Posible duplicado:
¿Cómo me deshago de spyware, malware, virus o rootkits maliciosos de mi PC?
Estaba buscando rootkits siguiendo estas instrucciones http://computersight.com/software/how-to-manually-remove-rootkit/ y vi esto en mi registro de arranque:
Loaded driver \SystemRoot\System32\Drivers\awhk9fmc.SYS
Intenté buscar ese nombre de archivo en Google pero no encontré absolutamente nada. Intenté buscar el archivo en el disco pero no pude encontrarlo. Casi todos los demás archivos están ahí. Incluso intenté arrancar en Windows 98 y montar el NTFS y ver el archivo, pero todavía no estaba allí. Ejecuté un análisis completo con Microsoft Security Essentials pero no encontré nada. Cuando reinicié, vi esta línea en su lugar:
Loaded driver \SystemRoot\System32\Drivers\a6n163gl.SYS
- ¿Cómo puedo eliminar esto?
- ¿Cómo puedo saber qué hace?
- ¿Cómo puedo saber cuándo se puso?
- ¿Cómo puedo saber quién lo escribió?
Aquí está mi registro de arranque completo:
Service Pack 3 10 31 2012 17:35:36.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver sptd.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltmgr.sys
Loaded driver sr.sys
Loaded driver MpFilter.sys
Loaded driver KSecDD.sys
Loaded driver WudfPf.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver uagp35.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisgrp.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
Loaded driver \SystemRoot\system32\drivers\cmuda.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisnicxp.sys
Loaded driver \SystemRoot\System32\Drivers\avzk9sf5.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\gameenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\serscan.sys
Loaded driver \SystemRoot\system32\drivers\DrmCAudio.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\tap0901.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srvkp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ctxusbm.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\cbfs3.sys
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \SystemRoot\System32\Drivers\StarOpen.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
Respuesta1
Es un dolor grave en el trasero. Existen herramientas diseñadas específicamente para detectar rootkits:gmeryrevelador de kit de raícesse me ocurre. Los archivos que estás viendo obviamente no son rootkits en sí mismos; podrían haber sido generados por otro archivo realmente oculto. Estos detectarían el rootkit si se usan correctamente. Sin embargo, eliminarlos es difícil y estas herramientas requieren cierta experiencia para usarlas.
En primer lugar, su sistemaescomprometida. Probablemente no haya ninguna razón real para no bombardearlo y pavimentarlo. Sin embargo, supongamos hipotéticamente que desea investigar qué es esto. Los rootkits se enganchan al propio sistema operativo para ocultarse. Además de las herramientas mencionadas anteriormente, puede utilizar un livecd de rescate de virus para escanear el sistema.barredor del sistema microsoftMe viene a la mente r, pero hay otros.
Luego sugeriría ingresar con un livecd de Linux y copiar cualquier archivo que le importe perder, y luego volver a iniciar Windows. Vuelva a realizar un escaneo AV solo para ver qué resulta.
Luego, por supuesto, la reinstalación.esla elección inteligente aquí.
Respuesta2
Bien, objetivo principal:
¿Cómo puedo eliminar esto?
La única manera garantizada esAtómicamente desde la órbita. Vuelva a formatear y reinstale.
Puede que haya formas más sutiles de eliminarlo, pero a menos que sepas exactamente con qué estás lidiando, no podrás estar seguro. Lo que significa que nunca deberías usar esa PC para realizar operaciones bancarias. No más compras online con números de tarjetas de crédito, etc.
A menos que tengas una buena copia de seguridad, esto es algo muy molesto. Pero es la única manera de estar a salvo.
Sugiero hacer primero una copia del HDD. Puedes hacerlo de muchas maneras. Por ejemplo, una herramienta de imagen comoacronis,Fantasma,clonezilla. Lo que te permitirá volver al estado en el que te encuentras ahora. Una copia simple a una unidad externa es más fácil, pero no asuma que copiar todo restaurará la instalación anterior de Windows (especialmente no si el disco externo tiene formato FAT32). Una buena tercera opción es crear un VMDK (disco vmware) o un VHD desde el disco (Herramientas para eso).aquí en tecnetyAquí para Vmware).
Luego límpielo por completo. Reinstale desde una imagen limpia.No intentes restaurar ningún archivo todavía.. Instale controladores de red si es necesario. Luego actualice Windows por completo.
Ahora sería un buen momento para crear otra imagen del sistema. Con suerte, no tendrás que volver a hacer esto nunca más, pero si lo haces, te ahorrarás mucho tiempo.
Instalar controladores. Descárgalos de una fuente segura conocida. Instalar y actualizar antivirus.
Ahora tenemos un sistema seguro y puedes comenzar a analizar las copias de seguridad que realizaste al principio. Ejecute un análisis de virus de ellos. Si se identifica, es posible que le dé la respuesta que busca.
Si no, configure una máquina virtual (sin red). Restaure la imagen del sistema a eso. Luego instale herramientas de depuración comoexplorador de procesos,Revelador de rootkitsyGMER.
Ahora está listo para responder su segunda pregunta.
¿Cómo puedo saber cuándo se puso?
Si se trata de software espía, troyano, virus o cualquier otra cosa "malvada": no puedes confiar en el sistema infectado. Deberá verificar el sistema infectado con una copia de seguridad previa. A menos que tenga muchas copias de seguridad periódicas, esto probablemente no tendrá éxito.
Si se trata simplemente de software "normal", es posible que haya fechas en los archivos de registro y en los archivos mismos.
¿Cómo puedo saber quién lo escribió?
Si es un virus o similar: No puedes. Si es software escrito legalmente, pertenece a un programa o controlador. Esos deberían venir con información. Lamentablemente, a menudo un controlador está escrito por fill in your name here.