Buenos días a ambos,
Acabo de preparar el USB con la imagen ISO de mi W7-64bits con Rufus pero en esquema de partición, había dos opciones MBR and BIOS y GPT, y he elegido GPT ¿es correcto?.
También me he descargado @BIOS para actualizar la BIOS. Pero en una de las páginas de referencias, no entiendo muy bien qué y dónde tengo que hacer esto:
"Si su BIOS está protegida ante flash, por favor desactive la protección Flash BIOS en la configuración CMOS avanzada (BIOS AMI) o bien en características avanzadas BIOS (BIOS AWARD) en el menú BIOS."
No encuentro ningún elemento en los menús de la BIOS que sea BIOS AMI o BIOS AWARD...
Muchas gracias de nuevo a ambos y perdonad por el exceso de mensajes.MBR es el esquema de particionado para sistemas que funcionan en modo BIOS y GPT para los que funcionan en modo UEFI.
El modo que tenga establecido tu placa podrás verlo en los apartados de configuración del Boot, normalmente el modo BIOS también se llama modo Legacy.
Normalmente la BIOS no suele estar bloqueada contra escritura por defecto, y si lo está el propio programa te dará el aviso llegado el momento.
AMI y AWARD son nombres de fabricantes de BIOS, no te vas a encontrar opciones que se llamen tal cual, lo que te dicen es que en funcion de cual sea el fabricante de tu BIOS de esos 2 accedas a la sección de Configuración avanzada y compruebes lo que te piden.
1 me gusta
He actualizado la BIOS y acabo de reinstalar W7 desde un DVD creado con la ISO descargada de Microsoft, porque desde el USB no lo reconocía… y el dichoso reloj sigue saliendo.
De hecho, no ha desaparecido de la pantalla en toda la instalación, salvo cuando se reiniciaba.
De donde narices puede venir?
Cuando estés en el escritorio descarga y ejecuta el detector de rootkits GMER:
Seleccionando todas las unidades de disco disponibles:
Si se detectan trazas de rootkit MBR accede a la BIOS y activa en BIOS Features la opción Intel Virtualization Technology. Pulsa F10 para guardar los cambios.
A continuación, desde el mismo enlace anterior descarga y haz un escaneo aswMBR.
Deberás:
- Actualizar las definiciones si lo pide.
- Establecer el escaneo en C:
- Pulsar en Scan.
- Lanzar un FixMBR + FIX si se detecta algo.
Pon los resultados de lo que se detecte.
¿El disco duro nuevo es de segunda mano? El posible que te viniese con sorpresa.
1 me gusta
Pues debería ser nuevo, os cuento: En noviembre de 2016, se estropeó el disco duro que me pusieron nuevo al montar el ordenador por piezas, tenía 2 años y medio o así, a finales de 2018 ese nuevo disco comenzó a hacer ruidos similares a los que hacía su predecesor antes de morir, entonces me puse en contacto con Seagate y han sido tan amables de ampliarme la garantía dos o tres meses y reemplazarlo por uno que venía nuevo en su envoltorio original. De hecho, a los primeros que acudí con este problema fue a ellos que me remitieron a Microsoft y estos al fabricante de la placa/BIOS. Si el problema viene del disco duro, me van a escuchar. Bueno, entre esta noche y mañana por la mañana hago las nuevas comprobaciones y pongo los resultados. Muchísimas gracias!!!
Por lo que parece y como anticipaba @Herrante hay una sorpresita en el disco duro "nuevo".
Informe GMER:
"GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2019-03-11 19:45:43
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST1000DM003-1SB102 rev.CC43 931,51GB
Running: u0yt70dg.exe; Driver: C:\Users\Alfonso\AppData\Local\Temp\awtiqfog.sys
---- User code sections - GMER 2.2 ----
.text C:\Program Files (x86)\GIGABYTE\ET6\GUI.exe[2716] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000074e51465 2 bytes [E5, 74]
.text C:\Program Files (x86)\GIGABYTE\ET6\GUI.exe[2716] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000074e514bb 2 bytes [E5, 74]
.text ... * 2
.text C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3876] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000074e51465 2 bytes [E5, 74]
.text C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3876] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000074e514bb 2 bytes [E5, 74]
.text ... * 2
---- Threads - GMER 2.2 ----
Thread C:\Program Files\Windows Media Player\wmpnetwk.exe [2920:2900] 000007fefb152ab8
Thread C:\Program Files\Windows Media Player\wmpnetwk.exe [2920:4040] 000007fef9505124
Thread C:\Windows\System32\svchost.exe [1240:3176] 000007fef60a9688
---- Disk sectors - GMER 2.2 ----
Disk \Device\Harddisk0\DR0 unknown MBR code
---- Files - GMER 2.2 ----
File C:\Users\Alfonso\AppData\Local\Temp\tmp8A37.tmp 0 bytes
---- EOF - GMER 2.2 ----
".
<a class="attachment" href="/uploads/default/original/2X/7/7bf9950b18000f987c817e9aac3c98af068cc1b6.txt">informe_aswMBR.txt</a> (3,9 KB)@Herrante he hecho lo que me comentas de FixMBR pero luego no me ha permitido pulsar FIX.
He reiniciado y el relojito sigue ahí. 
No me digas que tengo que reinstalar el sistema por enésima vez???
Repite el análisis en modo seguro, para cargar el sistema en modo seguro escribe en la barra de búsqueda MSCONFIG.
Establece el arranque de esta manera y pulsa en Aplicar:
En esta segunda ocasión pulsa FIX antes de FIX MBR.
Para reanudar con arranque normal tendrás que deshacer la opción de arranque que has cambiado.
Si sigue sin permitirte hacer FIX di que mensaje te muestra.
1 me gusta
Nada, sólo me deja hacer fixMBR pero en esta ocasión me ha guardado en el escritorio un archivo llamado MBR.dat, Si quieres que lo adjunte dímelo. Adjunto el segundo informe que he guardado. He vuelto a clicar en fixMBR: segundo-informe_aswMBR.txt (1,7 KB). Lamento mucho los inconvenientes, mil gracias de nuevo por la ayuda!
No preformatees el texto o todos los adjuntos que pongas se mostrarán como texto plano.
Posiblemente estés afectado por una variante de Lojax, destinada a usuarios domésticos. No hay nada realmente efectivo contra este tipo de amenaza ni tampoco sintomatología exacta de la que echar mano. Tampoco hay ningún tipo de precedente con un contador en pantalla.
En teoría ese contador al llegar a 0 debería desencadenar una acción concreta, lo mas común cifrar todos los archivos, pero en tu caso no hace nada.
Si venía de regalo en ese disco y está en la BIOS de tu placa lo mas seguro es que haya que reprogramarla con un programador externo, lo que implica extraer el chip para reescribirlo.
Ante esta situación no deberías conectar nuevos discos a esa placa ni usar ese disco en otros ordenadores.
Una tontada que puedes probar antes de echarte las manos a la cabeza es ver si toda esta historia es ocasionada por algún parámetro de tu monitor, cosas mas irreales se han visto.
1 me gusta
Perdón. segundo-informe_aswMBR.txt (1,7 KB)
Y qué tendría que hacer para ver si es lo del monitor?
De todas formas, ese virus o lo que sea ha venido con el disco duro ¿no?
Supongo que tu monitor tendrá alguna opción de hibernación tras X segundos, puedes mirar si es eso.
Si el contador apareció justo después de cambiar el disco no hay mucha mas opción, y si era semi nuevo quizás lo sacaron de un ordenador corporativo que ya había sido infectado y a ti te ha pillado de rebote. Esto ya son hipótesis.
1 me gusta
¡¡Aleluya!!! He reseteado la configuración del monitor(Asus VG248) y ha desaparecido. No me lo puedo creer, cómo ha podido pasar algo así si yo no he tocado el monitor para nada? Maldita electrónica, tiene unos caprichos que no acabo de entender. Es que aparecía antes de cargarse el sistema y siempre estaba ahí… Bueno, pues no sé que decir ni cómo agradecértelo. Eres un crack. ¡¡¡Muchísimas gracias!!!
Pues me alegro de que al final haya sido una tontería. Estamos para prestar ayuda de la mejor manera que podemos.
A veces algo tan simple como un fallo de configuración del monitor puede trolearte de lo lindo.
Si tienes problemas en el futuro ya sabes donde encontrarnos.
1 me gusta
Un cordial saludo!!!
No quisiera ser pesado. Ayer con la euforia olvidé el tema del MBR.dat he estado leyendo un poco por ahí y me pregunto por qué la herramienta me saco unilateralmente ese archivo al escritorio, me asaltan estas dudas: ¿El MBR que viene con el disco estará en buen estado? ¿Tengo que hacer algo relacionado con esto? El ordenador ha arrancado bien pero navegando no anda fino. Mil disculpas y gracias de nuevo!
Ese bat es un copia del MBR original antes de ser restaurado por aswMBR. Si el sistema es capaz de arrancar normalmente puedes eliminarlo.
En lo referente a la navegación, al haber reinstalado Windows lo mas probable es que debas instalar los controladores del fabricante para tu adaptador Wifi o adaptador de área local para que este funcione adecuadamente.
De acuerdo. Muchísimas gracias!!!
Solo un apunte para futuros posts @penausende
Cuando respondas no debes preformatear el texto, eso solo se aplica a los logs de las herramientas que pongas
Saludos
1 me gusta
Lo tendré en cuenta. Muchísimas gracias por vuestra ayuda Miguel!!!