Manual de Soporte Técnico de ESET Documento Técnico - Confidencial Versión 2.3 (20100102)

Este manual tiene como objetivo presentar información respecto a la documentación técnica

disponible para Partners, así como los canales de comunicación correspondientes para solicitar

asistencia o reportar malware.

El presente documento se divide en las siguientes secciones:

1. Documentación Técnica disponible ................................................................................................ 2

2. Soporte para usuarios finales........................................................................................................... 3

3. Soporte para Partners....................................................................................................................... 4

4. Envío de muestras al Laboratorio de ESET .................................................................................... 8

5. Recolección de información ante incidentes ................................................................................... 9

6. Procedimiento manual básico para eliminación de malware......................................................... 14

7. Procedimiento para solucionar problemas de actualización de los productos de ESET ............... 22

1. Documentación Técnica disponible

Toda la documentación técnica, manuales y tutoriales de los productos de ESET se encuentran

disponibles en la sección de Documentos Técnicos en nuestro Sistema de Documentos para

Partners:

http://docs.eset-la.com/

NOTA: recuerde que el Sistema de Documentos para Partners le solicitará usuario y contraseña, de

no contar con uno solicítelo a ventas@eset-la.com

En este sistema de documentos se encuentran:

• Manuales de uso de los productos

• Guías de instalación y configuración de los productos

• Tutoriales con información técnica detallada para solución de problemas y configuraciones

avanzadas

Si aún así necesitara ayuda con algún problema o error en particular, es recomendable enviar su

consulta a Asistencia Técnica al Canal de ESET Latinoamérica como se explicará en este documento.

2. Soporte para usuarios finales

La primera línea de soporte para usuarios finales debe ser provista por los Partners mismos,

asistiendo a los clientes en la solución de los temas típicos de instalación, configuración, errores,

detección de malware y solución de problemas comunes.

Es importante destacar que el soporte brindado por ESET Latinoamérica es de segundo nivel y se

brindará al Partner como se explica en la próxima Sección.

De todos modos, en caso de recibir una consulta por parte de un usuario final, cliente o posible

cliente se debe escalar el caso al país, Partner o Distribuidor que corresponda, brindando en todo

momento el seguimiento adecuado para respaldar al usuario que realice la consulta.

3. Soporte para Partners

Los Partners cuentan con dos líneas de soporte:

La primera, brindada por la oficina de ESET en Bratislava, en idioma inglés y a través del correo

electrónico support@eset.com (no debe ser usado por los usuarios finales).

Otra, para soporte en español, a través del correo electrónico soporte@eset-la.com. El soporte será

brindado directamente por técnicos de Asistencia al Canal de de ESET Latinoamérica, lo cual brinda

una respuesta rápida y personalizada.

Este soporte es de segundo nivel y se brindará al Partner cuando haya agotado la instancia de

posibles soluciones buscadas por él mismo.

Los Partners no tienen permitido brindar los correos electrónicos disponibles de soporte a sus

clientes.

Para acelerar la respuesta y facilitar la tarea de asistencia, el asunto y el mensaje del correo enviado

deben ser descriptivos y claros, mencionando la mayor cantidad de datos posible y brindando

información sobre pruebas ya realizadas.

A la hora de solicitar asistencia es muy importante tener en cuenta que cuanto mayor sea la

información enviada en primera instancia, más rápida será la respuesta.

Cada caso será seguido desde el sistema de asistencia al canal por lo que no deben enviarse correos a

una dirección particular de miembros de ESET o que sea distinta a la ya citada.

Cada solicitud de asistencia es respondida automáticamente por el sistema, asignando un número de

de reclamo. Cada vez que se necesite hacer referencia al caso, el Partner deberá referirse a este

número, mediante el cual se realiza un seguimiento de cada caso, así como de la solución al mismo.

Cada caso recibido es analizado por la Asistencia Técnica al Canal y se mantendrá informado al

Partner sobre los avances del mismo, así como también cuando el caso sea cerrado luego de alcanzar

la solución o habiendo superado el tiempo de espera sin respuesta por parte del Partner.

Por cada situación y/o problema, es necesario proveer la siguiente información general:

1. Información general del equipo y del sistema. Esta información puede ser obtenida desde

ESET Smart Security o ESET NOD32 Antivirus, o con la herramienta ESET SysInspector.

NOTA: Puede utilizar ESET SysInspector descargándolo desde aquí o bien puede utilizarlo

desde la versión 4 de los productos de ESET. Para más detalle consulte la Sección 6.

2. Nombre y versión exacta del producto de ESET utilizado y con el cual aparecen

inconvenientes.

