Manual de Soporte Técnico de ESET

Documento Técnico - Confidencial

Versión 2.3 (20100102)

Este manual tiene como objetivo presentar información respecto a la documentación técnica
disponible para Partners, así como los canales de comunicación correspondientes para solicitar
asistencia o reportar malware.

El presente documento se divide en las siguientes secciones:

1. Documentación Técnica disponible ................................................................................................ 2

2. Soporte para usuarios finales........................................................................................................... 3

3. Soporte para Partners....................................................................................................................... 4

4. Envío de muestras al Laboratorio de ESET .................................................................................... 8

5. Recolección de información ante incidentes ................................................................................... 9

6. Procedimiento manual básico para eliminación de malware......................................................... 14

7. Procedimiento para solucionar problemas de actualización de los productos de ESET ............... 22

1. Documentación Técnica disponible
Toda la documentación técnica, manuales y tutoriales de los productos de ESET se encuentran
disponibles en la sección de Documentos Técnicos en nuestro Sistema de Documentos para
Partners:
http://docs.eset-la.com/

NOTA: recuerde que el Sistema de Documentos para Partners le solicitará usuario y contraseña, de
no contar con uno solicítelo a ventas@eset-la.com

En este sistema de documentos se encuentran:

• Manuales de uso de los productos

• Guías de instalación y configuración de los productos
• Tutoriales con información técnica detallada para solución de problemas y configuraciones
avanzadas
Si aún así necesitara ayuda con algún problema o error en particular, es recomendable enviar su
consulta a Asistencia Técnica al Canal de ESET Latinoamérica como se explicará en este documento.
2. Soporte para usuarios finales
La primera línea de soporte para usuarios finales debe ser provista por los Partners mismos,
asistiendo a los clientes en la solución de los temas típicos de instalación, configuración, errores,
detección de malware y solución de problemas comunes.

Es importante destacar que el soporte brindado por ESET Latinoamérica es de segundo nivel y se
brindará al Partner como se explica en la próxima Sección.

De todos modos, en caso de recibir una consulta por parte de un usuario final, cliente o posible
cliente se debe escalar el caso al país, Partner o Distribuidor que corresponda, brindando en todo
momento el seguimiento adecuado para respaldar al usuario que realice la consulta.
3. Soporte para Partners
Los Partners cuentan con dos líneas de soporte:

La primera, brindada por la oficina de ESET en Bratislava, en idioma inglés y a través del correo
electrónico support@eset.com (no debe ser usado por los usuarios finales).

Otra, para soporte en español, a través del correo electrónico soporte@eset-la.com. El soporte será
brindado directamente por técnicos de Asistencia al Canal de de ESET Latinoamérica, lo cual brinda
una respuesta rápida y personalizada.

Este soporte es de segundo nivel y se brindará al Partner cuando haya agotado la instancia de
posibles soluciones buscadas por él mismo.

Los Partners no tienen permitido brindar los correos electrónicos disponibles de soporte a sus
clientes.

Para acelerar la respuesta y facilitar la tarea de asistencia, el asunto y el mensaje del correo enviado
deben ser descriptivos y claros, mencionando la mayor cantidad de datos posible y brindando
información sobre pruebas ya realizadas.

A la hora de solicitar asistencia es muy importante tener en cuenta que cuanto mayor sea la
información enviada en primera instancia, más rápida será la respuesta.

Cada caso será seguido desde el sistema de asistencia al canal por lo que no deben enviarse correos a
una dirección particular de miembros de ESET o que sea distinta a la ya citada.

Cada solicitud de asistencia es respondida automáticamente por el sistema, asignando un número de

de reclamo. Cada vez que se necesite hacer referencia al caso, el Partner deberá referirse a este
número, mediante el cual se realiza un seguimiento de cada caso, así como de la solución al mismo.

Cada caso recibido es analizado por la Asistencia Técnica al Canal y se mantendrá informado al
Partner sobre los avances del mismo, así como también cuando el caso sea cerrado luego de alcanzar
la solución o habiendo superado el tiempo de espera sin respuesta por parte del Partner.
Por cada situación y/o problema, es necesario proveer la siguiente información general:

1. Información general del equipo y del sistema. Esta información puede ser obtenida desde
ESET Smart Security o ESET NOD32 Antivirus, o con la herramienta ESET SysInspector.
NOTA: Puede utilizar ESET SysInspector descargándolo desde aquí o bien puede utilizarlo
desde la versión 4 de los productos de ESET. Para más detalle consulte la Sección 6.

