Sinowal, mbr infectado (SOLUCIONADO)

[jaim]

Buenas tardes, os explico mi problema



Acabo de reinstalar windows en mi ordenador, puesto que funcionaba muy despacio, y tenia algún tipo de spyware/adware, asi que para limpiar totalmente lo reformateé, devolviendolo al "estado de fabrica" (es un compaq).



Ahora he instalado el KIS 2009, y me detecta lo siguiente:


[code]Detected: Backdoor.Win32.Sinowal.aha \Device\Harddisk1\DR1 [/code]

Siguiendo las instrucciones de este hilo (https://foros.zonavirus.com/viewtopic.php?f=13&t=24033), parece que lo he eliminado, aunque no lo tengo claro.



He ejecutado el mbrfix en la consola de recuperacion, y ahora el mbr.exe ya no me detecta el virus, y tampoco lo hace el Kaspersky, pero me sigue saliendo esto en el log del mbr.exe:


[code]device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x17499f00 size 0x1ae !
copy of MBR has been found in sector 62 ![/code]

no estoy seguro de si esto significa que el virus (rootkit, troyano, lo que sea, no se nada de todo esto :P ) sigue ahi, me lo podriais aclarar? y instrucciones para solucionarlo?



muchas gracias de antemano

[msc hotline sat]

No creo que hayas de preocuparte por ello, el sinowal usa el sector 62 del cilindro 0 y cabezal 0 para almacenar una copia del MBR, la cual mostrar cuando queremos acceder al sector 1,0,0 que es el del MBR y asi nos oculta el que hay en verdad (tecnicas stealth) y copia en los sectores 60 y 61 el virus, al cual accede desde el MBR, pero si ya has sobreescrito el MBR, como que no hay nada que llame a dicho sectores, ello debe estar "aparcado", sin funcionalidad activa.



Este virus [b][i]"...copies the original MBR to sector 62 of the hard drive. The trojan installs a kernel loader to sectors 60 and 61 of the hard drive and a rootkit driver close to the end of the partition"[/i][/b]



Ademas, justamente en este sector 62 crea una copia del MBR bueno, asi que es lo menos preocupante :mrgreen:



saludos



ms, 10-3-2009









NOTA: y para lo que te pueda servir, mira lo que decimos sobre este marrano en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=27705&p=153480&hilit=sinowal#p153480



ms.

[jaim]

Vale, entonces me quedo tranquilo? me puedo fiar?



ya habia leido un poco por encima eso del link que pones, gracias :)



No se si ademas del kaspersky, el mbr.exe, y el gmer.exe hay algo mas que le deba pasar para asegurarme del todo...



gracias por la ayuda!



:)

[msc hotline sat]

Si quieres rizar el rizo, monta el disco duro como esclavo de otro, y lanza cualquier antivirus explorando el sospechoso, para eludir el Rootkit que este virus pone en marcha al arrancar desde el disco duro afectado, si el MBR lo carga (está al final de los sectores de la particion en cuestion), pero si el MBR ya ha sido sobreescrito, pierde cuidado, pero asegurate de esto último, claro ... :wink:



saludos



ms, 10-3-2009

[jaim]

Me parece que eso es mucho rizar :) Entiendo lo que dices (mas o menos), pero no me voy a meter a hacer algo que realmente no controlo, porque seguramente me cargaré alguna otra cosa, asi que lo voy a dejar aqui, y le pondré una vela a algun santo por si acaso :P



Gracias por la ayuda!

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 11-3-2009