Buenas.

Eso es facil de quitar, pero tienes que andarte con cuidado para no perder informacion, porque tendras que formatear el ordenador, y limpiar todos los sectores de la placa base, para que se borre el backdoor. Si rellenas muchas veces el disco duro, se pierde la informacion. Te explico:

Que pasa cuando borras un archivo?

Cuando lo borras, realmente no se borra se pone como de forma que se pueda editar, pero si ese sector, en el que se ha quedado borrado, no lo editas (metes informacion), sigue estando, y es recuperable, con programas especificos.

Entonces, cuando borras el backdoor, vas a usar un programa que vas a meter en un usb (pen drive), que lo bootearas desde la BIOS.

Cuando enciendes el ordenador, no te sale la marca del ordenador? (Toshiba, Acer, Intel, HP, etc).

Pues, dependiendo del ordenador, la tecla para acceder a la BIOS, puede ser "Esc, F2, F6, F8 Supr, etc.

Tienes que encontrar la tuya. Aunque la mas generica, suele ser F2.

Entonces, una vez dentro, vas con las flechitas que tienes a la derecha (arriba, abajo, izquierda y derecha). Dandole a la de la derecha, hasta entrar en la pestaña "Boot".

Una vez hecho esto, ve abajo a donde pone la primera prioridad de booteo.

Depende del ordenador,leera primero el USB, antes que el disco duro:
"Hard Disc", o "CD/DVD/USB".

Esta parte, es intuitiva, en cuanto lo veas, lo sabras.

Hay una cosa, si no te sale en ningun lado "CD/DVD/USB" (Cuidado, que tenga USB. Si pone CD/DVD, le tienes que dar a Hard Disc), le tienes que poner Hard Disc.

Y, veras mas abajo, que sale un sitio que pone "Hard Disc Drive" (O algo por el estilo, como ya digo, en cada BIOS cambia).

Y, le das intro, y tienes que poner arriba el pen drive. Para ello, tendras que meterlo ANTES de iniciar el sistema, y meterte a la BIOS.

Bueno, cual es el programa, y como lo metes en el pen?

Hay varios programas para crear un USB booteable.
Algunos de ellos (los mejores) son:
1. UltraISO
2. Rufus
3.UniversalUSBInstaller

Bien, el programa que tienes que descargar se llama:

dban.

http://www.dban.org/download

Que haras con esto?

Es un programa que te va a meter informacion muchas veces, completando cada vez, todos los sectores del disco duro.

La gente suele darle 8 veces (yo tambien) para que te llene el disco, y te lo edite, para borrar toda la info.

Pero, tienes que usar otro pen, para instalarle windows. Tienes que tener un CD, con el instalador de windows, o un USB. Para poder instalarlo mas tarde.

Para que no pierdas la informacion, que tienes dentro de windows, te recomiendo que o lo metas en un USB, disco duro, o en cualquier nube (OneDrive, Dropbox, Drive, etc).

Pues bien, ya tienes un USB booteable con un editor de disco, que te borrara la info (paciencia, que suele tardar unas 10 horas, no es un proceso lento), el instalador de windows, y toda la info a salvo.

Ya solo tienes que instalar windows, una vez terminado todo, le metes la informacion que metiste en el pen, disco duro o nube, le instalas los programas, y ya esta.

Espero que te sirva. Y, para saber como usar dban, busca tutoriales en youtube, hay muchiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiisimos. Mirate VARIOS videos. Importante, no te mires uno, o como ocurra algo inesperado, no sabras reaccionar, y la vas a joder. Informate bien de usar la herramienta, y como se hace, y ya podras hacerlo con cierta seguridad y propiedad.

Y, eso es todo. Despues, para que no te infectes de virus, backdoors, gusanos, adwares, troyanos, etc. Sigue los consejos habituales. No descargues informacion, aplicaciones, etc, desde webs que no sean del autor, no navegues por sitios que no sean de confianza, etc.

Saludos, leetelo todo muy bien, y varias veces para entenderlo todo, de todas formas:

1. Crear USB booteable.
2. Guardar la info en pen drive.
3. Crear USB booteable con instalador de windows (Hay miles de videos en youtube, etc, que te traen la imagen ISO, mas el crack, para crackear windows, pero no puedo decirte como se crackea, dado que es ilegal, y no esta permitidio en este foro, ni en inguno decente).
4. Booteas desde la BIOS el pen drive booteable, y lo configuras para que te limpie el disco entero, sector por sector, todas las veces que quieras (Obvio, cuanta mas veces quieras que te limpie todos los sectores, te los vuelva a rellenar, los borre, y tal, para quedar todo bien destruido, pues ma tiempo tardara).
5. Instalas windows, los drivers, etc.
6. Metes los datos extraido en ell pen drive.
7. Navegar y descargar archivos desde webs del autor, y webs de seguridad.

Saludos, y espero que te sirva.

Veamos, todo lo que sea virus, es software, no hardware. Entonces, ocurre un problema.

Hay MUCHOS, pero realmente MUCHOS virus, y tipos de estos. Desde los que te dan publicidad, hasta los que son para robarte las credenciales bancarias, mediante keyloggers. Entonces, hay un tipo de virus que es que se aloja en la BIOS. Entonces, tiene control completo y absoluto, no ya de tu S.O. (Sistema Operativo), sino de todo tu pc. Pasando por todo. Es como si el pc fuera del hacker, en vez de tuyo. Solo que tu no lo sabes (en este caso, obviamente si lo sabes).

Entonces, si formateas el ordenador, y te sigue quedando el backdoor, lo jodido sera cambiarle la BIOS (la verdad, de esto no estoy informado, no se si se le puede cambiar la BIOS a un pc, aunque supongo que si, dado que es software, no hardware).

Entonces, informate de como cambiar la BIOS, porque si te sigue estando el virus con backdoor aun cambiando el disco duro, significa que esta en otro lado.

Problema de esto: Cambiar la BIOS, y si te sigue estando, es un virus muy raro.

Solamente, los virus pueden meterse en dos sitios: En el S.O., o en la BIOS.

En el sistema operativo, hay muchisimos, desde los que se te meten hasta en las ventanas del navegador, hasta los troyanos alojados en C:, y System32.

Asi que, si sigue estando, mi consejo es que cambies de ordenador, porque vas a ahorrar tiempo y dinero.

Eso si, por si te sirve de ayuda.

Como funciona un virus? (Basico).

Un virus, como se comunica con el panel de control del atacante (hacker, cibercriminal)? Mediante internet.


Desactivale el wifi, o quitale el cable de LAN (el que va del pc al modem), y ya no hay virus que valga. Por eso, en windows esta el "modo seguro", y no te deja internet, porque al no haber internet, no hay virus que valga.

Asi que, lo dicho, o es de la BIOS, o realmente no sabria decirte. Aunque para que sea de la BIOS, es un virus ya en plan sofisticado. Porque, es jodido, muy jodido de quitar eso. A no ser, que se la cambies. Que, me parece que si, pero no estoy seguro.

Y, los informaticos esos, son unos inutiles, porque si estan alli, dando de todo, hasta cursos, etc. Y no saben quitar un simple virus con backdoor, no se que es loque hacen. Tambien es posible, que solo entiendan de sistemas y tal, en vez de virus (malware), tecnicas hacker, programacion, etc. Seran simples informaticos, pero virus, te enseñan a quitar no mas vayas a un curso que te enseñen a formatear un ordenador. Asi que, muy buenos profesionales, no es que lo sean.

Saludos, y espero que te sirva/aclare todo esto.

Vete al psiquiatra, que yà nos tienes hartos con tu neura, llevas dos meses dando el coñazo con lo mismo, deja de montarte peliculas....