2. Nombre y versión exacta del producto de ESET utilizado y con el cual aparecen
inconvenientes.
3. Descripción de síntomas percibidos y de la razón por la cual se ha llegado a la conclusión de
que se está en presencia de un error o de un comportamiento atípico del producto
4. Detalle del problema que presenta el sistema y por el cual se realiza la consulta.
5. Si corresponde a un error visible, será de gran ayuda enviar capturas de pantalla, tipos de
mensaje de error, el log recibido, etc.
6. Detalle de los procedimientos utilizados para resolver el inconveniente presentado y los
resultados obtenidos que lo llevaron a realizar la consulta a soporte técnico de segundo nivel.
7. Cada consulta (ticket) debe reflejar un solo tema para facilitar el seguimiento de cada caso
en particular. Si se reportara más de un caso por consulta, el mismo podría ser dividido por
Asistencia al Canal en la cantidad de tickets que corresponda.
8. Cualquier otra información extra y que se considere de ayuda para solucionar el problema de
la forma más adecuada y rápida posible.

Generación de logs de Instalación

De ser necesario para la resolución de la problemática presentada será de gran utilidad contar con
los logs de instalación del producto.

Para generarlo deberán lanzarse los siguientes comandos desde la linea de comandos o consola :

ESET NOD32 Antivirus o ESET Smart Security:

ejecutable.msi /log archivo.log

• Instalación desatendida para ESET NOD32 Antivirus o ESET Smart Security:

ess_nt32_esn.msi ADMINCFG="ruta_archivo_xml"
Logs de ESET Linux Security (Para servidores):

• Instalación desatendida:

nombre_del_instalador --cfg-path=FILE.xml

Para más instrucciones detalladas, por favor haga click en el siguiente

enlace:

• http://kb.eset.com/esetkb/index?page=content&id=SOLN406&actp
=null&viewlocale=es_ES&showDraft=false

Luego de analizar dichos registros en detalle y de persisitir el inconveniente o requerir nuestra

intervención se deberán enviar además del los logs de instalación el analisis realizado con tal
informaciación.

En caso de tratarse de productos de plataforma Windows, debe además:

1. Incluir el archivo XML generado por ESET SysInspector en los equipos afectados.
2. Si corresponde, incluir el archivo XML de configuración de los productos de ESET. Este se
obtiene desde la pantalla principal del producto, ingresando desde el panel izquierdo a la
opción Configuración. Allí se mostrará la opción Importar o exportar la configuración. La
configuración del producto es necesaria para las consultas en cuanto al rendimiento del
producto o inconvenientes encontrados desde la implementación y configuración del mismo.
3. Si corresponde, incluir el XML de configuración de ESET Remote Administrator Server. Este se
obtiene desde la pantalla principal de ESET Remote Administrator Console. Se debe ingresar
al menú Tools, Server Options..., en la nueva ventana ir a la pestaña Other Settings y hacer
clic en Edit Advanced Settings. Se abrirá el Editor de Configuración donde podrá guardar el
XML con la configuración solicitada.
4. Si corresponde, incluir los logs generados por cualquiera de los productos utilizados.
En el caso de ESET Remote Administrator, para obtener este log es necesario ingresar a ESET
Remote Administrator Console, menú Tools, Server Options...; en la nueva ventana ingresar
a la pestaña Logging y tildar la opción Debug Log. Luego de repetido el inconveniente, se
puede desactivar dicho log.
En el caso de ESET NOD32 o ESET Smart Security, en la pantalla principal se debe ingresar a
Herramientas desde el menú izquierdo. Seleccionar Archivos de registro y posteriormente
hacer clic derecho y seleccionar Exportar en el panel de la derecha.
5. Ante cualquier inconveniente con XMON, es necesario enviar la misma información anterior.
En caso de tratarse de productos de plataforma Linux, además debe proveer:

1. El archivo de configuración esets.cfg ubicado en /etc/esets/esets.cfg

2. El resultado de la ejecución del comando “ps -aux” (sin comillas) para verificar cualquier
inconveniente relacionado con demonios en ejecución.
3. El archivo LIC (comprimido en su archivo ZIP original) para verificar problema de
licenciamiento o con el archivo en sí mismo.

En caso de sospechar de infecciones de malware:

1. La muestra del archivo infectado o del programa dañino debe ser enviado sin excepción al
Laboratorio de ESET Latinoamérica, tal y como se describe en la próxima Sección.
2. En caso de enviar muestras al canal de asistencia, las mismas también deben ser remitidas al
Laboratorio.
3. En caso de que Asistencia al Canal reciba muestras de malware, procederá a remitirlas al
Laboratorio.

Para mayor detalle acerca de la recolección de información útil del sistema por favor consulte la
Sección 6.
4. Envío de muestras al Laboratorio de ESET Latinoamérica
Los Partners de Latinoamérica cuentan con una dirección de correo electrónico para enviar muestras
de códigos maliciosos a ESET. Este correo debe ser utilizado solamente para enviar muestras no
detectadas por ESET NOD32 Antivirus y que hayan sido confirmadas como códigos maliciosos.

