No puedo eliminar un rootkit con avast

[Syyn4]

Hola, les cuento un problema que tengo y espero que me ayuden a solucionar.

Estuve actualizando los drivers y buscando en internet me topé con esta página: hxxp://www.ma-config.com/es
Pues bien, todo iba perfecto hasta que actualicé el controlador de audio e inmediatamente avast me indicó que había una amenaza de un rookit
y que debía hacer un análisis durante el arranque y pues así lo hice, y para mi sorpresa no me detectó nada, aun cuando se me indicó de una posible amenaza. El caso es que quedé con la duda y descargué el Avg anti rootkit free, y me indicó que sí había un rootkit en mi pc, ubicado en la carpeta
C:\Windows\System32\Drivers y cuando lo elimino debo reiniciar la pc luego me indica que se eliminó pero cuando vuelvo a analizar con el Avg anti rootkit free me aparece en la misma carpeta otro rootkit con diferente nombre, y así sucesivamente, todos tienen la extensión . SYS, lo cual me hace intuir que el rootkit no es eliminado sino renombrado, y sigue allí para hacer no se que cosa pero no creo que sea para mejorar mi pc.

He buscado otras opciones y me topé con el TDSSKiller de Kaspersky y me detectó una amenaza pero no la que de verdad quiero eliminar, aunque con éste último si tuve éxito, pero el caso es que la carpeta C:\Windows\System32\Drivers sigue contaminada con un rootkit que de paso está oculto y no puedo eliminar manualmente al identificarlo. He estado leyendo de otros anti rootkits y he leído sobre el GMER, aunque por lo que he leído es posible que si algo no sale bien, quizá sea peor el remedio que la enfermedad, y no deseo quedarme sin pc, jeje...

La verdad es incómodo esto ya que para colmo el Centro de actividades me señala que no tengo un antivirus protegiendo mi equipo, lo cual es falso ya que tengo el avast! aunque hice una prueba abriendo páginas sospechosas y el avast! sigue protegiendo mi pc, pero lamentablemente falló al eliminar un simple rootkit. Así que lo único que hice fue desactivar los mensajes sobre protección antivirus. El Malwarebytes tampoco me detectó nada, descargué una opción anti rootkits que trae y solo me eliminó algo de alguna de las extensiones del Google Chrome.

Espero si alguno de ustedes tiene conocimientos y le ha pasado algo parecido o tiene experiencia con este tipo de situaciones me ayude a solucionar este problema que ya me tiene con dolores de cabeza por decir lo menos... Lo cierto es que me parece increíble que sea imposible eliminar un simple rootkit!!!

Ayuda please!!! 

[Populous]

Hola, les cuento un problema que tengo y espero que me ayuden a solucionar.

Estuve actualizando los drivers y buscando en internet me topé con esta página: http://www.ma-config.com/es
Pues bien, todo iba perfecto hasta que actualicé el controlador de audio e inmediatamente avast me indicó que había una amenaza de un rookit
y que debía hacer un análisis durante el arranque y pues así lo hice, y para mi sorpresa no me detectó nada, aun cuando se me indicó de una posible amenaza. El caso es que quedé con la duda y descargué el Avg anti rootkit free, y me indicó que sí había un rootkit en mi pc, ubicado en la carpeta
C:\Windows\System32\Drivers y cuando lo elimino debo reiniciar la pc luego me indica que se eliminó pero cuando vuelvo a analizar con el Avg anti rootkit free me aparece en la misma carpeta otro rootkit con diferente nombre, y así sucesivamente, todos tienen la extensión . SYS, lo cual me hace intuir que el rootkit no es eliminado sino renombrado, y sigue allí para hacer no se que cosa pero no creo que sea para mejorar mi pc.

He buscado otras opciones y me topé con el TDSSKiller de Kaspersky y me detectó una amenaza pero no la que de verdad quiero eliminar, aunque con éste último si tuve éxito, pero el caso es que la carpeta C:\Windows\System32\Drivers sigue contaminada con un rootkit que de paso está oculto y no puedo eliminar manualmente al identificarlo. He estado leyendo de otros anti rootkits y he leído sobre el GMER, aunque por lo que he leído es posible que si algo no sale bien, quizá sea peor el remedio que la enfermedad, y no deseo quedarme sin pc, jeje...