 Equinoxe , esa no es la solución, la solución es limpiar el problema que tengo.

#!drvy , si lees mis mensajes antiguos, están llenos de logs, si quieres puedo volverlos a poner más ordenadamente,pero repetiria más lo mismo.

Usuarios del foro me dijeron la forma como sacarmelo, pero no puedo por falta económica y por que no me lo reparan en ninguna tienda de mi zona, haciendome perder tiempo y dinero...

Haré un resumen:

Tengo un intruso:solo hay  mi pc, el pc de mi madre y el router, pero sale esto:

   IP            At MAC Address      Count  Len   MAC Vendor                   
 -----------------------------------------------------------------------------
 222.222.222.2   10:fe:ed:71:59:8a    611    36660   Unknown vendor           
 222.222.222.26  f8:a9:63:a6:70:57    5189    311340   Unknown vendor         
 0.0.0.0         f8:a9:63:a6:70:57    4683    280980   Unknown vendor         
 222.222.222.23  78:24:af:39:5c:ad    2300    138000   Unknown vendor         
 222.222.222.2   78:24:af:39:5c:ad    639    38340   Unknown vendor         

El host 0.0.0.0 esta con los siguientes servicios:

host                name                 port                  proto                                info

 0.0.0.0              rpcbind              111                  tcp            2-4 RPC # 100000
 0.0.0.0              http                    3790                 tcp           nginx
 0.0.0.0              meterpreter      20378                tcp          Metasploit meterpreter BACKDOOR
 0.0.0.0               status               56430                tcp         1 RPC   # 100024

 El programa OTL detecta zeroacces:

========== ZeroAccess Check ==========


[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2015/07/19 16:45:54 | 021,192,024 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2015/07/19 16:45:54 | 018,634,248 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2015/07/19 16:45:54 | 000,921,088 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2015/07/19 16:45:54 | 000,691,712 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2015/07/19 16:45:54 | 000,483,840 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

========== LOP Check ==========


========== Purity Check ==========



========== Custom Scans ==========

< :Files

>
[2015/07/19 16:45:54 | 000,000,006 | -H-- | C] () -- C:\Windows\Tasks\SA.DAT

< C:\Users\hp\AppData\Local\Temp\NOD9221.tmp
>

< C:\Users\hp\AppData\Local\Temp\*.*

>

< >

< :Commands

>

< [EmptyFlash]

>

< [EmptyTemp]

>

< [EmptyJava]
>

< End of report >


La última parte de rkhunter detecta algo:

Info: Starting test name 'filesystem'
[17:27:49] Performing filesystem checks
[17:27:49] Info: SCAN_MODE_DEV set to 'THOROUGH'
[17:27:49]   Checking /dev for suspicious file types         [ Warning ]
[17:27:50] Warning: Suspicious file types found in /dev:
[17:27:50]          /dev/.udev/rules.d/root.rules: ASCII text
[17:27:50]   Checking for hidden files and directories       [ Warning ]
[17:27:50] Warning: Hidden directory found: '/etc/.java: directory '
[17:27:50] Warning: Hidden directory found: '/dev/.udev: directory '
[17:27:50] Warning: Hidden file found: /dev/.blkid.tab: ASCII text
[17:27:50] Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text
[17:27:50] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
[17:28:47]
[17:28:47] Info: Test 'apps' disabled at users request.
[17:28:47]
[17:28:47] System checks summary
[17:28:47] =====================
[17:28:47]
[17:28:47] File properties checks...
[17:28:47] Files checked: 140
[17:28:47] Suspect files: 0
[17:28:47]
[17:28:47] Rootkit checks...
[17:28:47] Rootkits checked : 292
[17:28:47] Possible rootkits: 0
[17:28:47]
[17:28:47] Applications checks...
[17:28:47] All checks skipped
[17:28:47]
[17:28:47] The system checks took: 3 minutes and 21 seconds
[17:28:47]
[17:28:47] Info: End date is mer  2 set 2015, 17.28.47, CEST



El log de chkrootkit detecta muchas cosas, hago un resumen por que es muy largo el log:

Host key verification failed.
ssh_kex: BN_new failed
ssh_kex: BN_set_word failed
ssh_kex: BN_lshift failed
ssh_kex: BN_add_word failed
Encryption type: %.100s
Sent encrypted session key.
Server refused our key.
Bad passphrase.
RSA authentication refused.
%.30s@%.128s's password:
Permission denied.
Doing challenge response authentication.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS
Permission denied, please try again.
WARNING: Encryption is disabled! Response will be transmitted in clear text.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS_RESPONSE
respond_to_rsa_challenge: rsa_private_decrypt failed
respond_to_rsa_challenge: bad challenge length %d
Sending response to host key RSA challenge.
Waiting for server public key.
Warning: Server lies about size of server public key: actual size is %d bits vs. announced %d.
Warning: This may be due to an old implementation of ssh.
Warning: Server lies about size of server host key: actual size is %d bits vs. announced %d.
Received server public key (%d bits) and host key (%d bits).




Trying RSA authentication with key '%.100s'
try_rsa_authentication: BN_new failed
Enter passphrase for RSA key '%.100s':
no passphrase given, try next key
bad passphrase given, try again...
Doing password authentication.
WARNING: Encryption is disabled! Password will be transmitted in clear text.
Protocol error: got %d in response to passwd auth
respond_to_rsa_challenge
explicit
key: %s (%p),%s
input_userauth_banner
no such identity: %s: %s






@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
The %s host key for %s has changed,
and the key for the corresponding IP address %s
%s. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in %s:%lu
Update the SSHFP RR in DNS with the new host key to get rid of this message.
Couldn't execute %s -c "%s": %s




@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the %s key sent by the remote host is
Please contact your system administrator.
ssh_connect: getnameinfo failed
Connecting to %.200s [%.100s] port %s.
Bogus return (%d) from select()
connect to address %s port %s: %s
setsockopt SO_KEEPALIVE: %.100s
ssh: connect to host %s port %s: %s
Could not create socketpair to communicate with proxy dialer: %.100s
Executing proxy dialer command: %.500s
proxy dialer did not pass back a connection
Could not create pipes to communicate with the proxy: %.100s





Warning: Permanently added '%.200s' (%s) to the list of known hosts.
@ WARNING: REVOKED HOST KEY DETECTED! @
The %s host key for %s is marked as revoked.
This could mean that a stolen key is being used to
%s host key for %.200s was revoked and you have requested strict checking.
Host certificate authority does not match %s in %s:%lu
Add correct host key in %.100s to get rid of this message.
remove with: ssh-keygen -f "%s" -R %s
%s host key for %.200s has changed and you have requested strict checking.
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
Challenge/response authentication is disabled to avoid man-in-the-middle attacks.
Agent forwarding is disabled to avoid man-in-the-middle attacks.
X11 forwarding is disabled to avoid man-in-the-middle attacks.
Port forwarding is disabled to avoid man-in-the-middle attacks.
Tunnel forwarding is disabled to avoid man-in-the-middle attacks.
Error: forwarding disabled due to host key check failure
Warning: the %s host key for '%.200s' differs from the key for the IP address '%.128s'
Offending key for IP in %s:%lu
Exiting, you have requested strict checking.
Are you sure you want to continue connecting (yes/no)?
No matching CA found. Retry with plain key
Host '%.200s' is known and matches the %s host %s.