3. Descripción de síntomas percibidos y de la razón por la cual se ha llegado a la conclusión de

que se está en presencia de un error o de un comportamiento atípico del producto

4. Detalle del problema que presenta el sistema y por el cual se realiza la consulta.

5. Si corresponde a un error visible, será de gran ayuda enviar capturas de pantalla, tipos de

mensaje de error, el log recibido, etc.

6. Detalle de los procedimientos utilizados para resolver el inconveniente presentado y los

resultados obtenidos que lo llevaron a realizar la consulta a soporte técnico de segundo nivel.

7. Cada consulta (ticket) debe reflejar un solo tema para facilitar el seguimiento de cada caso

en particular. Si se reportara más de un caso por consulta, el mismo podría ser dividido por

Asistencia al Canal en la cantidad de tickets que corresponda.

8. Cualquier otra información extra y que se considere de ayuda para solucionar el problema de

la forma más adecuada y rápida posible.

Generación de logs de Instalación

De ser necesario para la resolución de la problemática presentada será de gran utilidad contar con

los logs de instalación del producto.

Para generarlo deberán lanzarse los siguientes comandos desde la linea de comandos o consola :

ESET NOD32 Antivirus o ESET Smart Security:

ejecutable.msi /log archivo.log

• Instalación desatendida para ESET NOD32 Antivirus o ESET Smart Security:

ess_nt32_esn.msi ADMINCFG="ruta_archivo_xml"

Logs de ESET Linux Security (Para servidores):

• Instalación desatendida:

nombre_del_instalador --cfg-path=FILE.xml

Luego de analizar dichos registros en detalle y de persisitir el inconveniente o requerir nuestra

intervención se deberán enviar además del los logs de instalación el analisis realizado con tal

informaciación.

En caso de tratarse de productos de plataforma Windows, debe además:

1. Incluir el archivo XML generado por ESET SysInspector en los equipos afectados.

2. Si corresponde, incluir el archivo XML de configuración de los productos de ESET. Este se

obtiene desde la pantalla principal del producto, ingresando desde el panel izquierdo a la

opción Configuración. Allí se mostrará la opción Importar o exportar la configuración. La

configuración del producto es necesaria para las consultas en cuanto al rendimiento del

producto o inconvenientes encontrados desde la implementación y configuración del mismo.

3. Si corresponde, incluir el XML de configuración de ESET Remote Administrator Server. Este se

obtiene desde la pantalla principal de ESET Remote Administrator Console. Se debe ingresar

al menú Tools, Server Options..., en la nueva ventana ir a la pestaña Other Settings y hacer

clic en Edit Advanced Settings. Se abrirá el Editor de Configuración donde podrá guardar el

XML con la configuración solicitada.

4. Si corresponde, incluir los logs generados por cualquiera de los productos utilizados.

En el caso de ESET Remote Administrator, para obtener este log es necesario ingresar a ESET

Remote Administrator Console, menú Tools, Server Options...; en la nueva ventana ingresar

a la pestaña Logging y tildar la opción Debug Log. Luego de repetido el inconveniente, se

puede desactivar dicho log.

En el caso de ESET NOD32 o ESET Smart Security, en la pantalla principal se debe ingresar a

Herramientas desde el menú izquierdo. Seleccionar Archivos de registro y posteriormente

hacer clic derecho y seleccionar Exportar en el panel de la derecha.

5. Ante cualquier inconveniente con XMON, es necesario enviar la misma información anterior.

Para más instrucciones detalladas, por favor haga click en el siguiente

enlace:

• http://kb.eset.com/esetkb/index?page=content&id=SOLN406&actp

=null&viewlocale=es_ES&showDraft=false

En caso de tratarse de productos de plataforma Linux, además debe proveer:

1. El archivo de configuración esets.cfg ubicado en /etc/esets/esets.cfg

2. El resultado de la ejecución del comando “ps -aux” (sin comillas) para verificar cualquier

inconveniente relacionado con demonios en ejecución.

3. El archivo LIC (comprimido en su archivo ZIP original) para verificar problema de

licenciamiento o con el archivo en sí mismo.

En caso de sospechar de infecciones de malware:

1. La muestra del archivo infectado o del programa dañino debe ser enviado sin excepción al

Laboratorio de ESET Latinoamérica, tal y como se describe en la próxima Sección.

2. En caso de enviar muestras al canal de asistencia, las mismas también deben ser remitidas al

Laboratorio.

3. En caso de que Asistencia al Canal reciba muestras de malware, procederá a remitirlas al

Laboratorio.

Para mayor detalle acerca de la recolección de información útil del sistema por favor consulte la

Sección 6.

4. Envío de muestras al Laboratorio de ESET Latinoa mérica

Los Partners de Latinoamérica cuentan con una dirección de correo electrónico para enviar muestras

de códigos maliciosos a ESET. Este correo debe ser utilizado solamente para enviar muestras no

detectadas por ESET NOD32 Antivirus y que hayan sido confirmadas como códigos maliciosos.

