ayuda con sccfg.sys

keyboards · Mensaje por **keyboards** » 19 Oct 2007, 19:11

hola por favor ayudenme con este problema pues ya intente por todos los medios y nomas no logro solucionarlo

detectado: una nueva amenaza Hidden.Object (modificado) Archivo: C:\sccfg.sys

cuando paso el kaspersky Internet Security 7.0 me sale ese mensaje y segun lo elimina pero al volver a prender la pc sigue igual detectandolo.

alguien puede ayudarme? se los agradeceria muchooooooooooooooooo

Mensaje por **msc hotline sat** » 19 Oct 2007, 19:41

Pues envianos dicho fichero C:\sccfg.sys y, tras analizarlo, implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos.

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 19-10-2007

nota: Ten presente que parece que estará oculto,

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

Mensaje por **msc hotline sat** » 19 Oct 2007, 20:12

Y como que puede estar relacionado con la aplicacion DRMServer.exe , mire si encuentra tambien dicho fichero y si es el caso, nos lo envia tambien.

Ojo, aparte de oculto, es RootKit, busque los dos arrancando en modo seguro !

saludos

ms, 19-10-2007

ver http://www.privsoft.com/archive/psc-drm.html

keyboards · Mensaje por **keyboards** » 19 Oct 2007, 21:32

hola ta les mande el archivo sccfg.sys y el que me piden que busque DRMServer.exe nomas no lo encuentro ni en modo a prueba de fallos.

Mensaje por **lucl** » 19 Oct 2007, 22:10

Bueno al menos enviaste uno, pues cuando llegue lo analizaran y te diran algo, saludos

Mensaje por **msc hotline sat** » 20 Oct 2007, 09:33

El lunes, de vuelta al trabajo, lo analizaremos, pero mientras renombra la extension de este fichero sccfg.sys a .VIR para que tras reiniciar ya no se ponga en uso.

saludos

ms, 20-10-2007

Mensaje por **msc hotline sat** » 22 Oct 2007, 13:16

Pues la muestra recibida solo tiene 72 bytes, donde no puede haber virus, mas bien puede ser un resto, borrelo sin mas, ya que no viene al caso controlarlo por cadenas (se empieza a partir de los 1024, y este ni llega !

Y tras ello reinicie y diganos si persiste algun problema, para obrar en consecuencia

saludos

ms, 22-10-2007

keyboards · Mensaje por **keyboards** » 22 Oct 2007, 15:46

hola ya hice lo que me dijeron y aqui el resultado:

en modo a prueba de fallos renombre el archivo como me dijeron y reinicie la pc pero al pasar el antivirus vuelve a aparecer osea que se regenera.

tambin probre eliminando el archivo en prueba de fallos y lo elimina per al reiniciar vuelve a aparecer.

todo lo anterior lo hice con la restauracion del sistema desactivado.

que podra ser?

Mensaje por **msc hotline sat** » 22 Oct 2007, 15:57

Al ser de tan poco tamaño no disponemos de herramientas para controlarlo, pero vamos a probar el truco del almendruco:

Tu elimina el fichero en modo seguro, y luego en el mismo lugar crea una carpeta con igual nombre y extension, asi no podrá crearse un fichero con igual nombre.

A ver que pasa, y nos cuentas el resultado, gracias

saludos

ms, 22-10-2007

keyboards · Mensaje por **keyboards** » 22 Oct 2007, 20:20

hola de nuevo ya hice lo que me dijeron y al parecer soluciono el problema.

cree la carpeta sccfg.sys

y al pasar el antivirus ya no lo detecta bueno detecta el archivo nuevamente pero ya no me dice que esta infectado y lo pasa por alto

otra cosa curiosa es que dicha carpeta que cree no se puede ver en sesion normal ni cambiando las opciones de carpeta.

solo se ve en modo seguro.

eso es bueno o malo?

digo para dar por terminado este tema

gracia nuevamente son los mejoressssssssssssssssssss

Mensaje por **msc hotline sat** » 22 Oct 2007, 20:39

Eso es porque hay un RootKity que te oculta el nombre, y asi al no verlo no sabes que está, pero con el truco, aunque no la veas, como que lo que hay es la carpeta, impide que se cree dcho fichero, y si con esto se impide el normal funcionamiento del troyano ...

No es muy tecnico pero es practico :wink:

saludos

ms, 22-10-2007