Problema por Hacktool.Rootkit reportado XNorton(SOLUCIONADO)

Cerrado
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 22 Ago 2007, 06:26

Pues como que estan todos en el RESTORE, desactiva la restauracion de sistema, arranca en modo seguro con funciones de Red y con este antivirus que lo has detectado, lanzalo que asi podras eliminarlos



Luego no te olvides de volver a activar la restauracion de sistema para ir teniendo puntos de restauracion, a los cuales acceder en caso de neesidad.



y nos cuentas el resultado, gracias



saludos



ms, 22-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 22 Ago 2007, 14:28

Buenas a todos y gracias por toda la ayuda,



Resulta que SI todos los archivos detectados estan en el _Restore, [b]pero yo nunca he tenido la opcion de RESTAURAR SISTEMA ACTIVADA.[/b]



YO he corrido este antivirus TOTALSCAN en Modo Seguro con Funciones de Red, pero cuando termina el proceso de Analisis y te reporta la deteccion de archivos infectados, te da la opcion de DESINFECTAR pero te informa que tienes que ser miembro de TOTALSCAN lo cual ya hice pero hasta que no confirmes a traves de E-Mail que ellos te mandan el cual nunca me ha llegado y no es por problemas de error en el correo porque cuando intento registrame de nuevo me dice que ya estoy registrado y me da el mismo mensaje de confirmacion y he tratado de hacerlo con otro correo y dice lo mismo.



Saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 22 Ago 2007, 18:25

Y con el de CAI no te lo detecta de la misma manera ???





[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]





saludos



ms, 22-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 22 Ago 2007, 20:06

[b]No con el CAI no detecta absolutamente nada por eso es que en el mensaje anterior especifique,

con cual link es que me permite detectarlo y [u]recuerda YO nunca he tenido activado el RESTAURAR SISTEMA[/u].[/b]

[quote]Ese link que me colocan para correr online, no me arroja ningun problema el que lo arroja es este link:



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus// que despues de correr el NANOSCAN te da una opcion de correr el TOTALSCAN en este link:



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/analisis.aspx?type=allpc



y da estos resultados:



ANALYSIS: 2007-08-21 10:43:08

PROTECTIONS: 1

MALWARE: 3

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Norton Internet Security 2007 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002846.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe

;===================================================================================================================================================================================

SUSPECTS

Location



Hazte miembro de TotalScan Pro y disfruta de la máxima capacidad de detección y desinfección:



Detecta más de 1.100.000 virus, spyware, troyanos y otras amenazas.

Actualizaciones continuas: más de 2.500 virus nuevos por día.

Incluye desinfección.



Compra TotalScan Pro y hazte miembro.





El online que me indico msc no arroja ningun resultado. :!: :!: Que hago :!: :!: [/quote]


[b]Si existe alguna otra herramienta o hay algun otro antivirus conque los pueda eliminar diganme.[/b]



[b]Tambien queria preguntarte algo porque me he puesto a leer algunos post del foro, porque cuando yo corri el Elistart y el Elitrip el scanner que hace le hace al disco C:\ solo llega hasta el Document and Settings y no continua a los otros archivos que existe en el disco como la carpeta de WINDOWS.[/b]

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 24 Ago 2007, 21:16

Pues bueno, si no lo detectas con lo que tienes a mano, como que por otro lado te dicen que estña infectado, los eliminas y listos.



Para ello desactiva la restauracion de sistema (comprueba que la casilla esté marcada), arrancas en modo seguro, de vas a la carpeta indicada y borras todos estos ficheros y listos.



Sobre el que no te pase de un punto determinado el escaneo, puede que se pierda fuera del disco duro si esta mal asignado y le indica que el trozo siguiente está en un sector inexistente, y va y no puede volver...



Prueba una comprobaicon de errores y desfragmenta, tras ello igual se habrña corregido y lo ana,izara todo, como debe ser:



MIPC-> Boton derecho sobre unidad C-> Propiedades-> Herramientas -> Comprobar errores/desfragmentar



y nos informas del resultado, gracias



saludos



m,s, 24-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 24 Ago 2007, 22:23

Amigos perdonen el fastidio pero si hubiese podido hacer eso que me dices de borrar los ficheros de la [b]Carpeta C:\System Volume Information,[/b] la cual creo que es la carpeta que se usa, cuando tu [u]restauras el sistema [/u]a un punto anterior especifico, ya lo hubiese hecho, pero resulta que no puedo accesar dicha carpeta porque me dice [b]"no puedo tener acceso a C:\System Volume Information. Acceso Denegado"[/b].



Tambien todas las cosas que he hecho, las he hecho en modo Seguro.



Como les habia dicho YO nunca he tenido activada la [u]Restauracion de Sistema [/u]y ahora creo que si la activo y hago una restauracion desde un punto anterior despues de activada [u]voy a activar con ello el VIRUS [/u]que existe en las carpetas reportadas en el SYSTEM VOLUME INFORMATION.