Es para uso exclusivo del Partner, por lo que se le pide que no la entregue a sus clientes.

Si no tiene la certeza de que el archivo es un código malicioso, le solicitamos que en primer lugar envíe la muestra a scan@virustotal.com con el asunto “ANALIZA“ con el fin de corroborarlo. Si se confirma que realmente el archivo es un código malicioso, debe enviarnos la respuesta de www.virustotal.com junto con la muestra en cuestión.

Procedimiento de envío

• La muestra debe ser enviada a samples@eset-la.com

• Debe estar comprimida con Winzip o Winrar y la compresión debe realizarse con la

contraseña ”infected” (sin comillas)

• Se debe adjuntar solamente archivos del tipo mencionado ya que cualquier otro será

eliminado

• El asunto y el contenido del mensaje deben ser descriptivos de la muestra que se envía. Debe

indicar dónde se ha detectado y bajo qué condiciones

• El mensaje debe ser redactado en español

Cada correo recibido con muestras es respondido al autor con el acuse de recibido y con un número

de ticket asociado. Este correo puede indicar que:

• La muestra no es un malware y que por ende no se llevará a cabo ninguna acción

• La muestra efectivamente es un malware y que será agregada a la base de firmas de las

soluciones de ESET a la brevedad

• La muestra ya es detectada, informando la fecha de detección y la base de firmas

correspondiente

• La muestra es un Falso Positivo por lo que se procederá a su eliminación de la base de firmas

de las soluciones de ESET a la brevedad

Luego de que el Laboratorio proceda al agregado de la firma -o eliminación, en el caso de un Falso

Positivo- se enviará otro correo al Partner confirmando esta situación. La respuesta será asociada al

número de ticket original. De este modo el Partner conoce la situación exacta de la muestra enviada.

En caso que el caso haya sido remitido por Asistencia al Canal, también se informará de la situación

para proceder al cierre del caso correspondiente.

Importante: este es el único canal habilitado para el reporte de muestras de malware, por lo que no

deben enviarse correos a una dirección particular de miembros de ESET o que sea distinta a la citada

anteriormente. En caso de desear solicitar soporte de algún producto en particular, por favor lea la

Sección anterior.

5. Recolección de información ante incidentes

Cada vez que se requiera la intervención del área de Asistencia y/o del Laboratorio de ESET

Latinoamérica, se deberá adjuntar al requerimiento, información relevante que especifica el estado

del equipo afectado y que ayudará a los especialistas a obtener un resultado satisfactorio en tiempo

y forma (ver Sección 3). Esta información corresponde a archivos de registro (logs) generados a partir

de las herramientas ESET SysInspector.

Además, en ciertos casos atípicos o graves, se podrá solicitar al Partner un archivo de registro

generado al provocar manualmente un volcado de memoria (DMP).

Generación de archivo de registro con ESET SysInspector

ESET SysInspector es una herramienta de diagnóstico gratuita que permite recolectar información

relevante sobre cada uno de los procesos investigativos involucrados en la resolución de problemas.

ESET SysInspector también se puede utilizar desde la versión 4 de ESET NOD32 o ESET Smart Security.

Para generar un archivo de registro a través de esta utilidad, se debe:

• Abrir ESET SysInspector

• Hacer clic en Archivo � Grabar registro

Imagen 1 – Generación de log con ESET SysInspector

De esta manera se generará, en la ubicación que se especifique, un archivo ZIP que aloja el archivo

de reporte con extensión XML.

NOTA: el formato del archivo de registro generado por ESET SysInspector posee un nombre de

archivo por defecto generado por: [SysInspector] + [Nombre de la PC] + [Fecha] + [ID]. El resultado

final es un archivo con nombre similar al siguiente: “SysInspector-SEGURIDAD-090105-1159.zip”

Si por algún motivo no puede acceder a la interfaz gráfica de ESET SysInspector, es posible generar

los archivos de registro a través de la línea de comandos:

C:\SysInspector.exe c:\new-report.xml

Para generar el archivo de registro con extensión .zip debe ejecutar el siguiente comando:

C:\>SysInspector.exe /gen=c:\report.zip /privacy /zip

Imagen 2 – Generación de reporte con ESET SysInspector bajo línea de comandos

NOTA: En la categoría Documentación Técnica del Sistema de Documentos para Partners podrá

obtener mayor información sobre el uso de ESET SysInspector a través de la “Guía de utilización de

ESET SysInspector”

Generación manual de archivo de volcado de memoria

En muchas ocasiones, ante el accionar de códigos maliciosos complejos, es necesario obtener un

nivel de información más profundo que el habitual para intentar establecer el/los problema(s) que el

malware esté generando en el sistema.