Es para uso exclusivo del Partner, por lo que se le pide que no la entregue a sus clientes.

Si no tiene la certeza de que el archivo es un código malicioso, le solicitamos que en primer lugar
envíe la muestra a scan@virustotal.com con el asunto “ANALIZA“ con el fin de corroborarlo. Si se
confirma que realmente el archivo es un código malicioso, debe enviarnos la respuesta de
www.virustotal.com junto con la muestra en cuestión.

Procedimiento de envío

• La muestra debe ser enviada a samples@eset-la.com

• Debe estar comprimida con Winzip o Winrar y la compresión debe realizarse con la
contraseña ”infected” (sin comillas)
• Se debe adjuntar solamente archivos del tipo mencionado ya que cualquier otro será
eliminado
• El asunto y el contenido del mensaje deben ser descriptivos de la muestra que se envía. Debe
indicar dónde se ha detectado y bajo qué condiciones
• El mensaje debe ser redactado en español
Cada correo recibido con muestras es respondido al autor con el acuse de recibido y con un número
de ticket asociado. Este correo puede indicar que:

• La muestra no es un malware y que por ende no se llevará a cabo ninguna acción

• La muestra efectivamente es un malware y que será agregada a la base de firmas de las
soluciones de ESET a la brevedad
• La muestra ya es detectada, informando la fecha de detección y la base de firmas
correspondiente
• La muestra es un Falso Positivo por lo que se procederá a su eliminación de la base de firmas
de las soluciones de ESET a la brevedad
Luego de que el Laboratorio proceda al agregado de la firma -o eliminación, en el caso de un Falso
Positivo- se enviará otro correo al Partner confirmando esta situación. La respuesta será asociada al
número de ticket original. De este modo el Partner conoce la situación exacta de la muestra enviada.

En caso que el caso haya sido remitido por Asistencia al Canal, también se informará de la situación
para proceder al cierre del caso correspondiente.

Importante: este es el único canal habilitado para el reporte de muestras de malware, por lo que no
deben enviarse correos a una dirección particular de miembros de ESET o que sea distinta a la citada
anteriormente. En caso de desear solicitar soporte de algún producto en particular, por favor lea la
Sección anterior.

5. Recolección de información ante incidentes

Cada vez que se requiera la intervención del área de Asistencia y/o del Laboratorio de ESET
Latinoamérica, se deberá adjuntar al requerimiento, información relevante que especifica el estado
del equipo afectado y que ayudará a los especialistas a obtener un resultado satisfactorio en tiempo
y forma (ver Sección 3). Esta información corresponde a archivos de registro (logs) generados a partir
de las herramientas ESET SysInspector.

Además, en ciertos casos atípicos o graves, se podrá solicitar al Partner un archivo de registro
generado al provocar manualmente un volcado de memoria (DMP).

Generación de archivo de registro con ESET SysInspector

ESET SysInspector es una herramienta de diagnóstico gratuita que permite recolectar información
relevante sobre cada uno de los procesos investigativos involucrados en la resolución de problemas.

ESET SysInspector también se puede utilizar desde la versión 4 de ESET NOD32 o ESET Smart Security.

Para generar un archivo de registro a través de esta utilidad, se debe:

• Abrir ESET SysInspector

• Hacer clic en Archivo
Grabar registro
 Imagen 1 – Generación de log con ESET SysInspector

De esta manera se generará, en la ubicación que se especifique, un archivo ZIP que aloja el archivo
de reporte con extensión XML.

NOTA: el formato del archivo de registro generado por ESET SysInspector posee un nombre de
archivo por defecto generado por: [SysInspector] + [Nombre de la PC] + [Fecha] + [ID]. El resultado
final es un archivo con nombre similar al siguiente: “SysInspector-SEGURIDAD-090105-1159.zip”

Si por algún motivo no puede acceder a la interfaz gráfica de ESET SysInspector, es posible generar
los archivos de registro a través de la línea de comandos:

C:\SysInspector.exe c:\new-report.xml

Para generar el archivo de registro con extensión .zip debe ejecutar el siguiente comando:

C:\>SysInspector.exe /gen=c:\report.zip /privacy /zip

Imagen 2 – Generación de reporte con ESET SysInspector bajo línea de comandos

NOTA: En la categoría Documentación Técnica del Sistema de Documentos para Partners podrá
obtener mayor información sobre el uso de ESET SysInspector a través de la “Guía de utilización de
ESET SysInspector”
 Verifique adicionalmente el documento "Guía de utilización de ESET
SysInspector", disponible en nuestro Sistema de Documentos para Partners
de ESET (http://docs.eset-la.com) en el cual se brinda una explicación
pormenorizada del mencionado procedimiento.

