Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

El otro dia decia yo (pero muy "sucintamente") como hacer para entrar en la carpeta SYSTEM VOLUME INFORMATION (que desde Windows NO SE PUEDE).... y que es donde se alojan los RESTORE que son el escondite favorito de los virus (Por eso todos los antivirus recomiendan que se desactive la opcion restaurar en el windows antes de proceder a la eliminacion manual de los virus)

Ante todo les diré que nunca me cansare bastante de insistir en que en el "hard Disk" ("usease" disco duro) de una computadora es conveniente tenerlo como minimo particionado en dos particiones y respectivamente un sistema operativo instalado en cada particion (el mismo o diferente.... pero es mejor que sean diferentes.... y se lo digo por aquello de las dichosas "activaciones" puestas de moda por "Mocochof" a partir del windows XP...)
Porque es que resulta que lo que en una particion ... (la correspondiente al sistema operativo que está activo en ese momento) es una aplicacion activa (valga la "reburrancia") cuando se leen desde otra particion diferente son simples archivos como otro cualquiera... (inclusive los archivos propios del Windows)

Asi que imaginemos que tenemos dos particiones la C:\ nuestra particion de siempre.... donde instalamos el Windows XP con el que solemos trabajar.... Y la particion D:\ donde muy astutamente instalamos el windows 2000 Pro... porque no necesita activacion... pero sin embargo maneja todos los formatos de disco duro (FAT16... Fat32... NTFS 4.0 ... y NTFS 5.0...) por lo cual como "herramienta" para "reparar" el windows 2000 ... es una maravilla ...jejejeje (Algo asi como el disco de arranque del windows 98 que no falta en ningun laboratorio de reparaciones informaticas que se precie)
Y supongamos que en ese momento estamos trabajando con el Windows XP (nuestro sistema operativo de trabajo normal) y que pasamos nuestro antivirus y que ese antivirus nos encuentra un virus en determinada ubicacion de nuestro disco duro ... pero que por desgracia el pobre antivirus por mucho que se esfuerza... y lo intenta... no consigue eliminar.. (ni el virus ni el archivo infectado ...) pero nos indica perfectamente donde esta ubicado el "Bicho" o el archivo "bichado"...
Cuando nosotros vamos alli a esa ubicacion para eliminarlo manualmente nosotros mismos al "intruso" ... el Windows nos dice que el archivo NO SE PUEDE BORRAR porque en ese momento esta "ACTIVO"
Y si por casualidad el antivirus nos dice que el archivo infectado esta en la carpeta... <<archivos temporales de internet>> ... en content.IE5/carpeta/archivo... cuando nosotros vamos alli y abrimos "Archivos Temporales"... nos encontramos conque el mencionado "content.IE5".... ¡¡Ha desaparecido!!.... y lo que hay alli son "el ciento y la madre" de archivos entre los que tienes que buscar el "infectado" que "a lo peor"... el propio virus astutamente lo oculta a nuestra vista...

Entonces (si tenemos otro sistema operativo en otra particion del disco duro)... basta apagar la computadora y arrancar desde ese otro sistema operativo (situado como digo en otra particion del disco)
En el caso de nuestro ejemplo... el otro sistema operativo es el windows 2000 que como sabemos tenemos situado en la particion D:\ facilmente podemos encontrar (abriendo la unidad C:\ ) el "intruso" en nuestra computadora ...
E incluso vemos que al abrir << C:\Documents and setting \nombre de usuario\configuracion local\Archivos temporales de internet .... >> alli nos aparece perfectamente la carpeta "Content.IE5" (que operando desde el windows XP aparentemente no existia).... y dentro de ella... todas las carpetas temporales ... incluida la que el antivirus nos indicó como "contenedora" del archivo infectado...

Pero ¡¡¡No cantemos aún victoria !!!.... porque si el antivirus nos dice que el archivo infectado esta en la carpeta ... SYSTEM VOLUME INFORMATION
¡¡¡Ya operando desde windows no tenemos nada que hacer !!!

Porque por mucho que intentemos abrir esa carpeta (desde la particion que sea) siempre nos encontraremos con que ES IMPOSIBLE... la carpeta esta alli... la vemos... pero es imposible abrirla...

