Hola, les cuento un problema que tengo y espero que me ayuden a solucionar.
Estuve actualizando los drivers y buscando en internet me topé con esta página: hxxp://www.ma-config.com/es
Pues bien, todo iba perfecto hasta que actualicé el controlador de audio e inmediatamente avast me indicó que había una amenaza de un rookit
y que debía hacer un análisis durante el arranque y pues así lo hice, y para mi sorpresa no me detectó nada, aun cuando se me indicó de una posible amenaza. El caso es que quedé con la duda y descargué el Avg anti rootkit free, y me indicó que sí había un rootkit en mi pc, ubicado en la carpeta
C:\Windows\System32\Drivers y cuando lo elimino debo reiniciar la pc luego me indica que se eliminó pero cuando vuelvo a analizar con el Avg anti rootkit free me aparece en la misma carpeta otro rootkit con diferente nombre, y así sucesivamente, todos tienen la extensión . SYS, lo cual me hace intuir que el rootkit no es eliminado sino renombrado, y sigue allí para hacer no se que cosa pero no creo que sea para mejorar mi pc.
He buscado otras opciones y me topé con el TDSSKiller de Kaspersky y me detectó una amenaza pero no la que de verdad quiero eliminar, aunque con éste último si tuve éxito, pero el caso es que la carpeta C:\Windows\System32\Drivers sigue contaminada con un rootkit que de paso está oculto y no puedo eliminar manualmente al identificarlo. He estado leyendo de otros anti rootkits y he leído sobre el GMER, aunque por lo que he leído es posible que si algo no sale bien, quizá sea peor el remedio que la enfermedad, y no deseo quedarme sin pc, jeje…
La verdad es incómodo esto ya que para colmo el Centro de actividades me señala que no tengo un antivirus protegiendo mi equipo, lo cual es falso ya que tengo el avast! aunque hice una prueba abriendo páginas sospechosas y el avast! sigue protegiendo mi pc, pero lamentablemente falló al eliminar un simple rootkit. Así que lo único que hice fue desactivar los mensajes sobre protección antivirus. El Malwarebytes tampoco me detectó nada, descargué una opción anti rootkits que trae y solo me eliminó algo de alguna de las extensiones del Google Chrome.
Espero si alguno de ustedes tiene conocimientos y le ha pasado algo parecido o tiene experiencia con este tipo de situaciones me ayude a solucionar este problema que ya me tiene con dolores de cabeza por decir lo menos… Lo cierto es que me parece increíble que sea imposible eliminar un simple rootkit!!!
Antes que nada modifique por favor la url y cambia “http” por “hxxp” para evitar que otros usuarios puedan acceder por si la web estuviese infectada. A mi no me aparece ninguna infección pero aún así, para prevenir, cambie el enlace por favor.
No sé si el rootkit infectó su equipo desde esa web o por otro medio, pero el caso es que si está infectado tiene que seguir un procedimiento pre-establecido.
El problema con los rootkits es identificar la familia a la que pertenecen y su versión, es debido a eso que existen tantas herramientas para prevenirlos y eliminarlos. Eliminar un rootkit no es tán sencillo como muchos piensan y tampoco se soluciona “formateando” el pc como muchos piensan erróneamente. Se necesita de un método de desinfección avanzados y unas herramientas especificas. Avast tiene una herramienta muy buena para eliminar rootkits, la aswmBR.
En cuanto lo de si tenemos conocimientos o no, es irrelevante aquí ya que, aunque en mi caso los tengo debido a que es mi profesión, no tengo permitido ayudar en desinfecciones en el foro, ni yo ni nadie. Para ello existe un foro específico y un procedimiento a seguir.
Lo cierto es que me parece increíble que sea imposible eliminar un simple rootkit!!!
Los rootkits de simples no tienen nada… De hecho, son las amenazas más difíciles de limpiar y sobre todo de detectar y eso sin contar con que son consideradas también como las más peligrosas.[b]
El procedimiento a seguir en caso de infección el siguiente:
[/b]
Tiene que leer y seguir paso a paso las instrucciones que encontrará en la siguiente guía
Descargue y ejecute los programas mencionados en la guía: Malwarebytes, OTL y aswmBR.exe.
Los resultados de los análisis que realice con estos programas, deberá anexarlos (no pegarlos) en un nuevo tópìco que deberá crear en el foro de virus & worms (en inglés) que encontrará aquí.
Si no sabe inglés podrá pedir ayuda en Infospyware que es un foro gratuito de habla español donde personal certificado le podrán ayudar.
Saludos y suerte!