Para ello, se busca provocar de manera intencional un volcado de memoria. En consecuencia, la

presente sección del documento explica en qué consiste un volcado de memoria y cómo generarlo.

¿Qué es un volcado de memoria?

El volcado de memoria es un archivo que contiene información sobre el funcionamiento de la

memoria del sistema en un determinado período de tiempo. Esta operación genera lo que se conoce

como BsOD (Blue Screen of Death - Pantalla Azul de la Muerte) en plataformas Windows,

devolviendo el resultado en un archivo con extensión .dmp.

Desde el punto de vista técnico, representa una fuente muy valiosa de información para

desarrolladores y especialistas del área técnica que intentar establecer las posibles causas de los

problemas y el comportamiento incorrecto de las aplicaciones.

Configuración previa al volcado de memoria en MS Windows XP

En primera instancia, se debe especificar la ubicación y el tamaño que tendrá el archivo de volcado

de memoria. Para ello, se debe hacer clic derecho sobre el icono MI PC � Propiedades � Opciones

avanzadas. En la sección Inicio y recuperación, se debe hacer clic sobre el botón Configuración y en

la ventana que se abre, identificar la sección Escribir información de depuración. En esta sección se

puede seleccionar cualquiera de las siguientes opciones:

Verifique adicionalmente el documento "Guía de utilización de ESET

SysInspector", disponible en nuestro Sistema de Documentos para Partners

de ESET (http://docs.eset-la.com ) en el cual se brinda una explicación

pormenorizada del mencionado procedimiento.

Imagen 3 – Configuración previa al volcado de memoria

• Volcado de memoria pequeña: también llamado, minidump, registrará la información más

importante sobre el problema. Su tamaño será de 64 KB sistemas de 32-bits y 128 KB en

sistemas de 64-bits

• Volcado de memoria del núcleo: almacenará información de depuración del núcleo del

sistema y su tamaño suele ser de 64 MB

• Volcado de memoria completa: contendrá un registro completo de la memoria del sistema y

creará archivos del tamaño de la memoria instalada en el momento de generarse el error

En esta ventana de diálogo, puede especificar la ubicación del archivo y modificar la opción de volver

a escribir los registros existentes. En ambos casos, se recomienda dejar los valores por defecto.

Imagen 4 – Configuración del tipo de archivo de volcado de memoria

Para crear de manera manual un volcado de memoria, se debe tener en cuenta el tipo de conector

utilizado por el teclado, según sea el caso, se debe seguir los siguientes pasos:

• Haga clic en el botón Inicio � Ejecutar, en el campo escriba "regedit" (sin comillas) y luego

haga clic en el botón Aceptar para confirmar

• En el editor de registro, busque la siguiente clave si el teclado es del tipo PS/2:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters

Si el teclado es del tipo USB, se debe buscar la siguiente clave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters

• Luego, haga clic derecho sobre la clave y seleccione la opción “Nuevo”, y el tipo DWORD. El

nombre de la clave que debe establecer es CrashOnCtrlScroll y el valor asignado en 1

• Cierre el editor y reinicie la PC. Esto generará un nuevo archivo de volcado de memoria.

Ahora mantenga pulsada la tecla Ctrl derecha y, a continuación, presione la tecla Scroll Lock

(o Bloq Despl) dos veces

Imagen 5 – Clave de registro para teclados PS/2

El archivo de volcado de memoria se creará en base a los parámetros antes mencionados y se alojará

en “C:\WINDOWS\Minidump”.

6. Procedimiento manual básico para eliminación de malware

En esta sección se explican los pasos básicos a realizar de manera manual para eliminar el malware

en un equipo afectado. Las acciones suministradas no aseguran la remoción de cualquier tipo de

malware y son procedimientos básicos. ESET Latinoamérica no se responsabiliza por su aplicación en

los sistemas y la persona responsable deberá contar con la posibilidad de recuperar su información

en caso de pérdida de la misma (backup).

Paso 1: Instalación de ESET NOD32 Antivirus

Es fundamental, tanto a nivel hogareño como corporativo, la implementación de una herramienta de

seguridad antivirus capaz de detectar malware conocido y desconocido, lo que permitiría una mayor

flexibilidad y protección ante códigos maliciosos, también es de suma importancia prestar atención a

otros aspectos que escapan del ámbito mismo de la aplicación de seguridad instalada y ayudan a

proteger mejor el entorno, como se mostrará en este documento.