Entonces hay que acudir a otras herramientas ...justamente a la herramienta que le dio los primeros dolares a Billy Gates... y me refiero al sistema operativo MSDOS (del que una version "especial" viene incluida en el propio windows...accesible desde el icono "simbolo del sistema" ) y que segun mi experiencia me dice... hay muchos usuarios y usuarias que ni siquiera han oido hablar de él ... (jejejejeje)
Asi que por si acaso y en atencion a estos usuarios (y usuarias) voy a procurar llevarles de la mano en mi explicacion..

¡¡¡Vamos allá!!!
1 ) INICIO
2 ) Todos los programas
3 ) Accesorios
4 ) Simbolo del sistema

(recordemos que estamos operando desde la unidad D:\)

ahora escribimos: C:
ya estamos en lo que al MSDOS se refiere en el disco C:\

escribimos : DIR

nos aparecen un monton de nombres pero misteriosamente no aparece por ningun lado << System Volume Information...>> (cuando sin embargo al abrir la unidad C:\ desde la unidad D:\ aparece perfectamente esa carpeta entre todas las carpetas ... aunque en tono mas tenue que las demás...)

¡¡¡Vamos a solucionar esa misteriosa ausencia !!!

escribimos ... attrib "system volume information" -h -s -r y le damos a <enter>
pueden ocurrir dos cosas :
1 ) que nos vuelva a aparecer C:\> y el cursor quede parpadeando (lo que indica que todo va perfectamente )

2 ) que nos salga un aviso de error ... en ese caso hay que insistir ..insistir ..insistir .... hasta que funcione... y es que a veces.. y sobre todo si hay dentro algun archivo infectado ...la carpeta (que en MSDOS se llama "subdirectorio") se vuelve algo "recalcitrante" a dejar de "conservar" sus atributos de..... "Archivo de systema" ..."Oculto"...y "solo lectura" ....

Lo que nosotros acabamos de hacer es justamente privar a la carpeta << System Volume Information >> de sus atributos especiales que la hacían totalmente "inexpugnable" desde el windows...

¡¡Ahora ya si la podemos abrir desde windows !!!

de todas maneras vamos a cerciorarnos de que es verdad ..

escribimos ..DIR y le damos a <enter>
y ahora siiiii ...ahora ya aparece el nombre << System Volume Information >>

escribimos .. CD "System Volume information" y pulsamos <enter>
y nos aparece C:\System Volume Information >

si ahora escribimos de nuevo DIR y damos <enter> apareceran una serie de nombres nuevos algunos precedidos por <DIR> eso significa que son subdirectorios (o para el windows carpetas) ...

los "peligrosos" son los que tienen formato << _Restore{xxxxxx....-xxxx-xxxx-xxxx-xxxxxx...} >> que son los archivos de "restauracion" del windows (uno por cada punto de restauracion) y que es donde se suelen refugiar los Virus Gusanos y Troyanos especialmente...

Por si acaso hubiese dentro del subdirectorio "system Volume Information" algun archivo "especial"
volvemos a escribir... Attrib * -h -s -r

y ¡¡oh milagro!! a lo mejor al hacer DIR de nuevo aparecen misteriosamente unos cuantos archivos mas que la vez anterior ..... jejejejejeje...
y desde luego entre ellos los primitivos "_Restore{xxxxxx...-xxxx-xxxx-xxxx-xxxxxx....}"

ahora vamos a "vaciar" por dentro estos "_Restore {.........} "

escribimos ..CD _restore{lo que sea....}

nos aparece C:\System Volume Information\_Restore{lo que sea...} >
escribimos DIR y pulsamos <enter>

aparecen una serie de nombres entre los que vemos (por lo menos uno) con formato <DIR> RPXX ... ( nosotros vamos a usar como ejemplo <DIR> RP45 )

escribimos CD RP45 (en este caso) y pulsamos <enter>

aparece C:\System Volume Information\_Restore {lo que sea}\RP45>

Y por si acaso tambien aqui dentro del RP45 hay algun fichero "disfrazado" vamos a quirtarle la "careta"

escribimos attrib * -s -r -h

(el orden en que escribamos estos parametros -h -s -r es absolutamente indiferente.... y en cuanto a * significa simplemente que nos referimos a TODOS los ficheros que hay dentro de RP45)

ahora escribimos DEL *.* .... Al escribir *.* significa que nos referimos a TODOS los archivos y a TODAS las extensiones de los archivos que hay dentro del subdirectorio ).... y en cuanto a DEL es simplemente abreviatura de DELETE (o sea borrar en ingles )... por lo tanto le acabamos de decir al MSDOS que borre todos los archivos de RP45 ...

