Eliminando un rootkit de la windola

02/08/2011 - 01:19:56 por Fabio Baccaglioni - 6210 - 19 - En Informática

Como la mayoría de mis conocidos sabe, yo no doy soporte para Windows, así de simple, me pudrí hace rato y prefiero responder preguntas sobre Linux que es más fácil de arreglar, al menos para mí.

El otro día en mi partición con Windows 7 (original y todo, si, tengo una que uso seguido por diversas razones laborales) instalé un soft con una "medicina" algo sucia, cuac, cuac y recuac, el problema de algunos cracks y de no andar en el ambiente windowsero bajando software como en mi juventud hace que mis fuentes ya no sean tan limpias.

El problema se dio al otro día cuando de pronto, de la nada, esa partición no volvió a funcionar, murió el windows? lo primero fue bootear en Linux y tratar de reparar el NTFS. Es normal que suceda cada cierta cantidad de años, un día por un corte de luz o lo que fuere, se caga el NTFS y desde Windows no podés arreglarlo sin un disco de reparación.

Desde linux es fácil, ntfsfix /dev/sdxx (la unidad que tenga windows) y luego de un rato repara lo necesario.

Pero en este caso el problema iba más allá, por suerte pude bootear pero siempre me enviaba al modo de reparación, realizaba algunas tareas, parecía que estaba todo OK y volvía a mandarme al modo reparación. Loop infinito. Acá había otra cosa.

En una de las ocasiones emitió un error en un archivo, c:/ci.dll , que supuestamente tenía el error. Buscando bastante encontré que era típico de ciertas infecciones con un rootkit.

El maldito TDSS te engaña haciéndote creer que tenés un eterno problema que no podés reparar, tus archivos estan todos sanos en realidad, pero confunde al Windows infiltrándolo en cada booteo. Al no poder bootear normalmente uno cree que se cagó todo y buscará reinstalar. Error, nada es indestructible.

La cuestión era más sencilla de lo que pensaba, entre las opciones de booteo, al reiniciar (presionen F8 para ver el menú) una de las mismas te permite bootear sin verificar la firma digital de los controladores (driver signature) y milagro ¡la PC bootea normalmente!

Así es, el truco del TDSS es meterse con la firma de controladores, la windola cree tener archivos corruptos y te manda al autorepair constantemente.

Una vez recuperado cierto control del sistema rápidamente vayan a la página de Kaspersky y busquen el removedor de TDSS, tdsskiller.exe, lo más probable es que tengan el Rootkit.Win32.TDSS y al eliminarlo y reiniciar, santo remedio.

Verificaciones extra: revisar el c:\windows\system32\drivers\etc\hosts y ver que esté todo normal, otra opción es abrir terminal antes de bootear, SHIFT-F10 y darle un sfc /offwindir=c:\windows /offbootdir=c:\ /scannow

Los rootkit pueden llegar a romper más de la cuenta, descargar otras cosas, hacerte la vida imposible. Toda esta ayudita la encontré aquí

Por suerte en Linux no tenemos estos problemas, si otros, pero esto seguro que no

Si te gustó esta nota podés...

Escrito por Fabio Baccaglioni

• Links de Viernes - #834
• Ruleta Rusa #769
• La enana blanca más caliente
• Cómo entregar una bomba nuclear (antes de los misiles)

5 Imperdibles aplicaciones para línea de comandos de Linux

El asterisco - cómo un asterisco en Cron puede quemarte un servidor sin que te enteres

Cuando Fail2Ban se come el CPU de tu servidor

Cómo arreglar JFIF en vez de JPG

Tip para encontrar esos archivos que ocupan demasiado lugar en tu disco

Cómo instalar un Windows 10 en una PC que no te deja bootear desde USB

Comentarios

• 1

  Gus     02/08/2011 - 01:53:19

  Que no hay rootkits en Linux? Bueno, te lo dejo para cuando lo necesites: http://www.rootkit.nl/projects/rootkit_hunter.html

• 2

  alberto     02/08/2011 - 01:58:11

  Gus dijo:
  

  Que no hay rootkits en Linux? Bueno, te lo dejo para cuando lo necesites: http://www.rootkit.nl/projects/rootkit_hunter.html

  
  Bueno por algo le dicen rootkits y no adminkits...

• 3

  chimango     02/08/2011 - 02:00:53

  rootque?

• 4

  Cinematracks     02/08/2011 - 02:18:56

  chimango dijo:
  

  rootque?