En el Sistema de Documentos para Partners existen los siguientes documentos donde se explica cómo realizar la instalación de ESET NOD32 Antivirus en los diferentes entornos:

• Instalación de ESET NOD32 para Windows 2000/XP/2003/Vista

• Guía de Instalación Rápida de ESET NOD32 Antivirus

Para más información, ESET recomienda la lectura de los siguientes artículos:

http://www.eset-la.com/threat-center/2038-proteccion-windows-xp

http://www.eset-la.com/threat-center/1575-prevencion-contra-malware

http://www.eset-la.com/threat-center/1493-proteccion-proactiva-soluciones-clientes

Paso 2: Actualización del sistema operativo

Las actualizaciones permiten solucionar los problemas que se encuentran en el software que se

utiliza diariamente. Cuando un error es encontrado en un programa o sistema determinado, se

informa al proveedor, quien evalúa su importancia, desarrolla la solución -normalmente llamada

"parche"- y luego lanza públicamente la actualización. En este momento, los usuarios deberían

descargar e instalar esas actualizaciones tan pronto como sea posible ya que, cuando existe un error

de este tipo, lo más probable es que el mismo sea conocido por los creadores de malware quienes

pueden aprovechar para crear nuevos programas dañinos que utilizan los agujeros de seguridad para

infectar a los sistemas que aún permanecen sin actualizar.

Para descargar las actualizaciones del sistema puede ingresar a:

http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=es

En el Sistema de Documentos para Partners existe el documento de nombre “Actualizaciones frente

a infecciones por malware” donde se explica la importancia de contar con un sistema actualizado

para evitar ser infectado por malware.

Para más información sobre la importancia de las actualizaciones del sistema operativo, consulte la

siguiente documentación:

http://www.eset-la.com/threat-center/1996-importancia-actualizaciones

http://blogs.eset-la.com/laboratorio/2008/11/29/gusano-conficker-parchee-inmediatamente/

http://www.microsoft.com/latam/protect/computer/basics/updates.mspx

Importante: los productos y sistemas comprendidos en este documento deben contar con licencia

oficial. ESET Latinoamérica no se responsabiliza por la aplicación de los pasos suministrados en este

documento en sistemas o productos que no cuenten con su respectivo licenciamiento.

Paso 3: Restaurar Sistema (Windows XP)

Para realizar una correcta limpieza luego de una infección, es necesario desactivar la utilidad de

Windows, Restaurar sistema, debido a que esta utilidad realiza automáticamente una copia de

seguridad de los archivos seleccionados en la carpeta C:\_Restore.

Esto significa que podría haber un archivo infectado o dañino almacenado en esa ubicación como

archivo de copia de seguridad, con el proceso de exploración de malware no sería posible eliminarlo

y el mismo podría ser restaurado al sistema como si fuera un archivo normal del mismo.

A continuación se describen los pasos a seguir para realizar la desactivación de la utilidad Restaurar

Sistema de Windows XP:

1. Hacer clic en Inicio, luego ir a Configuración, Panel de Control

2. Hacer clic en Sistema, luego seleccionar la pestaña Restaurar Sistema

3. Hacer clic en el checkbox de la opción Desactivar Restaurar sistema en todas las unidades

4. Hacer clic Aplicar y luego en Aceptar

Una vez desactivado la opción de Restaurar sistema de Windows se puede continuar con el siguiente

paso.

Paso 4: Visualizar archivos y carpetas ocultas

Los archivos y carpetas con los atributos de sistema y oculto están de forma predeterminada ocultos

en la interfaz de usuario, este comportamiento se implementó para simplificar la interfaz gráfica de

usuario y para proteger algunos archivos del sistema operativo, como por ejemplo, los que genera la

utilidad Restaurar sistema.

Es normal que el malware, para pasar desapercibido, utilice estas funcionalidades y permanezca

oculto al sistema y al usuario.

A continuación se detallan los pasos a seguir para poder visualizar archivos y carpetas con atributos

de oculto (debe poseer permisos administrativos para realizar esta tarea):

1. Hacer clic en Inicio, luego ir a Programas, Accesorios y hacer clic en Explorador de Windows

2. Seleccionar en el menú la opción Herramientas y luego en Opciones de carpeta…

3. Luego seleccionar la pestaña Ver

4. Buscar la opción Archivos y carpetas ocultos, macar la opción Mostrar todos los archivos y

carpetas ocultos

5. Desmarcar la opción Ocultar archivos protegidos del sistema operativo (Recomendado)

6. Hacer clic en Si para confirmar

7. Hacer clic en Aplicar y luego en Aceptar

Existen casos en los que un programa malicioso oculta estas opciones impidiendo la visualización de

los archivos con atributos de oculto por lo que será necesario seguir los siguientes pasos para

habilitar la opción:

NOTA: Antes de modificar el Registro, por favor crear una copia de seguridad del mismo (debe

poseer permisos administrativos para realizar esta tarea).