la orden es muy severa...por lo tanto el MSDOS nos pregunta ¿esta Vd seguro?.... le decimos que S y pulsamos <enter>

nos aparece C:\System Volume Information\_Restore{lo que sea}\RP45

escribimos CD.. (estos dos puntitos detrás de CD signica que retornamos a la carpeta inmediatamente superior en el "arbol" de subdirectorios o carpetas )
y efectivamente ahora nos aparece

C:\System Volume Information\_Restore{lo que sea}

vamos a eliminar el subdirectorio RP45 que acabamos de vaciar...
Escribimos RMDIR RP45 (RMDIR = REMOVE DIRECTORY) y pulsamos <enter>

nos vuelve a aparecer C:\System Volume Information\_Restore{lo que sea} >
si ahora usamos el DIR verempos que ya no aparece el RP45 ... ha sido eliminado o en terminos MSDOS ha sido "removido"

ahora actuaremos con cada RPXX lo mismo que hemos actuado con el RP45 del ejemplo

una vez desaparecidos todos los RPXX y desde
C:\Volume System Information\_Restore{lo que sea} > escribiremos DEL *.* y pulsamos <enter> y como es natural nos volvera a preguntar si estamos seguros... le volvemos a decir que S y pulsamos <enter>

escribimos CD..

nos aparece C:\System Volume Information >

escribimos RMDIR _Restore{lo que sea} y pulsamos <enter>

nos aparece C:\System Volume Information > pero si ahora hacemos un DIR ya no nos aparecera el subdirectorio "_Restore{lo que sea}" se ha "ido por el sumidero" ... y con él.... el archivo infectado ...

Lo que simplemente hemos hecho (resumiendo) fué
1) Quitarle los atributos que hacian "impenetrable" desde windows a la carpeta << System Volume Information >> que es justamente la que alberga los datos de los puntos de restauracion del windows (Ya podamos acceder a ellos como tales puntos de restauracion desde el "Panel de control" como por ejemplo en el windows XP ... o que no podamos acceder a ellos como por ejemplo en el windows 2000 )

2 ) Una vez que la carpeta << System Volume Information" ha sido "privada" de sus atributos... (con el comando ... attrib "System Volume Information" -h -s -r ... ) hemos ido primero vaciando... y despues eliminando... carpetas de dentro a afuera ... hasta conseguir eliminar totalmente entre las subcarpetas "Restore" la que tenia dentro el archivo infectado.... que como sabemos era "absolutamente inaccesible" desde Windows ... y dejarla ahora tanto la carpeta System Volume Information como su interior ya perfectamente accesibles desde Windows...
Con lo que ya nos resulta mucho mas facil eliminar los archivos infectados que se "refugien" en esa carpeta

Espero haber sido bastante claro y completo en la explicacion y que este importantisimo dato pueda servirles en alguna ocasion ...

Si lo he logrado me doy por muy contento....

para cualquier consulta o posible discusion (que no disputa) por favor escribanme a EDITADO

SalU2
Jaime

Interesante, lo imprimo y leo un poco (sip, soy viejo, me gusta leer papel), el monitor que estoy usando del 1900.
Sería bueno aplicarlo a las FAQ's, ya que es difícil entrar a esa carpeta, yo particularmente, tanto a esa como a _restore, entro booteando desde un CDLive de Knoppix, o con un windows preinstalado, el ShagOS, que tiene el Total Commander incluido y desde allí borro de todo.
Hasta se podría armar un .bat para el proceso, no creen?
Solo mencionar algo, no hace falta desde un SO en D:\ saltar a C:\ para ver la carpeta SVI, hay que hacer un dir/a para que se vea.
También habría que simplificar un poco usando los comandos "deltree" para eliminar directamente directorios y sub-directorios.
Antes de esto, es mejor usar el comando attrib/d /s C:\NombreCarpeta -r -h -s para cambiar los atributos de una vez a la carpeta y sub-carpetas.

Bueno, el problema de la carpeta es sencillo de solucionar, aki cree hace tiempo una bonita FAQ q ha ayudado a bastantes :), aki les dejo el enlace http://www.forospyware.com/218134-post27.html.

Saludos

Hola Hobbit,
ese truco lo he usado bastante y funciona de 10, pero, ¿sirve para la carpeta System Volume Information?

Tambien funciona para esa carpeta, y en mi opinion es bastante mas sencillo que hacerlo mediante consola.

