Saludos....

Bueno hace una semana tengo un problema con el siguiente troyano
Win32/Mebroot.f trojan
Hasta el momento no puedo eliminarlo ya que cuando ejecuto el scan del nod32 me aparece lo siguiente:
Object: MBR sector of the 0. physical disk
Threat: Win32/Mebroot.f trojan

Y luego aparece las siguientes opciones

Clean y Leave
Cuando pulso en Clean me sale un error que me da a entender que no puedo eliminarlo y cuando pulso en Leave pues continua el scan pero el trojano sigue ahí, agradecería mucho por su ayuda y cooperación


Un saludo a la distancia
Atte. Víctor Esau

Si tengo errores ortográficos pido disculpas

Hola DeathCrush bienvenido al foro de Infospyware.

El tipo de infección que tienes es poco comun y delicada de eliminar, la buena noticia es que hace algun tiempo ayude a un usuario con ese mismo malware en este tema: http://www.forospyware.com/t156619-4.html#post675254

De esa experiencia con ese Malware salio el siguiente tutorial para la eliminación de ese MBR Rootkit.

Eliminar Mebroot

Descripción: Mebroot es un malware que infecta el MBR (Master Boot Record) he instala una rutina de Rootkit. Poe eso recibe el nombre de MBR rootkit (http://www.forospyware.com/672567-post9.html). Su caracteristica es la de abrir una puerta trasera para recibir comandos desde [http://]dkfhchkb.com/ser[REMOVED].
Mas información: Alerta-Antivirus.es: Detalles del virus Mebroot (http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=7440)


Para eliminar Mebroot de tu sistema realiza los siguientes pasos:


:1:-Apaga el "Restaurar Sistema (http://www.forospyware.com/292280-post2.html)" (solo en Win Me, XP y Vista) y activa ver archivos ocultos (http://www.forospyware.com/292282-post3.html).

:2:-Descarga la herramienta MbrFix.exe (http://www.ambience.sk/experiments/MbrFix.exe) y guardala en el directorio raiz C:\
Quedando de la siguiente manera: C:\MbrFix.exe
:3:-Reinicia en Modo Seguro (a prueba de fallos) (http://www.forospyware.com/292284-post4.html)

:4:-Ve a Inicio > Todos los programas > Accesorios > Simbolo del sistema
Una vez en la ventana MS-DOS escribes el siguiente comando:
C:/mbrfix /drive 0 listpartitions

Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\GuillermoTell>
C:\Documents and Settings\GuillermoTell>C:/mbrfix /drive 0 listpartitions

Te devolvera el listado de las particiones de esta forma:

Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\GuillermoTell>
C:\Documents and Settings\GuillermoTell>C:/mbrfix /drive 0 listpartitions
# Boot Size (MB) Type
1 Yes 10228 7 NTFS or HPFS
2 0 0 None
3 0 0 None
4 0 0 None

A continuaciòn escribes: C:/mbrfix /drive 0 fixmbr <-- esto para reparar el MBR de la particiòn 1.

Te devolvera lo siguiente:

C:\Documents and Settings\GuillermoTell>C:/mbrfix /drive 0 fixmbr
You are about to Fix MBR,
are you sure (Y/N)?

Escoges Y para reparar y N para salir de la aplicaciòn.

Si tienes mas de una particion entonces debes ejecutar

C:/mbrfix /drive 0 fixmbr
C:/mbrfix /drive 1 fixmbr
.
.
.
Dependiendo del listado que te devolvio el comando C:/mbrfix /drive 0 listpartitions

:5:-Reinicias en modo normal y realizas un nuevo escaneo con AVG Antirootkit (http://www.forospyware.com/t119898.html) y/o ESET Online Scanner (http://www.forospyware.com/t133936.html) para comprobar los resultados.

NOTA:
-Antes de intentar reparar el MBR, estar completamente seguro que posee una copia de seguridad de todos sus datos importantes.
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.

A mi el NOD32 me detectaba el WIn32/Mebroot.h trojan y un posible virus (tsr.boot) .
Con ese método, han quedado eliminados los dos.
Muchas gracias.:aplausos::aplausos::aplausos:

A mi el NOD32 me detectaba el WIn32/Mebroot.h trojan y un posible virus (tsr.boot) .
Con ese método, han quedado eliminados los dos.
Muchas gracias.:aplausos::aplausos::aplausos:

:biggrin:Y yo que esperaba que respondiera DeathCrush, bueno me alegra que te haya servido el procedimiento y esperemos que sea de ayuda para más gente de ahora en adelante.

Saludos. :Bien:

Hola Muchas gracias por tu ayuda!! GuillermoTell
Tu ayuda me ayudo con ese problema que tenia [me cortaron el internet por eso no respondi rapido =P ]

Gracias otra ves

Hola DeathCrush, me alegra oir que la ayuda fue efectiva. Siempre es importante saber si los procedimientos estan siendo efectivos para ir mejorando la ayuda ya que estos Malwares cambian constantemente y hacen necesario un seguimiento completo de sus cambios para crear nuevas y mejores herramientas para su eliminación.

Saludos. :feca:

Bueno tengo que decir que yo tambien tenia ese troyano y creo que tambien lo he solucionado.

Muchas gracias por la ayuda. Que hariamos sin vuestra ayuda. :aplausos: