none
Virus Win32/Rootkit.Agent.OCL RRS feed

  • Pregunta

  • Buenas tardes

    Un servidor en Windows 2008 r2, presenta problemas en el arranque, se reinicia todo el tiempo, el ESET antiVirus me muestra que tiene el virus:::    Win32/Rootkit.Agent.OCL   en el sector   0   MBR

    LO inicie con USB con windows 2008 r2, le di reparar y corri los procesos :

    - Diskpart

    - List volume

    - Exit

    - D (letra de la unidad de Windows)

    - Bootrec /fixmbr

    - Bootrec /fixboot

    - Chkdsk /f /r

    Pero me sigue apareciendo el mensaje en ESET que esta infectado....

    Que debo hacer,,,

    Gracias

    miércoles, 10 de abril de 2019 20:50

Todas las respuestas

  • Gracias por levantar tu consulta en los foros de TechNet. Con respecto a la misma, te hago la recomendación de ingresar al siguiente enlace en donde se expone un caso similar al que presentas y pudieras encontrar una posible solución.

    https://social.technet.microsoft.com/forums/es-ES/20a12b59-c839-48c3-9854-60ecda73c75c/como-eliminar-rootkits

    Puedes utilizar la herramienta desarrollada en el sitio de Mark Russinovich, la cuál te puede ayudar a confirmar que existe un rootkit en el sistema 

    Rootkit Revealer - http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx

    Te comparto el siguiente recurso que te apoyara a conocer que tipo de problema te estas enfrentando si es un rootkit y una vez revelado se pueden comenzar a tomar las determinaciones sobre de los directorios que resulten infectados

    https://docs.microsoft.com/es-es/windows/security/threat-protection/intelligence/rootkits-malware

    Cómo protegerse contra rootkits

    Al igual que cualquier otro tipo de malware, la mejor manera de evitar rootkits es impedir que se instalen en primer lugar.

    • Aplicar las actualizaciones más recientes para los sistemas operativos y las aplicaciones.

    • Enseñe a los empleados para que puedan ser Ten cuidado con de mensajes de correo electrónico y sitios Web sospechosos.

    • Copia los archivos importantes con regularidad. Regla de uso 3-2-1. Mantener tres copias de seguridad de los datos en dos tipos diferentes de almacenamiento y al menos un itinerantes de copia de seguridad.

    Para obtener sugerencias más generales, vea evitar infecciones de malware.

    ¿Qué ocurre si creo que tengo un rootkit en mi dispositivo?

    Software de seguridad de Microsoft incluye una serie de tecnologías diseñadas específicamente para quitar los rootkits. Si crees que tengas un rootkit en el dispositivo y el software antimalware lo no detecte, tendrá una herramienta adicional que permite realizar un inicio a un entorno de confianza conocido.

    https://support.microsoft.com/es-mx/help/4490628/servicing-stack-update-for-windows-7-sp1-and-windows-server-2008-r2

    Windows Defender sin conexión se puede iniciar desde el centro de seguridad de Windows y tiene las últimas actualizaciones de antimalware de Microsoft. Se ha diseñado para usarse en dispositivos que no están funcionando correctamente debido a una infección de malware posible.

    Protección del sistema en Windows 10 protege contra rootkits y las amenazas que la integridad del sistema de impacto.

    ¿Qué ocurre si no se puede quitar un rootkit?

    Si el problema persiste, te recomendamos encarecidamente reinstalar el sistema operativo y el software de seguridad. A continuación, debe restaurar los datos desde una copia de seguridad.

    Ahora quizá gustes seguir las recomendaciones de tu solución sobre cómo eliminar la clasificación que ellos dan a la infección.

    Gracias por usar los foros de TechNet.
    Carlos Ruiz
     ____
    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.
    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft. 
    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.


    miércoles, 10 de abril de 2019 21:20
  • No me funciono

    De toda formas gracias por responder

    miércoles, 10 de abril de 2019 22:29
  • Esperamos que hayas intentado el procedimiento

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft. 
    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    jueves, 11 de abril de 2019 16:15
    Moderador
  • Hola "Inlogistica",

    + data

    Tienes que contactar al soporte de tu antivirus !

    Recomendación:

    1 - Desconecta el server de red
    2 - Si es fisico o VM haz un backup del disco completo
    3 - Migrar o implementar Windows Server 2016

    Notas:

    Como prevenir una infección 
    https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/prevent-malware-infection

    Windows Defender Antivirus on Windows Server 2016
    https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-antivirus/windows-defender-antivirus-on-windows-server-2016

    Espero sea de apoyo
    Saludos.
    viernes, 12 de abril de 2019 2:13
  • Hola lnlogistica, como opinión y experiencia personal, un servidor es una "cosa seria" no es cualquier máquina de usuario, por lo que es muy importante estar seguro que no presente alteraciones o daños que luego tengan consecuencias en la propia máquina o en otras de la red

    Aunque pudieras eliminar el virus, nunca llegarás a saber si ha alterado algo del sistema o de la información del mismo, así que a mi buen entender cuando eso sucede, o se recupera desde una copia de seguridad completa ("bare metal") o se reinstala todo desde cero

    Recuerdo que hace muchos años había un virus que hacía una simple alteración en todas las planillas Excel, por más que luego sacaras el virus las planillas estaban todas alteradas. Y lo peor de todo era que la modificación era casi imperceptible, solamente alteraba un valor numérico de una celda

    Cuando te dabas cuentas de la modificación, ya tenías hasta las copias de Backup alteradas desde hace tiempo :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 12 de abril de 2019 21:36
    Moderador