URGENTE!!! NEED HELP!!

[agustin_vi]

BUENAS A TODOS...LES COMENTO MI PROBLEMA..TENGO INFECTADA MI PC CON UN TROYANO EN EL SECTOR MBR DEL DISCO FISICO...EL NOMBRE DEL TROYANO ES "DIABLO"..SI EXISTE ALGUIEN CAPAZ DE AYUDARME...LE ESTARE MUY AGRADECIDO..DESDE YA MUCHAS GRACIAS A TODOS...SALU2

AGUSTIN :roll:

[msc hotline sat]

Se conoce como DIABLO a una variante del STONED, que fué el primer virus de particion o MBR, y que como todos los de este tipo, los ordenadores infectados infectan el Boot de los disquetes que procesan, los cuales quedan con el sector BOOT infectado, que infecta los ordenadores que se arranquen o simplemente "boten" con dicho disquete, aunque si el disquete no tiene sistema operativo, el ordenador no arranca sino que da el tipico mensaje de NON SYSTEM DISK OR DISK ERROR--- Replace and strike any key.



para eliminar este virus basta con arrancar con un disquete de sistema, creado en otro ordenador, ya que este lo crearía infectado, y da igual que sea XP o W98, pues solo queremos arrancar con él para acceder a la zona fisica del disco duro. En dicho disquete copiarle nuestra utilidad COPYS.EXE y tras arrancar, desde DOS ejecutar COPYS /MAST y ello sobreescribirá los primeris 446 bytes del sector de arranque, que es donde está el virus, dejando el resto, con los datos, intacto.





COPYS.EXE

http://www.zonavirus.com/datos/descargas/101/COPYS.asp







Tras ello, sacar el disquete y reiniciar normalmente



Pruebalo y nos cuentas el resultado como respuesta de este Tema, gracias



saludos



ms, 15-07-2005



PD Recordar que tendrán disquetes infectados: Revisarlos para evitar volver a olvidarse uno de ellos en un ordenador y volver a infectarlo. ms.

[msc hotline sat]

[b] UNA BATALLITA PROPIA DE MI EDAD (Y EXPERIENCIA)[/b]



Complemento de informacion sobre este virus DIABLO:



En primer lugar aclarar que si ha infectado el MBR, no es un troyano, sino un virus de arriba a abajo, ya que se propaga infectando disquetes y estos otros ordenadores, y los troyanos no se propagan (esta es la principal diferencia entre virus y troyanos)



Luego cabe indicar que con el nombre de Diablo hay muchos mas virus y troyanos, como puede verse en:



http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=diablo&alt=1





Por último comentar que este virus, como el Telecom o Kampana, tiene tecnicas Stealth, creando en el sector 2.0.0 (sector 2, cara 0, cilindro 0) la cual muestra con el virus en memoria cuando se quiere virualizar el sector MBR infectado, engañando al que lo esté examinando.



Puedo decir que hace 13 años tuve el "placer" de enfrentarme con el primero de estos virus, posterior al Stoned pero anterior a la variante Diablo con dicha tecnica Stealth o de engaño, creado por el grupo Holokausto de la Sagreram un barrio de Barcelona, creado por un grupo de estudiantes de ingeniería para protestar contra las tarifas de Telefonica, del cual tubimos una gran propagacion debido a que Hacienda repartió disquetes con el Padre (Programa ayuda declaracion de renta) con el BOOT infectado con dicho virus, el cual infectó miles de ordenadores de usuarios y de gestorias, los cuales al cabo de 333 arranques perdian toda la infomacion, al ser sobreescrito ciclicamente todo el disco duro con basura, a lo que algun que otro gestor se negaba a aceptar el haber perdido las contabilidades de sus clientes, porque "ayer estaba en el ordenador, y no puede ser que sin hacer nada mas, al arrancar hoy no está"...



Y es que tenñia un contador de arranques, y cuando llegaba a la cifra datídica de 333 )había una variante que lo hacia a los 400), kanzaba un mensaje de:



"Kampaña antitelefonica Nacional de España- Barcelona" y tras ello todo perdido.



Cuando empezamos a tener incidencias y nos decían que les había salido el mensaje, no sabíamos como decirles la triste noticia. En lugar de ingenieros parecíamos sicologos...



Y por aquel entonces no existía otro antivirus que el de McAfee, de quienes eramos Agentes en España, y colaborabamos con ellos en la investigación de los virus, que no llegaban a mil, mientras que ahora ya rondamos los 140.000



Debo decir que fuimos nosotros los que informamos a McAfee del descubrimiento de esta tecnica Stealth, ya que nadie la conocía al no haber tenido antes ninguno que la empleara, y que personalmente estube sin dormir varios días y casi oensaban que estaba loco cuando en voz alta le gritaba al ordenador que me estaba engañando, que no era verdad que en el MBR hubiera lo que me mostraba el NU que entonces empleaba para ver los sectores físicos del disco duro, y cuando vimos que arrancando con disquete aparecía otro sector de arranque en el disco duro, con una copia en aquel caso en el 7.0.0 , ya se encendió la bombilla !!! con el virus en memoria, al pedir al NU que mostrara el sector 1.0.0 nos mostraba el 7.0.0, impidiendo ver el virus en el MBR.



Eso que es tan fácil entenderlo ahora, es como el huevo de Colón, pero ni los ingenieros americanos de McAfee ni él en persona se lo creían, hasta que lo comprobaron.



Y eso fue el final de una historia, que empezó cin un virus de fichero que infectaba al cerrar ficheros, y que al pasar el antivirus con el virus en memoria, el antivirus no descubría el virus mas que en el fichero infectado, pero infectaba todos los del disco duro al terminar el testeo de cada fichero, y tras el informe de que se habñía eliminado el virus del fichero infectado, todo el ordenador, menos el fichero desinfectado, quedaba onfectado, otra historia inicial de los principios de este virus...



Pero lo peor fue lo que ocultaba , que aparte de los ficheros modificaba los sectores reservados de particion, y dejaba en progreso la cuenta atrás para activarse tras 333 arranques y destruir todos los datos, pero mientras ir infectando disquetes que infectaran otros ordenadores, y todo eso desapercibido, hasta que recibimos los palos, y adivina de donde venía el problema, su rauz y su solucion.



Con bastante tiempo dedicado a ello, pudimos pisarlo totalmente, pero "chapeau" a dicho grupito Holokausto, que espero que ya sean ingenieros de pro y que se dediquen a otras cosas menos antisociales con otros medios, pues aunque el fin era la protesta contra tarifas telefonicas, el medio no era el adecuado, y una vez mas, el fin no justifica los medios !!!



Y tras esta anecdota sobre las tecnicas Stealth y los problemas para descubrirlas, que me dejaron marcado por mi personal dedicacion a su investigación, cuando todavía no había apenas conocimientos sobre virus y casi nadie se protegía contra ellos, nosotros ya los sufriamos cuando reciobiamos en el servicio tecnico ordenadores con problemas anormales que acababan siendo por nuevos virus que empezaban a existir, aunque su propagacion era muy fisica, a través de disquetes ya que no existia internet, y su progresion podía seguirse sobre un Atlas, aunque a veces os disquetes viajaban de un pais a otro y hasta saltaba el charco... Pero desde el BOOM de Internet es otra historia.



saludos



ms, 15-07-2005