Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Tengo un problema con este Troyano y no lo logro quitar del ordenador.

Os cuento....

Según el NOD32 tengo en el sector de arranque del segundo disco duro de mi ordenador este troyano (Mebroot.K) y no logro quitarlo. He intentado lo siguiente:

- Con la consola de recuperación del WinXPPro he utilizado el FIXMBR y nada.

- Luego descargué el "SUPERAntiSpyware" y me reconoce algún fichero, pero nada.

- Con el SDFix me pone que tengo troyano y teoricamente me lo quita, pero luego el NOD32 me sigue dando el aviso de troyano.

El reporte que me da el SDFix, luego de pasarlo varias veces, es el siguiente:

-------------


SDFix: Version 1.222
Run by Aula on 10/09/2008 at 10:03

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-10 10:16:37
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BTHPORT\Parameters\Keys\0009dd503af2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg]
"s0"=dword:4681af0a
"s1"=dword:30f33531
"s2"=dword:b8216e58
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Archivos de programa\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:ea,a8,20,03,c2,cb,ca,a7,6f,69,6b,c2,cd ,f6,94,ac,28,a4,43,6d,ad,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000 001]
"a0"=hex:20,01,00,00,10,29,b9,a5,d1,c4,89,ce,98,60 ,be,7f,c4,37,b3,88,46,..
"khjeh"=hex:c9,72,c8,9a,de,7e,d0,b4,b3,08,21,18,fd ,0e,ba,3d,e6,74,05,ca,37,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000 001\0Jf40]
"khjeh"=hex:a7,3a,b1,54,8c,d9,69,5f,d1,3b,82,34,59 ,48,40,e0,74,7e,da,e1,93,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\B THPORT\Parameters\Keys\0009dd503af2]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s ptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Archivos de programa\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:ea,a8,20,03,c2,cb,ca,a7,6f,69,6b,c2,cd ,f6,94,ac,28,a4,43,6d,ad,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s ptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,10,29,b9,a5,d1,c4,89,ce,98,60 ,be,7f,c4,37,b3,88,46,..
"khjeh"=hex:c9,72,c8,9a,de,7e,d0,b4,b3,08,21,18,fd ,0e,ba,3d,e6,74,05,ca,37,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s ptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\ 0Jf40]
"khjeh"=hex:a7,3a,b1,54,8c,d9,69,5f,d1,3b,82,34,59 ,48,40,e0,74,7e,da,e1,93,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Archivos de programa\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"="C:\\Archivos de programa\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe:*:Enabled:Adobe Version Cue CS2"
"C:\\Archivos de programa\\Internet Explorer\\iexplore.exe"="C:\\Archivos de programa\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Mon 14 Apr 2008 1,695,232 ..SH. --- "C:\Archivos de programa\Messenger\msmsgs.exe"
Wed 13 Aug 2008 6,104,632 A..H. --- "C:\Archivos de programa\Picasa2\setup.exe"

Finished!

---------

Luego leyendo un post vuestro en "Finalizados" comentais algo del una aplicación MBR. La utilicé y me salió este reporte:


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a98cc5 size 0x2c3 !
copy of MBR has been found in sector 62 !

-----------------

Qué puedo hacer para liberarme de este troyano?

Gracias

HOla AulaUD



Realiza lo incado en este enlace---------> "11 Pasos para eliminar Spyware"
excepto el paso

EN el paso Realiza los escaneos online en el siguiente orden:

Panda Active Scan
Kaspersky

Nos pegas el reporte de ambos para analizarlos
Sigues los pasos tal cual estan indicados, regresa y nos cuentas como te fue....


Andresmix

Hola

Antes de nada Gracias por la respuesta.

Perdona la tardanza en contestar pero he andado bastante liado.

Te cuento...

He realizado TODOS los pasos que aparecen en "Los 11 Pasos fundamentales..." y el resultado es el mismo, NO me detectan el Troyano en el Master Boot Record.

Los reportes de los antivirus son:

Panda Active Scan (Da un falso positivo)

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2008-09-17 13:51:23
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
ESET NOD32 antivirus system 2.70 2.70 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00139535 Application/Processor HackTools No 0 Yes No C:\SDFix\SDFix\apps\Process.exe
00139535 Application/Processor HackTools No 0 No No C:\Documents and Settings\Aula\Escritorio\Utiles\SDFix.exe[C:\Documents and Settings\Aula\Escritorio\Utiles\SDFix.exe][SDFix\apps\Process.exe]
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================

-------------

Kaspersky

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
jueves, 18 de septiembre de 2008 8:16:45
Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 17/09/2008
Registros en la base antivirus: 1111845
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\

Estadísticas:
Número de objeros analizados: 89082
Virus encontrados: 0
Objetos infectados: 0 / 0
Objetos sospechosos: 0
Duración del análisis: 02:11:39