1. Hacer clic en Inicio, seleccionar Ejecutar, escribir regedit y luego hacer clic en Aceptar

2. Buscar dentro del editor del registro, la siguiente llave:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

3. Eliminar la entrada "NoFolderOption"

4. Si no existe la entrada "NoFolderOption":

• Ir a menu Edición

• Hacer clic en Nuevo

• Hacer clic en valor DWORD

• Nombrar este valor como "NoFolderOption" (sin las comillas)

• El valor debe ser 0. Si no lo es, se debe hacer doble clic sobre el valor creado "NoFolderOption" y en la nueva ventana, se debe escribir 0 en "Información del valor"

Paso 5: Eliminar el último punto de Restauración

Luego de realizar las acciones de los pasos anteriores se deberá eliminar el o los últimos puntos de

restauración creados automáticamente por el sistema. Para realizar esto se deben seguir los

siguientes pasos (debe poseer permisos administrativos para realizar esta tarea):

1. Desactivar el Restaurar sistema (ver paso 3)

2. Visualizar los archivos y carpetas ocultos (ver paso 4)

3. Cambiar los permisos de acceso a los archivos de Restaurar sistema:

• Hacer clic en Inicio , luego seleccionar Ejecutar

• Escribir cmd y hacer clic en Aceptar para confirmar

• En la ventana del Command Prompt, escribir el siguiente comando:

cacls "C:\System Volume Information" /P Administrators:F

• Para confirmar, presione la tecla Y De esta manera es posible abrir las carpetas utilizadas por Restaurar sistema y navegar a través de la ruta C:\System Volume Information.

• Buscar los archivos del punto de Restauración a eliminar

• Luego, abrir nuevamente una ventana de cmd y escribir: cacls "C:\System Volume Information" /P System:F

• Se debe volver a confirmar con la tecla Y para volver a los permisos al sistema

4. Volver a activar el Restaurar Sistema (ver paso 3)

Paso 6: Iniciar el sistema en Modo prueba de errores

El Modo a prueba de errores (o Modo Seguro) es un modo de diagnóstico de Windows que puede

iniciar el sistema con un mínimo de drivers (controladores) genéricos de manera que los errores del

sistema puedan ser corregidos. Una vez entrando en Modo a prueba de errores, el usuario puede

ejecutar comandos y dispositivos de carga de uno en uno.

El Modo a prueba de errores también se utiliza para eliminar o borrar los archivos que en otro modo

están "bloqueados" o "en uso" durante la operación normal del sistema operativo, como por ejemplo

archivos maliciosos que se encuentren en ejecución.

Para iniciar el sistema operativo en Modo a prueba de errores (o Modo seguro) se deben realizar las

siguientes acciones:

1. Se debe iniciar el sistema o reiniciar si es que ya estaba encendido el equipo

2. Desde ese momento se debe presionar la tecla F8 hasta que aparece la pantalla que muestra

las Opciones de arranque avanzadas

3. Asegúrese de seleccionar la opción Modo a prueba de errores y presione Enter

4. El sistema iniciará ahora en modo seguro.

Para mas información sobre cómo iniciar un análisis con ESET NOD32 Antivirus en Modo Seguro

ingrese al Blog del Laboratorio de ESET Latinoamérica:

http://blogs.eset-la.com/laboratorio/2009/05/04/ejecutar-eset-nod32-modo-seguro/

Paso 7: Análisis con ESET NOD32 Antivirus o ESET Smart Security

Una vez que se realizaron estos pasos se deberá realizar un análisis bajo demanda desde ESET NOD32

Antivirus o ESET Smart Security.

En primer lugar se debe comprobar que la base de firmas esté actualizada. Para ello abra la pantalla

principal de ESET NOD32 Antivirus, haga clic en el icono de ESET junto al reloj del sistema (trayicon) o

bien, clic en Inicio, Todos los programas ���� ESET ���� ESET NOD32 Antivirus. Luego haga clic en la

pestaña de Actualización y, a continuación, haga clic en el botón Actualizar ahora.

Una vez actualizada la base de firmar de ESET NOD32 Antivirus se procede a iniciar el sistema en

modo a prueba de errores (ver paso 6).

Para realizar un análisis bajo demanda en modo a prueba de errores se deben realizar los siguientes

pasos:

1. Una vez que el sistema haya iniciado, debe hacer clic en Inicio, Programas, ingresar a ESET,

ESET NOD32 Antivirus y hacer clic en ESET NOD32 Antivirus.

2. Se abrirá una ventana de DOS donde se indicará que ha comenzado el análisis del equipo.

Si en el análisis ESET NOD32 Antivirus encuentra archivos infectados, realizará las acciones necesarias

para la limpieza. En caso de no poder desinfectar, los archivos serán eliminados y copiados a

Cuarentena.