Salu2

Teoricamente debe funcionar en cualquier carpeta blokeada :).

No debe dar problemas en la carpeta de system volume informacion, lo he usado con ella y 0 problemas

Saludos

Nunca me había hecho falta para esa carpeta, pero.. para probar, ahora la hago percha.

Hola Neobyte


Voy a tratar de contestar tu duda, pero si el problema no va por ahí, según cualquier otra cosa que te comente el usuario, me lo aclaras por favor


Hasta el momento, lo único que ha dejado el usuario, o al menos, tratado de dejar en claro, es que lo que muestra el enlace de las FAQ, no le sirve debido a los atributos intrínsecos de la carpeta.....


Sin embargo, hay un pequeño mal entendido sobre la protección de la carpeta, él menciona y cito: Esto es un mal entendido o en todo caso, desconocimiento del usuario para empezar, porque el enlace de las FAQ en ningún momento hace referencia a protección con contraseña. El bloqueo que se hace a la carpeta es a nivel de privilegio de usuarios (incluyendo sesiones con permisos de administrador) y no de contraseña, por lo que decir que el tutorial no sirve por la razón que expuso, es un error

Algo que no puedo saber es que sistema de archivos utiliza el usuario en su sistema, pero quiero aclarar que en caso de utilizar FAT32 el método mencionado en la FAQ ciertamente no funcionará y esto es debido a que la opción de activar la pestaña de seguridad y acceder a privilegios de usuarios para los archivos, solo está disponible bajo sistemas que usen NTFS


Imagino, que la duda es el por qué a este usuario en específico, no le funciona el método expuesto en la FAQ, pensando en ello, una causa podría ser el sistema de archivos que use el sistema pero también podría ser algún error en el seguimiento de los pasos. En cualquiera de los casos, necesitaríamos mas detalles de parte del usuario para saber exactamente que pasos está ocurriendo


Algo que si puedo asegurar, es que el método de la FAQ si funciona, pero solo en sistemas NTFS.

No se bien si con eso aclaro tu duda Neo, en caso de no ser así, me lo comentas, pero como dije antes, es poca la información por parte del usuario como para indicarte algo mas completo



Salu2

Hola muchachos (y muchachas)

les cuento como siguen las cosas...

SINTOMAS

1) operando desde otro "OS" ("usease" sistema operativo) ubicado en el mismo disco duro... pero en diferente particion ... (Utilizado para poder continuar dando los servicios de internet a mi "clientela" jejejejeje)...
Y justo desde este sistema operativo de emergencia (en este caso el "Windows XP Pro" instalado en la partición D:\ ).... y vaciando desde ahi ... (recordemos que estamos en la particion D:\) ...totalmente la carpeta "system Volume Information" situada en la particion E:\ (ahora que mediante el uso del comando "Attrib"... del MSDOS ya pude dejar esa carpeta accesible desde Windows ) ...
Resulta que al poco tiempo (y misteriosamente) al hacerle una nueva visita a la carpeta... me encuentro que.... por arte de magia... se ha creado dentro un archivo "RESTORE".... y un archivo "log"
Cosa absolutamente misteriosa... porque al ser los archivos "RESTORE"... justamente "PUNTOS DE RESTAURACION" y no estar activo el "Windows 2000 Advanced server" ... no existe teoricamente razon ninguna para que aparezca ese tipo de archivo alli...
Pudiera ser.... si las circunstancias le son propicias ... que al cerrar el "Win Advanced" ... y durante el "check log" de cierre el "Win Advanced..." lo hubiese creado de nuevo... cosa bastante normal...
Pero es que "astutamente" (y para evitar justamente esto) apague la computadora directamente pulsando el boton de ON/OFF en la propia torre ... asi que imposible para el "Win Advanced ...." el poder crear un punto de restauracion ...

2 ) A base de los "limpiones" de la malvada carpeta.... conseguí que ya el "misterioso intruso" no me impida rodar los antivirus y anti espias ubicados en el disco duro...

