| inopia |  |
|
2010-04-08 13:37 - Respuestas: 5 - Tema nº: 2676835
Windows XP Profesional Intel Quad Q9300 2,5GHz, 4Gb RAM.
Hola a tod@s
Escribo porque no he podido solucionar el problema de este programa malicioso a través de un tutorial.
Quité del ordenador el arranque del Karpesvky, porque según me habían dicho, podía ser una de las causas de que me fuese tan lento, y cuándo ayer analizé el ordenador encontré una docena de virus y entre ellos el es Rootkit.Win32.TDSS.d.
He realizado todos los pasos del post y no podido acabar con virus. Adjunto unos reportes del Karspesky, del TDDSKiller y de Virus total acerca del archivo infectado.
Además no tengo el escritorio, me aparece un en blanco con todos los iconos de siempre y me indica Recupere Active Desktop, cuándo en realidad no he cambiado nada.
Agradecería que me pudiéseis echar una mano!
Muchas gracias!
Karspevsky
Análisis completo: terminado hace 1 minuto (eventos: 5, objetos: 379554, hora: 01:52:30)
08/04/2010 11:17:40 Tarea iniciada
08/04/2010 11:17:40 Detectados: Rootkit.Win32.TDSS.d System Memory
08/04/2010 11:17:41 No procesado: Rootkit.Win32.TDSS.d System Memory No se puede reparar
08/04/2010 11:17:41 No procesado: Rootkit.Win32.TDSS.d System Memory Ignorado por el usuario
08/04/2010 1310 Tarea terminada
TDSS rootkit removing tool, Kaspersky Lab, 2010
version 2.2.8.1 Mar 22 2010 10:43:04
Scanning Services ...
Scanning Kernel memory ...
Driver "atapi" infected by TDSS rootkit!
File "C:\WINDOWS\system32\drivers\atapi.sys" infected by TDSS rootkit ... will b
e cured on next reboot
Completed
Results:
Memory objects infected / cured / cured on reboot: 1 / 0 / 0
Registry objects infected / cured / cured on reboot: 0 / 0 / 0
File objects infected / cured / cured on reboot: 1 / 0 / 1
To finalize removal of infection and avoid loosing of data program will
reboot your PC now.
Close all programs and choose Y to restart or N to continue
Análisis del archivo atapi.sys recibido el 2010.04.08 08:32:03 (UTC)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO
Resultado: 2/39 (5.13%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: 2.
Se estima que tendrá que esperar entre 46 y 66 segundos
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados
La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.
Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico. Email:
Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.07 -
AntiVir 7.10.6.42 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 W32/Rootkit.ENP
Avast 4.8.1351.0 2010.04.07 -
Avast5 5.0.332.0 2010.04.07 -
AVG 9.0.0.787 2010.04.07 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4536 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.07 Win32.Rootkit
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.07 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.07 -
GData 19 2010.04.07 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.07 -
McAfee-GW-Edition 6.8.5 2010.04.07 -
Microsoft 1.5605 2010.04.08 -
NOD32 5008 2010.04.07 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.07 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6150 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.257 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2266 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.07 -
Información adicional
Tamano archivo: 96512 bytes
MD5...: 9f3a2f5aa6875c72bf062c712cfa2674
SHA1..: a719156e8ad67456556a02c34e762944234e7a44
SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0 f59228a0cf70b9
ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb
DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x159f7
timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008)
machinetype.......: 0x14c (I386)
( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7
NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29
.rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708
.data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834
PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9
PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863
INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3
.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45
( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress
> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
des-c-r-i-p-tion..: IDE/ATAPI Port Driver
original name: atapi.sys
internal name: atapi.sys
file version.: 5.1.2600.5512 (xpsp.080413-2108)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PE_Patch
| |
|
|
| vincentcolt | |
|
Re: Problema con el Rootkit.Win32.TDDS.d (solucionado) - 2010-04-08 14:04 - Respuesta 2
Hijo ante todo mis respetos, yo cuando hay un problema importante de virus en la maquina, suelo cambiar el antivirus despues de hacer una limpieza con el cc cleaner, y instalo el nuevo antivirus y lo paso. Normalmente el avast te dice si quieres que empiece a buscar antes de iniciar la maquina, dile que si , ya que este virus entra cuando se inicia la maquina. Cuando consiga el virus dale al numero de eliminar completamente. Otra cosa es que si no quieres lidiar con todo esto, simplemente instala otro sistema operativo en el disco pero sin formatear conservando el sistema de archivo que tienes. Luego cuando aranques el nuevo borra del editor en las propiedades de mi pc el sistema defectuoso. Solo la entrada y nada mas. Asi conservaras todos tus archivos. Si deseas ayuda mas especifica, puedes solcitarla aqui y yo tratare de ayudarte paso a paso. | |
|
|
| caterpilar |  |
|
Re: Problema con el Rootkit.Win32.TDDS.d (solucionado) - 2010-04-08 14:23 - Respuesta 3
Hola inopia, descarta bichos
Eliminar archivos temporales en Windows XP
Eliminar archivos temporales en Windows Vista
Ve a Inicio - Ejecutar … escribe … %temp% … elimina todo el contenido, puede que un par de archivos no los elimine porque los está usando, dado el caso le das a Omitir.
Inicia tu PC en
Modo a prueba de fallos
f8 en el arranque, opción de red, actualiza todo, antivirus, antiespías, deshabilita restaurar sistema, pasa el
PandaActiveScan
Kaspersky Anti-Virus on line
ESET's Online Antivirus Scan
MSN Virus Cleaner 2.0.2.9 Lite
Ejecuta algún antiespías (actualizado)
Malware Cleaner 2008.05.13
Ad-Aware Free Anniversary Edition 8.0.0
Dr.Web CureIt! 5.0 … Windows 98/ME/2000/XP/2003/Vista
Super Antispyware 4.33.1000
Spybot S&D 1.6
. . . Instalación y utilización básica
. . . Modo avanzado
CWShredder 2.19
Si lo anterior no da el resultado esperado, haz lo siguiente …
Descarga, instala y ejecuta el siguiente programa
Malwarebytes' Anti-Malware 1.19
. . . Instalación, configuración y uso
En modo normal, ejecuta el siguiente programa
Download TrendMicro™ HijackThis™
(opción do a system scan and save logfile) habilita restaurar sistema (postea el log para que un moderador autorizado lo analice)
Obtener el log . . .
¿Un Antivirus elimina todos los virus?
Seguridad en el PC (Especial 1)
S a l u d o s
El futuro es lo que importa, sientan la necesidad de aprender del futuro y lo que vendrá y para eso no hay que tener miedo a soñar ...
| |
|
|
| novacath | |
|
Re: Problema con el Rootkit.Win32.TDDS.d (solucionado) - 2010-04-13 15:38 - Respuesta 4
Deseaba saber si lograste resolver tu problema ya que a mi me esta sucediendo lo mismo
| |
|
|
| inopia | |
|
Re: Problema con el Rootkit.Win32.TDDS.d (solucionado) - 2010-04-15 10:28 - Respuesta 5
Pues de momento sigo sin solucionarlo, solo me queda probar Hijackthis. En cuanto tenga el reporte lo posteo
Saludos | |
|
|
|
