SoloCodigo

Sistemas Operativos => Windows => Mensaje iniciado por: edge master en Domingo 7 de Septiembre de 2008, 21:00

Título: Quitar virus revelde
Publicado por: edge master en Domingo 7 de Septiembre de 2008, 21:00
Pasando el rootkitreveal en la pc de mi padre me di cuenta q tiene uno(o mas) rootkits. No se como sacarlo de alguna manera mas o menos limpia, aca esta el resultado:

Código: Text
  1. HKLMSECURITYPolicySecretsSAC*   20/8/2007 0:39  0 bytes Key name contains embedded nulls (*)
  2. HKLMSECURITYPolicySecretsSAI*   20/8/2007 0:39  0 bytes Key name contains embedded nulls (*)
  3. HKLMSYSTEMControlSet001ControlGroupOrderListSystem Reserved    11/4/2008 16:51 8 bytes Hidden from Windows API.
  4. HKLMSYSTEMControlSet001ServicesLgq43    11/4/2008 16:51 0 bytes Access is denied.
  5. HKLMSYSTEMControlSet002ControlGroupOrderListSystem Reserved    29/8/2008 19:44 8 bytes Hidden from Windows API.
  6. HKLMSYSTEMControlSet002ServicesLgq43    30/8/2008 19:07 0 bytes Access is denied.
  7. HKLMSYSTEMControlSet002ServicessptdCfg 21/4/2008 1:15  0 bytes Access is denied.
  8. HKLMSYSTEMControlSet004ControlGroupOrderListSystem Reserved    29/8/2008 19:44 8 bytes Hidden from Windows API.
  9. HKLMSYSTEMControlSet004ServicesLgq43    30/8/2008 19:07 0 bytes Access is denied.
  10. C:System Volume Information_restore{9E1D6D64-3E04-4212-B051-F5EC0343E73D}RP238A0105763.exe  25/3/2005 16:48 24.00 KB    Visible in Windows API, MFT, but not in directory index.
  11. D:$AVG8.VAULT$V_00000021.fil  30/8/2008 19:51 43.36 KB    Hidden from Windows API.
  12. D:$AVG8.VAULT$V_00000022.fil  30/8/2008 19:51 43.36 KB    Hidden from Windows API.
  13. D:Documents and SettingscarlosConfiguración localArchivos temporales de InternetContent.IE5LW9IJO51[1].htm    30/8/2008 19:52 231 bytes   Hidden from Windows API.
  14. D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengergermix15@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00150.log  30/8/2008 19:11 128.00 KB   Visible in Windows API, but not in MFT or directory index.
  15. D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00151.log  30/8/2008 19:27 128.00 KB   Visible in Windows API, but not in MFT or directory index.
  16. D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00152.log  30/8/2008 19:34 128.00 KB   Visible in Windows API, but not in MFT or directory index.
  17. D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00153.log  30/8/2008 19:40 128.00 KB   Visible in Windows API, but not in MFT or directory index.
  18. D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00158.log  30/8/2008 19:58 128.00 KB   Hidden from Windows API.
  19. D:Documents and SettingscarlosConfiguración localTempMessengerCachew6mjzHMKNpTe7RFCFuVTYmC72F5g= 30/8/2008 19:52 2.34 KB Hidden from Windows API.
  20. D:Documents and SettingsLocalServiceConfiguración localArchivos temporales de InternetContent.IE53C216RJSdual[1].jpg    28/9/2007 15:34 42.95 KB    Visible in Windows API, but not in MFT or directory index.
  21. D:Documents and SettingsLocalServiceConfiguración localArchivos temporales de InternetContent.IE53C216RJSdual[2].jpg    28/9/2007 15:55 42.95 KB    Visible in Windows API, but not in MFT or directory index.
  22. D:WINDOWSsystem32driversLgq43.sys   29/8/2008 18:49 164.00 KB   Hidden from Windows API.
  23.  
  24.  

Intente borrar el archivo Lgq43.sys desde dos con el hiren pero el archivo no existe, no se si lo creara cuando arranca windows con otro programa o estara escondido de alguna otra forma, mirando el msinfo32 aparece q el driver esta cargado. no hay manera de descargarlo si el driver no tiene una rutina de descarga implementada no?. pense en borrar la entrada de controlset/services con el editor de registro del hiren, pero si el archivo Lgq43.sys no existe aun sin iniciar el windows y hay otro proceso modulo o lo q sea q lo crea estaria dejando eso ahi... alguna sugerencia?? intente tmb interceptarlo con la defenza proactiva del kaspersky pero nada. Tambien mire con el LoadOrder de sysinternals y el drivers se carga muy cerca de los primeros asi q tmp creo q el archivo se cree al iniciar windows. Muchas Gracias

PD cuando intento entrar al chat me dice q ya otro usuario logueado con ese nombre...

edito:
PD2 perdon me habia olvidado de la seccion virus en seguridad y criptografia.
Título: Re: Quitar virus revelde
Publicado por: F_Tanori en Lunes 8 de Septiembre de 2008, 00:47
Puedes revisar con hijackthis (e incluso publicar tu log) y remover todo lo que sea basura
http://hijackthis.softonic.com/ (http://hijackthis.softonic.com/" onclick="window.open(this.href);return false;)

Tambien el Autoruns, te puede ayudar a quitar elementos que se cargan al iniciar
http://technet.microsoft.com/en-us/sysi ... 63902.aspx (http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx" onclick="window.open(this.href);return false;)

Unlocker, tambien es de ayuda para desbloquera archivos que estan protegidos por otro proceso, y pode eliminarlos o renombrarlos
http://unlocker.uptodown.com/ (http://unlocker.uptodown.com/" onclick="window.open(this.href);return false;)


Saludos
Título: Re: Quitar virus revelde
Publicado por: edge master en Martes 9 de Septiembre de 2008, 05:19
Muchas gracias, ya probe todo, no hubo forma. Esta por todos lados, deshabilito algo y por algun otro lado lo habilita.
Voy a reinstalar y me quedo seguro q saque cualquier amenaza.
Muchas gracias otra vez, saludos.
Título: Re: Quitar virus revelde
Publicado por: shadow_rev en Martes 9 de Septiembre de 2008, 21:26
Procura también purgar pendrives y otras particiones, ya sea con una herramienta antivirus que corra como un disco de booteo, o a mano (con un LiveCD de Linux, que es inmune a los virus de Windows), o no habrá valido la pena la reinstalada (y lo digo por experiencia propia).

:suerte: