hay si lo sabeis.
No dos meses no, llevo años con lo mismo.

No me toqueis la moral, yo me encuentro muy bien, ni tengo ideas raras ni nada, solo el problema del ordenador que está a la vista, y hemos quedado que hay algo, lo que no sabemos exactamente.

Hurdano, si que se lo que son máquinas virtuales, perdona, pero es que yo las conozco como virtuabox ,oracle, he utilizado algunas cuantas veces si.

Miembros del foro, recordar que he venido por ayuda , no a que se me linche.
Un saludo.

El 27 de Julio dijiste:


¿Quieres que nos creamos que alguien, durante 10 años te ha estado puteando sistematicamente, solo a tí, con diferentes plataformas.?

¿Quieres que nos crealos que el supuesto "Craker", no tiene otra cosa que hacer en 10 años que estar pendiente de tí?

¿Te das cuenta del tiempo que es 10 años........ :P?

Comprenderas que NO nos creamos yá tu pelicula, creo sinceramente que estas enfermo, un problema informatico no lo arrastras 10 años......


Creo que los Moderadores yá an dado mustras de suficiente paciencia, y que yá sería hora de cerrar este hilo.....y lo que proceda.

Todo el planteamiento de este usuario es una tomadura de pelo.

si quieres escribirle a AlbertoBSD para que veas si resuelva, hazlo, es asunto entre uds... este tema no está llegando a ningún lado...

si es tan grave... vende la pc, compra una nueva no reuses ningún componente, usa linux, actualizado desde un lugar aparte, solo una conexiones por vpn  y si aún así sigue es un asunto tuyo, puedes montarle a tu router openwrt para evitar hackeos por backdoors y desactivale el root a cualquier dispositivo android


Mod: Tema cerrado