Troyano sector mbr del disco fisico o

[isabel12]

Hola.

Tengo un problemas desde hace varios dias e. ESET NOD32 me dete[b][i]c[/i][/b]ta un troyano de nombre WIN32 MEBROOT.CA TROYANO, en sector mbr del disco fisico 0.

He intentado quitarlo de varias maneras, con analisis en linea, con elistara, con una herramienta de limpieza del Nod32 llamada /emebremover, y algun antivirus. Pero sigue igual.

Me podiais ayudar?

Gracias

Isabel

[Sahakero]

Buenos dias:



[interceptado] : https://foros.zonavirus.com/viewtopic.php?f=1&t=17044



Me pegas el reporte que genere



Salu2!



PD: si no se borra, no desesperes, ya lo borraremos con otras herramientas.

[msc hotline sat]

Simplemente arranca con el CD de instalación de windows, pulse R para entrar en Consola de resuperación y desde allí lance FIXMBR <enter>



Así sobreescribirá el código del sector MBR, restableciendo la normalidad



Tambien el ELISTARA detecta y corrige dicho virus, si no está en memoria, lo cual puede lograr tras hacer una desfragmentacion del disco, ya que con ello se corrompe la continuacion del virus que está unicado en zonas no asignadas de la zona lógica del disco, si no encuentra el CD de instalacion, hagalo:



primero MIPC -> Boton derecho sobre unidad C -> propiedades -> herramientas -> Comprobar errores -> Desfragmentar



Tras ello reiniciar y probar el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 9-1-2010

[isabel12]

Buenos dias.

el cd de instalacion en principio no lo encuentro,

He comprobado lo de los errores y desfragmentado, pero esta donde mismo.

Este es el informe de elistara.



(9-1-2010 11:52:18 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6056

Nº Total de Ficheros: 73353

Nº de Ficheros Analizados: 12935

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Antes que este apartado, el infosat muestra el de Accion directa, que es el que nos importa en este caso (bueno, siemopre se ha de postear completo...)



Abre de nuevo el infosat.txt y posteanoslo completo, gracias



ms, 9-1-2010

[msc hotline sat]

Y complemento, estos virus de MBR acostimbra a ser RootKits, esto es, que se ocultan cuando están en memoria, y en el caso del MBR, muestran otro correcto para despistar, y lo que se graba se hace en el correcto, por ello es muy importante arrancar sin que se ponga en memoria, y de ahí lo de desfragmentar, para corromper al virus en la zona donde se haya copiado la continuidad de la rutina del MBR, y asi poder atacarlo, pero en este caso por lo visto no ha sido el caso.



Pero por si fuera una variante no controlada por el ELISTARA actual, tras desfragmentar prueba ahora la herramienta que decias haber probado:



[b][i]"una herramienta de limpieza del Nod32 llamada /emebremover"[/i][/b]



igual ahora funcione mejor...



De todas formas, lo ideal es lanzar un FIXMBR desde la consola de resuperacion, es igual que el CD de windows no sea el de tu equipo, y seguro que tienes amigos...



Y nos cuentas tus progresos al respecto, gracias



saludos



ms, 9-1-2010

[isabel12]

Perdona por no haberlo puesto completo.

Aqui esta.





(9-1-2010 11:28:04 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(9-1-2010 11:28:08 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6056

Nº Total de Ficheros: 73346

Nº de Ficheros Analizados: 12935

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(9-1-2010 11:52:13 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(9-1-2010 11:52:18 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6056

Nº Total de Ficheros: 73353

Nº de Ficheros Analizados: 12935

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





P

[isabel12]

He vuelto a probar la herramienta que me baje de la pagina del Nod 32 y sigue igual lo localiza pero cuando me pregunta y le digo que lo elimine dice que no se puede.

[msc hotline sat]

Pues buscando soluciones, tenemos lo indicado en



https://foros.zonavirus.com/viewtopic.php?f=12&t=30100&p=166588&hilit=copymbr#p166588



y nos envias el fichero MBR001.HD1 que creará, asi, tras analizarlo, podremos implementar su control y eliminacion en el proximo ELISTARA, ya que parece que se trata de una variante que no controlamos.



saludos



ms, 10-1-2010

[isabel12]

Hola.

No me deja entrar en el enlace.

Un Saludo

[msc hotline sat]

Sorry :oops: , prueba con esta : http://www.zonavirus.com/noticias/2009/nueva-utilidad-copymbrexe-para-salvar-los-512-bytes-del-mbr-hd1-en-fichero-cmbr001hd1.asp



saludos



ms, 10-1-2010