Could not load "%s" as a RSA1 public key
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
Permissions 0%3.3o for '%s' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
could not open key file '%s': %s
bad permissions: ignore key: %s
%s: certificate does not match private key %s
%s: could not open keyfile "%s": %s


El avast mbr detectaba muchas cosas en el disco duro, esto pude repararlo:

aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2015-07-06 16:23:33
-----------------------------
16:23:33.202 OS Version: Windows x64 6.2.9200
16:23:33.202 Number of processors: 4 586 0x3C03
16:23:33.202 ComputerName: V UserName: f
16:23:36.071 Initialize success
16:23:36.071 VM: initialized successfully
16:23:36.071 VM: Intel CPU BiosDisabled
16:27:23.416 AVAST engine defs: 15070601
16:27:42.857 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000032
16:27:42.857 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 11
16:27:42.997 Disk 0 MBR read successfully
16:27:42.997 Disk 0 MBR scan
16:27:42.997 Disk 0 unknown MBR code
16:27:43.013 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
16:27:43.122 Disk 0 scanning C:\Windows\system32\drivers
16:27:53.650 Service scanning
16:28:01.402 Disk 0 statistics 109843/0/0 @ 9,45 MB/s
16:28:01.402 Scan stopped
16:30:30.556 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000032
16:30:30.556 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 11
16:30:30.624 Disk 0 MBR read successfully
16:30:30.624 Disk 0 MBR scan
16:30:30.640 Disk 0 unknown MBR code
16:30:30.643 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
16:30:30.710 Disk 0 scanning C:\Windows\system32\drivers
16:30:41.118 Service scanning
16:31:01.839 Modules scanning
16:31:01.839 Disk 0 trace - called modules:
16:31:01.886 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys storahci.sys hal.dll
16:31:01.901 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe00001927770]
16:31:01.901 3 CLASSPNP.SYS[fffff80000936abb] -> nt!IofCallDriver -> [0xffffe000001f9640]
16:31:01.917 5 ACPI.sys[fffff8000044f5f1] -> nt!IofCallDriver -> \Device\00000032[0xffffe0000173c060]
16:31:04.451 AVAST engine scan C:\
18:09:24.354 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_6.3.9600.16415_none_40f6b809cfbbe7eb\winload.efi **HIDDEN**
18:09:25.045 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_6.3.9600.16415_none_40f6b809cfbbe7eb\winload.exe **HIDDEN**
18:09:25.243 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ore-bootmanager-efi_31bf3856ad364e35_6.3.9600.16415_none_788bfa86701d3473\bootmgfw.efi **HIDDEN**
18:09:25.416 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..ore-bootmanager-efi_31bf3856ad364e35_6.3.9600.16415_none_788bfa86701d3473\bootmgr.efi **HIDDEN**
18:09:25.645 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winload.efi **HIDDEN**
18:09:25.826 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winload.exe **HIDDEN**
18:09:26.049 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winresume.efi **HIDDEN**
18:09:26.229 File: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.3.9600.16415_none_4c31cbe1406439a3\winresume.exe **HIDDEN**
18:09:26.459 File: C:\Windows\WinSxS\amd64_microsoft-windows-c..esources-mrmindexer_31bf3856ad364e35_6.3.9600.16412_none_59be9d25a315a723\MrmIndexer.dll **HIDDEN**
18:09:26.631 File: C:\Windows\WinSxS\amd64_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16412_none_dc86bb0c35a4f819\MrmCoreR.dll **HIDDEN**
18:09:26.772 File: C:\Windows\WinSxS\amd64_microsoft-windows-crypt32-dll.resources_31bf3856ad364e35_6.3.9600.16431_es-es_bee3ab218e3e9225\crypt32.dll.mui **HIDDEN**
18:09:26.977 File: C:\Windows\WinSxS\amd64_microsoft-windows-crypt32-dll_31bf3856ad364e35_6.3.9600.16431_none_4c61328ab1a4f2bb\crypt32.dll **HIDDEN**
18:09:27.181 File: C:\Windows\WinSxS\amd64_microsoft-windows-d..pwindowmanager-udwm_31bf3856ad364e35_6.3.9600.16483_none_79507f65946fd76d\uDWM.dll **HIDDEN**
18:09:27.369 File: C:\Windows\WinSxS\amd64_microsoft-windows-directcomposition_31bf3856ad364e35_6.3.9600.16457_none_8e56744e159f2032\dcomp.dll **HIDDEN**
18:09:27.590 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-direct3d11_31bf3856ad364e35_6.3.9600.16455_none_e09820d5a189e081\d3d11.dll **HIDDEN**
18:09:27.795 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-direct3d11_31bf3856ad364e35_6.3.9600.16506_none_e0cf32a1a1606b4a\d3d11.dll **HIDDEN**
18:09:27.955 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-dxgi_31bf3856ad364e35_6.3.9600.16455_none_2b5e4a51f26a82e7\dxgi.dll **HIDDEN**
18:09:28.146 File: C:\Windows\WinSxS\amd64_microsoft-windows-directx-dxgi_31bf3856ad364e35_6.3.9600.16506_none_2b955c1df2410db0\dxgi.dll **HIDDEN**
18:09:28.400 File: C:\Windows\WinSxS\amd64_microsoft-windows-g..policy-admin-appmgr_31bf3856ad364e35_6.3.9600.16457_none_eb9b2e9489d57172\appmgr.dll **HIDDEN**
18:09:28.549 File: C:\Windows\WinSxS\amd64_microsoft-windows-hal_31bf3856ad364e35_6.3.9600.16500_none_9c39d4b32d63f333\hal.dll **HIDDEN**
18:09:28.675 File: C:\Windows\WinSxS\amd64_microsoft-windows-i..timezones.resources_31bf3856ad364e35_6.3.9600.16471_es-es_7406dfed55df12ea\tzres.dll.mui **HIDDEN**
18:09:28.847 File: C:\Windows\WinSxS\amd64_microsoft-windows-managementregistration_31bf3856ad364e35_6.3.9600.16459_none_cfd9442b5a19555f\mdmregistration.dll **HIDDEN**
18:09:28.988 File: C:\Windows\WinSxS\amd64_microsoft-windows-mdmagent_31bf3856ad364e35_6.3.9600.16459_none_35e08045f1f9a9c2\MDMAgent.exe **HIDDEN**
18:09:29.113 File: C:\Windows\WinSxS\amd64_microsoft-windows-mediafoundation-mfsvr_31bf3856ad364e35_6.3.9600.16502_none_afd0030d8ebbf918\mfsvr.dll **HIDDEN**
18:09:29.180 File: C:\Windows\WinSxS\amd64_microsoft-windows-microsoftrawcodec_31bf3856ad364e35_6.3.9600.16453_none_28b4e8b21dbe718f\MicrosoftRawCodec.dll **HIDDEN**
18:09:29.431 File: C:\Windows\WinSxS\amd64_microsoft-windows-msftedit_31bf3856ad364e35_6.3.9600.16436_none_c6c76b270afe3788\msftedit.dll **HIDDEN**
18:09:29.583 File: C:\Windows\WinSxS\amd64_microsoft-windows-msieftp.resources_31bf3856ad364e35_6.3.9600.16456_es-es_a5203b7534b06fd4\msieftp.dll.mui **HIDDEN**
18:09:29.796 File: C:\Windows\WinSxS\amd64_microsoft-windows-ntdll_31bf3856ad364e35_6.3.9600.16502_none_49e9c0e4cfe59aa2\ntdll.dll **HIDDEN**
18:09:30.042 File: C:\Windows\WinSxS\amd64_microsoft-windows-ntfs_31bf3856ad364e35_6.3.9600.16657_none_9753001bf0c78fae\ntfs.sys **HIDDEN**
18:09:30.104 File: C:\Windows\WinSxS\amd64_microsoft-windows-os-kernel_31bf3856ad364e35_6.3.9600.16452_none_5d0d32c188038f82\ntoskrnl.exe **HIDDEN**
18:09:30.245 File: C:\Windows\WinSxS\amd64_microsoft-windows-p..ns-platform-library_31bf3856ad364e35_6.3.9600.16456_none_7775637956939b58\wpncore.dll **HIDDEN**
18:09:30.417 File: C:\Windows\WinSxS\amd64_microsoft-windows-propsys_31bf3856ad364e35_7.0.9600.16504_none_8c565e6bb0a9770c\propsys.dll **HIDDEN**
18:09:30.620 File: C:\Windows\WinSxS\amd64_microsoft-windows-qedit_31bf3856ad364e35_6.3.9600.16650_none_4b76b1061b499c81\qedit.dll **HIDDEN**
18:09:30.756 File: C:\Windows\WinSxS\amd64_microsoft-windows-rdbss_31bf3856ad364e35_6.3.9600.16493_none_4a876987356975c9\rdbss.sys **HIDDEN**
18:09:30.975 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..client-ui-wscollect_31bf3856ad364e35_6.3.9600.16477_none_fa7f9a480571cb5c\WSCollect.exe **HIDDEN**
18:09:31.065 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..ivesyncprovisioning_31bf3856ad364e35_6.3.9600.16490_none_89c3e18dbff7edfe\easwrt.dll **HIDDEN**
18:09:31.205 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..l-bulkoperationhost_31bf3856ad364e35_6.3.9600.16457_none_914837f4e4470d31\BulkOperationHost.exe **HIDDEN**
18:09:31.283 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..l-classextension-v2_31bf3856ad364e35_6.3.9600.16444_none_2ecb238e3daa1a34\SerCx2.sys **HIDDEN**
18:09:31.442 File: C:\Windows\WinSxS\amd64_microsoft-windows-s..spellcheck.binaries_31bf3856ad364e35_6.3.9600.16500_none_13de64650a759886\MsSpellCheckingFacility.dll **HIDDEN**
