Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
PortadaForo AyudaTutoriales
InicioForosForo Virus

Problema con el Rootkit.Win32.TDDS.d (solucionado)

inopia
2010-04-08 13:37 - Respuestas: 5 - Tema nº: 2676835


Windows XP Profesional Intel Quad Q9300 2,5GHz, 4Gb RAM.

Hola a tod@s
Escribo porque no he podido solucionar el problema de este programa malicioso a través de un tutorial.
Quité del ordenador el arranque del Karpesvky, porque según me habían dicho, podía ser una de las causas de que me fuese tan lento, y cuándo ayer analizé el ordenador encontré una docena de virus y entre ellos el es Rootkit.Win32.TDSS.d.
He realizado todos los pasos del post y no podido acabar con virus. Adjunto unos reportes del Karspesky, del TDDSKiller y de Virus total acerca del archivo infectado.
Además no tengo el escritorio, me aparece un en blanco con todos los iconos de siempre y me indica Recupere Active Desktop, cuándo en realidad no he cambiado nada.

Agradecería que me pudiéseis echar una mano!
Muchas gracias!

Karspevsky
Análisis completo: terminado hace 1 minuto (eventos: 5, objetos: 379554, hora: 01:52:30)
08/04/2010 11:17:40 Tarea iniciada
08/04/2010 11:17:40 Detectados: Rootkit.Win32.TDSS.d System Memory
08/04/2010 11:17:41 No procesado: Rootkit.Win32.TDSS.d System Memory No se puede reparar
08/04/2010 11:17:41 No procesado: Rootkit.Win32.TDSS.d System Memory Ignorado por el usuario
08/04/2010 1310 Tarea terminada



TDSS rootkit removing tool, Kaspersky Lab, 2010
version 2.2.8.1 Mar 22 2010 10:43:04

Scanning Services ...

Scanning Kernel memory ...
Driver "atapi" infected by TDSS rootkit!
File "C:\WINDOWS\system32\drivers\atapi.sys" infected by TDSS rootkit ... will b
e cured on next reboot

Completed

Results:
Memory objects infected / cured / cured on reboot: 1 / 0 / 0
Registry objects infected / cured / cured on reboot: 0 / 0 / 0
File objects infected / cured / cured on reboot: 1 / 0 / 1

To finalize removal of infection and avoid loosing of data program will
reboot your PC now.
Close all programs and choose Y to restart or N to continue


Análisis del archivo atapi.sys recibido el 2010.04.08 08:32:03 (UTC)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


Resultado: 2/39 (5.13%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: 2.
Se estima que tendrá que esperar entre 46 y 66 segundos
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados

La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.
Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico. Email:


Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.07 -
AntiVir 7.10.6.42 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 W32/Rootkit.ENP
Avast 4.8.1351.0 2010.04.07 -
Avast5 5.0.332.0 2010.04.07 -
AVG 9.0.0.787 2010.04.07 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4536 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.07 Win32.Rootkit
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.07 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.07 -
GData 19 2010.04.07 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.07 -
McAfee-GW-Edition 6.8.5 2010.04.07 -
Microsoft 1.5605 2010.04.08 -
NOD32 5008 2010.04.07 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.07 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6150 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.257 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2266 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.07 -
Información adicional
Tamano archivo: 96512 bytes
MD5...: 9f3a2f5aa6875c72bf062c712cfa2674
SHA1..: a719156e8ad67456556a02c34e762944234e7a44
SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0 f59228a0cf70b9
ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb
DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x159f7
timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7
NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29
.rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708
.data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834
PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9
PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863
INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3
.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45

( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress
> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
des-c-r-i-p-tion..: IDE/ATAPI Port Driver
original name: atapi.sys
internal name: atapi.sys
file version.: 5.1.2600.5512 (xpsp.080413-2108)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

packers (Kaspersky): PE_Patch

Posibles soluciones:
Problema con el rootkit.win32.tdds.d (solucionado)Problema con el rootkit.win32.tdds.d (solucionado)
Problema con el servicio de messenger se trata de un problema de un problema de conectividad de red Problema con el servicio de messenger se trata de un problema de un problema de conectividad de red
Problema tras problema por formatear mi aspire 5315Problema tras problema por formatear mi aspire 5315
Problema al intalar drivers (nuevo problema) ayuda!Problema al intalar drivers (nuevo problema) ayuda!
Problema al ejecutarse dirt a encontrado un problema debeProblema al ejecutarse dirt a encontrado un problema debe
vincentcolt

