Como eliminar virus en el MBR

Iniciado por CloudswX, 30 Octubre 2012, 19:54 PM

0 Miembros y 1 Visitante están viendo este tema.

carloscoronas

hola amigos , he utilizado la erramienta de abast y he encontrado malware en el bmr




aswMBR version 1.0.1.2041 Copyright(c) 2014 AVAST Software
Run date: 2014-10-06 19:58:01
-----------------------------
19:58:01.171    OS Version: Windows x64 6.1.7601 Service Pack 1
19:58:01.171    Number of processors: 2 586 0x603
19:58:01.172    ComputerName: PILAR-PC  UserName: Pilar
19:58:02.029    Initialize success
19:58:02.030    VM: initialized successfully
19:58:02.049    VM: Amd CPU supported virtualized
19:58:18.216    VM: supported disk I/O storport.sys
19:58:21.549    AVAST engine defs: 14100600
19:58:32.980    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000005c
19:58:32.987    Disk 0 Vendor: WDC_WD50 05.0 Size: 476940MB BusType: 3
19:58:33.082    Disk 0 MBR read successfully
19:58:33.089    Disk 0 MBR scan
19:58:33.100    Disk 0 Windows 7 default MBR code
19:58:33.109    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        17000 MB offset 2048
19:58:33.124    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 34818048
19:58:33.128    Disk 0 default boot code
19:58:33.143    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       229918 MB offset 35022848
19:58:33.168    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       229920 MB offset 505894912
19:58:33.199    Disk 0 scanning C:\Windows\system32\drivers
19:58:40.724    Service scanning
19:58:58.479    Modules scanning
19:58:58.497    Disk 0 trace - called modules:
19:58:58.529    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys hal.dll nvstor64.sys
19:58:58.541    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80044ae470]
19:58:58.555    3 CLASSPNP.SYS[fffff8800194343f] -> nt!IofCallDriver -> [0xfffffa80043a37a0]
19:58:58.561    5 ACPI.sys[fffff88000f177a1] -> nt!IofCallDriver -> \Device\0000005c[0xfffffa80043a3060]
19:58:59.450    AVAST engine scan C:\Windows
19:59:01.459    AVAST engine scan C:\Windows\system32
20:01:24.788    AVAST engine scan C:\Windows\system32\drivers
20:01:42.908    AVAST engine scan C:\Users\Pilar
20:03:24.949    File: C:\Users\Pilar\AppData\Local\Temp\tex.exe  **INFECTED** Win32:Malware-gen
20:05:16.955    AVAST engine scan C:\ProgramData
20:07:27.179    Scan finished successfully
20:09:15.643    Verifying
20:09:25.672    Disk 0 Windows 601 MBR fixed successfully
20:11:05.842    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000005c
20:11:05.857    Disk 0 Vendor: WDC_WD50 05.0 Size: 476940MB BusType: 3
20:11:06.039    Disk 0 MBR read successfully
20:11:06.044    Disk 0 MBR scan
20:11:06.048    Disk 0 Windows 7 default MBR code
20:11:06.059    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        17000 MB offset 2048
20:11:06.082    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 34818048
20:11:06.093    Disk 0 default boot code
20:11:06.109    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       229918 MB offset 35022848
20:11:06.135    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       229920 MB offset 505894912
20:11:06.241    Disk 0 scanning C:\Windows\system32\drivers
20:11:22.910    Service scanning
20:11:38.221    Modules scanning
20:11:38.244    Disk 0 trace - called modules:
20:11:38.278    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys hal.dll nvstor64.sys
20:11:38.292    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80044ae470]
20:11:38.305    3 CLASSPNP.SYS[fffff8800194343f] -> nt!IofCallDriver -> [0xfffffa80043a37a0]
20:11:38.313    5 ACPI.sys[fffff88000f177a1] -> nt!IofCallDriver -> \Device\0000005c[0xfffffa80043a3060]
20:11:38.916    AVAST engine scan C:\Windows
20:11:44.324    AVAST engine scan C:\Windows\system32
20:13:41.390    AVAST engine scan C:\Windows\system32\drivers
20:13:51.014    AVAST engine scan C:\Users\Pilar
20:15:08.494    File: C:\Users\Pilar\AppData\Local\Temp\tex.exe  **INFECTED** Win32:Malware-gen
20:16:34.225    AVAST engine scan C:\ProgramData
20:17:32.146    Scan finished successfully
20:21:40.551    Disk 0 MBR has been saved successfully to "C:\Users\Pilar\Documents\MBR.dat"
20:21:40.556    The log file has been saved successfully to "C:\Users\Pilar\Documents\aswMBR.txt"


pero lo vuelvo a pasar y siempre me sale el archivo infectado, alguien sabe por que?

CloudswX

Después que lo encuentras infectado que opción seleccionas?


Enviado desde iOS utilizando Tapatalk.