18:09:31.505 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_47d1f1bea0bcf7a8\jscript9.dll **HIDDEN**
18:09:31.661 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_47d1f1bea0bcf7a8\jscript9diag.dll **HIDDEN**
18:09:31.770 File: C:\Windows\WinSxS\amd64_microsoft-windows-scripting-vbscript_31bf3856ad364e35_11.0.9600.16483_none_4c14ac3810e39986\vbscript.dll **HIDDEN**
18:09:32.007 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16412_none_70eb3d5bf6e9a73b\SettingSyncHost.exe **HIDDEN**
18:09:32.180 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16456_none_70c3fed3f7067c5b\SettingSyncHost.exe **HIDDEN**
18:09:32.352 File: C:\Windows\WinSxS\amd64_microsoft-windows-settingsynchost_31bf3856ad364e35_6.3.9600.16503_none_70f70f77f6e0a1c8\SettingSyncHost.exe **HIDDEN**
18:09:32.508 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-exehost_31bf3856ad364e35_6.3.9600.16412_none_7801462afe7fff72\SkyDrive.exe **HIDDEN**
18:09:32.664 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-exehost_31bf3856ad364e35_6.3.9600.16456_none_77da07a2fe9cd492\SkyDrive.exe **HIDDEN**
18:09:32.874 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-syncengine_31bf3856ad364e35_6.3.9600.16412_none_1e0e65f728d5bb87\SyncEngine.dll **HIDDEN**
18:09:33.167 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-syncengine_31bf3856ad364e35_6.3.9600.16457_none_1de827b928f1a9fe\SyncEngine.dll **HIDDEN**
18:09:33.335 File: C:\Windows\WinSxS\amd64_microsoft-windows-skydrive-telemetry_31bf3856ad364e35_6.3.9600.16412_none_74bbf4d100a74e13\SkyDriveTelemetry.dll **HIDDEN**
18:09:33.476 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-client-ui-wshost_31bf3856ad364e35_6.3.9600.16477_none_044f612c83e1996e\WSHost.exe **HIDDEN**
18:09:33.607 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-client-wssls_31bf3856ad364e35_6.3.9600.16477_none_d57fef54fc014473\WSSls.dll **HIDDEN**
18:09:33.710 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16477_none_f7dc016adcf85683\OEMLicense.dll **HIDDEN**
18:09:33.799 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16477_none_f7dc016adcf85683\WSClient.dll **HIDDEN**
18:09:33.865 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16504_none_f824b1e6dcc2440e\OEMLicense.dll **HIDDEN**
18:09:33.966 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-licensing-client_31bf3856ad364e35_6.3.9600.16504_none_f824b1e6dcc2440e\WSClient.dll **HIDDEN**
18:09:34.107 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-service_31bf3856ad364e35_6.3.9600.16477_none_b0b1e8558b04aa7a\WSMigPlugin.dll **HIDDEN**
18:09:34.292 File: C:\Windows\WinSxS\amd64_microsoft-windows-store-service_31bf3856ad364e35_6.3.9600.16477_none_b0b1e8558b04aa7a\WSService.dll **HIDDEN**
18:09:34.480 File: C:\Windows\WinSxS\amd64_microsoft-windows-twinui-appcore_31bf3856ad364e35_6.3.9600.16443_none_82b15f082eaa980d\twinui.appcore.dll **HIDDEN**
18:09:34.595 File: C:\Windows\WinSxS\amd64_microsoft-windows-twinui.resources_31bf3856ad364e35_6.3.9600.16459_es-es_1f5bdae675b1606d\twinui.dll.mui **HIDDEN**
18:09:34.740 File: C:\Windows\WinSxS\amd64_microsoft-windows-vsssystemprovider_31bf3856ad364e35_6.3.9600.16523_none_3c313ce747e5eaa3\swprv.dll **HIDDEN**
18:09:34.928 File: C:\Windows\WinSxS\amd64_microsoft-windows-wmiv2-mdmappprov-dll_31bf3856ad364e35_6.3.9600.16459_none_46250ca37f7b8eee\MDMAppProv.dll **HIDDEN**
18:09:35.162 File: C:\Windows\WinSxS\amd64_microsoft-windows-wmpdmc-ux_31bf3856ad364e35_6.3.9600.16460_none_df337169cb4b3f3b\WMPDMC.exe **HIDDEN**
18:09:35.372 File: C:\Windows\WinSxS\amd64_netfx4-aspnet_wp_exe_b03f5f7f11d50a3a_4.0.9600.16470_none_318dd958165a9e39\aspnet_wp.exe **HIDDEN**
18:09:35.528 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_4894817b1ac401c2\clrjit.dll **HIDDEN**
18:09:35.740 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_4898996b1ac04d7d\clrjit.dll **HIDDEN**
18:09:35.956 File: C:\Windows\WinSxS\amd64_netfx4-clrjit_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_31cbdc513466e02a\clrjit.dll **HIDDEN**
18:09:35.988 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_6484417b85bcf6a1\clr.dll **HIDDEN**
18:09:36.035 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_6488596b85b9425c\clr.dll **HIDDEN**
18:09:36.066 File: C:\Windows\WinSxS\amd64_netfx4-clr_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_4dbb9c519f5fd509\clr.dll **HIDDEN**
18:09:36.260 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_09fd4e179a2ba331\mscordacwks.dll **HIDDEN**
18:09:36.423 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_0a0166079a27eeec\mscordacwks.dll **HIDDEN**
18:09:36.555 File: C:\Windows\WinSxS\amd64_netfx4-mscordacwks_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_f334a8edb3ce8199\mscordacwks.dll **HIDDEN**
18:09:36.790 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_2b71ecf2acf422a1\mscordbi.dll **HIDDEN**
18:09:37.006 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_2b7604e2acf06e5c\mscordbi.dll **HIDDEN**
18:09:37.196 File: C:\Windows\WinSxS\amd64_netfx4-mscordbi_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_14a947c8c6970109\mscordbi.dll **HIDDEN**
18:09:37.243 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.16441_none_f9b2b614610d9cf0\mscorlib.ni.dll **HIDDEN**
18:09:37.268 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.16480_none_f9b6ce046109e8ab\mscorlib.ni.dll **HIDDEN**
18:09:37.299 File: C:\Windows\WinSxS\amd64_netfx4-mscorlib_ni_b03f5f7f11d50a3a_4.0.9600.20491_none_e2ea10ea7ab07b58\mscorlib.ni.dll **HIDDEN**
18:09:37.460 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.16441_none_0bb54c2ccb0f9d87\SOS.dll **HIDDEN**
18:09:37.632 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.16480_none_0bb9641ccb0be942\SOS.dll **HIDDEN**
18:09:37.773 File: C:\Windows\WinSxS\amd64_netfx4-sos_dll_b03f5f7f11d50a3a_4.0.9600.20491_none_f4eca702e4b27bef\SOS.dll **HIDDEN**
18:09:37.915 File: C:\Windows\WinSxS\amd64_netfx4-system.web.applicationservices_b03f5f7f11d50a3a_4.0.9600.16470_none_ae0b563009bdc82a\System.Web.ApplicationServices.dll **HIDDEN**
18:09:38.094 File: C:\Windows\WinSxS\amd64_netfx4-system.web.extensions_b03f5f7f11d50a3a_4.0.9600.16470_none_63bcc4b5e55acab6\System.Web.Extensions.dll **HIDDEN**
18:09:38.251 File: C:\Windows\WinSxS\amd64_netfx4-webengine4_dll_b03f5f7f11d50a3a_4.0.9600.16470_none_fcf0187c71a908e6\webengine4.dll **HIDDEN**
18:09:38.346 File: C:\Windows\WinSxS\amd64_netfx4-webengine_dll_b03f5f7f11d50a3a_4.0.9600.16470_none_417ec1c67e391c40\webengine.dll **HIDDEN**
18:09:38.569 File: C:\Windows\WinSxS\amd64_spaceport.inf_31bf3856ad364e35_6.3.9600.16452_none_06b4923c2a59d5ec\spaceport.sys **HIDDEN**
18:09:38.612 File: C:\Windows\WinSxS\amd64_system.web_b03f5f7f11d50a3a_4.0.9600.16470_none_75246152a818c5ea\System.Web.dll **HIDDEN**
18:09:38.776 File: C:\Windows\WinSxS\amd64_volume.inf_31bf3856ad364e35_6.3.9600.16523_none_06b4fa95cfdc3a92\volsnap.sys **HIDDEN**
18:09:38.918 File: C:\Windows\WinSxS\amd64_wdma_usb.inf_31bf3856ad364e35_6.3.9600.16490_none_5dc76c7e8add9f91\USBAUDIO.sys **HIDDEN**
18:09:39.058 File: C:\Windows\WinSxS\amd64_windows-defender-drivers_31bf3856ad364e35_6.3.9600.16452_none_e1a9e060c919ad4c\WdBoot.sys **HIDDEN**
18:09:39.143 File: C:\Windows\WinSxS\amd64_windows-defender-drivers_31bf3856ad364e35_6.3.9600.16452_none_e1a9e060c919ad4c\WdFilter.sys **HIDDEN**
18:09:39.233 File: C:\Windows\WinSxS\amd64_windows-defender-events.resources_31bf3856ad364e35_6.3.9600.16452_es-es_d39c34d4a8e5133a\MpEvMsg.dll.mui **HIDDEN**
18:09:39.315 File: C:\Windows\WinSxS\amd64_windows-defender-events_31bf3856ad364e35_6.3.9600.16452_none_4d7bb02565c50f4c\MpEvMsg.dll **HIDDEN**
18:09:39.462 File: C:\Windows\WinSxS\amd64_windows-defender-nis-drivers_31bf3856ad364e35_6.3.9600.16452_none_39f65d93853c90dd\WdNisDrv.sys **HIDDEN**
18:09:39.585 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisIpsPlugin.dll **HIDDEN**
18:09:39.674 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisLog.dll **HIDDEN**