3) Lo que "Si" continua aun en cambio... es la imposibilidad de conectarse a la red WWW (y ahora a ninguna pagina web )

Tan pronto se abre una pagina aparece el aviso del Windows diciendo que << hay un error en el funcionamiento del OE y que el servicio se va a cerrar ...>> y que si quiero puedo enviar informe a Microsoft.... y además (Para que la molestia sea aun mayor)... el mensaje de error viene con la casilla de reconexion al "explorer" activada ... (como es natural envie el informe a Microsoft la primera vez ... luego en lo sucesivo como el caso es absolutamente identico pues... ya no ....)
¡Para que aburrir a los pobres programadores de Microsoft con reiteraciones innecesarias del mismo eror... (Que ya bastante trabajo les di yo durante el periodo de evaluacion del Windows XP cuando a mi me estaba fallando - sin yo saberlo - un modulo de Memoria RAM - recien adquirido e instalado - en la computadora ....

¡¡¡ Menos mal que lo descubri ... porque el problema nos estaba trayendo a todos locos... y hasta jurando en Arameo !!! (Incluyendo a Juan Rodriguez ...Jefe del proyecto...)
De hecho y debido a ese fallo de mi computadora ... en el manual de usuario del Windows XP ... incorporaron una advertencia sobre el particular ....
Asi que nada de enviar informe a Microsoft .. porque bastante trabajo tienen ya los pobrecitos programadores sin tener que atender "chorraditas"...

4 ) En todos los scanneos de la computadora ... y es que por lo que se ve... el Monitor "on line" en tiempo real... del antivirus "F Prot" ...se carga en memoria (Gracias a Dios) antes que el malvado troyano...
Y como este Monitor del F Prot (llamado "RealTime protector") solo "investiga".. pero no "mata".. pues entonces el Troyano "le perdona la vida" ...
En todos los casos ...siempre aparece en los avisos de virus una misteriosa carpeta (con archivo infectado dentro) llamada (¡¡¡ agarrenseeee...!!!...) WGltaWVsZ2E (¡¡Ni mas ni menos !!!) que luego cuando la buscas ...no aparece por parte alguna en el disco duro...
Como sabe mas el diablo por viejo que por diablo sospeche que "mu astutamente" el troyano habia hecho..."invisible" la carpeta ...y tambien su contenido ...asi que desde WINNT
simbolo del sistema ... Attrib WGltaWVsZ2E -h -s -r y ya aparecio la malvada ... me meto dentro desde windows y ...vaciaaaaa
(jejejejejeje... ¡¡¡A otro perro con ese hueso !!! )
así que otra vez..... attrib * -h - r - s ..... y... ¡¡¡Ohh milagro !!! la carpeta llenita de ficheros ....jejejejejeje... exit ..y de nuevo en windows...

Investigue en Google.... a ver si aparecia por algun sitio "lo que es" esa misteriosa carpeta ... con resultados absolutamente infructuosos...

5 ) En todas las demás particiones del mismo disco duro (todas con un "Windows XP Pro" instalado ) NO FUNCIONAN las Extensiones "EXE" o sea que se ve que el Intruso o los intrusos han efectuado un "magnifico trabajo" en el disco duro... jejejejeje

6 ) al scannear con el MWAV.EXE llega un momento (no me pregunteis cual porque aun no me puse "al acecho" ) que me echan fuera... y me cierran el Windows....ahora miro eso mas de cerca.... jejejeje

7 ) Como cosa ya anecdotica... (Y que no creo tenga nada que ver con este troyano precisamente) ... resulta que la computadora de trabajo (computadora 002 de la Red) no me reconoce ni el lector DVD ni el "quemador" de CD... (o sea que evidentemente la BIOS "tocada") menos mal que siempre puedo actualizarla.... bajandola desde ASUS... (es el fabricante de mi Mother) ... pero de momento esto no me molesta mucho.... porque todo lo demás funciona ...
Y si necesite grabar algo en CD siempre puedo subirlo a mi servidor FTP y bajarlo luego desde alli para grabarlo con las unidades instaladas en el Servidor ...
Bueno... en realidad como la carpeta "anonymous" del servidor FTP la tengo yo (como todo el servidor completo) dentro de mi computadora servidor ("usease" la computadora que tiene el famoso y misterioso virus o troyano dentro).... solo tengo que buscarlo dentro de la carpeta ... en el propio disco duro (como si fuese otra carpeta cualquiera que al fin y al cabo lo es ) y grabarlo desde alli... (para algo tenia que servir ser el "Dueño del Calabozo".... jejejeje...)

OPERACIONES

1 ) limpiar totalmente la carpeta "system volume Information" perteneciente al "Windows 2000 Advanced Server" (ubicada en la unidad E:\ del disco duro..)