Generación manual de archivo de volcado de memoria

En muchas ocasiones, ante el accionar de códigos maliciosos complejos, es necesario obtener un

nivel de información más profundo que el habitual para intentar establecer el/los problema(s) que el
malware esté generando en el sistema.

Para ello, se busca provocar de manera intencional un volcado de memoria. En consecuencia, la

presente sección del documento explica en qué consiste un volcado de memoria y cómo generarlo.

¿Qué es un volcado de memoria?

El volcado de memoria es un archivo que contiene información sobre el funcionamiento de la

memoria del sistema en un determinado período de tiempo. Esta operación genera lo que se conoce
como BsOD (Blue Screen of Death - Pantalla Azul de la Muerte) en plataformas Windows,
devolviendo el resultado en un archivo con extensión .dmp.

Desde el punto de vista técnico, representa una fuente muy valiosa de información para
desarrolladores y especialistas del área técnica que intentar establecer las posibles causas de los
problemas y el comportamiento incorrecto de las aplicaciones.

Configuración previa al volcado de memoria en MS Windows XP

En primera instancia, se debe especificar la ubicación y el tamaño que tendrá el archivo de volcado
de memoria. Para ello, se debe hacer clic derecho sobre el icono MI PC
Propiedades
Opciones
avanzadas. En la sección Inicio y recuperación, se debe hacer clic sobre el botón Configuración y en
la ventana que se abre, identificar la sección Escribir información de depuración. En esta sección se
puede seleccionar cualquiera de las siguientes opciones:
 Imagen 3 – Configuración previa al volcado de memoria

• Volcado de memoria pequeña: también llamado, minidump, registrará la información más

importante sobre el problema. Su tamaño será de 64 KB sistemas de 32-bits y 128 KB en
sistemas de 64-bits
• Volcado de memoria del núcleo: almacenará información de depuración del núcleo del
sistema y su tamaño suele ser de 64 MB
• Volcado de memoria completa: contendrá un registro completo de la memoria del sistema y
creará archivos del tamaño de la memoria instalada en el momento de generarse el error
En esta ventana de diálogo, puede especificar la ubicación del archivo y modificar la opción de volver
a escribir los registros existentes. En ambos casos, se recomienda dejar los valores por defecto.
 Imagen 4 – Configuración del tipo de archivo de volcado de memoria

Para crear de manera manual un volcado de memoria, se debe tener en cuenta el tipo de conector
utilizado por el teclado, según sea el caso, se debe seguir los siguientes pasos:

• Haga clic en el botón Inicio
Ejecutar, en el campo escriba "regedit" (sin comillas) y luego
haga clic en el botón Aceptar para confirmar
• En el editor de registro, busque la siguiente clave si el teclado es del tipo PS/2:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters
Si el teclado es del tipo USB, se debe buscar la siguiente clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters
• Luego, haga clic derecho sobre la clave y seleccione la opción “Nuevo”, y el tipo DWORD. El
nombre de la clave que debe establecer es CrashOnCtrlScroll y el valor asignado en 1
• Cierre el editor y reinicie la PC. Esto generará un nuevo archivo de volcado de memoria.
Ahora mantenga pulsada la tecla Ctrl derecha y, a continuación, presione la tecla Scroll Lock
(o Bloq Despl) dos veces

Imagen 5 – Clave de registro para teclados PS/2

El archivo de volcado de memoria se creará en base a los parámetros antes mencionados y se alojará
en “C:\WINDOWS\Minidump”.
6. Procedimiento manual básico para eliminación de
malware
En esta sección se explican los pasos básicos a realizar de manera manual para eliminar el malware
en un equipo afectado. Las acciones suministradas no aseguran la remoción de cualquier tipo de
malware y son procedimientos básicos. ESET Latinoamérica no se responsabiliza por su aplicación en
los sistemas y la persona responsable deberá contar con la posibilidad de recuperar su información
en caso de pérdida de la misma (backup).

Paso 1: Instalación de ESET NOD32 Antivirus

Es fundamental, tanto a nivel hogareño como corporativo, la implementación de una herramienta de

seguridad antivirus capaz de detectar malware conocido y desconocido, lo que permitiría una mayor
flexibilidad y protección ante códigos maliciosos, también es de suma importancia prestar atención a
otros aspectos que escapan del ámbito mismo de la aplicación de seguridad instalada y ayudan a
proteger mejor el entorno, como se mostrará en este documento.