18:09:39.768 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisSrv.exe **HIDDEN**
18:09:39.825 File: C:\Windows\WinSxS\amd64_windows-defender-nis-service_31bf3856ad364e35_6.3.9600.16452_none_0ecf7121e6cff49d\NisWfp.dll **HIDDEN**
18:09:39.904 File: C:\Windows\WinSxS\amd64_windows-defender-service.resources_31bf3856ad364e35_6.3.9600.16452_es-es_60657c64db006dfc\MpAsDesc.dll.mui **HIDDEN**
18:09:39.987 File: C:\Windows\WinSxS\amd64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_782e9bb181491069\EppManifest.dll.mui **HIDDEN**
18:09:40.065 File: C:\Windows\WinSxS\amd64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_782e9bb181491069\MsMpRes.dll.mui **HIDDEN**
18:09:40.206 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\EppManifest.dll **HIDDEN**
18:09:40.311 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\MSASCui.exe **HIDDEN**
18:09:40.428 File: C:\Windows\WinSxS\amd64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_06e5ef42b3ddf513\MsMpRes.dll **HIDDEN**
18:09:40.553 File: C:\Windows\WinSxS\amd64_windows-id-connecte..nt-provider-wlidcli_31bf3856ad364e35_6.3.9600.16453_none_91c6da4b8d50f772\wlidcli.dll **HIDDEN**
18:09:40.725 File: C:\Windows\WinSxS\amd64_windows-services-instrumentation-winbici_31bf3856ad364e35_6.3.9600.16457_none_8f0b646150ee446d\winbici.dll **HIDDEN**
18:09:41.072 File: C:\Windows\WinSxS\msil_microsoft.grouppolicy.reporting_31bf3856ad364e35_6.3.9600.16443_none_ded7156fc69e55d5\Microsoft.GroupPolicy.Reporting.dll **HIDDEN**
18:09:41.266 File: C:\Windows\WinSxS\msil_microsoft.grouppolicy.reporting_31bf3856ad364e35_6.3.9600.16500_none_deff5627c6809733\Microsoft.GroupPolicy.Reporting.dll **HIDDEN**
18:09:41.408 File: C:\Windows\WinSxS\msil_system.web.applicationservices_31bf3856ad364e35_4.0.9600.16470_none_38b9fe256a5b5fd3\System.Web.ApplicationServices.dll **HIDDEN**
18:09:41.580 File: C:\Windows\WinSxS\msil_system.web.extensions_31bf3856ad364e35_4.0.9600.16470_none_4308e9b1c3a04b93\System.Web.Extensions.dll **HIDDEN**
18:09:41.674 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\Flash.ocx **HIDDEN**
18:09:41.851 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashPlayerApp.exe **HIDDEN**
18:09:41.964 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashPlayerCPLApp.cpl **HIDDEN**
18:09:42.179 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashUtil_ActiveX.dll **HIDDEN**
18:09:42.327 File: C:\Windows\WinSxS\wow64_adobe-flash-for-windows_31bf3856ad364e35_6.3.9600.17858_none_26d7520571cb7925\FlashUtil_ActiveX.exe **HIDDEN**
18:09:42.511 File: C:\Windows\WinSxS\wow64_microsoft-windows-appx-deployment-client_31bf3856ad364e35_6.3.9600.16452_none_b1134adfe297aef8\AppXDeploymentClient.dll **HIDDEN**
18:09:42.640 File: C:\Windows\WinSxS\wow64_microsoft-windows-appx-deployment-client_31bf3856ad364e35_6.3.9600.16457_none_b1184c51e2932dab\AppXDeploymentClient.dll **HIDDEN**
18:09:42.813 File: C:\Windows\WinSxS\wow64_microsoft-windows-directcomposition_31bf3856ad364e35_6.3.9600.16457_none_98ab1ea049ffe22d\dcomp.dll **HIDDEN**
18:09:43.050 File: C:\Windows\WinSxS\wow64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_11.0.9600.16518_none_a6b36bbac5320ac1\iexplore.exe **HIDDEN**
18:09:43.228 File: C:\Windows\WinSxS\wow64_microsoft-windows-ie-ieetwcollector_31bf3856ad364e35_11.0.9600.16518_none_d113a6391a330ac5\ieetwproxystub.dll **HIDDEN**
18:09:43.400 File: C:\Windows\WinSxS\wow64_microsoft-windows-ie-internetexplorer_31bf3856ad364e35_11.0.9600.16518_none_3d5f0f6a316ac3b6\ieUnatt.exe **HIDDEN**
18:09:43.608 File: C:\Windows\WinSxS\wow64_microsoft-windows-kernel32_31bf3856ad364e35_6.3.9600.16521_none_8f0ed2145e7557c0\kernel32.dll **HIDDEN**
18:09:43.803 File: C:\Windows\WinSxS\wow64_microsoft-windows-mfmpeg2srcsnk_31bf3856ad364e35_6.3.9600.16517_none_470956f4d6734459\mfmpeg2srcsnk.dll **HIDDEN**
18:09:43.971 File: C:\Windows\WinSxS\wow64_microsoft-windows-ntdll_31bf3856ad364e35_6.3.9600.16502_none_543e6b3704465c9d\ntdll.dll **HIDDEN**
18:09:44.175 File: C:\Windows\WinSxS\wow64_microsoft-windows-qedit_31bf3856ad364e35_6.3.9600.16650_none_55cb5b584faa5e7c\qedit.dll **HIDDEN**
18:09:44.312 File: C:\Windows\WinSxS\wow64_microsoft-windows-s..ivesyncprovisioning_31bf3856ad364e35_6.3.9600.16490_none_94188bdff458aff9\easwrt.dll **HIDDEN**
18:09:44.375 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_52269c10d51db9a3\jscript9.dll **HIDDEN**
18:09:44.570 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-jscript9_31bf3856ad364e35_11.0.9600.16518_none_52269c10d51db9a3\jscript9diag.dll **HIDDEN**
18:09:44.710 File: C:\Windows\WinSxS\wow64_microsoft-windows-scripting-vbscript_31bf3856ad364e35_11.0.9600.16483_none_5669568a45445b81\vbscript.dll **HIDDEN**
18:09:44.757 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16456_none_675ea7791a399230\shell32.dll **HIDDEN**
18:09:44.798 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16483_none_673b36d71a5499fe\shell32.dll **HIDDEN**
18:09:44.848 File: C:\Windows\WinSxS\wow64_microsoft-windows-shell32_31bf3856ad364e35_6.3.9600.16660_none_674dd99d1a471065\shell32.dll **HIDDEN**
18:09:45.036 File: C:\Windows\WinSxS\wow64_microsoft-windows-twinui-appcore_31bf3856ad364e35_6.3.9600.16443_none_8d06095a630b5a08\twinui.appcore.dll **HIDDEN**
18:09:45.183 File: C:\Windows\WinSxS\wow64_microsoft-windows-twinui.resources_31bf3856ad364e35_6.3.9600.16459_es-es_29b08538aa122268\twinui.dll.mui **HIDDEN**
18:09:45.277 File: C:\Windows\WinSxS\wow64_windows-defender-events.resources_31bf3856ad364e35_6.3.9600.16452_es-es_ddf0df26dd45d535\MpEvMsg.dll.mui **HIDDEN**
18:09:45.371 File: C:\Windows\WinSxS\wow64_windows-defender-service.resources_31bf3856ad364e35_6.3.9600.16452_es-es_6aba26b70f612ff7\MpAsDesc.dll.mui **HIDDEN**
18:09:45.462 File: C:\Windows\WinSxS\wow64_windows-defender-ui.resources_31bf3856ad364e35_6.3.9600.16452_es-es_82834603b5a9d264\EppManifest.dll.mui **HIDDEN**
18:09:45.564 File: C:\Windows\WinSxS\wow64_windows-defender-ui_31bf3856ad364e35_6.3.9600.16452_none_113a9994e83eb70e\EppManifest.dll **HIDDEN**
18:09:45.752 File: C:\Windows\WinSxS\wow64_windows-id-connecte..nt-provider-wlidcli_31bf3856ad364e35_6.3.9600.16453_none_9c1b849dc1b1b96d\wlidcli.dll **HIDDEN**
18:09:45.942 File: C:\Windows\WinSxS\x86_microsoft-windows-a..ence-mitigations-c4_31bf3856ad364e35_6.3.9600.16459_none_a0ea70ab0dc67517\AcSpecfc.dll **HIDDEN**
18:09:46.098 File: C:\Windows\WinSxS\x86_microsoft-windows-activexproxy_31bf3856ad364e35_6.3.9600.16443_none_a6d8394305c45fe0\actxprxy.dll **HIDDEN**
18:09:46.254 File: C:\Windows\WinSxS\x86_microsoft-windows-c..ent-xpsgdiconverter_31bf3856ad364e35_6.3.9600.16503_none_a7e1bcf306aa5e36\XpsGdiConverter.dll **HIDDEN**
18:09:46.411 File: C:\Windows\WinSxS\x86_microsoft-windows-c..esources-mrmindexer_31bf3856ad364e35_6.3.9600.16412_none_fda001a1eab835ed\MrmIndexer.dll **HIDDEN**
18:09:46.505 File: C:\Windows\WinSxS\x86_microsoft-windows-c..ialmigrationhandler_31bf3856ad364e35_6.3.9600.16443_none_08c09c961266541b\CredentialMigrationHandler.dll **HIDDEN**
18:09:46.661 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16412_none_80681f887d4786e3\MrmCoreR.dll **HIDDEN**
18:09:46.809 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16461_none_80310fa27d70f941\MrmCoreR.dll **HIDDEN**
18:09:47.013 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16471_none_80263fb67d791532\MrmCoreR.dll **HIDDEN**
18:09:47.127 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16477_none_802c41727d73ad3c\MrmCoreR.dll **HIDDEN**
18:09:47.274 File: C:\Windows\WinSxS\x86_microsoft-windows-c..t-resources-mrmcore_31bf3856ad364e35_6.3.9600.16504_none_8074f1ee7d3d9ac7\MrmCoreR.dll **HIDDEN**
18:09:47.289 Disk 0 statistics 15633183/0/0 @ 1,73 MB/s
18:09:47.289 Scan finished successfully
18:13:16.662 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
18:13:16.667 The log file has been saved successfully to "C:\Users\f\Desktop\log scan c mbr encontradas muchas entradas en rojo.txt"