La verdad es incómodo esto ya que para colmo el Centro de actividades me señala que no tengo un antivirus protegiendo mi equipo, lo cual es falso ya que tengo el avast! aunque hice una prueba abriendo páginas sospechosas y el avast! sigue protegiendo mi pc, pero lamentablemente falló al eliminar un simple rootkit. Así que lo único que hice fue desactivar los mensajes sobre protección antivirus. El Malwarebytes tampoco me detectó nada, descargué una opción anti rootkits que trae y solo me eliminó algo de alguna de las extensiones del Google Chrome.

Espero si alguno de ustedes tiene conocimientos y le ha pasado algo parecido o tiene experiencia con este tipo de situaciones me ayude a solucionar este problema que ya me tiene con dolores de cabeza por decir lo menos... Lo cierto es que me parece increíble que sea imposible eliminar un simple rootkit!!!

Ayuda please!!! 

Hola Syyn4 y bienvenid@ al foro!

Antes que nada modifique por favor la url y cambia "http" por "hxxp" para evitar que otros usuarios puedan acceder por si la web estuviese infectada. A mi no me aparece ninguna infección pero aún así, para prevenir, cambie el enlace por favor.

No sé si el rootkit infectó su equipo desde esa web o por otro medio, pero el caso es que si está infectado tiene que seguir un procedimiento pre-establecido.

El problema con los rootkits es identificar la familia a la que pertenecen y su versión, es debido a eso que existen tantas herramientas para prevenirlos y eliminarlos. Eliminar un rootkit no es tán sencillo como muchos piensan y tampoco se soluciona "formateando" el pc como muchos piensan erróneamente. Se necesita de un método de desinfección avanzados y unas herramientas especificas. Avast tiene una herramienta muy buena para eliminar rootkits, la aswmBR.

En cuanto lo de si tenemos conocimientos o no, es irrelevante aquí ya que, aunque en mi caso los tengo debido a que es mi profesión, no tengo permitido ayudar en desinfecciones en el foro, ni yo ni nadie. Para ello existe un foro específico y un procedimiento a seguir.

Lo cierto es que me parece increíble que sea imposible eliminar un simple rootkit!!!

Los rootkits de simples no tienen nada... De hecho, son las amenazas más difíciles de limpiar y sobre todo de detectar y eso sin contar con que son consideradas también como las más peligrosas.

El procedimiento a seguir en caso de infección el siguiente:
 

• Tiene que leer y seguir paso a paso las instrucciones que encontrará en la siguiente guía
• Descargue y ejecute los programas mencionados en la guía: Malwarebytes, OTL y aswmBR.exe.
• Los resultados de los análisis que realice con estos programas, deberá anexarlos (no pegarlos) en un nuevo tópìco que deberá crear en el foro de virus & worms (en inglés) que encontrará aquí.
• Si no sabe inglés podrá pedir ayuda en  Infospyware  que es un foro gratuito de habla español donde personal certificado le podrán ayudar.

Saludos y suerte!

[iroc9555]

Yo voy añadir otro tanto. Si no sabes lo que estas haciendo con un detector de rootkit como TDSSKiller, AVG antiroot KIT, Gmer ( el mismo que usa Avast! ) o aswmBR.exe ( una variacion de Gmer modificada por Essexboy ), puedes terminar con un ordenador de pisa papel. Todos estos programas tienden a detectar falsos/positivos y eliminar una de sus detecciones sin investigar mas a fondo el archivo puede llevar a peores problemas en el sistema.

Sigue las recomendaciones de Populous y busca ayuda de un specialista.

[Syyn4]

Gracias Populous, iroc9555 por su tiempo! Bien, ya he cambiado la url de http a hxxp para evitar problemas con otros usuarios! Aunque no creo que haya sido la página sino más bien, el sitio de donde me proporcionó el enlace para descargar el driver que actualicé y que posiblemente estaba infectado, así que les recomiendo a otros usuarios ser cautelosos. como dice el dicho todo lo gratis (barato) sale caro.