Yo voy añadir otro tanto. Si no sabes lo que estas haciendo con un detector de rootkit como TDSSKiller, AVG antiroot KIT, Gmer ( el mismo que usa Avast! ) o aswmBR.exe ( una variacion de Gmer modificada por Essexboy ), puedes terminar con un ordenador de pisa papel. Todos estos programas tienden a detectar falsos/positivos y eliminar una de sus detecciones sin investigar mas a fondo el archivo puede llevar a peores problemas en el sistema.
Sigue las recomendaciones de Populous y busca ayuda de un specialista.
Gracias Populous, iroc9555 por su tiempo! Bien, ya he cambiado la url de http a hxxp para evitar problemas con otros usuarios! Aunque no creo que haya sido la página sino más bien, el sitio de donde me proporcionó el enlace para descargar el driver que actualicé y que posiblemente estaba infectado, así que les recomiendo a otros usuarios ser cautelosos. como dice el dicho todo lo gratis (barato) sale caro.
El Malwarebytes ya lo tengo instalado así que solo me falta por descargar los demás, el OTL y aswmBR.exe, y pues haré como me indicó Populous y luego les cuento como me fue.
Essexboy te ha contestado. El es el mejor e instructor de varias academias para remover malware. El vive en UK asi que lo mejor es estar pendiente durante la mañana porque en la noche no lo vas a conseguir.
Por lo que vi hasta ahora solo esta removiendo basura y un Babylon que tenias.
Bueno tu corristes OTL al principio y anexastes el reporte. De ese reporte el saco el script que tienes que copiar/pegar en el espacio vacio y esta ves de las a RUN FIX. El reporte lo vuelves anexar para que el vea si se elimino todo o algo mas salio a relucir.
No creo que te conteste hasta mañana. Son como las 12 de la noche en UK.
Ah, algo que debí hacer es enviarle la imagen del resultado que me dió el aswMBR, en la cual me aparecieron dos lineas en rojo,
posiblemente sean infecciones relacionadas con el rookit, pero mejor me dedico por los momentos a lo que me dijo essexboy…
No no. Despues que copias/pegas el escript o codigo con las reparaciones haces un quick scan solamente. Si ya lo hicistes con el codigo original no importa. Ese codigo es como una limpieza general de basura y restituir puntos de restauracion, etc.
Las lineas rojas de aswMBR son F/P que da con ciertos archivos y particiones de ordenadores de manufactorias como esta:
ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x862691f8]<<
No te adelantes a Eseexboy que estas en las mejores manos y no hagas nada hasta que el te lo pida.
Ya solucioné el problema, essexboy me dijo que ese driver oculto detectado por el avg anti rootkit no me daría problema alguno, pero estuve indagando y encontré alguien que tenía un problema parecido y todo era ocasionado por el programa Alcohol 120…
Así que problema resuelto!!!
Yo tengo también un problema similar, mi antivirus avast no elimina los rootkits, pero encontré ayuda leyendo este foro, seguí todos los pasos, descargué los programas: AdwCleaner, MBAM, OTL y aswMBR, hasta ahí, todo bien.
Pero cuando yo estaba escaneando con aswMBR, como a los 3-4 minutos de empezar el análisis, el programa dejó de funcionar y le hice clic en cerrar y buscar ayuda en Windows para arreglar el problema.
Siempre es mejor abrir un topico tuyo propio y no continuar un topico de otro miembro. Aunque el problema paresca el mismo casi nunca lo es.
Los reportes de esos programas tienen que ser anexados a un topico que abriras aqui si sabes ingles: http://forum.avast.com/index.php?board=4.0
Donde un especialista se encargara de darte mas instrucciones.
De todos esos programas, solo AdwCleaner y MBAM se ejecutaran para limpiar tu ordenador y ninguno es suficiente poderoso para limpiar un rootkit. Los otros dos, OTL y aswMBR (Nunca le des click a “FIXMBR”), son solo reportes para que el specialista sepa con que esta lidiando.
Si aswMBR no puede terminar el analisis en Modo Normal, trata en Modo Seguro ( Modo a prueba de fallas ).
Archivo de informe: C:\Documents and Settings\All Users\Datos de programa\Avast Software\Avast\report\aswBoot.txt
Analizar todas las unidades locales
El archivo C:\Documents and Settings\USUARIO\Datos de programa\okitspace\protect\PluginProtect.exe
esta infectado por Win32:Malware-gen
8 Reparar todo
Reparar: Error 42060 {El archivo no fue reparado.}
2 Corregir todo automaticamente
Movido al baul
El archivo C:\System Volume Information_restore{2566F642-F03A-49D5-8E35-634E09C86E3D}\RP746\A0331793.exe
esta infectado por Win32:Malware-gen
Reparar: Error 42060 {El archivo no fue reparado.}
Esc Salir:
…
…
Numero de archivos infectados 2
*[/b]