Las cuentas inhabilitadas anteriormente continuan igual ya las probe y estan iguales.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 25 Ago 2007, 10:36

No se pretende que restaure nada, solo que desactive la restauracion del sistema, marcando la casilla en cuestion, para poder acceder a la carpeta del RESTORE y eliminar su contenido



Fijese que le decimos marcar la casilla, que equivale a desactivar la restauracion



Bueno, si ya está claro lo hace y si no, comentenos su duda, gracias



saludos



ms, 25-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 25 Ago 2007, 14:12

mi duda es que yo tengo marcado [b](desactivada)[/b] la restauracion del sistema y no tengo acceso a la carpeta,

que debo hacer activarla para tener acceso a la misma y luego que elimine los archivos la activo.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 25 Ago 2007, 19:48

No, si tiene marcada la casilla (desactivada la restauracion) y arranca en modo seguro como Administrador, debe poder acceder a dicha carpeta y eliminar su contenido.



saludos



ms, 25-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 26 Ago 2007, 07:23

La Cuenta de Usuario que estoy utilizando [u]tiene privilegios de Administrador y estoy en modo seguro [/u]y no tengo acceso a la Carpeta C:\System Volume Information para eliminar estos archivos. :?: :?:



Ya probe con la cuenta Administrador en Modo Seguro y no puedo [u]ni siquiera ver esta carpeta [/u]y he tratado de activarla en la opcion de Opciones de Carpeta y no permite ver los archivos ocultos del Sistema. :?: :?:



Saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 26 Ago 2007, 07:28

Y por supuesto tienes la Restauracion de sistema desactivada ... pues algo no va bien en tu maquina



Prueba ejecutando en SRESTORE a ver si tras ello puedes:





SRESTORE.EXE

http://www.zonavirus.com/descargas/srestore.asp



saludos



ms, 26-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 26 Ago 2007, 07:40

Ya lo corri [b]el SRESTORE [/b]y activo la casilla de Restaurar el Sistema debo ahora desactivarla para probar a ver si tengo acceso. Ya estoy en Modo Seguro con opciones de Red.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 26 Ago 2007, 07:46

A ver que el lenguaje aquí es crítico:



Dice "Ya lo corri el SRESTORE y activo la casilla de Restaurar el Sistema debo ahora desactivarla para probar a ver si tengo acceso. Ya estoy en Modo Seguro con opciones de Red. "



quiere decir que ha activado la casilla o que la activa Vd, o sea si ya la activó, y en tal caso si activó la casilla tiene desactivada la restauracion, dejela así, aranque en modo seguro y pruebe la eliminacion



saludos



ms, 26-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 26 Ago 2007, 08:51

Como te lo habia dicho antes, desde que compre la maquina en [u]la opcion de Restaurar Sistema habia un tilde en la opcion de DESACTIVAR RESTAURAR SISTEMA[/u], lo que para mi significa que esta [b]desactivado[/b].



Ahora que ejecute [b]el SRESTORE [/b]que me sugeriste en el mensaje anterior lo que veo es que me activo o quito el tilde a la opcion de RESTAURAR SISTEMA, lo que significa para mi que [u]esta activada la opcion de RESTAURAR SISTEMA[/u].



Que debo hacer porque ahora esta diferente que como estaba antes, te anexo imagen de la pantalla.



Saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 26 Ago 2007, 09:57

Entendidos, es que es un poco raro lo que te pasa, pues vuelve a ejecutar el SRESTORE, con lo cual se desactivara la restauracion, y si tras ello arrancas en modo seguro y mira si puedes eliminar los ficheros del RESTORE, o es que no ves ficheros allí ???



saludos



ms, 26-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 26 Ago 2007, 10:10

Gracias por toda la ayuda.



Ok, ya ejecute el SRESTORE de nuevo y me coloco un tilde en la casilla de [b]DESACTIVAR RESTAURAR EL SISTEMA [/b].



Te informo ya YO estaba en MODO SEGURO y hice algo antes de que me contestaras,



Revisando las [u]PROPIEDADES[/u] de la carpeta C:\System Volume Information [u]VI que en la ficha se Seguridad [/u]solo tenia acceso System entoces procedi a agregar mi Cuenta de Usuario y me acepto todo, ahora puedo accesar dicha carpeta y puedo ver los archivos que estan infectados.



[u][b]PROCEDO A ELIMINARLOS SIN NINGUN PROBLEMA [/b][/u]

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 26 Ago 2007, 11:01

Por esto te dije si los veias ...



Me temia que tuvieran atributos de HIDDEN o SYSTEM y por esto no los pudieras eliminar,



Bueno pues al fin !



Normalmente los eliminamos con el antivirus que los detecta, que le importan poco los atributos, pero en tu caso al no poder hacerlo con el antivirus, se tenía que hacer a mano y ha resultado mas costoso pero instructivo ! :wink:



Pues damos por solucionado el Tema y procedemos a borrarlo



saludos



ms, 26-08-2007

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”