Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola a todos,

Soy nuevo por aquí, es mi primer mensaje.

Pido disculpas a todos si estoy solicitando la ayuda a "Guillermo Tell", que no sé si es un usuario o forma parte del equipo de la web, pero he leído sus consejos, los que ha dado a un usuario "princesa2008" para eliminar el troyano que a mí también me afecta: mebroot.k. Aunque no sé si es correcto de mi parte entrar por primera vez en un foro y pedir ayuda a una persona determinada. Me sabréis disculpar si cometo un error. Sólo necesito ayuda y he entrado aquí para solicitarla y exponer mi caso de la mejor forma que sé. Gracias a todos.

Estoy realizando todos los pasos que aconseja GuillermoTell y en este momento estoy en el paso que ejecuto "Mr.Web", analizando el disco duro interno más 3 discos duros externos. No puedo avanzar porque cuando estoy ejecutando el Mr. Web, cada vez que analizo "C" y llega a este archivo:
"C:\Documents and Settings\que te importa\Configuración local\Temp\drw00005.tmp ", se bloquea el Mr Web, no puedo continuar y debo reiniciar la pc.

Cada vez que pongo en marcha "Mr.Web", encuentra "BackDoor.MaosBoot" en el Master Boot HDD2 (o 5 o 1, cada vez que reinicio y conecto uno u otro disco duro externo cambia de numeración el HDD) y cada vez dice que lo cura. No sé si es así porque nunca puedo terminar hasta el final el análisis.
Además cuando encontró este "BackDoor.MaosBoot", me preguntó en inglés si quería reiniciar y dije que "no" porque recién empezaba el análisis, así que no sé si realmente lo ha "curado" como pone a su lado o no lo desinfecta hasta que no termina el análisis completo.

Bueno muchas gracias a todos y a GuillermoTell si acaso vé mi mensaje.
Un saludo.
pitufo2

En la parte de configuracion del Dr.Web existe la opcion para elegir si al encontrar un virus reiniciar en tal caso, en ese caso cuando te pedia reiniciar habia que aceptar y que reinicie solo para poder eliminar por completo, ademas tener en cuenta que hay que realizar el escaneo en modo a prueba de fallos con la restauracion del sistema desactivado momentaneamente para mejores resultados.
Y en cada caso cuando corresponda pegar los informes correspondientes.

Saludos.

Hola eicartest,

Gracias por tu respuesta.

Te cuento que estoy en "Modo a prueba de fallos" y he desactivado "Restaurar sistema" desde un principio, tal y como lo aconseja GuillermoTell pero no sabía que esta última opción era la que evitaba reiniciar el sistema si un programa te lo exigía. Seguí el consejo pero creí que significaba otra cosa.

Qué tontería lo que hice, ¿así que al decir que no reiniciara no se curó el archivo?

Y otra pregunta: ¿si hubiera aceptado reiniciar no se hubiera reiniciado el sistema por haber desactivado "Restaurar Sistema" pero sí se hubiera desinfectado o curado el virus y hubiera continuado analizando los archivos sin reiniciarse?

una tercer pregunta: ¿Qué es lo que se reinicia el sistema o se reinicia el programa?

(como vés, con el inglés me llevo poco).

Espero tus respuestas. Gracias y Un saludo.

Hola pitufo2 bienvenid@ al Foro de Infospyware.


Sigue estas indicaciones que preparo Gullermo Tell para eiminar Mbrrootkit.


Para eliminar Mebroot de tu sistema realiza los siguientes pasos:


-Apaga el "Restaurar Sistema" (solo en Win Me, XP y Vista) y activa ver archivos ocultos.

-Descarga la herramienta MbrFix.exe y guardala en el directorio raiz C:\

• Quedando de la siguiente manera: C:\MbrFix.exe

-Reinicia en Modo Seguro (a prueba de fallos)

-Ve a Inicio > Todos los programas > Accesorios > Simbolo del sistema

• Una vez en la ventana MS-DOS escribes el siguiente comando:

C:/mbrfix /drive 0 listpartitions

Te devolvera el listado de las particiones de esta forma:

A continuaciòn escribes: C:/mbrfix /drive 0 fixmbr <-- esto para reparar el MBR de la particiòn 1.

Te devolvera lo siguiente:

Escoges Y para reparar y N para salir de la aplicaciòn.

Si tienes mas de una particion entonces debes ejecutar

C:/mbrfix /drive 0 fixmbr
C:/mbrfix /drive 1 fixmbr
.
.
.
Dependiendo del listado que te devolvio el comando C:/mbrfix /drive 0 listpartitions

-Reinicias en modo normal y realizas un nuevo escaneo con AVG Antirootkit y/o ESET Online Scanner para comprobar los resultados.

NOTA:
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.

Hola M@co,

Te agradezco enormemente por intervenir para ayudarme.

Te cuento que siguiendo los links donde GuillermoTell aconsejaba a quienes tenían el Mebroot.k, creí que lo que te adjunto a continuación era el consejo más reciente que él daba y éstos eran los pasos que yo estaba siguiendo ahora.
Y a este usuario, GuillermoTell cambia el "mbrfix.exe" por otro que es "mbr.exe" y ya no hace alusión a las particiones del disco.

¿Estoy en un error y lo que tú me aconsejas es lo más reciente?

Te agradezco tu respuesta si me lo pudieras confirmar.
Un saludo y muchísimas gracias.