Re: Problema con el Rootkit.Win32.TDDS.d (solucionado) - 2010-04-08 14:04 - Respuesta 2

Hijo ante todo mis respetos, yo cuando hay un problema importante de virus en la maquina, suelo cambiar el antivirus despues de hacer una limpieza con el cc cleaner, y instalo el nuevo antivirus y lo paso. Normalmente el avast te dice si quieres que empiece a buscar antes de iniciar la maquina, dile que si , ya que este virus entra cuando se inicia la maquina. Cuando consiga el virus dale al numero de eliminar completamente. Otra cosa es que si no quieres lidiar con todo esto, simplemente instala otro sistema operativo en el disco pero sin formatear conservando el sistema de archivo que tienes. Luego cuando aranques el nuevo borra del editor en las propiedades de mi pc el sistema defectuoso. Solo la entrada y nada mas. Asi conservaras todos tus archivos. Si deseas ayuda mas especifica, puedes solcitarla aqui y yo tratare de ayudarte paso a paso.
caterpilar

Re: Problema con el Rootkit.Win32.TDDS.d (solucionado) - 2010-04-08 14:23 - Respuesta 3

Hola inopia, descarta bichos

Eliminar archivos temporales en Windows XP
Eliminar archivos temporales en Windows Vista

Ve a Inicio - Ejecutar … escribe … %temp% … elimina todo el contenido, puede que un par de archivos no los elimine porque los está usando, dado el caso le das a Omitir.

Inicia tu PC en
Modo a prueba de fallos
f8 en el arranque, opción de red, actualiza todo, antivirus, antiespías, deshabilita restaurar sistema, pasa el
PandaActiveScan
Kaspersky Anti-Virus on line
ESET's Online Antivirus Scan
MSN Virus Cleaner 2.0.2.9 Lite
Ejecuta algún antiespías (actualizado)
Malware Cleaner 2008.05.13
Ad-Aware Free Anniversary Edition 8.0.0
Dr.Web CureIt! 5.0 … Windows 98/ME/2000/XP/2003/Vista
Super Antispyware 4.33.1000
Spybot S&D 1.6
. . . Instalación y utilización básica
. . . Modo avanzado
CWShredder 2.19

Si lo anterior no da el resultado esperado, haz lo siguiente …

Descarga, instala y ejecuta el siguiente programa
Malwarebytes' Anti-Malware 1.19
. . . Instalación, configuración y uso

En modo normal, ejecuta el siguiente programa
Download TrendMicro™ HijackThis™
(opción do a system scan and save logfile) habilita restaurar sistema (postea el log para que un moderador autorizado lo analice)
Obtener el log . . .

¿Un Antivirus elimina todos los virus?

Seguridad en el PC (Especial 1)

S a l u d o s



El futuro es lo que importa, sientan la necesidad de aprender del futuro y lo que vendrá y para eso no hay que tener miedo a soñar ...



novacath

Re: Problema con el Rootkit.Win32.TDDS.d (solucionado) - 2010-04-13 15:38 - Respuesta 4

Deseaba saber si lograste resolver tu problema ya que a mi me esta sucediendo lo mismo
inopia

Re: Problema con el Rootkit.Win32.TDDS.d (solucionado) - 2010-04-15 10:28 - Respuesta 5

Pues de momento sigo sin solucionarlo, solo me queda probar Hijackthis. En cuanto tenga el reporte lo posteo
Saludos
Página:1 Siguiente

Respuestas relacionadas:

El mismo problema  problema de disco duro de una lapEl mismo problema problema de disco duro de una lapForo
Problema con desconexion internet (win32 problema)Problema con desconexion internet (win32 problema)Foro
Problema con cable hdmi a la tv lg, problema de audiProblema con cable hdmi a la tv lg, problema de audiForo
Problema con q nadie me responde mi problema....:sProblema con q nadie me responde mi problema....:sForo
Problema con troyano problema graveProblema con troyano problema graveForo
Problema con wmplayer.exe. a detectado un problema yProblema con wmplayer.exe. a detectado un problema yForo
Problema con cd dvd r/w - problema con ratónProblema con cd dvd r/w - problema con ratónForo
Problema con wmpProblema con wmpForo
Problema de redProblema de redForo
Problema con mp 4Problema con mp 4Foro
InicioSecciones
^ SubirAviso legal
Política Privacidad
Configurarequipos23 Diciembre 2024