Tras utilizar la herramienta avast mbr, las entradas hidden desaparecieron,pero tiene otras anomalias y unknow mbr:

aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2015-07-07 09:46:54
-----------------------------
09:46:54.736 OS Version: Windows x64 6.2.9200
09:46:54.736 Number of processors: 4 586 0x3C03
09:46:54.736 ComputerName: V UserName: f
09:46:56.722 Initialize success
09:46:56.800 VM: initialized successfully
09:46:56.800 VM: Intel CPU BiosDisabled
09:47:19.705 AVAST engine defs: 15070601
09:48:26.077 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
09:48:26.077 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 3
09:48:26.171 Disk 0 MBR read successfully
09:48:26.171 Disk 0 MBR scan
09:48:26.202 Disk 0 Windows 7 default MBR code
09:48:26.218 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
09:48:26.265 Disk 0 scanning C:\Windows\system32\drivers
09:48:36.730 Service scanning
09:48:56.372 Modules scanning
09:48:56.372 Disk 0 trace - called modules:
09:48:56.388 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys hal.dll PCIIDEX.SYS atapi.sys
09:48:56.388 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000019e2060]
09:48:56.388 3 CLASSPNP.SYS[fffff80001193abb] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xffffe00001717060]
09:48:59.929 AVAST engine scan C:\
10:37:41.089 Disk 0 statistics 16538982/0/0 @ 5,19 MB/s
10:37:41.089 Scan finished successfully
10:49:35.370 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
10:49:35.402 The log file has been saved successfully to "C:\Users\f\Desktop\nuevo log tras restaurar,no salen las entradas en rojo.txt"
10:49:44.307 Disk 0 MBR fix error
10:49:48.646 Disk 0 MBR fix error
10:49:49.254 Disk 0 MBR fix error
10:49:49.426 Disk 0 MBR fix error
10:49:49.614 Disk 0 MBR fix error
10:49:49.786 Disk 0 MBR fix error
10:49:49.911 Disk 0 MBR fix error
10:49:50.067 Disk 0 MBR fix error
10:49:50.239 Disk 0 MBR fix error
10:49:50.426 Disk 0 MBR fix error
10:49:53.089 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
10:49:53.089 Disk 0 Vendor: ST500DM002-1BD142 KC45 Size: 476940MB BusType: 3
10:49:53.577 Disk 0 MBR read successfully
10:49:53.592 Disk 0 MBR scan
10:49:53.592 Disk 0 Windows 7 default MBR code
10:49:53.655 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
10:49:54.146 Disk 0 scanning C:\Windows\system32\drivers
10:50:52.250 Service scanning
10:51:12.176 Modules scanning
10:51:12.176 Disk 0 trace - called modules:
10:51:12.207 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys hal.dll PCIIDEX.SYS atapi.sys
10:51:12.226 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000019e2060]
10:51:12.226 3 CLASSPNP.SYS[fffff80001193abb] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xffffe00001717060]
10:51:14.500 AVAST engine scan C:\Windows
10:51:41.823 AVAST engine scan C:\Windows\system32
10:54:27.058 AVAST engine scan C:\Windows\system32\drivers
10:54:39.620 AVAST engine scan C:\Users\f
10:56:03.058 AVAST engine scan C:\ProgramData
10:56:28.782 Disk 0 statistics 19220038/0/0 @ 5,18 MB/s
10:56:28.798 Scan finished successfully
10:57:39.646 Disk 0 MBR fix error
10:57:40.174 Disk 0 MBR fix error
10:57:40.424 Disk 0 MBR fix error
10:57:40.612 Disk 0 MBR fix error
10:57:40.786 Disk 0 MBR fix error
10:58:48.805 Disk 0 MBR has been saved successfully to "C:\Users\f\Desktop\MBR.dat"
10:58:48.821 The log file has been saved successfully to "C:\Users\f\Desktop\log avast mbr despues de la reparación de sistema..txt"