2 ) Arrancar el prorograma servidor "infectado" (el Windows 2000 Advanced Server )

3 ) Bajar el programa MWAW.EXE a la unidad E:\ de la computadora Servidor ....
Jejejejeje ...¡¡¡¡¡ Chiquito problema !!!..... porque resulta que el Troyano (como ya sabemos) no me deja entrar a la red WWW desde el "Windows 2000 Advanced Server" ...
Y tampoco puedo bajarlo desde la computadora de trabajo (La 002 de la red) y pasarlo a la computadora servidor en un disquette... porque el archivo "pesa" demasiado para un disquette...
Tampoco puedo bajarlo y lanzarlo desde otra particion ....del disco duro de la computadora servidor ...porque como ya dije las extensiones "exe" no fucionan en las otras particiones (Simpatico que nos resultó el Troyano)

¡¡¡Solucion !! bajar el MWAV.EXE de internet.... desde... (tomen nota por favor )....http://www.mwti.net/download/tools/mwav.exe ... utilizando mi computadora de trabajo (la que tiene como IP = xxx.xxx.xxx.002 )....
Y pasarlo despues a la computadora servidor.... incluyendolo en un e-mail....
(Al fin y al cabo como el servidor de correo "@ximielga.com" es mio... en ultimo caso... si no me funcionase el "Out Look Express" en la computadora servidor ... entresacaría manualmente el e-mail de dentro de la propia "carpeta buzon" de la cuenta que haya usado como "receptora" ... dentro del propio servidor de correo ... (ventajillas que tiene el ser el "Owner" del servidor .. jejejeje...)

Pero aun quedaba otro obstaculo a resolver... y es que como el archivo "MWAV.EXE" tiene una extension EXE... el antivirus Kapersky propio del MDaemon ( Que el propio Eugeni Kaspersky programo por encargo de quienes comercializan el MDaemon ) y que esta instalado en el propio servidor de correo ... (dentro del propio MDaemon).... no lo va a dejar pasar... justamente por ser un archivo "exe"....

¡¡¡solucion !! ..."zippearlo"

Lo hice asi y por fortuna el OE si estaba funcionaba a la perfeccion en la Computadora Servidor ... lo baje de la cuenta dentro del E-Mail ... y una vez descomprimido... pude salvar el MWAV:EXE a una carpeta...
¡¡Problema solucionado!!!

4 ) Comprobar si los "enemigos" del Troyano (o sea el F PROt Y el SD-SPYBOT) ahora ya funcionan ...¡¡¡¡ y Siii.... funcionan !!!

Lo unico que aún no funciona (porque enseguida sale la notificacion de error del "explorer" de windows).... es la conexion a la web... (notificacion de error que que yo no me molesto en cerrar porque para eso tengo instalado el programita "BUZ-OFF" que se encarga de hacerlo por mi .... como hace tambien con las paginas web indeseadas... "pinchando" la crucecita de cierre de la pagina por mi) jejejeje... programita que os recomiendo...

El BUZ-OFF no impide la apertura de paginas POP-UP desconocidas ... pero en cuanto agarras el "punto de mira" de la "ametralladora" y arrastrandolo con el mouse... lo pones encima de la crucecita de cierre de la pagina web.... ¡¡¡esa pagina jamas se volverá a abrir !!! (mientras no elimines del registro del BUZ-OFF esa direccion) ...
Bueno en realidad ... lo que es abrir si que se abre.... pero en "microsegundos" el BUZ OFF reacciona y se encarga automaticamente de cerrarla....

Lo malo es que los (muy molestos) generadores de pop-up comercial (o pornografico ) .. utilizan un comando tipo "ramdon" ... para cambiarle continuamente el nombre a la pagina ...y si en el minuto 1 la pagina se llama "http://www.puñetitas-1.pepe.com" y le aplicas el BUZ-OFF ... en el minuto 2 la pagina ya será "http://www.puñetitas-2.pepe.com" y esa "puñetitas-2".... el BUZ-OFF ya no la cierra.... Hasta que tu (por medio del "punto de mira" ) le des orden a BUZ-OFF de que la incluya en la lista ...
Pero entonces el pop-up ...ya habrá pasado a ser "puñetitas 3 " ....¡¡¡ Los parioooo!!!!.... jejejeje

5 ) Dado que no se que demonios "pinta" la carpeta WGltaWVsZ2E en el WINNT la copiaré a alguna de las "carceles" que tengo en el disco duro (por ejemplo en cualquiera de las carceles de cualquiera de los AVG que tengo instalados ....) y la dejare alli por si acaso es algo importante ... (y no solamente la carpeta del Troyano) antes de borrarla del WINNT....