Aquí te adjunto el texto al que me refiero y que también está en este link:


Ayuda!! El sector MBR del mi disco físico 2 contiene (Troyano) Win32/Mebroot.K.


-------------------------------------------------------------------------------------------------------------
Re: Ayuda!! El sector MBR del mi disco físico 2 contiene (Troyano) Win32/Mebroot.K.


Hola princesa2008, realiza los siguientes pasos al pie de la letra.


-Apaga el "Restaurar Sistema" (solo en Win Me y XP) y activa ver archivos ocultos.

- Descarga, Instala y/o actualiza estos programas, (pero no las ejecutes aun).

* Dr. Web Cure-IT
* SDFix.exe <---instalalo pero no le ejecutes todavia. Por defecto este programa se instalara en la carpeta C:\SDFix.


* A continuación descarga la herramienta GMER´s mbr.exe y la guardas en el directorio raíz C:\

* Quedando de la siguiente manera: C:\mbr.exe (asegurate de que quedo de esa forma)

-Reinicia en Modo Seguro (a prueba de fallos)

Ve a inicio ejecutar y escribe "mbr.exe -f" (sin las comillas y fijate en el espacio entre la letra e y el signo menos), le das Aceptar para iniciar el proceso de reparación de MBR.

NOTA: Si este comando no se ejecuta de forma correcta puedes usar este procedimiento alternativo.

* Ve a Inicio > Todos los programas > Accesorios > Simbolo del sistema
* Una vez en la ventana MS-DOS escribes el siguiente comando: "C:\mbr.exe -f" (sin las comillas y fijate en el espacio entre la letra e y el signo menos), le das Aceptar para iniciar el proceso de reparación de MBR.



-Ejecuta estos programas (de a uno).

* Dr. Web Cure-IT <-- Elimina las infecciones que detecte.

* Ejecuta SDFix siguiendo los pasos indicados en su Manual.


Cita:
Entra en la carpeta C:\SDFix ubicada en el escritorio y haz doble clic sobre el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta C:\SDFix llamado Report.txt, copia y pega lo que indique ese reporte acá.
- Reinicia en modo normal y usa el CCleaner para limpiar el sistema.
Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

* A continuación haces doble clic sobre el archivo C:\mbr.exe para ejecutarlo.
Se producira un reporte llamado MBRlog.
Guarda este reporte en el bloc de notas para copiarlo y pegarlo en este mismo tema.


-Pega los reportes generados por SDFix y Dr Web para revisarlos junto el MBRlog creado por GMER´s MBR.exe .

NOTA:
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.
-------------------------------------------------------------------------------------------------------------

Hola.

Si ya realizaste los últimos pasos pega los reportes.

Saludos.

Hola M@co,

Es que no puedo pegar reportes porque no puedo continuar analizando mi disco duro C. Más arriba escribí lo siguiente:

"Estoy realizando todos los pasos que aconseja GuillermoTell y en este momento estoy en el paso que ejecuto "Mr.Web", analizando el disco duro interno más 3 discos duros externos. No puedo avanzar porque cuando estoy ejecutando el Mr. Web, cada vez que analizo "C" y llega a este archivo:
"C:\Documents and Settings\que te importa\Configuración local\Temp\drw00005.tmp ", se bloquea el Mr Web, no puedo continuar y debo reiniciar la pc."

M@co, me gustaría saber si me puedes confirmar la pregunta que te he hecho en el mensaje anterior ¿cuáles de los consejos de Guillermo Tell están más actualizados?, lo que tú expones o los pasos que yo estaba siguiendo y que no puedo continuar porque el programa se detiene en un punto de su ejecución. El Dr Web no se cierra aunque presione el boton de "cerrar" y tengo que reiniciar el programa.

No he podido hacer los últimos pasos, no puedo avanzar, me quedo siempre en Dr.Web, primero por lo que te acabo de explicar y segundo porque el usuario "eicartest" me ha dicho que he hecho mal en decir que "no" a reiniciar (en Dr.Web) y que por lo tanto los virus y troyanos no estaban siendo desinfectados.

Así que estoy en un punto que no puedo avanzar.

Te agradezco si me puede ayudar.
Un saludo

Hola.

El tutorial que estas ejecutando está mas actualizado que el que te indiqué.

Realiza lo siguiente:

1. Descarga y ejecuta OTmoveIT2 como se explica en su manual colocando el siguiente script en la casilla "Paste List of Files / Folders to be Moved".
   
   Código HTML:

   C:\Documents and Settings\que te importa\Configuración local\Temp\drw00005.tmp 
   emptytemp
   purity
   

   Nota: Asegurate que este marcado "Unregister Dll's and Ocx's"
   
   
2. Sigue estos pasos: http://www.forospyware.com/762818-post4.html

- Nos comentas.

Saludos.

Hola M@co,

Te estaba escribiendo y cuando fui a mandarte todo me aparece un mensaje de que "no había iniciado sesión" (tardé tanto que se borró todo), así que perdí todo lo que te había escrito.

Gracias por tus consejos.
Yo estoy en España y aquí ya son cerca de las 12 de la noche, mañana tengo que estar subido en el tren a las 8 de la mañana. Hoy no puedo seguir haciendo pruebas como quisiera para terminar con este troyano, pero como regreso mañana a la noche, según la hora a la que llegue, continúo.

Un saludo y hasta la vuelta.

Hola.

Ok. Estaremos por acá.

Saludos.