El Malwarebytes ya lo tengo instalado así que solo me falta por descargar los demás, el OTL y aswmBR.exe, y pues haré como me indicó Populous y luego les cuento como me fue. 

[Populous]

Gracias Populous, iroc9555 por su tiempo! Bien, ya he cambiado la url de http a hxxp para evitar problemas con otros usuarios! Aunque no creo que haya sido la página sino más bien, el sitio de donde me proporcionó el enlace para descargar el driver que actualicé y que posiblemente estaba infectado, así que les recomiendo a otros usuarios ser cautelosos. como dice el dicho todo lo gratis (barato) sale caro.

El Malwarebytes ya lo tengo instalado así que solo me falta por descargar los demás, el OTL y aswmBR.exe, y pues haré como me indicó Populous y luego les cuento como me fue. 

No hay de que! Suerte y ya nos cuenta.

Saludos.

[Syyn4]

Bien. Ya he posteado en el foro en inglés... Espero que alguien pueda ayudarme. 
He aquí el link http://forum.avast.com/index.php?topic=118463.msg914541#msg914541

[iroc9555]

Essexboy te ha contestado. El es el mejor e instructor de varias academias para remover malware. El vive en UK asi que lo mejor es estar pendiente durante la mañana porque en la noche no lo vas a conseguir.

Por lo que vi hasta ahora solo esta removiendo basura y un Babylon que tenias.

[Syyn4]

Sí acabo de responderle, pero quedé con una duda que espero que me responda pronto para poder correr el OTL con las instrucciones que me dió...

[iroc9555]

Bueno tu corristes OTL al principio y anexastes el reporte. De ese reporte el saco el script que tienes que copiar/pegar en el espacio vacio y esta ves de las a RUN FIX. El reporte lo vuelves anexar para que el vea si se elimino todo o algo mas salio a relucir.

No creo que te conteste hasta mañana. Son como las 12 de la noche en UK.

[Syyn4]

Ok, haré como el me indicó, reiniciaré y correré de nuevo el OTL, usando este script que use la vez primera:

netsvcs
BASESERVICES
%SYSTEMDRIVE%\*.exe
/md5start
services.*
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
/md5stop
CREATERESTOREPOINT

Ah, algo que debí hacer es enviarle la imagen del resultado que me dió el  aswMBR, en la cual me aparecieron dos lineas en rojo,
posiblemente sean infecciones relacionadas con el rookit, pero mejor me dedico por los momentos a lo que me dijo essexboy... 

[iroc9555]

No no. Despues que copias/pegas el escript o codigo con las reparaciones haces un quick scan solamente. Si ya lo hicistes con el codigo original no importa. Ese codigo es como una limpieza general de basura y restituir puntos de restauracion, etc.

Las lineas rojas de aswMBR son F/P que da con ciertos archivos y particiones de ordenadores de manufactorias como esta:
ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x862691f8]<<

No te adelantes a Eseexboy que estas en las mejores manos y no hagas nada hasta que el te lo pida.

Saludos

[Syyn4]

Ok muchas gracias, haré como dices!!! 

Ya hice las reparaciones, solo falta escanear nuevamente
y enviarle el Log que resulte...

[iroc9555]

Ok muchas gracias, haré como dices!!! 

Ya hice las reparaciones, solo falta escanear nuevamente
y enviarle el Log que resulte...

Ok. De nada compatriota. Un placer.

[Syyn4]

Ya solucioné el problema, essexboy me dijo que ese driver oculto detectado por el avg anti rootkit no me daría problema alguno, pero estuve indagando y encontré alguien que tenía un problema parecido y todo era ocasionado por el programa Alcohol 120... 
Así que problema resuelto!!!

[Populous]

Perfecto Syyn4 y gracias por reportar los resultados ya que lo que te ha ocurrido a ti puede ocurrirle en el futuro a otro usuario...

Saludos!