CONCLUSIONES TEMPORALES

Empezamos ya a ganarle "batallas" al troyano ... a ver si con vuestra inestimable ayuda... y mi propio esfuerzo... pronto ganamos la "guerra" ... seguiré manteniendoos al corriente

abrazos
Jaime (alias Ximielga)

Hola muchachos y muchachas
en el e-mail anterior.... que por cierto no se si os llego... porque... muy bruto yo... cerré el servidor antes de darme conexion directa RDSI (o ISDN para USA) desde la compu de trabajo ... "usease"...justamente desde esta que estoy usando en este momento (la que tiene la IP xxx.xxx.xxx.002 en la red local)... pero inmediatamente reaccioné "pinchando" el icono ... espero haber llegado a tiempo de restablecer de nuevo la conexion mientras el servidor estaba ocupado en hacer el check log de cierre...

por si no ... os cuento que ahi os decia que a base de borrar y borrar el contenido de la carpeta "System Volume Information".... habia conseguido ya que la computadora me permitiese poder pasar los antivirus y antiespias...

Y sobre todo.... os decia que habia una carpeta en el WINNT llamada WGltaWVsZ2E... que todos los antivirus y antiespias la reputaban como con un contenido sumamente sospechoso... pero que al ir a buscarla en el disco duro ... ni pelo ni humo de la mencionada carpeta ...

Asi que (como sabe mas el diablo por viejo que por diablo) utilizando el MSDOS ya le habia quitado a esa sospechosa carpeta ...los atributos que la hacian invisible e inexpugnable... asi como a su contenido...

ya sabeis mi sistema para eso ... operando desde desde el MSDOS (o simbolo del sistema según windows )... le aplique mi querido comando <<Attrib [nombre de archivo] -s -h -r >> y rapidamente aparecio la carpetita misteriosa...
Una vez abierta... aparentemente estaba vacia asi que <<Attrib * -h -s -r >> .... y ¡¡¡ Vaya si estaba llenita !!!....

Y fijaros que "joyitas" habia alli dentro escondidas ... jejejeje... ¡¡Sorpreeesaaaa !!!... nada menos que ....ASAPPSRV.DLL... COMMAND.EXE ... y ...Q35QUQPPTZH.VBS los dos primeros mas que conocidos.... pero el tercerooooo... ¡¡¡¡ Nada mas ni menos que un script programado en Visual Basic... !!! jejejejeje

Seguimos ganando batallas ...espero que pronto ganaremos la guerra ...
os seguiré manteniendo al corriente ...

¡Ah !... ¿Os dije que sin activar el Windows 2000 Advanced server y con la carpeta "System Volume Information" perfectamente vacia ...cuando la visitas de nuevo al cabo de un rato... ya tiene dentro un "RESTORE" y un "LOG" ? ...
Pues resulta que si ... ¡¡¡Misterios de la informatica !!! jejejejeje..... (claro que con un script en Visual Basic de por medio.... puede ocurrir cualquier cosa ....jejejejeje.... ¡¡Hasta pueden hacerte creer en brujas !!!)

un abrazo
Jaime (alias Ximielga)
(EDITADO)

Post Data.- acabo de volver a arrancar por el "Windows 2000 advanced server" y hasta puedo ya entrar en la www (acabo de probar con lo que pruebo siempre "WWW.Terra.es" y una vez superadas las "pegas" que me interpone el firewall "Atguard" para cualquier conexion a la web ...conectado perfectamente y abierta la pagina a la perfeccion)
Tambien acabo de pasar el comando "buscar" de la "edicion" de Regedit.... y de los archivos "dañinos"...ya ni el olor dentro del Registro de Windows...
Si aparece algun dato conteniendo el COMMAND.EXE relacionandolo con la carpeta esa del nombre ..pero ya son "huerfanas" de todas maneras eliminare esos datos del registro... (y luego le daré un "limpión" )

Parodiando al discurso de Franco en 1939 ... creo que podemos decir ya << Vencido y desarmado el ejercito troyano ....... ¡¡¡ La guerra ha terminado !!! >>>
Y ahora que suene el.... ¡¡¡Asturias Patria querida...!!! que para eso yo soy asturiano (como Fernando Alonso) jajajajajajaja