carpeta protegida

Jose_minglein · Mensaje por **Jose_minglein** » 05 Abr 2006, 11:28

Hola, tengo un virus en una máquina, el cual es detectado por AVG y con el ElistarA, detectado en windows/system32 y llamada ??stem. El caso es que dice que está protegida y no lo puede eliminar ni uno ni otro.

Lo he montado el disco como esclavo en otra máquina y sigue en las mismas, sin poder acceder.

Desde el exporador de windows no se ve la carpeta (ni aun seleccionado ver todo de todo) pero desde la consola si, pero en la consola le hago un del ??stem y a pesar de quen lanza ningun error, tampoco se borra.

Ya no se que hacer.

¿Alguna ayuda??Gracias.

Mensaje por **msc hotline sat** » 05 Abr 2006, 12:33

Verás, no es real el nombre de ??stem.exe como nombre de un fichero, sino que los dos interrogantes son caracteres graficos que visualiza en lugar de un código determinado que tiene como dos primeas letras de dicho fichero.

Para evitarlo, si arrancas en modo seguro no estará en marcha el virus y podrás encontrar el fichero biscandolo independientemente de las dos primeras letras de su nombre, dentro de la carpeta donde lo haya detectado

Mora de copiarlo a una carpeta de cuarentena y lo eliminas de la de sistema para que al arrancar ya no lo pueda cargar en memoria,

Tras ello reinicias y si lo tyienes en docha carpeta de cuiartenta, dinoslo y te indicaremos referencia para que nos lo puedas enviar y lo examinaremos para impolenentar su control y eliminacion en nuestras utilidades

Aparte de ello, posteanos como respuesta de este tema el contenido del C:\infosat.txt oara que veamos donde y como lo detecta el ELISTARA, gracias

saludos

ms, 5-4-2006

PD y dinos el nombre con el que lo detecta el AVG. ms

Jose_minglein · Mensaje por **Jose_minglein** » 05 Abr 2006, 12:56

Gracias, pero el ??stem es una carpeta, el archivo infectado dice que es smss.exe (como el de system32), y si lo arranco a modo a prueba de fallos, hace los mismo, es más poniendo el disco duro como esclavo hace lo mismo. Perdón si no me he explicado bien.

Mensaje por **msc hotline sat** » 05 Abr 2006, 13:50

No nos dice el nombre del virus, (no el nombre del fichero), pero seguro que se trata de un bacldoor de IRC que se intenta ocultar en esta carpeta con el nomvre de un fichero de sistema, como hacen tantos otros...

Pruebe nuestro ELITRIIP.EXE y comentenos el resultado, gracias

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

y si lke pide enviar muestras, hagalo y las examinaremos e implenentaremos su control y eliminacion en la proxima version

Comentenos el resultado en cualquier caso, gracias

saludos

ms, 5-4-2006

Jose_minglein · Mensaje por **Jose_minglein** » 05 Abr 2006, 17:13

Si que me ha dicho lo de las muestras, pero no puedo conectar la máquina ha internet puesto que me satura el router y me lo cuelga. El virus que dice que es, es VNG (nunca lo había oido), creo que voy a formatear, porque llevo ya un dia liado con el tema. Pero si puedo envio el archivo.

Un saludo.

Mensaje por **msc hotline sat** » 05 Abr 2006, 17:39

pUEDES COPIARLAS A UM DISQUETE Y ENVIARNOSLAS DESDE OTRA MAQUINA, QUE NO VA A INFECTARSE POR ELLO !!!

Y si solo es eso, ahorrate formatear. TE harenmos la utilidad eliminadora, la lanzas y listos.

saludos

ms,. 5-4-2006