Luego con el hirens boot, en un usb bootable ( grabado desde los pc comprometidos), utilizando malewarebytes, me encuentra 7 malwares, le doy eliminar, pero no se pueden eliminar, y con el combofix, me detecta rootkit activity, me dice por favor reiniciar el pc para eliminar rootkit, pero no se puede eliminar, sigue saliendo siempre lo mismo.

Los cd originales de linux con opción de arranque seguro uefi, no se inician en uefi, por que está mal la placa base, incluso windows 8.1 original hace que arranca en uefi mode, pero haciendo unas comprobaciones, no se instala en uefi mode.

Con wireshark tengo capturas de pantalla con una dirección mac duplicada.
En el router tengo una entrada en routing de una dirección ip desconocida 192.168.144.1 que se hace pasar por mi host, y que si no borro manualmente la dirección de routing anterior, la conexión a internet da muchos problemas.

Todos los archivos descargados o la gran mayoria , vienen con el cheksum mal, y aparte suelen venir con regalitos, encontrados analizando con clamtk.

El cracker me reinicia el navegador cuando le apetece, me desconecta el ratón, me ralentiza la navegación, me cuelga flash player, puede ponerme fotos en una carpeta del firefox, y controla mis movimientos, aparte no se que más hará.


No se ahora mismo si tengo más logs, es probable que si.
Haber, yo ya tengo bastante claro lo que tengo, pero no puedo limpiarlo....

Como dije, el problema no está en el disco duro,es la placa base, pero es probable que afecte los firmwares de la grabadora y del disco duro, aunque no lo se.

Con linux, no me deja instalarle los controladores adicionales y con windows,  los drivers me deja desinstalarlos pero se vuelven a cargar solos al reiniciar.


Bueno lo he vuelto a poner por que me lo has pedido #!drvy  , pero he repetido un poco más de lo mismo, yo solo preguntaba por si los técnicos profesionales, deberían poder decirme algo, o si ellos no saben estas cosas, cosa que me extrañaria, por que dedicándose profesionalmente a la informática deberían poder decirme algo por lo menos. Pero bueno, un técnico por lo menos me ha reconocido que hay algo y que el no sabe repararlo, algo es algo .

Más de uno pensará, pues compratelo todo nuevo y fuera, claro, si fuera tan fácil.... pero es que no tengo dinero ahora mismo, y si lo tengo, me hacen falta muchas otras cosas,  teniendo en cuenta, el miedo de comprarme algo nuevo , y que se me vuelva a contagiar, además de que tengo unos cuantos sistemas informáticos comprometidos y me duele el alma tener que tirarlos todos.

Un saludo y muchas gracias por leerme.

Muchas gracias #!drvy por tu tiempo y paciencia, te estoy agradecido.


Vamos por partes:




Pues tengo unas capturas de pantalla con wireshark, que están posteadas por el foro también , donde me dice que tengo la dirección mac duplicada, el router no detecta nada, solo aparece la entrada de routing con la dirección ip desconocida que se me asigna como mi host predeterminado, las capturas de wiresahark son estas:

http://postimg.org/image/tjanlx6yl/
http://postimg.org/image/4skz83rlp/




Esto también lo tengo posteado por ahí, , lo hice con el sistema operativo bugtraq , scaneando con zenmap, utilizando ettercap y wireshark, donde encontraba lo de mac duplicada y me marca ataque arp spofing...el metasploit está instalado en este sistema operativo, le hice scans al host 0.0.0.0, pero luego cerré el programa, y utilice los que he comentado anteriormente, el zenmap, ettercap y wireshark.




Si intenté eliminarlo, pude eliminar todas las entradas en rojo hidden, pero el problema persiste, tuve que batallar bastante...
Pero no está en el disco duro como comento, por que  haciendo las pruebas, poniendo usa placa base nueva en la torre, sin disco duro, haciendo las pruebas con un live cd caine, ya tenía todos los problemas, y lo único antiguo que había en el pc susceptible de llevar algo, era la grabadora dvd, y la pantalla externa, con lo que no me explico.

Igualmente, compré un chip bios nuevo y no funciono, se reescribe con el código malo, el técnico me dijo que tenía la placa base corrupta o defectuosa,me lo dijo el que me vendió el chip y estuvimos hablando del tema.

Por ello, el problema está en la placa base en los controladores, drivers, chipset... si bien es verdad, que reescribe el mbr del disco duro y de los usb que conecte.




Es verdad que no detecta nada pero dice:

 
Dice que hay directorios escondidos y cosas sospechosas.





