Hola,

Ayer pasando el AVG Anti-Rootkit, me salió q tenia un driver oculto en \windows\system32\drivers\[cambia de nombre].SYS.

Le doy a borrarle, y al reiniciar, aparece de nuevo, pero con otro nombre, y eso si, siempre d 8 letras (letras y numeros).

LLevo mucho tiempo leyendo el foro, asi q ido haciendo las cosas q se recomiendan, pero ayer me fue imposible encontrar una solucion para este posible rootkit.

He desactivado Restaurar el sistema. Luego he pasado el Panda Online, el Ewido Online, Kaspersky Online, S&D, el Panda Anti-Rootkit, el Nano y el TotalScan, el Sophos Anti-Rootkit, el F-Secure Anti-Rootkit, incluso he usado ComboFix y SDFix. En ninguno de ellos aparece este posible rootkit, solo en el d AVG.
Alguien sabe q puede ser o q puedo pasar x alto?.

Un saludo .

Bueno, me respondo yo mismo.

He entrado en el registro con regedit, y he buscado la cadena d las 8 letras q me salia con AVG.

Lo q me salia era algo relacionado con los dispositivos SCSI, y entonces pense q a lo mejor podia estar relacionado con las Daemon Tools.

Asi q las desintalé, y dicho y hecho, AVG ya no decia nada. Luego debe ser q el Daemon instala d manera oculta el driver para la emulacion.

Espero q esto le pueda servir a alguien mas.

Un saludo a todos .

Hola.

Realiza lo siguiente :

• Descarga "Sysinternals RootkitRevealer"
• Descomprime el zip.
• Ejecuta RootkitRevealer.exe
• Aceptas las Licencia
• Click en "Scan"
• Una vez que termino el scan .
  • Pestaña "File" , "Save" guardalo en C:\
  • Ve a C:\ , busca el Reporte con el Nombre de la Aplicacion
  • El contenido del Reporte (NotePad) , lo copias y pegas aqui

Salu2!
No olvides volver.

Wenas Angel Doze,

El AVG me deja eliminarlo, pero al reiniciar y escanear, me vuelve a aparecer.

Lo que hice fue meterme en el registro, y buscar las cadenas d texto pero sin la extension SYS (cada vez q el nombre cambiaba), y aparecia y desaparecia cuando el Daemon Tools estaba o no instalado. Deber ser para q no lo detecten las protecciones d los juegos, digo yo.

D todos modos, he pasado el Rootkit Revealer de Sysinternals, y cuando le digo q me guarde el informe, da un error la aplicacion, y no guarda el txt.

Si quieres, adjunto una imagen jpg para q lo veas.

1 saludo.

Hola tom942 con permiso del comper Angel Doze

Has lo siguiente:

Si has tenido problemas con el Rootkit Revealer de Sysinternals usa este

• Descargate e instala Avira antirootkit
• Dirigete a inicio-todos los programas-Avira Rootkit Detection y ejecuta el programa.
• Al finalizar haces clic en View report y colocas aqui el reporte que te genero

Y tomas la captura de imagen y la pegas aqui siguiendo las indicaciones de este tuto ¿Cómo subir imágenes al Foro? *TUTORIAL*

Salu2

Aqui estoy d nuevo. Aqui dejo el enlace a la captura del Rootkit Revealer:



Y aqui os pego el informe generado por el Avira:

Avira AntiRootkit Tool - Beta (1.0.1.17)

================================================== ================================================== ====
- Scan started miércoles, 26 de diciembre de 2007 - 23:43:46
================================================== ================================================== ====