Una vez que el análisis haya terminado, puede iniciar el sistema en Modo Normal y volver a realizar

un análisis bajo demanda, esta vez en Modo Normal.

Paso 8: Activar Restaurar Sistema y Ocultar los archivos y carpetas del sistema

Luego de realizar los pasos anteriores, y una vez eliminada la amenaza, se deben revertir las

modificaciones realizadas en los pasos anteriores.

Para habilitar la utilidad Restaurar sistema una vez concretada la limpieza del sistema, se deben

realizar los siguientes pasos (para realizar esta tarea, debe poseer permisos administrativos):

1. Hacer clic en Inicio, luego ir a Configuración, Panel de Control

2. Hacer clic en Sistema, luego seleccionar la pestaña Restaurar Sistema

3. Hacer clic en el checkbox de la opción Desactivar Restaurar sistema en todas las unidades

4. Hacer clic Aplicar y luego en Aceptar

A continuación, se detallan los pasos a seguir para volver a ocultar los archivos y carpetas con

atributos de ocultos:

1. Hacer clic en Inicio, luego ir a Programas, Accesorios y hacer clic en Explorador de Windows

2. Seleccionar en el menú la opción Herramientas y luego en Opciones de carpeta…

3. Seleccionar la pestaña Ver

4. Buscar la opción Archivos y carpetas ocultos y macar la opción Mostrar todos los archivos y

carpetas ocultos

5. Marcar la opción Ocultar archivos protegidos del sistema operativo (Recomendado)

8. Hacer clic en Si para confirmar y luego clic en Aplicar y posteriormente en Aceptar

Restaurar funciones del sistema

Es posible que luego de una infección ciertas utilidades del sistema operativo queden bloqueadas por el accionar de un código malicioso. Una vez realizadas las acciones mencionadas en los pasos básicos para la eliminación manual de una infección, el sistema aún presenta bloqueadas las utilidades como Regedit, Administrador de tareas, el comando Ejecutar y las Opciones de carpeta se deben realizar las siguientes acciones:

1. Abrir el Administrador de Políticas de Grupo que se encuentra en la siguiente ruta: C:\Windows\system32\gpedit.msc

2. Luego buscar dentro del Administrador de de Políticas de Grupo la siguiente opción:

Directiva de Equipo local → Configuración de Usuario → Plantillas Administrativas

3. Encontrar las siguientes entradas y realizar los ajustes necesarios.

Habilitar las Opciones de Carpetas:

• Ir a Componentes de Windows ���� Explorador de Windows

• Doble clic en Quita el menú Opciones de carpeta del menú Herramientas

• Seleccionar la opción Deshabilitado y confirmar haciendo clic en Aplicar y luego en Aceptar

Restaurar el comando Ejecutar:

• Ir a Menú Inicio y Barra de Tareas

• Doble clic en Quitar el menú Ejecutar del menú Inicio

• Seleccionar la opción Deshabilitado y confirmar haciendo clic en Aplicar y luego en Aceptar

Habilitar el Administrador de Tareas:

• Ir a Sistema ���� Opciones de Ctrl+Alt+Sup

• Doble clic en Quitar el Administrador de Tareas

• Seleccionar la opción Deshabilitado y confirmar haciendo clic en Aplicar y luego en Aceptar

Habilitar Símbolo de Sistema y Regedit:

• Ir a Sistema

• Hacer doble clic en Impedir el acceso a Símbolo de Sistema

• Seleccionar Deshabilitado y confirmar haciendo clic en Aplicar y luego en Aceptar

• Hacer doble clic en Impedir el acceso a herramientas de edición del Registro

• Seleccionar Deshabilitado y confirmar haciendo clic en Aplicar y luego en Aceptar

4. Finalmente, cerrar el Administrador de Políticas de Grupo. De esta manera será posible restaurar las utilidades y funciones de Windows luego de que las mismas sean deshabilitadas por un código malicioso.

Es importante recordar que los pasos suministrados en este documento no aseguran la remoción de cualquier tipo de malware y son procedimientos básicos. ESET Latinoamérica no se responsabiliza por su aplicación en los sistemas y la persona responsable deberá contar con la posibilidad de recuperar su información en caso de pérdidas de la misma (backup).

En caso de verse imposibilitado a realizar los pasos indicados en este documento, puede realizar su consulta según la Sección 3 del presente documento.

7. Procedimiento para solucionar problemas de actualización de los productos de ESET

Debido a que este es uno de los problemas más comunes reportados por Partners y Clientes, el

siguiente documento detalla las acciones que se deberán tomar antes de realizar la consulta a los

canales de ESET Latinoamérica, a fin de que este tipo de inconvenientes pueda ser resuelto con la

mayor celeridad posible.

