Tengo un MBR:\\PHYSICALDRIVE0 ¡He probado de todo y NADA!

[nankorova]

Buenas a todos. Avast me reconoce sistemáticamente este virus y no encuentro solucón. He probado todas las opciones que se dan en los distintos foros y nada. He re-instalado el Fixmbr desde la consola de windows 7 a través del dvd de instalación, he pasado el TDSSKiller, he analizado y eliminado con AVAST, he analizado y fijado con ASWmbr.... de todo, ahí sigue.



Si me podéis dar una solución, os dejo el log de ASWmbr, gracias.



aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software

Run date: 2012-02-14 15:08:18

-----------------------------

15:08:18.825 OS Version: Windows x64 6.1.7601 Service Pack 1

15:08:18.825 Number of processors: 2 586 0x603

15:08:18.825 ComputerName: PORTÁTIL-HP UserName: Leticia

15:08:20.323 Initialize success

15:08:20.401 AVAST engine defs: 12021400

15:08:22.991 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0

15:08:23.006 Disk 0 Vendor: WDC_WD5000BEKT-60KA9T0 01.01A01 Size: 476940MB BusType: 11

15:08:23.053 Disk 0 MBR read successfully

15:08:23.053 Disk 0 MBR scan

15:08:23.053 Disk 0 Windows 7 default MBR code

15:08:23.069 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 199 MB offset 2048

15:08:23.084 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 455382 MB offset 409600

15:08:23.131 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 21254 MB offset 933031936

15:08:23.147 Disk 0 Partition 4 00 17 Hidd HPFS/NTFS NTFS 104 MB offset 976560128

15:08:23.162 [color=#FF0000]Disk 0 Partition 4 **INFECTED** MBR:Alureon-K [Rtk][/color]

15:08:23.162 Service scanning

15:08:25.143 Modules scanning

15:08:25.143 Disk 0 trace - called modules:

15:08:25.689 ntoskrnl.exe CLASSPNP.SYS disk.sys hpdskflt.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys

15:08:25.705 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004689060]

15:08:25.705 3 CLASSPNP.SYS[fffff8800161743f] -> nt!IofCallDriver -> [0xfffffa8004688880]

15:08:25.721 5 hpdskflt.sys[fffff880019bc189] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa80045fa680]

15:08:26.875 AVAST engine scan C:\Windows

15:08:29.085 AVAST engine scan C:\Windows\system32

15:10:11.267 AVAST engine scan C:\Windows\system32\drivers

15:10:18.895 AVAST engine scan C:\Users\Leticia

15:14:25.670 AVAST engine scan C:\ProgramData

15:16:12.278 Scan finished successfully

[msc hotline sat]

Al haber pasado un FIXMBR, se ha corregido el MBR del sector de arranque, pero continua habiendo en alguna parte (algun ALUREON sigue en el landing zone) la continuación del código vírico, ya que en los 446 bytes de código del MBR no cabría dicho ALUREON.



Pero una vez eliminado el del MBR, el resto queda inerte y lo dejamos estar.



Ahora nos viene este con lo que supongo que es una particion extendida en la 4, que al no ser de arranque, no será procesado, y si había el ALUREON en MBR y se elimnó con el FIXMBR, y el de una particion extendida ha quedado huerfano, entiendo que estará ahí, fuera de juego, y no creo que haga nada salvo hacernos hablar de él...



Es la primera vez que nos encontranos con esta anomalila, y creo que se puede considerar basura informática fuera de uso, sin mas importancia.



Claro que se podría ir a dicho offset 976560128 que es donde terminan los primeros 500 MB, ver lo que hay, y el código sustituirlo por una copia del que tienen los otros sectores de las diferentes particiones (menos la parte de los datos, claro), pero ello debería hacerse manualmente y no deja de ser delicado, aparte de que antes se debería comprobar que el mismo código prevalga para cualquiera de dichos sectores...



A no ser que prefiera partir de cero e instalarlo todo de nuevo, formateando y particionando de nuevo, a su criterio...



saludos



ms, 14-2-2012