En el Sistema de Documentos para Partners existen los siguientes documentos donde se explica cómo
realizar la instalación de ESET NOD32 Antivirus en los diferentes entornos:
• Instalación de ESET NOD32 para Windows 2000/XP/2003/Vista
• Guía de Instalación Rápida de ESET NOD32 Antivirus

Para más información, ESET recomienda la lectura de los siguientes artículos:

http://www.eset-la.com/threat-center/2038-proteccion-windows-xp
http://www.eset-la.com/threat-center/1575-prevencion-contra-malware
http://www.eset-la.com/threat-center/1493-proteccion-proactiva-soluciones-clientes
Paso 2: Actualización del sistema operativo

Las actualizaciones permiten solucionar los problemas que se encuentran en el software que se
utiliza diariamente. Cuando un error es encontrado en un programa o sistema determinado, se
informa al proveedor, quien evalúa su importancia, desarrolla la solución -normalmente llamada
"parche"- y luego lanza públicamente la actualización. En este momento, los usuarios deberían
descargar e instalar esas actualizaciones tan pronto como sea posible ya que, cuando existe un error
de este tipo, lo más probable es que el mismo sea conocido por los creadores de malware quienes
pueden aprovechar para crear nuevos programas dañinos que utilizan los agujeros de seguridad para
infectar a los sistemas que aún permanecen sin actualizar.

Para descargar las actualizaciones del sistema puede ingresar a:

http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=es

En el Sistema de Documentos para Partners existe el documento de nombre “Actualizaciones frente

a infecciones por malware” donde se explica la importancia de contar con un sistema actualizado
para evitar ser infectado por malware.

Para más información sobre la importancia de las actualizaciones del sistema operativo, consulte la
siguiente documentación:
http://www.eset-la.com/threat-center/1996-importancia-actualizaciones
http://blogs.eset-la.com/laboratorio/2008/11/29/gusano-conficker-parchee-inmediatamente/
http://www.microsoft.com/latam/protect/computer/basics/updates.mspx
Importante: los productos y sistemas comprendidos en este documento deben contar con licencia
oficial. ESET Latinoamérica no se responsabiliza por la aplicación de los pasos suministrados en este
documento en sistemas o productos que no cuenten con su respectivo licenciamiento.

Paso 3: Restaurar Sistema (Windows XP)

Para realizar una correcta limpieza luego de una infección, es necesario desactivar la utilidad de
Windows, Restaurar sistema, debido a que esta utilidad realiza automáticamente una copia de
seguridad de los archivos seleccionados en la carpeta C:\_Restore.

Esto significa que podría haber un archivo infectado o dañino almacenado en esa ubicación como
archivo de copia de seguridad, con el proceso de exploración de malware no sería posible eliminarlo
y el mismo podría ser restaurado al sistema como si fuera un archivo normal del mismo.
A continuación se describen los pasos a seguir para realizar la desactivación de la utilidad Restaurar
Sistema de Windows XP:

1. Hacer clic en Inicio, luego ir a Configuración, Panel de Control

2. Hacer clic en Sistema, luego seleccionar la pestaña Restaurar Sistema
3. Hacer clic en el checkbox de la opción Desactivar Restaurar sistema en todas las unidades
4. Hacer clic Aplicar y luego en Aceptar
Una vez desactivado la opción de Restaurar sistema de Windows se puede continuar con el siguiente
paso.

Paso 4: Visualizar archivos y carpetas ocultas

Los archivos y carpetas con los atributos de sistema y oculto están de forma predeterminada ocultos
en la interfaz de usuario, este comportamiento se implementó para simplificar la interfaz gráfica de
usuario y para proteger algunos archivos del sistema operativo, como por ejemplo, los que genera la
utilidad Restaurar sistema.

Es normal que el malware, para pasar desapercibido, utilice estas funcionalidades y permanezca
oculto al sistema y al usuario.

A continuación se detallan los pasos a seguir para poder visualizar archivos y carpetas con atributos
de oculto (debe poseer permisos administrativos para realizar esta tarea):

1. Hacer clic en Inicio, luego ir a Programas, Accesorios y hacer clic en Explorador de Windows
2. Seleccionar en el menú la opción Herramientas y luego en Opciones de carpeta…
3. Luego seleccionar la pestaña Ver
4. Buscar la opción Archivos y carpetas ocultos, macar la opción Mostrar todos los archivos y
carpetas ocultos
5. Desmarcar la opción Ocultar archivos protegidos del sistema operativo (Recomendado)
6. Hacer clic en Si para confirmar
7. Hacer clic en Aplicar y luego en Aceptar
Existen casos en los que un programa malicioso oculta estas opciones impidiendo la visualización de
los archivos con atributos de oculto por lo que será necesario seguir los siguientes pasos para
habilitar la opción:

NOTA: Antes de modificar el Registro, por favor crear una copia de seguridad del mismo (debe
poseer permisos administrativos para realizar esta tarea).

