Ayuda: Pasar antivirus a Windows desde el Live CD (Solucionado)

Imagen de Javi L
0 puntos

Hola a todos,

Estoy pegándome con una máquina con Windows XP infectada de virus y había pensado en usar el Live CD, pero no ha salido un resultado satisfactorio, por lo que os pido ayuda.

Mis pasos han sido los siguientes (ya que el XP nada más arrancar se bloquea):

- Arrancar el Live Cd de la versión 9.10 Karmic Koala.
- Configurar la conexión de red adecuadamente.
- Abrir el gestionador de paquetes (no recuerdo su nombre).
- Pulsar en actualizar para que se actualicen las versiones de los paquetes.
- Buscar clamav (muestra como última la misma versión que en su página web).
- Marcar el paquete y los cuatro que necesita.
- Aplicar los cambios para instalarlo.
- Una vez instalado, montar el disco duro donde reside el XP.
- Abrir un Terminal.
- Escribo cd /media/06.... (la ruta del directorio C:\ en XP)
- Escribo clamscan -r y me detecta 11 virus, pero creo que no los borra.

¿Qué estoy haciendo mal?

Gracias de antemano, un saludo.

Edito: La solución, al final del hilo.

Imagen de Gabriel_M
+1
0
-1

Hola jav...:
Estos son los pasos:
- Arrancar el Live Cd de la versión 9.10 Karmic Koala.
- Configurar la conexión de red adecuadamente.
- Abrir el gestionador de paquetes synaptic
- Activar los repositorios
- Pulsar en actualizar para que se actualicen las versiones de los paquetes.
- Buscar clamav
- Marcar el paquete y los cuatro que necesita.
- Aplicar los cambios para instalarlo.
- Actualizar su lista de definición de virus:

sudo freshclam

- Identificar la partición:

sudo fdisk -l

- Identificada la partición en NTFS de ese sistema con virus
supongamos en que esta en /dev/sda1, montarla con:

sudo mkdir /mnt/windows
sudo mount /dev/sda1 /mnt/windows
sudo mkdir /mnt/virus

- Escanearla

sudo clamscan -v -r --bell --move /mnt/virus /mnt/windows

Los parámetros de clamav son para:
- -v: verbose: Despliega información
- -r: recursive: Escanea en forma recursiva
- --bell: Sonido cuando un virus es detectado
- --move: Mueve los virus al directorio /mnt/virus/
- /media/windows: Este es el directorio a escanear donde windows esta montado

- Una vez terminado el escaneo borras el directorio donde se movieron los archivos
infectados.

sudo rm -rf /mnt/virus

Saludos.
Gabriel.



Solo doy soporte para Ubuntu: Un sistema operativo superior, moderno, optimizado, seguro, evolutivo y completo.
+1
0
-1
Imagen de Javi L
+1
0
-1

Voy a intentarlo, pero la parte de "activar los repositorios" creo que no se hacerlo, o al menos no lo vi donde activarlo.

Gracias, un saludo.

+1
0
-1
Imagen de cholbi
+1
0
-1

Suelo limpiar mis windows desde linux instalado en disco; pero no lo he hecho nunca desde un live cd; pero hay distros específicas para eso.
Aunque clamav no te los borre, al menos te dice los que son y donde están, pudiendolos borrar desde la cuenta de administrador del xp. Has intentado entrar en xp en modo seguro?

----------------------------------------------------
Nunca formaría parte de un club que me aceptara como socio

+1
0
-1

----------------------------------------------------
Nunca formaría parte de un club que me aceptara como socio

Imagen de Javi L
+1
0
-1

Al entrar en modo seguro se reinicia antes de abrir la pantalla de bienvenida...

+1
0
-1
Imagen de vientozonda
+1
0
-1

No te recomiendo hacer eso, muchos antivirus solo detectan la infección pero no limpian el archivo, solo lo mandan a cuarentena o te dan la opción de borrar (algo peligroso en cualquier S.O), pues si borras por error una .dll o un .exe tu win no levanta más.

Generalmente lo que hago es:

1 - Iniciar con Live-CD
2 - Conectar ese equipo al mio por LAN
3 - Copiar toda la info de usuario a mi equipo
4 - Formatear la PC infectada y reinstalar swobniW

Es un poco mas de trabajo pero queda bien. :)

+1
0
-1

Ubuntu 10.04 es la prueba de que la grandeza se consigue con trabajo y esfuerzo, no con dinero.

