Hola. Cada vez que se actualiza el antivirus Nod32, me aparece el siguiente mensaje:
"Se detectó la amenaza "Win32/Mebroot.K Troyano" en el sector MBR del disco físico 2. Me da la opción de "desinfectar", al darle al botón, me aparece un nuevo mensaje "Ha ocurrido un error mientras se estaba desinfectando - la operación no está disponible para este tipo de objeto". Luego me da la opción de "Reintentar" y vuelve a mostrar el mismo mensaje de error".
Una cosa curiosa, si escaneo en busca del troyano, ningun programa lo detecta, pero cada vez que el Nod32 se actualiza vuelve a aparecer el mismo mensaje y así eternamente.
El ordenador me va lento. la conexión de internet suele tener caídas y he detectado movimientos en mis cuentas bancarias, esto ya lo estoy solucionando con el banco, ustedes dirán...
He probado y descargado 4 herramientas de eliminación del troyano, pero estas no detectan nada, porque el troyano está en la unidad E: y no en la C: donde todos los eliminadores escanean.
He hablado con el departamento de atención al cliente de Nod32 y me han indicado que era el primer caso de que este troyano hubiera infectado un disco duro esclavo, ya que el troyano está programado para infectar sólo el master boot record del disco duro master. Pero al igual que ellos os voy a comentar que pasó. En realidad el ordenador me iba tan lento, que hize un Ghost de mis disco duro C: a E: y luego formateé y reinstalé de nuevo el disco C:. Pero en el disco E: tengo una copia exacta de lo que era mi disco duro C: Entendéis ahora la razón por la que le troyano está en el disco duro E: ¿?
Alguna herramienta para eliminar este troyano?
Los antivirus no pueden porque son incapaces de eliminar un dato del master boot record?
Las herramientas que hay no me sirven porque todas buscan y eliminan el troyano sólo en la unidad C: y no tienen parámetros para poder indicar otra unidad. Y vuelvo indicar que el troyano está en la E:
MSCHotline, podrías programar alguna herramienta para eliminar este troyano donde se le pudiera parametrizar la unidad de búsqueda? No he visto ninguna en tu magnífica colección!!!
Saludos!
Win32/Mebroot.K Troyano
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Win32/Mebroot.K Troyano
No sirve para nada un virus de MBR en un disco que no sea el de arranque, porque no se procesa el código del MBR de dichos discos duros, y esta ralentizacion no te viene por ello.
Sí, tenemos el SCOPY con opciones para sobreescribir el código del MBR , pero es una utilidad exclusiva para los asociados a SATINFO, no disponible en este foro ni para evaluar. En su lugar aqui tenemos el COPYS.EXE, version reducida del mismo, que podrías probar, pero tampoco es que te haga falta, por lo indicado anteriormente. De todas formas, ahí tienes:
http://www.zonavirus.com/descargas/scopy.asp
La solucion logica, que me extraña que los de NOD32, a los que considero buenos tecnicos, no te hayan apuntado, es poner como master este disco duro y arrancando con el disco de instalacion de windows, pulsar R para acceder a la Consola de recuperacion y desde alli ejecutar FIXMBR
Posiblemente esta infeccion la pilló el disco duro cuando estaba como MASTER en algun equipo, o cuando se formateó por ejemplo... pero el problema de la ralentizacion va por otro lado, por lo que sugiero que lances este AV ONLINE y nos postees el informe resultante:
SOLO TESTEO AV ONLINE
NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.