«Dios no juega a los dados, usa /dev/random.»
twitter: @cloudswx

r32

Hola tienes virtualización:

Citar19:58:02.030    VM: initialized successfully
19:58:02.049    VM: Amd CPU supported virtualized
19:58:18.216    VM: supported disk I/O storport.sys

Seguistes los pasos indicados aquí:

http://public.avast.com/~gmerek/aswMBR.htm

Fix MBR.

También tienes otras alternativas:

MBR rootkit detector:
- Web: http://www.gmer.net/
- D.Directa: http://www2.gmer.net/mbr/mbr.exe

Avira Boot Sector Removal Tool:
- Web: http://www.avira.com/en/download/product/avira-boot-sector-repair-tool/product/avira-boot-sector-repair-tool/product/avira-boot-sector-repair-tool
- D.Directa: http://dlpro.antivir.com/down/windows/bootwizard.exe

Aquí tienes Antibootkit por si hubiese algo más en el sistema:

AVG Bootkit Removal Tool:
- Web: http://free.avg.com/es-es/remove-win32-bootkit
- D.Directa: http://download.avg.com/filedir/util/avgrem/avg_remover_bootkit.exe

BitDefender Bootkit Removal Tool:
- Web: http://www.hotforsecurity.com/download/bitdefender-bootkit-removal-tool-32-bit-and-64-bit
- D.Directa: http://www.hotforsecurity.com/?downloadkey=804a5265650d8145d9b094c2b62cfe60&file=19

PD: @carloscoronas, intentad crear un tema nuevo, en caso de solucionarse puede quedar expuesto y ha vista de otros usuarios que se vean ante situaciones similares.

Saludos.

carloscoronas

bueno, ante todo muchas gracias por la atencion recibida.

el problema ya se ha solucionado, y a no ser que haya algo oculto el ordenador parece totalmente limpio.

tengo otro ordenador que de tanto bicho parece la casa de la familia monster y no me hago con el, le he pasado el aswbmr y me salen 4 conceptos en amarillo y pone "looked" y uno en rojo " unknow"
abrire un ulo nuevo con el report para que lo veais,

como me aconsejais que titule el hilo para que sea de mas ayuda ara otros que les suceda igual?

kapeque

hola... es la primera vez que me comunico por este medio asi que perdón por los horrores que cometa.. espero puedan ver el archivo que adjunto es el aswmbr.txtaswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2016-06-29 12:06:39
-----------------------------
12:06:39.381    OS Version: Windows x64 6.2.9200
12:06:39.381    Number of processors: 2 586 0x3A09
12:06:39.381    ComputerName: DANIELR  UserName: Daniel
12:06:39.959    Initialize success
12:10:37.221    AVAST engine defs: 16062900
12:10:45.768    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000003d
12:10:45.784    Disk 0 Vendor: TOSHIBA_MQ01ABD050 AX001A Size: 476940MB BusType: 11
12:10:45.925    Disk 0 MBR read successfully
12:10:45.925    Disk 0 MBR scan
12:10:45.956    Disk 0 Windows 7 default MBR code
12:10:45.972    Disk 0 Partition 1 80 (A) 07      HPFS/NTFS NTFS          350 MB offset 2048
12:10:45.972    Disk 0 Partition 2 00     07      HPFS/NTFS NTFS       153650 MB offset 718848
12:10:46.018    Disk 0 Partition 3 00     07      HPFS/NTFS NTFS       322939 MB offset 315394048
12:10:46.143    Disk 0 scanning C:\Windows\system32\drivers
12:10:57.613    Service scanning
12:11:26.927    Modules scanning
12:11:26.927    Disk 0 trace - called modules:
12:11:26.958    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys storahci.sys hal.dll
12:11:26.974    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800438b060]
12:11:26.989    3 CLASSPNP.SYS[fffff88000b4fe0a] -> nt!IofCallDriver -> [0xfffffa8003d52e40]
12:11:26.989    5 ACPI.sys[fffff88001001a91] -> nt!IofCallDriver -> \Device\0000003d[0xfffffa8003d50060]
12:11:27.552    AVAST engine scan C:\Windows
12:11:29.630    AVAST engine scan C:\Windows\system32
12:14:18.107    AVAST engine scan C:\Windows\system32\drivers
12:14:30.546    AVAST engine scan C:\Users\Daniel
12:28:04.072    AVAST engine scan C:\ProgramData
12:28:52.277    Disk 0 statistics 3612411/0/0 @ 1,98 MB/s
12:28:52.293    Scan finished successfully
12:39:41.045    Disk 0 MBR fix error
12:39:55.124    Disk 0 MBR has been saved successfully to "C:\Users\Daniel\Downloads\MBR.dat"
12:39:55.155    The log file has been saved successfully to "C:\Users\Daniel\Downloads\aswMBR.txt"


espero su ayuda y comentarios a fin de poder eliminar el virus que esta enlenteciendo mi pc... desde ya muchas gracias