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 19.99 GB
- Working disk free size : 4.29 GB (21 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/83886
Registry items: 0/366031
Processes: 0/30
Scan time: 00:03:29
--------------------------------------------------------------------------------------------------------
Active processes:
- yjanbofl.exe (PID 1524) (Avira AntiRootkit Tool - Beta)
- System (PID 4)
- smss.exe (PID 576)
- csrss.exe (PID 648)
- winlogon.exe (PID 676)
- services.exe (PID 720)
- lsass.exe (PID 732)
- ati2evxx.exe (PID 884)
- svchost.exe (PID 900)
- svchost.exe (PID 1004)
- MsMpEng.exe (PID 1084)
- svchost.exe (PID 1140)
- svchost.exe (PID 1200)
- ati2evxx.exe (PID 1280)
- svchost.exe (PID 1344)
- aawservice.exe (PID 1620)
- explorer.exe (PID 1676)
- spoolsv.exe (PID 1836)
- soundman.exe (PID 2024)
- jusched.exe (PID 144)
- MOM.exe (PID 188)
- ctfmon.exe (PID 212)
- daemon.exe (PID 220)
- CCC.exe (PID 388)
- PDAgent.exe (PID 1120)
- alg.exe (PID 2280)
- TOTALCMD.EXE (PID 340)
- msnmsgr.exe (PID 3716)
- svchost.exe (PID 3128)
- avirarkd.exe (PID 1636)
================================================== ================================================== ====
- Scan finished miércoles, 26 de diciembre de 2007 - 23:47:16
================================================== ================================================== ====


Bueno, espero q vosotros veais algo q a mi se me haya pasado x alto.

1 saludo.

Hola.

• Descargar ELISTARA.EXE
  (en la parte de abajo de la página web)
  • Guardalo en el escritorio de windows
  • Ejecutalo, espera a que termine el scan.
  • Cuando termines, reinicia el pc .
  • Busca el archivo infoSat.txt (q se situa en Mi PC > C:\ )
  • El contenido del reporte lo pegas aqui mismo.

Salu2!

Aqui dejo el log del ElistarA.exe:


Wed Dec 26 02:14:13 2007
EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Wed Dec 26 02:14:20 2007
EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios: 6812
Nº Total de Ficheros: 43272
Nº de Ficheros Analizados: 11513
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Dec 27 02:18:52 2007
EliStartPage v15.31 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminados Ficheros Temporales del IE

Thu Dec 27 02:18:56 2007
EliStartPage v15.31 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 3
Nº Total de Ficheros: 20
Nº de Ficheros Analizados: 5
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Dec 27 02:19:02 2007
EliStartPage v15.31 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\Archivos de programa\DVD-RB PRO\Encoders\EclPro\ECLPRO.EXE --> Eliminado, YahLover(worm)
D:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus
D:\Archivos de programa\TID\Kag\KAGTCPIP.DLL --> Eliminado, Proxy.OSS

Nº Total de Directorios: 6897
Nº Total de Ficheros: 43361
Nº de Ficheros Analizados: 15555
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 3

1 saludo.

Hola.

1. Dime si el AVG antirootkit , te detecta todavia el Rootkit ?
2. El MSN Plus 3 , es malicioso , si lo tienes instalado , sacalo de tu pc , y elimina todo lo relacionado con el.

Realiza esto :

• Descarga "PrevexCSI"
  • Click en "OK"
  • Ejecuta el "PrevexCSIFREE"
  • Acepta los terminos y condiciones (Accept the Terms & Conditions )
  • Dale click en "Scan Now"
  • Espera a que inicie el Escaneo
  • Al Terminar el Scan , Click en "Last Scan Results"
  • El Resultado que te muestra en la Pag web , lo copias y pegas aqui.
  • Para Finalizar presiona "Finish"

Salu2!

El AVG aun me detecta el rootkit. Solo desaparece si desinstalo las Daemon Tools.

He pasado el PrevxCSI y este es el log:

Your CSI Scan Returned Clean!
No active infections were found on your last scan.

We recommend that you use the automatic scan feature of Prevx CSI to check your PC everyday to ensure it stays clean.

To purchase a Prevx CSI cleanup license click the Buy Now button below.

Buy Now »1 year cleanup for US $24.95

To buy a license for use on more than one PC or to renew a license Click Here »
Computer Name PC1
Security Product No Recognised Security Product Reported
Windows Windows XP Professional Service Pack 2 (Build 2600) 32bit
Scans 2 (First Scan: Dec 27 9:32 UCT Last Scan: Dec 27 9:40 UCT)
Files Checked 3,734
Bad Files 0
Your Computer Status CLEAN.

1 saludo.