1. Hacer clic en Inicio, seleccionar Ejecutar, escribir regedit y luego hacer clic en Aceptar
 2. Buscar dentro del editor del registro, la siguiente llave:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
3. Eliminar la entrada "NoFolderOption"
4. Si no existe la entrada "NoFolderOption":
• Ir a menu Edición
• Hacer clic en Nuevo
• Hacer clic en valor DWORD
• Nombrar este valor como "NoFolderOption" (sin las comillas)
• El valor debe ser 0. Si no lo es, se debe hacer doble clic sobre el valor creado
"NoFolderOption" y en la nueva ventana, se debe escribir 0 en "Información del valor"

Paso 5: Eliminar el último punto de Restauración

Luego de realizar las acciones de los pasos anteriores se deberá eliminar el o los últimos puntos de
restauración creados automáticamente por el sistema. Para realizar esto se deben seguir los
siguientes pasos (debe poseer permisos administrativos para realizar esta tarea):

1. Desactivar el Restaurar sistema (ver paso 3)

2. Visualizar los archivos y carpetas ocultos (ver paso 4)
3. Cambiar los permisos de acceso a los archivos de Restaurar sistema:
• Hacer clic en Inicio, luego seleccionar Ejecutar
• Escribir cmd y hacer clic en Aceptar para confirmar
• En la ventana del Command Prompt, escribir el siguiente comando:
cacls "C:\System Volume Information" /P Administrators:F
• Para confirmar, presione la tecla Y
De esta manera es posible abrir las carpetas utilizadas por Restaurar sistema y navegar
a través de la ruta C:\System Volume Information.
• Buscar los archivos del punto de Restauración a eliminar
• Luego, abrir nuevamente una ventana de cmd y escribir:
cacls "C:\System Volume Information" /P System:F
• Se debe volver a confirmar con la tecla Y para volver a los permisos al sistema
4. Volver a activar el Restaurar Sistema (ver paso 3)
Paso 6: Iniciar el sistema en Modo prueba de errores

El Modo a prueba de errores (o Modo Seguro) es un modo de diagnóstico de Windows que puede
iniciar el sistema con un mínimo de drivers (controladores) genéricos de manera que los errores del
sistema puedan ser corregidos. Una vez entrando en Modo a prueba de errores, el usuario puede
ejecutar comandos y dispositivos de carga de uno en uno.

El Modo a prueba de errores también se utiliza para eliminar o borrar los archivos que en otro modo
están "bloqueados" o "en uso" durante la operación normal del sistema operativo, como por ejemplo
archivos maliciosos que se encuentren en ejecución.

Para iniciar el sistema operativo en Modo a prueba de errores (o Modo seguro) se deben realizar las
siguientes acciones:

1. Se debe iniciar el sistema o reiniciar si es que ya estaba encendido el equipo

2. Desde ese momento se debe presionar la tecla F8 hasta que aparece la pantalla que muestra
las Opciones de arranque avanzadas
3. Asegúrese de seleccionar la opción Modo a prueba de errores y presione Enter
4. El sistema iniciará ahora en modo seguro.
Para mas información sobre cómo iniciar un análisis con ESET NOD32 Antivirus en Modo Seguro
ingrese al Blog del Laboratorio de ESET Latinoamérica:

http://blogs.eset-la.com/laboratorio/2009/05/04/ejecutar-eset-nod32-modo-seguro/

Paso 7: Análisis con ESET NOD32 Antivirus o ESET Smart Security

Una vez que se realizaron estos pasos se deberá realizar un análisis bajo demanda desde ESET NOD32
Antivirus o ESET Smart Security.

En primer lugar se debe comprobar que la base de firmas esté actualizada. Para ello abra la pantalla
principal de ESET NOD32 Antivirus, haga clic en el icono de ESET junto al reloj del sistema (trayicon) o
bien, clic en Inicio, Todos los programas
ESET
ESET NOD32 Antivirus. Luego haga clic en la
pestaña de Actualización y, a continuación, haga clic en el botón Actualizar ahora.

Una vez actualizada la base de firmar de ESET NOD32 Antivirus se procede a iniciar el sistema en
modo a prueba de errores (ver paso 6).
Para realizar un análisis bajo demanda en modo a prueba de errores se deben realizar los siguientes
pasos:

1. Una vez que el sistema haya iniciado, debe hacer clic en Inicio, Programas, ingresar a ESET,
ESET NOD32 Antivirus y hacer clic en ESET NOD32 Antivirus.
2. Se abrirá una ventana de DOS donde se indicará que ha comenzado el análisis del equipo.
Si en el análisis ESET NOD32 Antivirus encuentra archivos infectados, realizará las acciones necesarias
para la limpieza. En caso de no poder desinfectar, los archivos serán eliminados y copiados a
Cuarentena.