  
  
  Windows 7 ¿¿¿Lo qué???
  
  

• 5

  Ignacio     02/08/2011 - 06:39:43

  uuhhh... para tener en cuenta....
  
  gracias!

• 6

  Dal     02/08/2011 - 07:34:38

  Yo creo que hoy en día tenemos las suficientes herramientas en cuanto a plataforma y hardware como para evitar ese tipo de problemas (Virus,Rootkits/trojans/etc) gracias a la virtualización y los backups embebidos del Windows 7.
  Todos nosotros bajamos cracks y/o programas piratas, sobre todo juegos, entonces a la hora de ver si esos releases tienen virus o no lo mejor es instalar Virtualbox y tener a mano una ISO de WIndows XP SP3 y porque no el mismo Windows 7 virtualizado.
  Dentro de ese Windows virtual, metemos el mejor antivirus que tengamos, el spybot y como yapa el Clamwin como segundo AV.
  Bajamos el crack, lo testeamos a muerte y si nos parece seguro recien ah lo pasamos a la pc verdadera, cual inception. Lo mismo aplica para pendrives de invitados.
  Por otro lado la opcion de WIndows 7 de puntos de backup anda y bien, lo unico que requiere es un toque de dedicacion digamos una vez por mes y complementarlo con alguna herramienta extra y contar con el storage suficiente. En caso de algun quilombo podemos volver al WIndows de hace unos dias, lo cual la mayoria de las veces es suficiente.
  Por ultimo, lo mejor es tener o armarse un NAS (Preferiblemente con RAID 1) y meter ahi todo lo importante (Fotos, musica, pelis, ISOS). Que la PC sea solo un cliente con el OS y las aplicaciones, nada mas.
  Saludos

• 7

  Andrezgz     02/08/2011 - 07:42:29

  Gracias Fabio!
  
  Este tipo de cosas hay que transmitirlas, porque si uno no está enterado de que pueden pasar, te volvés loco tratando de solucionarlas.
  
  Y muchos optan por simplemente reinstalar todo (a veces es lo primero que te proponen al llevar a reparar la PC ya que es más rápido que analizar la real causa - ojo: no todos hacen lo mismo)

• 8

  Enzo     02/08/2011 - 08:53:58

  Fabio tenías antivirus?

• 9

  Fabio     02/08/2011 - 10:50:57

  alberto dijo:
  

  Gus dijo:
  

  Que no hay rootkits en Linux? Bueno, te lo dejo para cuando lo necesites: http://www.rootkit.nl/projects/rootkit_hunter.html

  
  Bueno por algo le dicen rootkits y no adminkits...

  
  
  porque es como el virus gallego "oiga, por favor, inféctese conmigo", así funciona un virus en un sistena POSIX
  
  
  Andrezgz dijo:
  

  Gracias Fabio!
  
  Este tipo de cosas hay que transmitirlas, porque si uno no está enterado de que pueden pasar, te volvés loco tratando de solucionarlas.
  
  Y muchos optan por simplemente reinstalar todo (a veces es lo primero que te proponen al llevar a reparar la PC ya que es más rápido que analizar la real causa - ojo: no todos hacen lo mismo)

  
  
  esa es la razón del post
  
  
  Enzo dijo:
  

  Fabio tenías antivirus?

  
  
  antivirus? tuve la windola sin antivirus por años más que el defender de MSFT, los rootkit tienden a superarlos, como que tampoco tenía muchas chances en este caso pero si, un buen antivirus lo atajaba,...
  
  pero los antivirus enlentecen todo, como recomiendan arriba, una cosa es una máquina virtual como "sandbox" para testear todo esto, pero la verdad que no tengo ni tiempo ni ganas de hacerlo, muchos recursos

• 10

  junchin     02/08/2011 - 11:38:48

  Fabio dijo:
  

  bootear sin verificar la firma digital de los controladores (driver signature)

  
  Esa opcion en XP no esisste, como puedo hacer?

• 11

  luchobarrios     02/08/2011 - 12:00:16

  junchin dijo:
  

  Fabio dijo:
  

  bootear sin verificar la firma digital de los controladores (driver signature)

  
  Esa opcion en XP no esisste, como puedo hacer?

  
  
  format c: /q (?)

• 12

  Jonyx4     02/08/2011 - 12:31:59

  muy buena info!

