Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola Amigos, bueno mis felicitaciones por el Foro, demaciado Util..

Bueno, mi tema es el Siguiente:

Hace 2 Dias estaba navegando con Firefox 3.0 y pase por una página que me pego el siguiente Troyano, Win32/Mebroot.K. Trojan, NOD 32 Antivirus..
lo detecto pero extrañamente no lo detuvo, bueno en resumen tome la determinación de Formatiar el PC.. para Arreglar el Asunto Supuestamente.. Volvi a Instalar NOD 32 y Revise el PC, y me dio la Sorpresa que aún estaba Infectado con el Troyano...

Bueno recurri al foro, lei que un usuario tenia la misma clase de problema. (jessy*) con las recomendaciones que le dio el Moderador GuillermoTell con respecto a que el Troyano estaba inserto en MBR, osea a la partida del Disco... realize todos los pasos. y NOD 32 Antivirus, Ya NO lo detecta en el Sector de Partida, pero el PC Aún sigue comportandose de manera extraña.. creo que NO quedó Eliminado, ya que sigo teniendo problemas...

EJ: Estoy navegando y me cambio de ventana y se actualiza extrañamente la ventana que esta atrás.. al Principio pensaba que era normal de windows, pero al hacer la actualización se demora mucho en aparecer la ventana de Atrás...

Otro Problema que tengo es que la OPCIÓN de MOSTRAR ARCHIVOS OCULTOS y CARPETA, la ACTIVO y NO OCURRE NADA..!!

Para verificar, descarge la Herramienta MBR.exe, y verifique y me dio el siguiente reporte:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1749ddc1 size 0x1fd !
copy of MBR has been found in sector 62 !

Bueno mi duda principal es saber si el Troyano aún sigue estando presente dentro de mi PC, NOD 32 Revisa y no encuentra Problemas...

EL PROCESO SOLO FUE REALIZADO EN LA PARTICION PRINCIPAL DEL DISCO, EN MI CASO LA PARTICION C:/ en las demás no lo realize, ya que tenia la siguiente duda:

Sí realizo el proceso que dio GuillermoTell en TODAS las PARTICIONES de mi DISCO DURO, los Archivos que estan dentro PODRIAN SUFRIR ALGUN PROBLEMA como por EJEMPLO, llegar a BORRARSE...LA VERDAD NO ME QUIZE ARRIESGAR A PERDER TODO..!! YA QUE LOS ARCHIVOS SON DEMASIADOS Y NO QUIERO PERDER NADA...!!!

BUENO ESPERO SE HAYA PODIDO ENTENDER MI DUDA Y PORFAVOR, NECESITO DE SU AYUDA..!! PARA LA SOLUCION

LE AGRADESCO AL QUE PUDIERA DECIRME COMO SOLUCIONARLO.!!

GRACIAS.!

Hola Lalopax, si te fijas en el procedimiento recomendado a ese usuario en los pasos claramente dice:

Es recomendable por seguridad realizar una copia de los archivos más importantes antes de proceder con la reparación del MBR.

Una forma alternativa de reparar el MBR es mediante el uso del CD de instalación de Windows y se hace de la siguiente forma:


1- Desactive "Restaurar Sistema" (solo en Win Me y XP) y active ver archivos ocultos.

2- Desconecte el cable de conexión a Internet de la torre.
NOTA: No vuelva a conectar a internet el equipo hasta que el PC este limpio del rootkit.

3- Ir a la Consola de recuperación de Microsoft y use el comando fixmbr siguiendo estos pasos:

1. Inserte el CD de Windows XP en la unidad de CD-ROM y reinicie el ordenador.
   NOTA: Antes de iniciar la consola de recuperación de Windows XP debemos tener en cuenta que el BIOS debe estar configurado para que arranque desde el dispositivo de instalación, en este caso desde CD. Para configurar la secuencia de arranque del BIOS véase ¿Como configurar la Bios? (Setup). En la parte de Modificaciones comunes: ejemplos la número 1 es la que se necesita.
   
   
2. Cuando aparezca la pantalla "Bienvenido a Configuración", presione R para iniciar la consola de recuperación.
   
   
3. Si tiene un equipo con inicio dual o múltiple, seleccione la instalación a la que debe tener acceso desde la consola de recuperación.
   
   
4. Cuando se le indique, escriba la contraseña de administrador. Si la contraseña de administrador estuviera en blanco, presione ENTRAR.
   
   
5. En el símbolo del sistema escriba el comando fixmbr para restaurar el Master Boot Record (MBR).
   
   
6. Siga las instrucciones en pantalla.
   
   
7. Para salir de la consola de recuperación y reiniciar el equipo, escriba exit en el símbolo del sistema y presione ENTRAR.
   
   
8. Reinicie en modo seguro y retire el CD de la unidad CD-ROM.

4- Realice un escaneo completo del PC con el Dr Web Cure IT y SDFix eliminando los archivos que estos detecten como infectados.

5- Reinicie en modo normal y realice un escaneo con NOD32 para comprobar los resultados.

NOTA:
- Antes de intentar reparar el MBR, estar completamente seguro que posee una copia de seguridad de todos sus datos.
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.

Enlaces de interés:
Manual de Instalación y reparación de Windows 2000/XP/2003
Cómo instalar y utilizar la Consola de recuperación en Windows XP

Finalmente para descartar la presencia de alguna otra infección en el PC es recomendable realizar un escaneo completo del PC con el Kaspersky Online Scanner y pegas su reporte para analizarlo.

Saludos.