Una vez que el análisis haya terminado, puede iniciar el sistema en Modo Normal y volver a realizar
un análisis bajo demanda, esta vez en Modo Normal.

Paso 8: Activar Restaurar Sistema y Ocultar los archivos y carpetas del sistema

Luego de realizar los pasos anteriores, y una vez eliminada la amenaza, se deben revertir las
modificaciones realizadas en los pasos anteriores.

Para habilitar la utilidad Restaurar sistema una vez concretada la limpieza del sistema, se deben
realizar los siguientes pasos (para realizar esta tarea, debe poseer permisos administrativos):

1. Hacer clic en Inicio, luego ir a Configuración, Panel de Control

2. Hacer clic en Sistema, luego seleccionar la pestaña Restaurar Sistema
3. Hacer clic en el checkbox de la opción Desactivar Restaurar sistema en todas las unidades
4. Hacer clic Aplicar y luego en Aceptar

A continuación, se detallan los pasos a seguir para volver a ocultar los archivos y carpetas con
atributos de ocultos:

1. Hacer clic en Inicio, luego ir a Programas, Accesorios y hacer clic en Explorador de Windows
2. Seleccionar en el menú la opción Herramientas y luego en Opciones de carpeta…
3. Seleccionar la pestaña Ver
4. Buscar la opción Archivos y carpetas ocultos y macar la opción Mostrar todos los archivos y
carpetas ocultos
5. Marcar la opción Ocultar archivos protegidos del sistema operativo (Recomendado)
8. Hacer clic en Si para confirmar y luego clic en Aplicar y posteriormente en Aceptar
Restaurar funciones del sistema

Es posible que luego de una infección ciertas utilidades del sistema operativo queden bloqueadas por
el accionar de un código malicioso. Una vez realizadas las acciones mencionadas en los pasos básicos
para la eliminación manual de una infección, el sistema aún presenta bloqueadas las utilidades como
Regedit, Administrador de tareas, el comando Ejecutar y las Opciones de carpeta se deben realizar las
siguientes acciones:

1. Abrir el Administrador de Políticas de Grupo que se encuentra en la siguiente ruta:

C:\Windows\system32\gpedit.msc
2. Luego buscar dentro del Administrador de de Políticas de Grupo la siguiente opción:
Directiva de Equipo local → Configuración de Usuario → Plantillas Administrativas
3. Encontrar las siguientes entradas y realizar los ajustes necesarios.

Habilitar las Opciones de Carpetas:

• Ir a Componentes de Windows
Explorador de Windows

• Doble clic en Quita el menú Opciones de carpeta del menú Herramientas
• Seleccionar la opción Deshabilitado y confirmar haciendo clic en Aplicar y luego en Aceptar

Restaurar el comando Ejecutar:

• Ir a Menú Inicio y Barra de Tareas

• Doble clic en Quitar el menú Ejecutar del menú Inicio
• Seleccionar la opción Deshabilitado y confirmar haciendo clic en Aplicar y luego en Aceptar
Habilitar el Administrador de Tareas:

• Ir a Sistema
Opciones de Ctrl+Alt+Sup

• Doble clic en Quitar el Administrador de Tareas
• Seleccionar la opción Deshabilitado y confirmar haciendo clic en Aplicar y luego en Aceptar

Habilitar Símbolo de Sistema y Regedit:

• Ir a Sistema
• Hacer doble clic en Impedir el acceso a Símbolo de Sistema
• Seleccionar Deshabilitado y confirmar haciendo clic en Aplicar y luego en Aceptar
• Hacer doble clic en Impedir el acceso a herramientas de edición del Registro
• Seleccionar Deshabilitado y confirmar haciendo clic en Aplicar y luego en Aceptar

4. Finalmente, cerrar el Administrador de Políticas de Grupo.

De esta manera será posible restaurar las utilidades y funciones de Windows luego de que las mismas
sean deshabilitadas por un código malicioso.

Es importante recordar que los pasos suministrados en este documento no aseguran la remoción de
cualquier tipo de malware y son procedimientos básicos. ESET Latinoamérica no se responsabiliza
por su aplicación en los sistemas y la persona responsable deberá contar con la posibilidad de
recuperar su información en caso de pérdidas de la misma (backup).

En caso de verse imposibilitado a realizar los pasos indicados en este documento, puede realizar su
consulta según la Sección 3 del presente documento.
7. Procedimiento para solucionar problemas de
actualización de los productos de ESET
Debido a que este es uno de los problemas más comunes reportados por Partners y Clientes, el
siguiente documento detalla las acciones que se deberán tomar antes de realizar la consulta a los
canales de ESET Latinoamérica, a fin de que este tipo de inconvenientes pueda ser resuelto con la
mayor celeridad posible.