• 13

  JavierSalinas     02/08/2011 - 12:55:27

  Otra cosa interesante de Kaspersky es el Rescue Disk
  http://support.kaspersky.com/faq/?qid=208282173
  Me sirvió para quitarle a una notebook con XP uno de esos troyanos que te ponen en el inicio una ventana en ruso, donde te "invitan" a enviarles 400 rublos para desbloquear la máquina.
  En ese caso, fue un bicho identificado como Ramson, y que no te deja entrar ni en modo a prueba de fallos ni en consola.

• 14

  MarkVD     02/08/2011 - 12:59:49

  Las herremientas más polentas que uso:
  
  http://www.zonavirus.com/descargas/elistara.asp
  (limpia IE = lo deja a casi cero!, temps, host, algunos troyanos)
  
  El pervinox digital:
  http://www.combofix.org/
  (ojo con este es muy potente y casi peligroso! si una aplicacion propietaria tiene una dll sospechosa... mejor anda a buscarla al backup....
  IMPORTANTE: Desactivar Antivirus antes de ejecutarlo o te lo re pelea!
  
  Uno que forma parte del combofix:
  http://www.gmer.net/
  Impresionante pero solo para entendidos
  
  Respecto de herramientas para repa bootear/diagnostico/largo etc...
  Hirens cd booteable version 9.3 (tiene part magic) y la 10 o superior (base linux)
  
  Fabio no te cuento nada nuevo pero si armas una virtualizacion de windola y ejecutas los cracks ahi adentro y te robas los serials al copypaste...?!
  
  
  Mis Saludos.

• 15

  Fede     02/08/2011 - 16:02:32

  Lo único satisfactorio de Widows, eliminar manualmente virus jaja. Años sin usar AV y pocas infecciones.
  AV+Virus == 0 recursos y memoria.
  
  Windows es mi plataforma de juegos únicamente, como la de tantos

• 16

  Tucuman Arde     02/08/2011 - 17:19:42

  vamos Fabio!! te dije que no te descargaras el video de silvina luna desde poringa, no era confiable

• 17

  madnux     02/08/2011 - 19:17:47

  Vamos Fabio, lo que podes hacer es instalar el Avast Home es gratuito, te pide datos (No necesariamente reales) y te aguanta un año.
  
  Personalizalo para que solo instale los modulos que quieres tener en memoria (red, sistema, web, mail, mensajeria, p2p, etc.)
  
  Hasta trae un modo SandBox para ejecutar aplicaciones sin tener miedo a que lleguen más allá de donde deberian.
  
  O igual no me hagas caso

• 18

  TheCoffeMaker     03/08/2011 - 16:01:19

  MarkVD dijo:
  

  
  Fabio no te cuento nada nuevo pero si armas una virtualizacion de windola y ejecutas los cracks ahi adentro y te robas los serials al copypaste...?!

  
  
  MarkVD,
  Normalmente con solo tener el serial no sirve, los crack lo que hacen es saltar la comprobación del serial, osea, inyectan un pedazo de codigo que bypassea la comprobación o midifica la funcion que hace esto para que devuelva que el serial es correcto. Obviamente no esta mal probar en una maquina virtual ... pero hasta que no encuentres un crack decente estas en el mismo problema, meterle virus a "la windola".
  
  Saludos
  TheCoffeMaker

• 19

  gorlok     03/08/2011 - 17:57:20

  Lo primero que pregunto: ¿es software original? Entonces fijate si podés llamar al soporte de MS, que seguuuuuuuro te lo van a arreglar (muejeje)
  
  Ah, ¿es trucho? ¿Y por qué no usás software libre? Ah.... a comerla
  
  En general me niego a reparar PCs extrañas, porque primero: no sabés con qué garcha te vas a encontrar (y fija que será una garcha de engendro), y segundo, prefiero hacer /cualquier/ cosa antes que andar reparando PCs ajenas choteadas.
  
  Si hasta he discutido en el entorno familiar, porque me habían comprometido con alguien para que le hiciera el favor de arreglarle su máquina hecha mierda. Ni me importa si me quieren pagar, ¿son locos o pelotudos?
  
  Si es una señorita con alto poder de convencimiento... bue, ya es otra cosa ¡Pero sino, ni me jodan!
  
  Empiezo a acordarme de un par de veces que a pesar de todo igual me engancharon con el \"es un ratiiiiiiito y vos sabés...y es fulano, y...\" y cómo perdí varias horas reparando lo irreparable y me recaliento.