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\config\configuration\org.eclipse.core.runtime\ .manager\.tmp14909.instance Object is locked saltado
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\data\database\data\ibdata1 Object is locked saltado
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\data\database\data\ib_logfile0 Object is locked saltado
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\data\database\data\ib_logfile1 Object is locked saltado
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhasset.ibd Object is locked saltado
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhlabel.ibd Object is locked saltado
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhlabeltoversion .ibd Object is locked saltado
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhpqentry.ibd Object is locked saltado
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhschemaversion. ibd Object is locked saltado
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhserverglobals. ibd Object is locked saltado
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhuser.ibd Object is locked saltado
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\logs\VersionCue.log Object is locked saltado
C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked saltado
C:\Archivos de programa\ESET\logs\virlog.dat Object is locked saltado
C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Datos de programa\Ahead\Nero Home\bl.db Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Datos de programa\Ahead\Nero Home\bl.db-journal Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Datos de programa\Ahead\Nero Home\is2.db Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Datos de programa\Ahead\Nero Home\is2.db-journal Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Datos de programa\Microsoft\Messenger\despacho_11@hotmail.c om\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Datos de programa\Microsoft\Messenger\despacho_11@hotmail.c om\SharingMetadata\pending.dat Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Datos de programa\Microsoft\Messenger\despacho_11@hotmail.c om\SharingMetadata\Working\database_C20_7FE7_207F_ D664\dfsr.db Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Datos de programa\Microsoft\Messenger\despacho_11@hotmail.c om\SharingMetadata\Working\database_C20_7FE7_207F_ D664\fsr.log Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Datos de programa\Microsoft\Messenger\despacho_11@hotmail.c om\SharingMetadata\Working\database_C20_7FE7_207F_ D664\fsrtmp.log Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Datos de programa\Microsoft\Messenger\despacho_11@hotmail.c om\SharingMetadata\Working\database_C20_7FE7_207F_ D664\tmp.edb Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\despacho_11@hotmail.com\real\members.stg Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Historial\History.IE5\MSHist0120080917200809 18\index.dat Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Temp\hpodvd09.log Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Temp\IH4AC.tmp Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Temp\Perflib_Perfdata_8c0.dat Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Temp\~DF1CDB.tmp Object is locked saltado
C:\Documents and Settings\Aula\Configuración local\Temp\~DF1CE4.tmp Object is locked saltado
C:\Documents and Settings\Aula\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Aula\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\App Logs\SUPERANTISPYWARE-9-17-2008( 12-31-35 ).SDB Object is locked saltado
C:\Documents and Settings\Aula\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Aula\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\dtscsi.sys Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\drivers\sptd6173.sys Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\hsperfdata_SYSTEM\808 Object is locked saltado
C:\WINDOWS\Temp\ib2 Object is locked saltado
C:\WINDOWS\Temp\ib3 Object is locked saltado
C:\WINDOWS\Temp\ib4 Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

-----------------------------


Pero sin embargo el NOD32 me sigue diciendo que tengo el Mebroot.K en el MBR del disco duro.

Qué puedo hacer??????

Gracias

Hola AulaUD bienvenid@ al Foro de Infospyware.

Eliminar Mebroot

Descripción: Mebroot es un malware que infecta el MBR (Master Boot Record) he instala una rutina de Rootkit. Poe eso recibe el nombre de MBR rootkit. Su caracteristica es la de abrir una puerta trasera para recibir comandos desde [http://]dkfhchkb.com/ser[REMOVED].
Mas información: Alerta-Antivirus.es: Detalles del virus Mebroot


Para eliminar Mebroot de tu sistema realiza los siguientes pasos:


-Apaga el "Restaurar Sistema" (solo en Win Me, XP y Vista) y activa ver archivos ocultos.

-Descarga la herramienta MbrFix.exe y guardala en el directorio raiz C:\

• Quedando de la siguiente manera: C:\MbrFix.exe

-Reinicia en Modo Seguro (a prueba de fallos)

-Ve a Inicio > Todos los programas > Accesorios > Simbolo del sistema

• Una vez en la ventana MS-DOS escribes el siguiente comando:

C:/mbrfix /drive 0 listpartitions

Te devolvera el listado de las particiones de esta forma:

A continuaciòn escribes: C:/mbrfix /drive 0 fixmbr <-- esto para reparar el MBR de la particiòn 1.

Te devolvera lo siguiente:

Escoges Y para reparar y N para salir de la aplicaciòn.

Si tienes mas de una particion entonces debes ejecutar

C:/mbrfix /drive 0 fixmbr
C:/mbrfix /drive 1 fixmbr
.
.
.
Dependiendo del listado que te devolvio el comando C:/mbrfix /drive 0 listpartitions

-Reinicias en modo normal y realizas un nuevo escaneo con AVG Antirootkit y/o ESET Online Scanner para comprobar los resultados.

NOTA:
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.

GRACIAS M@co y Andresmix

La verdad es que no sé a cual de los dos tengo que darle las gracias pues realicé varios procesos seguidos.

Creo que los "11 pasos fundamentales..." no me sirvieron pues luego de hacerlos y aunque los antivirus online que le pasé NO me daban aviso de Troyano al pasarle luego el NOD32 me seguía apareciendo, así que opté por lo siguiente:

- Desinstalé el NOD32
- Descargué una aplicación para formatear a Bajo Nivel el Disco Duro (HDD Low Level Format Tool), puedo hacer esto pues el troyano me aparecía en el segundo disco duro que tengo y que uso sólo para datos.
- Formateé a Bajo Nivel el disco duro y creé de nuevo la partición.
- Todavía sin tener instalado el NOD32 descargué y ejecuté la herramienta “MbrFix.exe” en los dos discos duros.
- Escaneé online con el AVG AntirootKit (¡ojo! ya no es gratuito y para actualizarlo hay que comprar e instalar el AVG 8) y con el ESET Online Scanner. No encontraron nada.
- Instalé de nuevo el NOD32 (recién bajado de la WEB oficial) y …

NO ME DETECTA NADA….

Arreglado.
GRACIAS.