Si detecta man in the middle y errores , que seguro lo sufro por lo comentado anteriormente, las capturas de wireshark y que todas las descargas me llegan con regalitos y el checksum mal, por que la fecha está bien, los certificados no lo se, puedo poner en un nuevo mensaje el log completo de chkrootkit completo que alomejor dice mucho más pero yo no lo comprendo, pero es muy extenso, no se si cabe en un mensaje, si quieres lo posteo entero, el comando que utilizo es sudo chkrootkit -x , lo saque de una web , y detecta todo.




Lo que comentan aqui no lo he probado con la herramienta que aconsejan, puedo probarlo cuando tenga los equipos en casa, pero no creo que sirva de mucho, por que se volverá a infectar otra vez con solo reiniciar el equipo, pero será probarlo y ver que pasa.




Bueno, lo único que tengo limpio es el cd original windows 8.1, y varios discos más de caine, bugtraq y kali linux, que son los que utilizo, además tengo un disco hirens boot original, pero yo no tengo conexión limpia a internet, ni ningún equipo sano.
Supongo que no podrá hacer nada, además como está grabado desde el pc infectado, pues seguro que hay algo malo en el usb bootable de hirens que utilicé.





Si conozco bastante el tema, mi windows arranca de todas las maneras con uefi , sin uefi como sea.... los linux  arrancan sin uefi mode, pero hay algunas distribuciones y live cd , que soportan el arranque uefi, pues bien, no funcionan, o bien arrancan algunas dando problemas.




Está claro que si tengo algo, y todo lo que descargo está mal....entiendo perfectamente, pero no tengo amigos que pueda pedir nada, ni acceso a internet limpio , ni nada de nada....




Pero como te comento no servirá de nada, por que utilizo un live cd sin disco duro ni usb, y puede hacermelo todo igual, de hecho los logs continuan igual, salvo los del mbr del disco duro, por que no lo hay, está claro.
Es decir , yo utilizo un live cd  caine 6.0 que el cheksum está bien y coincide, tiene arranque uefi mode y herramientas para windows, pero no me arranca en uefi, y sufró igualmente man in the midle viniéndome todas las descargas mal, y todos los problemas persisten, puede desactivarme el teclado , o el ratón, puede modificar teclas del teclado, puede reiniciarme el navegador,me carga scripts en el navegador, etc, etc, etc....






Te entiendo perfectamente, ni yo mismo me lo planteaba hasta hace un tiempo, pero tengo fuertes sospechas e indicios para sospechar que algo raro tengo en el pc, por que no es normal todo lo que ocurre.
Es que ya lo he probado todo, en el foro virus total , tratamos el mismo tema, y me dijeron que era problema de hardware, la placa base corrupta, igualmente, el técnico de biosflash, me dijo lo mismo, que estaba las placas corruptas o defectuosas, entonces,puedo probar eso que me has puesto en los enlaces, por ver que ocurre, pero se que el problema no se solucionará haciendo eso.

Ya te digo que virus en si, no hay ninguno, no se detecta nada, es un rootkit, backdoor, de raíz que reescribe el mbr en los discos.
Según tengo entendido , estos bichos se esconden en el chipset de la placa base, incluso he leido que hay algunos si no todos, que se esconden también en el firmware del disco duro, grabadora ,supongo que en los routers, y no se pueden limpiar facilmente, por que la única manera seria reflashseando todos los componentes a la vez, desde un equipo sano externo, creo que es la teoria, en la práctica, no tengo ni remota idea de que hace falta exactamente, y no encuentro mucha información al respecto la verdad.




Esto lo desconozco, pero recuerdo que hace unos años, cuando instalaba linux, siempre me dejaba instalar los controladores adicionales, y ahora no .Con windows, recuerdo que antes no salian los drivers, tenía que instalarlos manualmente, pero ahora salen automáticamente, aún cuando desconecto la actualización automática de los drivers.
Toqueteando cosas en linux, he conseguido que me detectara un controlador adicional de la gráfica, pero nada más, y ahora mismo ni recuerdo como lo hice.
Al arrancar caine, va diciendo todos los servicios que tiene y toda la información, solo iniciar, dice, load pre loaded drivers modules, o algo así, como que se cargan unos drivers automáticamente, predefinidos, y no puedo modificarlos.





Si supongo que así es, y que el problema que tengo no podrán repararmelo en ninguna de las 5 tiendas informáticas en las que he estado, habiendome gastado bastante dinero.Me parece aceptable que no sepan repararlo, por que es complicado lo entiendo perfectamente,pero por lo menos podían emitirme un parte diciendolo, y yo me quedaría tranquilo, pero bueno de hecho, en las 4 tiendas que tengo ahora mismo algo, ha pasado lo siguiente:

1tienda:
Me emitió una factura diciendome que había comportamiento extraño del pc, y que necesitaba un examen más profundo, entendiendose, por unos especialistas, o peritos informáticos.
El hombre me hizo el abono de una placa base.

2 tienda:
Me emitió una factura diciendome entre varias cosas, que lo había reparado, y que en otra placa base la había cambiado por garantia por no poderse reparar, y que me recomendaba acudir a unos peritos informáticos , la cuestión que no se reparó, estaba todo mal, bien se infectó por que quedaba rastro en la grabadora, o me viene mal la placa ,y he tenido que pedir las hojas de reclamación.

3tienda, me han dicho que ellos con sus herramientas no encuentran nada, cosa que se me hace dificil de creer, han mirado otra cosa que no les dije , pero bueno, si dicen que el disco duro estaba mal, pues no se, lo han arreglado, y me lo van a devolver igual que se lo di... eso sí , me han dicho que si tengo las sospechas que tengo algo raro, que vaya a un sitio especializado de informática forense... pero ellos no ven nada, me parece increible vamos...

4 tienda, de telefonía, les he explicado el problema, en esta ocasión , sin aportar logs ni nada, simplemete , les he dicho que tenía sospechas por ciertas situaciones que me han pasado con el teléfono, que no tenían explicación si no era por  que estaba hackeado, y me lo han cogido a tramitar por garantia, sin ningún problema.


Entonces, yo ya no quiero batallar mucho más con esto, costará lo que costará, pero creo que lo tengo bastante claro, solo quería saber más que nada si los técnicos informáticos profesionales, deberían poder decirme algo más que lo que me han dicho, e incluso repararlo.

Yo he probado de todo practicamente,y la verdad me gustaría saber repararlo, pero como voy a repararlo yo , si tan siquiera soy informático.... vale que se 4 cosas de pelear, pero si unos técnicos profesionales, no pueden ayudarme, como voy a limpiarlo yo, desde mis equipos comprometidos, sin money, y sin posibilidad de pedir ningún favor a nadie....a tener paciencia ..., pronto en un par de meses o un poco antes, tendré algo de trabajo, y podré avanzar con esto, de momento, estoy atascado.

Y llevarlo a unos péritos informáticos como me han recomendado es muy caro, no me explico como un técnico no puede decir nada, cuando hay tantas evidencias... en fin, hubo usuarios que me dijeron, que libra al foro de una tercera entrega, pero ya la ha habido.... en fin lo siento, parece ser que va para largo mi problema....pero bueno, no pensaba volver a poner nada, pero como me lo ha pedido
#!drvy  pues lo he puesto.

Por cierto el log de unhide también detecta algo:
 


Pues muchisimas gracias por tu tiempo #!drvy  y todo aquel que lo lea.
Y lo dicho si alguien quiere una placa base, a peligro que se le contagie todo, que me lo diga y se la envio.
Yo lo que quisiera saber es como actualizar componente por componente de hardware sin reiniciar o la manera de solucionar esto.

Un saludo.