La primera acción ante cualquier inconveniente con los productos de ESET es la reinstalación del
mismo. La instalación de los productos de ESET se debe realizar con un usuario con permisos de
Administrador.

Mensajes del producto

El producto informa que “No es posible actualizar la base de datos” o informa que “No es necesario
actualizar la base de firmas de virus” y sin embargo la fecha de la base de firmas de malware es
incorrecta, esto puede atribuirse a muchas variables. Cortafuegos, proxies, y otros programas
pueden interferir con la conexión. Asegúrese de revisar lo siguiente si usted recibe estos mensajes.

NOTA: estas acciones deben ser probadas de a una en la medida que el inconveniente persista.

El nombre de usuario y contraseña fueron ingresados incorrectamente

Puede consultar el video disponible en el entrenamiento en línea de ESET donde se explica cómo
realizar la modificación del usuario y contraseña en:
http://www.eset-la.com/support/videos/usuario/index.html

Para poder verificar si el usuario y la contraseña se encuentran activos y pueden actualizar, ingrese a:
http://www.eset-la.com/download/registered_software.php

Luego intente realizar una descarga de uno de los instaladores del producto. En el momento en que
el sistema solicite usuario y contraseña para descargar el archivo MSI de instalación, ingrese los datos
a verificar, si la descarga inicia, los datos ingresados están activos y actualizando con normalidad.

Eliminar el cache de actualización

La eliminación del cache de actualización se utiliza para eliminar el contenido de la carpeta Updfiles
de manera automática desde el producto.

Debe ingresar desde el producto a las Opciones avanzadas de configuración, Actualización, allí en
Eliminar el cache de actualización deberá hacer clic en el botón Eliminar. Luego de realizar esta
acción puede generar una actualización manual ingresando a la pantalla principal del producto para
luego dirigirse a la opción Actualización y hacer clic en la opción Actualización manual de la base de
firmas.

Eliminar manualmente los archivos de actualización

Para eliminar el contenido de la carpeta Updfiles debe dirigirse a C:\Documents and Settings\All
Users\Datos de programa\ESET\ESET NOD32 Antivirus o ESET Smart Security\Updfiles, una vez que
se elimine todo el contenido de esta carpeta puede realizar nuevamente una actualización manual.

NOTA: para poder visualizar esta carpeta deberá activar la visualización de archivos y carpetas
ocultos. Primero debe ingresar a Mis Documentos, Herramientas, Opciones de Carpeta, luego ir a la
solapa Ver y en la opción Archivos y carpetas ocultos marcar la opción Mostrar todos los archivos y
carpetas ocultos. En caso de presentarse problemas consulte la Seccion 7 del presente.

Desactivar el mirror de actualización

En cuanto a redes de trabajo administradas con ESET Remote Administrator se puede desactivar el
mirror de actualización de ESET Remote Administrator y luego, tras el reinicio del equipo donde se
encuentra instalado ESET Remote Administrator Server, se debe activar el mirror de actualización
nuevamente.

Luego, forzar la descarga de los archivos de actualización para los clientes de la red al servidor. Para
esto se debe ingresar desde ESET Remote Administrator Console al menú Tools, Server Options...,
ingresar a la pestaña Updates y hacer clic en Update Now. El producto indicará con una barra de
progreso la descarga de los archivos de actualización, luego podrá enviar una tarea de actualización
desde ESET Remote Administrator Console a los clientes de la red.

Migrar a la última versión

ESET recomienda mantener siempre actualizados sus productos a la última versión disponible debido
a que la misma cuenta con mejoras y nuevas funcionalidades necesarias para un óptimo
rendimiento.

Para verificar si el equipo cuenta con la ultima versión vigente de los productos de ESET puede
ingresar a la pantalla principal del producto, ir a menú Ayuda y seleccionar la opción Acerca de.... De
esta manera se obtendrá información sobre la versión del producto instalado en el equipo. Luego
podrá ingresar a:
http://www.eset-la.com/download/registered_software.php

Comparar esta información con la ultima versión del producto que se encuentra disponible para su
descarga en el sitio Web de ESET Latinoamérica. De no contar con la misma versión se deberá realizar
la migración de la misma.
Para realizar una migración exitosa de los productos de ESET puede consultar el documento
Migración de ESET NOD32 y ESET Smart Security desde la v3.x a v4.x disponible en el Sistema de
Documentos para Partner.

Permisos de Administrador

Para una correcta instalación de los productos de ESET debe contar con permisos de Administrador
tanto para realizar la instalación de manera local en un equipo como para realizar la instalación
mediante ESET Remote Administrator.

En caso de verse imposibilitado a realizar los pasos indicados en este documento, puede realizar su
consulta según la Sección 3 del presente documento.