Felicitaciones al grupo de desarrollo de Ubuntu 10.04 por su grandioso trabajo. :)

Imagen de Javi L
+1
0
-1

Si por mi fuera... pero no es mi PC, sólo intento recuperarlo...

Aún así gracias.

+1
0
-1
Imagen de Javi L
+1
0
-1

Siguiendo los pasos de Gabriel_M, cuando llego a escanear me da error:

ubuntu@ubuntu:~$ sudo clamscan -v -r -bell -move /mnt/virus /mnt/windows
clamscan: illegal option -- b
ERROR: Unknown option passed
ERROR: Can't parse command line options

¿Estoy haciendo algo mal?

Gracias, un saludo.

+1
0
-1
Imagen de Gabriel_M
+1
0
-1

Hola jav....:

Estos son los parámetros de clamscan:

clamscan(1) - Linux man page
Name

clamscan - scan files and directories for viruses
Synopsis

clamscan [options] [file/directory/-]
Description

clamscan is a command line anti-virus scanner.
Options

-h, --help
    Print help information and exit. 
-V, --version
    Print version number and exit. 
-v, --verbose
    Be verbose. 
--debug
    Display debug messages from libclamav. 
--quiet
    Be quiet (only print error messages). 
--stdout
    Write all messages (except for libclamav output) to the standard output (stdout). 
-d FILE/DIR, --database=FILE/DIR
    Load virus database from FILE or load all virus database files from DIR. 
-l FILE, --log=FILE
    Save scan report to FILE. 
--tempdir=DIRECTORY
    Create temporary files in DIRECTORY. Directory must be writable for the '' user or unprivileged user running clamscan. 
--leave-temps
    Do not remove temporary files. 
-r, --recursive
    Scan directories recursively. All the subdirectories in the given directory will be scanned. 
--bell
    Sound bell on virus detection. 
--no-summary
    Do not display summary at the end of scanning. 
--exclude=PATT, --exclude-dir=PATT
    Don't scan file/directory names containing PATT. It may be used multiple times. 
--include=PATT, --include-dir=PATT
    Only scan file/directory names containing PATT. It may be used multiple times. 
-i, --infected
    Only print infected files. 
--remove
    Remove infected files. Be careful. 
--move=DIRECTORY
    Move infected files into DIRECTORY. Directory must be writable for the '' user or unprivileged user running clamscan. 
--copy=DIRECTORY
    Copy infected files into DIRECTORY. Directory must be writable for the '' user or unprivileged user running clamscan. 
--detect-pua
    Detect Possibly Unwanted Applications. 
--no-mail
    Disable scanning of mail files. 
--no-phishing-sigs
    Disable signature-based phishing detection. 
--no-phishing-scan-urls
    Disable url-based heuristic phishing detection. This disables Phishing.Heuristics.Email.* 
--no-phishing-restrictedscan
    Enable url-based heuristic phishing detection for all domains (might lead to false positives!). 
--phishing-ssl
    Always block SSL mismatches in URLs (might lead to false positives!). 
--phishing-cloak
    Always block cloaked URLs (might lead to some false positives). 
--no-algorithmic
    In some cases (eg. complex malware, exploits in graphic files, and others), ClamAV uses special algorithms to provide accurate detection. This option disables the algorithmic detection. 
--no-pe
    PE stands for Portable Executable - it's an executable file format used in all 32-bit versions of Windows operating systems. By default ClamAV performs deeper analysis of executable files and attempts to decompress popular executable packers such as UPX, Petite, and FSG. This option disables PE support and should be used with care! 
--no-elf
    Executable and Linking Format is a standard format for UN*X executables. This option disables ELF support. 
--no-ole2
    Disable support for Microsoft Office documents and .msi files. 
--no-pdf
    Disable scanning within PDF files. 
--no-html
    Disable support for HTML detection and normalisation. 
--no-archive
    Disable archive support built in libclamav. 
--detect-broken
    Mark broken executables as viruses (Broken.Executable). 
--block-encrypted
    Mark encrypted archives as viruses (Encrypted.Zip, Encrypted.RAR). 
--mail-follow-urls
    If an email contains URLs ClamAV can download and scan them. WARNING: This option may open your system to a DoS attack. Never use it on loaded servers. 
--max-files=#n
    Extract at most #n files from each scanned file (when this is an archive, a document or another kind of container). This option protects your system against DoS attacks (default: 10000) 
--max-filesize=#n
    Extract and scan at most #n kilobytes from each archive. You may pass the value in megabytes in format xM or xm, where x is a number. This option protects your system against DoS attacks (default: 25 MB) 
--max-scansize=#n
    Extract and scan at most #n kilobytes from each scanned file. You may pass the value in megabytes in format xM or xm, where x is a number. This option protects your system against DoS attacks (default: 100 MB) 
--max-recursion=#n
    Set archive recursion level limit. This option protects your system against DoS attacks (default: 16). 
--max-dir-recursion=#n
    Maximum depth directories are scanned at (default: 15). 
--unzip[=FULLPATH]
    In most cases you don't need this option - the built-in unarchiver will extract Zip archives. Howvere, this option may be used as a backup for internal unpacker - see the full documentation for more information. When enabled without an argument, unzip program will be searched in $PATH. If unzip cannot be found in $PATH, you must force it with =pathname. Remember about '=' between the option and the argument. 
--unrar[=FULLPATH]
    Scan .rar files. In most cases the unpacker built into libclamav is enough. 
--arj[=FULLPATH]
    Scan .arj files. 
--unzoo[=FULLPATH]
    Scan .zoo files. 
--lha[=FULLPATH]
    Scan .lzh files. 
--jar[=FULLPATH]
    clamscan uses unzip for .jar files, so in some cases you may need to pass a full path to unzip. In most cases the unpacker built into libclamav is enough. 
--deb[=FULLPATH]
    This option supports debian binary packages. Implies --tgz, but doesn't conflict with --tgz=FULLPATH. It requires ar utility. 
--tar[=FULLPATH]
    This option supports non-compressed tar archives. In most cases the unpacker built into libclamav is enough. 
--tgz[=FULLPATH]
    This option supports tar.gz and .tgz files. You need GNU tar, on non-Linux system you probably have it installed as gtar. If it's in $PATH, please use --tgz=gtar in other case please pass a full path. In most cases the unpacker built into libclamav is enough.