La primera acción ante cualquier inconveniente con los productos de ESET es la reinstalación del

mismo. La instalación de los productos de ESET se debe realizar con un usuario con permisos de

Administrador.

Mensajes del producto

El producto informa que “No es posible actualizar la base de datos” o informa que “No es necesario

actualizar la base de firmas de virus” y sin embargo la fecha de la base de firmas de malware es

incorrecta, esto puede atribuirse a muchas variables. Cortafuegos, proxies, y otros programas

pueden interferir con la conexión. Asegúrese de revisar lo siguiente si usted recibe estos mensajes.

NOTA: estas acciones deben ser probadas de a una en la medida que el inconveniente persista.

El nombre de usuario y contraseña fueron ingresados incorrectamente

Puede consultar el video disponible en el entrenamiento en línea de ESET donde se explica cómo

realizar la modificación del usuario y contraseña en:

http://www.eset-la.com/support/videos/usuario/index.html

Para poder verificar si el usuario y la contraseña se encuentran activos y pueden actualizar, ingrese a:

http://www.eset-la.com/download/registered_software.php

Luego intente realizar una descarga de uno de los instaladores del producto. En el momento en que

el sistema solicite usuario y contraseña para descargar el archivo MSI de instalación, ingrese los datos

a verificar, si la descarga inicia, los datos ingresados están activos y actualizando con normalidad.

Eliminar el cache de actualización

La eliminación del cache de actualización se utiliza para eliminar el contenido de la carpeta Updfiles

de manera automática desde el producto.

Debe ingresar desde el producto a las Opciones avanzadas de configuración, Actualización, allí en

Eliminar el cache de actualización deberá hacer clic en el botón Eliminar. Luego de realizar esta

acción puede generar una actualización manual ingresando a la pantalla principal del producto para

luego dirigirse a la opción Actualización y hacer clic en la opción Actualización manual de la base de

firmas.

Eliminar manualmente los archivos de actualización

Para eliminar el contenido de la carpeta Updfiles debe dirigirse a C:\Documents and Settings\All

Users\Datos de programa\ESET\ESET NOD32 Antivirus o ESET Smart Security\Updfiles, una vez que

se elimine todo el contenido de esta carpeta puede realizar nuevamente una actualización manual.

NOTA: para poder visualizar esta carpeta deberá activar la visualización de archivos y carpetas

ocultos. Primero debe ingresar a Mis Documentos, Herramientas, Opciones de Carpeta, luego ir a la

solapa Ver y en la opción Archivos y carpetas ocultos marcar la opción Mostrar todos los archivos y

carpetas ocultos. En caso de presentarse problemas consulte la Seccion 7 del presente.

Desactivar el mirror de actualización

En cuanto a redes de trabajo administradas con ESET Remote Administrator se puede desactivar el

mirror de actualización de ESET Remote Administrator y luego, tras el reinicio del equipo donde se

encuentra instalado ESET Remote Administrator Server, se debe activar el mirror de actualización

nuevamente.

Luego, forzar la descarga de los archivos de actualización para los clientes de la red al servidor. Para

esto se debe ingresar desde ESET Remote Administrator Console al menú Tools, Server Options...,

ingresar a la pestaña Updates y hacer clic en Update Now. El producto indicará con una barra de

progreso la descarga de los archivos de actualización, luego podrá enviar una tarea de actualización

desde ESET Remote Administrator Console a los clientes de la red.

Migrar a la última versión

ESET recomienda mantener siempre actualizados sus productos a la última versión disponible debido

a que la misma cuenta con mejoras y nuevas funcionalidades necesarias para un óptimo

rendimiento.

Para verificar si el equipo cuenta con la ultima versión vigente de los productos de ESET puede

ingresar a la pantalla principal del producto, ir a menú Ayuda y seleccionar la opción Acerca de.... De

esta manera se obtendrá información sobre la versión del producto instalado en el equipo. Luego

podrá ingresar a:

http://www.eset-la.com/download/registered_software.php

Comparar esta información con la ultima versión del producto que se encuentra disponible para su

descarga en el sitio Web de ESET Latinoamérica. De no contar con la misma versión se deberá realizar

la migración de la misma.

Para realizar una migración exitosa de los productos de ESET puede consultar el documento

Migración de ESET NOD32 y ESET Smart Security desde la v3.x a v4.x disponible en el Sistema de

Documentos para Partner.

Permisos de Administrador

Para una correcta instalación de los productos de ESET debe contar con permisos de Administrador

tanto para realizar la instalación de manera local en un equipo como para realizar la instalación

mediante ESET Remote Administrator.

En caso de verse imposibilitado a realizar los pasos indicados en este documento, puede realizar su

consulta según la Sección 3 del presente documento.