Sistemas Operativos > Windows
Quitar virus revelde
(1/1)
edge master:
Pasando el rootkitreveal en la pc de mi padre me di cuenta q tiene uno(o mas) rootkits. No se como sacarlo de alguna manera mas o menos limpia, aca esta el resultado:
--- Código: Text ---HKLMSECURITYPolicySecretsSAC* 20/8/2007 0:39 0 bytes Key name contains embedded nulls (*)HKLMSECURITYPolicySecretsSAI* 20/8/2007 0:39 0 bytes Key name contains embedded nulls (*)HKLMSYSTEMControlSet001ControlGroupOrderListSystem Reserved 11/4/2008 16:51 8 bytes Hidden from Windows API.HKLMSYSTEMControlSet001ServicesLgq43 11/4/2008 16:51 0 bytes Access is denied.HKLMSYSTEMControlSet002ControlGroupOrderListSystem Reserved 29/8/2008 19:44 8 bytes Hidden from Windows API.HKLMSYSTEMControlSet002ServicesLgq43 30/8/2008 19:07 0 bytes Access is denied.HKLMSYSTEMControlSet002ServicessptdCfg 21/4/2008 1:15 0 bytes Access is denied.HKLMSYSTEMControlSet004ControlGroupOrderListSystem Reserved 29/8/2008 19:44 8 bytes Hidden from Windows API.HKLMSYSTEMControlSet004ServicesLgq43 30/8/2008 19:07 0 bytes Access is denied.C:System Volume Information_restore{9E1D6D64-3E04-4212-B051-F5EC0343E73D}RP238A0105763.exe 25/3/2005 16:48 24.00 KB Visible in Windows API, MFT, but not in directory index.D:$AVG8.VAULT$V_00000021.fil 30/8/2008 19:51 43.36 KB Hidden from Windows API.D:$AVG8.VAULT$V_00000022.fil 30/8/2008 19:51 43.36 KB Hidden from Windows API.D:Documents and SettingscarlosConfiguración localArchivos temporales de InternetContent.IE5LW9IJO51[1].htm 30/8/2008 19:52 231 bytes Hidden from Windows API.D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengergermix15@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00150.log 30/8/2008 19:11 128.00 KB Visible in Windows API, but not in MFT or directory index.D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00151.log 30/8/2008 19:27 128.00 KB Visible in Windows API, but not in MFT or directory index.D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00152.log 30/8/2008 19:34 128.00 KB Visible in Windows API, but not in MFT or directory index.D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00153.log 30/8/2008 19:40 128.00 KB Visible in Windows API, but not in MFT or directory index.D:Documents and SettingscarlosConfiguración localDatos de programaMicrosoftMessengerxxxxxxxxx@hotmail.comSharingMetadataWorkingdatabase_1392_753F_D275_3361fsr00158.log 30/8/2008 19:58 128.00 KB Hidden from Windows API.D:Documents and SettingscarlosConfiguración localTempMessengerCachew6mjzHMKNpTe7RFCFuVTYmC72F5g= 30/8/2008 19:52 2.34 KB Hidden from Windows API.D:Documents and SettingsLocalServiceConfiguración localArchivos temporales de InternetContent.IE53C216RJSdual[1].jpg 28/9/2007 15:34 42.95 KB Visible in Windows API, but not in MFT or directory index.D:Documents and SettingsLocalServiceConfiguración localArchivos temporales de InternetContent.IE53C216RJSdual[2].jpg 28/9/2007 15:55 42.95 KB Visible in Windows API, but not in MFT or directory index.D:WINDOWSsystem32driversLgq43.sys 29/8/2008 18:49 164.00 KB Hidden from Windows API.
Intente borrar el archivo Lgq43.sys desde dos con el hiren pero el archivo no existe, no se si lo creara cuando arranca windows con otro programa o estara escondido de alguna otra forma, mirando el msinfo32 aparece q el driver esta cargado. no hay manera de descargarlo si el driver no tiene una rutina de descarga implementada no?. pense en borrar la entrada de controlset/services con el editor de registro del hiren, pero si el archivo Lgq43.sys no existe aun sin iniciar el windows y hay otro proceso modulo o lo q sea q lo crea estaria dejando eso ahi... alguna sugerencia?? intente tmb interceptarlo con la defenza proactiva del kaspersky pero nada. Tambien mire con el LoadOrder de sysinternals y el drivers se carga muy cerca de los primeros asi q tmp creo q el archivo se cree al iniciar windows. Muchas Gracias
PD cuando intento entrar al chat me dice q ya otro usuario logueado con ese nombre...
edito:
PD2 perdon me habia olvidado de la seccion virus en seguridad y criptografia.
F_Tanori:
Puedes revisar con hijackthis (e incluso publicar tu log) y remover todo lo que sea basura
http://hijackthis.softonic.com/
Tambien el Autoruns, te puede ayudar a quitar elementos que se cargan al iniciar
http://technet.microsoft.com/en-us/sysi ... 63902.aspx
Unlocker, tambien es de ayuda para desbloquera archivos que estan protegidos por otro proceso, y pode eliminarlos o renombrarlos
http://unlocker.uptodown.com/
Saludos
edge master:
Muchas gracias, ya probe todo, no hubo forma. Esta por todos lados, deshabilito algo y por algun otro lado lo habilita.
Voy a reinstalar y me quedo seguro q saque cualquier amenaza.
Muchas gracias otra vez, saludos.
shadow_rev:
Procura también purgar pendrives y otras particiones, ya sea con una herramienta antivirus que corra como un disco de booteo, o a mano (con un LiveCD de Linux, que es inmune a los virus de Windows), o no habrá valido la pena la reinstalada (y lo digo por experiencia propia).
:suerte:
Navegación
Ir a la versión completa