Domingo 22 de Diciembre de 2024, 12:24
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Sistemas Operativos
»
Windows
(Moderador:
Bicholey
) »
Quitar virus revelde
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Quitar virus revelde (Leído 1701 veces)
edge master
Nuevo Miembro
Mensajes: 13
Quitar virus revelde
«
en:
Domingo 7 de Septiembre de 2008, 21:00 »
0
Pasando el rootkitreveal en la pc de mi padre me di cuenta q tiene uno(o mas) rootkits. No se como sacarlo de alguna manera mas o menos limpia, aca esta el resultado:
Código: Text
HKLMSECURITYPolicySecretsSAC* 20/8/2007 0:39 0 bytes Key name contains embedded nulls (*)
HKLMSECURITYPolicySecretsSAI* 20/8/2007 0:39 0 bytes Key name contains embedded nulls (*)
HKLMSYSTEMControlSet001ControlGroupOrderListSystem Reserved 11/4/2008 16:51 8 bytes Hidden from Windows API.
HKLMSYSTEMControlSet001ServicesLgq43 11/4/2008 16:51 0 bytes Access is denied.
HKLMSYSTEMControlSet002ControlGroupOrderListSystem Reserved 29/8/2008 19:44 8 bytes Hidden from Windows API.
HKLMSYSTEMControlSet002ServicesLgq43 30/8/2008 19:07 0 bytes Access is denied.
HKLMSYSTEMControlSet002ServicessptdCfg 21/4/2008 1:15 0 bytes Access is denied.
HKLMSYSTEMControlSet004ControlGroupOrderListSystem Reserved 29/8/2008 19:44 8 bytes Hidden from Windows API.
HKLMSYSTEMControlSet004ServicesLgq43 30/8/2008 19:07 0 bytes Access is denied.
C:System Volume Information_restore{9E1D6D64-3E04-4212-B051-F5EC0343E73D}RP238A0105763.exe 25/3/2005 16:48 24.00 KB Visible in Windows API, MFT, but not in directory index.
D:$AVG8.VAULT$V_00000021.fil 30/8/2008 19:51 43.36 KB Hidden from Windows API.
D:$AVG8.VAULT$V_00000022.fil 30/8/2008 19:51 43.36 KB Hidden from Windows API.
D:Documents and SettingscarlosConfiguración localArchivos temporales de InternetContent.IE5 LW9IJO5 1[1].htm 30/8/2008 19:52 231 bytes Hidden from Windows API.
D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengergermix15@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00150.log 30/8/2008 19:11 128.00 KB Visible in Windows API, but not in MFT or directory index.
D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00151.log 30/8/2008 19:27 128.00 KB Visible in Windows API, but not in MFT or directory index.
D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00152.log 30/8/2008 19:34 128.00 KB Visible in Windows API, but not in MFT or directory index.
D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00153.log 30/8/2008 19:40 128.00 KB Visible in Windows API, but not in MFT or directory index.
D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00158.log 30/8/2008 19:58 128.00 KB Hidden from Windows API.
D:Documents and SettingscarlosConfiguración localTempMessengerCachew6mjzHMKNpTe7RFCFuVTYmC72F5g= 30/8/2008 19:52 2.34 KB Hidden from Windows API.
D:Documents and SettingsLocalServiceConfiguración localArchivos temporales de InternetContent.IE53C216RJSdual[1].jpg 28/9/2007 15:34 42.95 KB Visible in Windows API, but not in MFT or directory index.
D:Documents and SettingsLocalServiceConfiguración localArchivos temporales de InternetContent.IE53C216RJSdual[2].jpg 28/9/2007 15:55 42.95 KB Visible in Windows API, but not in MFT or directory index.
D:WINDOWSsystem32driversLgq43.sys 29/8/2008 18:49 164.00 KB Hidden from Windows API.
Intente borrar el archivo Lgq43.sys desde dos con el hiren pero el archivo no existe, no se si lo creara cuando arranca windows con otro programa o estara escondido de alguna otra forma, mirando el msinfo32 aparece q el driver esta cargado. no hay manera de descargarlo si el driver no tiene una rutina de descarga implementada no?. pense en borrar la entrada de controlset/services con el editor de registro del hiren, pero si el archivo Lgq43.sys no existe aun sin iniciar el windows y hay otro proceso modulo o lo q sea q lo crea estaria dejando eso ahi... alguna sugerencia?? intente tmb interceptarlo con la defenza proactiva del kaspersky pero nada. Tambien mire con el LoadOrder de sysinternals y el drivers se carga muy cerca de los primeros asi q tmp creo q el archivo se cree al iniciar windows. Muchas Gracias
PD cuando intento entrar al chat me dice q ya otro usuario logueado con ese nombre...
edito:
PD2 perdon me habia olvidado de la seccion virus en seguridad y criptografia.
Tweet
F_Tanori
Moderador
Mensajes: 1919
Nacionalidad:
Re: Quitar virus revelde
«
Respuesta #1 en:
Lunes 8 de Septiembre de 2008, 00:47 »
0
Puedes revisar con hijackthis (e incluso publicar tu log) y remover todo lo que sea basura
http://hijackthis.softonic.com/
Tambien el Autoruns, te puede ayudar a quitar elementos que se cargan al iniciar
http://technet.microsoft.com/en-us/sysi ... 63902.aspx
Unlocker, tambien es de ayuda para desbloquera archivos que estan protegidos por otro proceso, y pode eliminarlos o renombrarlos
http://unlocker.uptodown.com/
Saludos
" ExIsTo y A vEcEs PiEnSo "
NOTA:
===========================================================================================================================
Este foro es para ayudar, aprender, compartir... usenlo para eso,
NO SE RESUELVEN DUDAS POR MENSAJE PRIVADO Y MENOS POR CORREO
===========================================================================================================================
edge master
Nuevo Miembro
Mensajes: 13
Re: Quitar virus revelde
«
Respuesta #2 en:
Martes 9 de Septiembre de 2008, 05:19 »
0
Muchas gracias, ya probe todo, no hubo forma. Esta por todos lados, deshabilito algo y por algun otro lado lo habilita.
Voy a reinstalar y me quedo seguro q saque cualquier amenaza.
Muchas gracias otra vez, saludos.
shadow_rev
Miembro MUY activo
Mensajes: 397
Nacionalidad:
Un SPARTAN no muere en combate
Re: Quitar virus revelde
«
Respuesta #3 en:
Martes 9 de Septiembre de 2008, 21:26 »
0
Procura también purgar pendrives y otras particiones, ya sea con una herramienta antivirus que corra como un disco de booteo, o a mano (con un LiveCD de Linux, que es inmune a los virus de Windows), o no habrá valido la pena la reinstalada (y lo digo por experiencia propia).
Volará quien le ponga alas a sus sueños (Candidate for goddess)
Si el mal existe en este mundo, reside en el corazón de la humanidad (Edward D. Morrison - Tales of Phantasia)
Lo único que puedes cambiar del pasado, es lo que sientes por él en el presente (Lockon Stratos - Mobile Suit Gundam 00)
Ingeniero de Sistemas
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Sistemas Operativos
»
Windows
(Moderador:
Bicholey
) »
Quitar virus revelde