(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)
A la vista de ello, procederemos en consecuencia
saludos
ms, 29-09-2008
Sí, tenemos el SCOPY con opciones para sobreescribir el código del MBR , pero es una utilidad exclusiva para los asociados a SATINFO, no disponible en este foro ni para evaluar. En su lugar aqui tenemos el COPYS.EXE, version reducida del mismo, que podrías probar, pero tampoco es que te haga falta, por lo indicado anteriormente. De todas formas, ahí tienes:
http://www.zonavirus.com/descargas/scopy.asp
La solucion logica, que me extraña que los de NOD32, a los que considero buenos tecnicos, no te hayan apuntado, es poner como master este disco duro y arrancando con el disco de instalacion de windows, pulsar R para acceder a la Consola de recuperacion y desde alli ejecutar FIXMBR
Posiblemente esta infeccion la pilló el disco duro cuando estaba como MASTER en algun equipo, o cuando se formateó por ejemplo... pero el problema de la ralentizacion va por otro lado, por lo que sugiero que lances este AV ONLINE y nos postees el informe resultante:
SOLO TESTEO AV ONLINE
NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.
(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)
A la vista de ello, procederemos en consecuencia
saludos
ms, 29-09-2008
Re: Win32/Mebroot.K Troyano
Hola!
Lo que indicas de poner el esclavo como master ya me lo comentaron los de atención al cliente, pero hay un pequeño dato importante que se me pasó y que a ellos si que les indiqué. Al ver dos discos duros con sistema de arranque, pues cada vez que reiniciaba el ordenador, me salía la típica pantalla de con que sistema operativo quería arrancar, des de la c: o la e:, asi que para solucionar esto, entré con la c: y eliminé toda la carpeta de windows de la unidad e:, aunque no me lo borró todo, ya que algunos archivos no se pudieron eliminar, al ser archivos de sistema. Pero de esta forma solucioné el problema de que cada vez que reiniciaba me pedía con que sistema operativo quería arrancar. Por esa razón ya no me sirve de nada que ponga el disco duro esclavo como máster, porque ya no tiene la carpeta de windows.
Tambien te indico que des de que formateé ya no he tenido ningun problema de lentitud, ni cortes de internet y mis cuentas bancarias a día de hoy siguen igual, ya que antes si que había detectado movimientos de saldos a cuentas extrangeras de las que yo nunca había oído hablar. O sea, los problemas eran antes de formatear.
Él único problema que tengo ahora es que cada vez que escaneo o se actualiza nod32 me aparece el mensaje de que el disco 2 tiene amenaza con el troyano Mebroot.k y que no se puede eliminar.
Como tú indicas y como me indicaron los de nod32 al no ser la unidad E:. unidad master de arranque no hay porque temer nada, pero me molesta que apareza este mensaje.
La única solución es formatear la unidad E: para poder sacar el troyano de la MBR?
Otra pregunta, en esa unidad E:, tengo muchos programas y documentos personales, si los copio en la unidad C:, puede ser que el troyano vuelva a infectarme el MBR de mi disco duro C: ?
Como puedo saber el archivo que infectó mi ordenador con este troyano? He analizado la unidad c: y e: y no me ha encontrado ningun archivo infectado, sólo cada vez me avisa del troyano que está en el MBR y no se puede eliminar.
Saludos!
Lo que indicas de poner el esclavo como master ya me lo comentaron los de atención al cliente, pero hay un pequeño dato importante que se me pasó y que a ellos si que les indiqué. Al ver dos discos duros con sistema de arranque, pues cada vez que reiniciaba el ordenador, me salía la típica pantalla de con que sistema operativo quería arrancar, des de la c: o la e:, asi que para solucionar esto, entré con la c: y eliminé toda la carpeta de windows de la unidad e:, aunque no me lo borró todo, ya que algunos archivos no se pudieron eliminar, al ser archivos de sistema. Pero de esta forma solucioné el problema de que cada vez que reiniciaba me pedía con que sistema operativo quería arrancar. Por esa razón ya no me sirve de nada que ponga el disco duro esclavo como máster, porque ya no tiene la carpeta de windows.
Tambien te indico que des de que formateé ya no he tenido ningun problema de lentitud, ni cortes de internet y mis cuentas bancarias a día de hoy siguen igual, ya que antes si que había detectado movimientos de saldos a cuentas extrangeras de las que yo nunca había oído hablar. O sea, los problemas eran antes de formatear.
Él único problema que tengo ahora es que cada vez que escaneo o se actualiza nod32 me aparece el mensaje de que el disco 2 tiene amenaza con el troyano Mebroot.k y que no se puede eliminar.
