• Miércoles 6 de Noviembre de 2024, 02:59

Autor Tema:  Quitar virus revelde  (Leído 1676 veces)

edge master

  • Nuevo Miembro
  • *
  • Mensajes: 13
    • Ver Perfil
Quitar virus revelde
« en: Domingo 7 de Septiembre de 2008, 21:00 »
0
Pasando el rootkitreveal en la pc de mi padre me di cuenta q tiene uno(o mas) rootkits. No se como sacarlo de alguna manera mas o menos limpia, aca esta el resultado:

Código: Text
  1. HKLMSECURITYPolicySecretsSAC*   20/8/2007 0:39  0 bytes Key name contains embedded nulls (*)
  2. HKLMSECURITYPolicySecretsSAI*   20/8/2007 0:39  0 bytes Key name contains embedded nulls (*)
  3. HKLMSYSTEMControlSet001ControlGroupOrderListSystem Reserved    11/4/2008 16:51 8 bytes Hidden from Windows API.
  4. HKLMSYSTEMControlSet001ServicesLgq43    11/4/2008 16:51 0 bytes Access is denied.
  5. HKLMSYSTEMControlSet002ControlGroupOrderListSystem Reserved    29/8/2008 19:44 8 bytes Hidden from Windows API.
  6. HKLMSYSTEMControlSet002ServicesLgq43    30/8/2008 19:07 0 bytes Access is denied.
  7. HKLMSYSTEMControlSet002ServicessptdCfg 21/4/2008 1:15  0 bytes Access is denied.
  8. HKLMSYSTEMControlSet004ControlGroupOrderListSystem Reserved    29/8/2008 19:44 8 bytes Hidden from Windows API.
  9. HKLMSYSTEMControlSet004ServicesLgq43    30/8/2008 19:07 0 bytes Access is denied.
  10. C:System Volume Information_restore{9E1D6D64-3E04-4212-B051-F5EC0343E73D}RP238A0105763.exe  25/3/2005 16:48 24.00 KB    Visible in Windows API, MFT, but not in directory index.
  11. D:$AVG8.VAULT$V_00000021.fil  30/8/2008 19:51 43.36 KB    Hidden from Windows API.
  12. D:$AVG8.VAULT$V_00000022.fil  30/8/2008 19:51 43.36 KB    Hidden from Windows API.
  13. D:Documents and SettingscarlosConfiguración localArchivos temporales de InternetContent.IE5LW9IJO51[1].htm    30/8/2008 19:52 231 bytes   Hidden from Windows API.
  14. D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengergermix15@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00150.log  30/8/2008 19:11 128.00 KB   Visible in Windows API, but not in MFT or directory index.
  15. D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00151.log  30/8/2008 19:27 128.00 KB   Visible in Windows API, but not in MFT or directory index.
  16. D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00152.log  30/8/2008 19:34 128.00 KB   Visible in Windows API, but not in MFT or directory index.
  17. D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00153.log  30/8/2008 19:40 128.00 KB   Visible in Windows API, but not in MFT or directory index.
  18. D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00158.log  30/8/2008 19:58 128.00 KB   Hidden from Windows API.
  19. D:Documents and SettingscarlosConfiguración localTempMessengerCachew6mjzHMKNpTe7RFCFuVTYmC72F5g= 30/8/2008 19:52 2.34 KB Hidden from Windows API.
  20. D:Documents and SettingsLocalServiceConfiguración localArchivos temporales de InternetContent.IE53C216RJSdual[1].jpg    28/9/2007 15:34 42.95 KB    Visible in Windows API, but not in MFT or directory index.
  21. D:Documents and SettingsLocalServiceConfiguración localArchivos temporales de InternetContent.IE53C216RJSdual[2].jpg    28/9/2007 15:55 42.95 KB    Visible in Windows API, but not in MFT or directory index.
  22. D:WINDOWSsystem32driversLgq43.sys   29/8/2008 18:49 164.00 KB   Hidden from Windows API.
  23.  
  24.  

Intente borrar el archivo Lgq43.sys desde dos con el hiren pero el archivo no existe, no se si lo creara cuando arranca windows con otro programa o estara escondido de alguna otra forma, mirando el msinfo32 aparece q el driver esta cargado. no hay manera de descargarlo si el driver no tiene una rutina de descarga implementada no?. pense en borrar la entrada de controlset/services con el editor de registro del hiren, pero si el archivo Lgq43.sys no existe aun sin iniciar el windows y hay otro proceso modulo o lo q sea q lo crea estaria dejando eso ahi... alguna sugerencia?? intente tmb interceptarlo con la defenza proactiva del kaspersky pero nada. Tambien mire con el LoadOrder de sysinternals y el drivers se carga muy cerca de los primeros asi q tmp creo q el archivo se cree al iniciar windows. Muchas Gracias

PD cuando intento entrar al chat me dice q ya otro usuario logueado con ese nombre...

edito:
PD2 perdon me habia olvidado de la seccion virus en seguridad y criptografia.

F_Tanori

  • Moderador
  • ******
  • Mensajes: 1919
  • Nacionalidad: mx
    • Ver Perfil
Re: Quitar virus revelde
« Respuesta #1 en: Lunes 8 de Septiembre de 2008, 00:47 »
0
Puedes revisar con hijackthis (e incluso publicar tu log) y remover todo lo que sea basura
http://hijackthis.softonic.com/

Tambien el Autoruns, te puede ayudar a quitar elementos que se cargan al iniciar
http://technet.microsoft.com/en-us/sysi ... 63902.aspx

Unlocker, tambien es de ayuda para desbloquera archivos que estan protegidos por otro proceso, y pode eliminarlos o renombrarlos
http://unlocker.uptodown.com/


Saludos
" ExIsTo y A vEcEs PiEnSo "

NOTA:
===========================================================================================================================
Este foro es para ayudar, aprender, compartir... usenlo para eso,
NO SE RESUELVEN DUDAS POR MENSAJE PRIVADO Y MENOS POR CORREO
===========================================================================================================================

edge master

  • Nuevo Miembro
  • *
  • Mensajes: 13
    • Ver Perfil
Re: Quitar virus revelde
« Respuesta #2 en: Martes 9 de Septiembre de 2008, 05:19 »
0
Muchas gracias, ya probe todo, no hubo forma. Esta por todos lados, deshabilito algo y por algun otro lado lo habilita.
Voy a reinstalar y me quedo seguro q saque cualquier amenaza.
Muchas gracias otra vez, saludos.

shadow_rev

  • Miembro MUY activo
  • ***
  • Mensajes: 397
  • Nacionalidad: co
  • Un SPARTAN no muere en combate
    • Ver Perfil
    • http://shadowrev.blogspot.com
Re: Quitar virus revelde
« Respuesta #3 en: Martes 9 de Septiembre de 2008, 21:26 »
0
Procura también purgar pendrives y otras particiones, ya sea con una herramienta antivirus que corra como un disco de booteo, o a mano (con un LiveCD de Linux, que es inmune a los virus de Windows), o no habrá valido la pena la reinstalada (y lo digo por experiencia propia).

:suerte:
Volará quien le ponga alas a sus sueños (Candidate for goddess)
Si el mal existe en este mundo, reside en el corazón de la humanidad (Edward D. Morrison - Tales of Phantasia)
Lo único que puedes cambiar del pasado, es lo que sientes por él en el presente (Lockon Stratos - Mobile Suit Gundam 00)
Ingeniero de Sistemas