Examples

(0) Scan a single file:

    clamscan file 
(1) Scan a current working directory:

    clamscan 
(2) Scan all files (and subdirectories) in /home:

    clamscan -r /home 
(3) Load database from a file and limit disk usage to 50 MB:

    clamscan -d /tmp/newclamdb --max-space=50m -r /tmp 
(4) Scan a data stream:

    cat testfile | clamscan - 
(5) Scan a mail spool directory:

    clamscan -r /var/spool/mail

Return Codes

Note: some return codes may only appear in a single file mode (when clamscan is started with a single argument). Those are marked with (ofm).

0 : No virus found.

1 : Virus(es) found.
40: Unknown option passed.
50: Database initialization error.
52: Not supported file type.
53: Can't open directory.
54: Can't open file. (ofm)
55: Error reading file. (ofm)
56: Can't stat input file / directory.
57: Can't get absolute path name of current working directory.
58: I/O error, please check your file system.
59: Can't get information about current user from /etc/passwd.
60: Can't get information about user '' from /etc/passwd.
61: Can't fork.
62: Can't initialize logger.
63: Can't create temporary files/directories (check permissions).
64: Can't write to temporary directory (please specify another one).
70: Can't allocate memory (calloc).
71: Can't allocate memory (malloc).

Credits
Please check the full documentation for credits.
Author

Tomasz Kojm 
See Also

clamdscan(1), freshclam(1)
Referenced By
clamav-milter(8), clamd(8), clamd.conf(5), clamfs(1), freshclam.conf(5), sigtool(1)

Saludos.
Gabriel.



Solo doy soporte para Ubuntu: Un sistema operativo superior, moderno, optimizado, seguro, evolutivo y completo.
+1
0
-1
Imagen de Javi L
+1
0
-1

Bueno, pues finalmente me solucionó el problema. Detectó 11 virus y conseguí que Windows arrancara y fuera más o menos estable (Lo justo para desintalar un antivirus e instalar el Avira actualizado para posteriormente eliminar otros 16 virus).

Primero me creé una carpeta log para sacar un archivo .log con los resultados:

sudo mkdir /mnt/log

El comando utilizado finalmente fue (lo hago de memoria, ya que hace casi una semana, y con las fiestas...):

clamscan --log=/mnt/log/logScan.log -r -i --move=/mnt/virus /mnt/windows

Aunque -i supuestamente sólo muestra por pantalla (y en el log) los archivos infectados no fue así, por lo que en el log buscando la palabra FOUND vi cuales eran.

Muchas gracias a todos por vuestra ayuda. Un saludo.

+1
0
-1
Imagen de Capa
+1
0
-1

Recuerda editar el título y añadir "(Solucionado)".

Saludos.


CAPASOFT
Alternativas Software Libre
+1
0
-1