Como tú indicas y como me indicaron los de nod32 al no ser la unidad E:. unidad master de arranque no hay porque temer nada, pero me molesta que apareza este mensaje.
La única solución es formatear la unidad E: para poder sacar el troyano de la MBR?
Otra pregunta, en esa unidad E:, tengo muchos programas y documentos personales, si los copio en la unidad C:, puede ser que el troyano vuelva a infectarme el MBR de mi disco duro C: ?
Como puedo saber el archivo que infectó mi ordenador con este troyano? He analizado la unidad c: y e: y no me ha encontrado ningun archivo infectado, sólo cada vez me avisa del troyano que está en el MBR y no se puede eliminar.
Saludos!
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Win32/Mebroot.K Troyano
Dices:
"Por esa razón ya no me sirve de nada que ponga el disco duro esclavo como master, porque ya no tiene la carpeta de windows."
Pues craso error
, una vez esté como master, arrancando con el CD de instalacion de windows y accediendo a la consola de recuperacion (pulsando R), simplemente ejecutando un FIXMBR se sobreecribirá el código del sector de particion y solucionaras el problema, haya o no sistema en el disco.
Y no, los ficheros que copies no tienen porqué llevar el virus, si bien puede que haya uno que sea el infector de MBR, y este sí, claro.
Lo mas probable es que el MBR fuera infectado por arranque con un disquete infectado, como lo hacian un 90 % de los virus que infectaban el MBR, si bien unos pocos (Junkie, Natas, Campana, etc), empezaban por un fichero infectado que infectaba el MBR, y luego seguia este...
Y se supone que si hubiera un fichero el que te hubiera infectado, o bien ya estaría eliminado, o hubiera sido detectado por el antivirus que te detecta dicho virus en el MBR, que por cierto voy a ver si encuentro informacion del mismo.
Poca informacion de como entra, solo que es un troyano, pero les preocupa mas como eliminarlo que evitar la infeccion ! Si se entera de como le entró, diganoslo, gracias
saludos
ms, 29-09-2008
"Por esa razón ya no me sirve de nada que ponga el disco duro esclavo como master, porque ya no tiene la carpeta de windows."
Pues craso error
, una vez esté como master, arrancando con el CD de instalacion de windows y accediendo a la consola de recuperacion (pulsando R), simplemente ejecutando un FIXMBR se sobreecribirá el código del sector de particion y solucionaras el problema, haya o no sistema en el disco.Y no, los ficheros que copies no tienen porqué llevar el virus, si bien puede que haya uno que sea el infector de MBR, y este sí, claro.
Lo mas probable es que el MBR fuera infectado por arranque con un disquete infectado, como lo hacian un 90 % de los virus que infectaban el MBR, si bien unos pocos (Junkie, Natas, Campana, etc), empezaban por un fichero infectado que infectaba el MBR, y luego seguia este...
Y se supone que si hubiera un fichero el que te hubiera infectado, o bien ya estaría eliminado, o hubiera sido detectado por el antivirus que te detecta dicho virus en el MBR, que por cierto voy a ver si encuentro informacion del mismo.
Poca informacion de como entra, solo que es un troyano, pero les preocupa mas como eliminarlo que evitar la infeccion ! Si se entera de como le entró, diganoslo, gracias
saludos
ms, 29-09-2008
Re: Win32/Mebroot.K Troyano
Pues voy a hacer lo que indicas. Aunque tengo el Windows Vista instalado y no tengo el CD porque se lo dejé a mi novia, pero tengo el cd de instalación de Windows XP.
Sirve igual? O tiene que se el CD de instalación de Windows Vista?
Gracias por tus siempre magníficas respuestas!
Sirve igual? O tiene que se el CD de instalación de Windows Vista?
Gracias por tus siempre magníficas respuestas!
Re: Win32/Mebroot.K Troyano
Si usas vista debes usar el del vista, lamentablemente no damos soporte al vista pero aun asi comunicanos lo que hagas. Saludos