Estos son troyanos del tipo rootkit.
Estos troyanos roban información confidencial, especialmente contraseñas e información bancaria.
Después de desinfectar tu PC, deberás cambiar de contraseñas y ponerte en contacto con tu banco para ver si ha ocurrido algo anormal.
1er método: Gmer
- Descarga mbr.exe de Gmer en el escritorio: mbr.exe
- Desactiva las protecciones del PC y corta la conexión a Internet
- Haz doble clic en mbr.exe
- Será generado un informe: mbr.log
- En caso de infección, en el informe aparecerá el mensaje MBR rootkit code detected
- En el menú “Inicio > Ejecutar”, escribe o pega:
- %userprofile%\Escritorio\mbr" –f
- En el mbr.log aparecerá esta línea: original MBR restored successfully!
- Postea el informe en el foro de [ Virus y seguridad] si necesitas ayuda
Vuelve a ejecutar mbr.exe para asegurarte de que el troyano ha sido eliminado. El nuevo informe ya no debería encontrar ningún rootkit.
Ejemplo de informe no infectado:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Bajo Vista y Seven, debes ejecutar mbr.exe haciendo clic derecho y seleccionando “Ejecutar como administrador”.
2do método: la consola de recuperación y fixmbr
Para esto debes disponer del CD de Windows.
Inicia desde el CD de Windows.
Inicia la consola de recuperación como está explicado
Aquí
Una vez en la consola de recuperación, ingresa el comando siguiente:
fixmbr \device\harddisk0 luego valida con la tecla Enter
3er método: Combofix
Nota:
-Sólo utiliza este programa si te lo ha recomendado un usuario calificado y conocedor de esta herramienta.
-No lo utilices fuera de esta situación:
es muy peligroso!
- Haz clic derecho aquí
- Selecciona “Guardar destino como”
- Seleccionar el “Escritorio” como destino
- En el campo “Nombre de archivo”, en vez de ComboFix.exe pon CFIX.exe por ejemplo, luego haz clic en “Guardar”
- Atención! Es necesario cambiar el nombre de lo contrario te aparecerá el mensaje “ComboFix.exe no es una aplicación win32 valida" y será completamente inútil.
- Desconéctate de Internet y cierra todas las aplicaciones y programas que se están ejecutando.
- Haz doble clic en CFIX.exe para ejecutarlo (Bajo Vista y 7, es necesario hacer clic en CFIX.exe y seleccionar “Ejecutar como administrador”).
- Acepta el mensaje de advertencia y acepta la instalación de la consola de recuperación (Bajo XP)
- El informe será creado en la raíz: C:\Combofix.txt
Ejemplo de infección encontrada por Combofix:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys PCTCore.sys ACPI.sys hal.dll atapi.sys spzt.sys >>UNKNOWN [0x86F80938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7749f28
\Driver\ACPI -> ACPI.sys @ 0xf7422cb8
\Driver\atapi -> atapi.sys @ 0xf739fb40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Broadcom NetLink (TM) Gigabit Ethernet -> SendCompleteHandler -> NDIS.sys @ 0xf72b5bb0
PacketIndicateHandler -> NDIS.sys @ 0xf72a4a0d
SendHandler -> NDIS.sys @ 0xf72b8b40
user & kernel MBR OK
O:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x12a14c0 size 0x1ad !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Otros métodos
Información complementaria
[ Cómo eliminar los rootkits]
El
artículo original fue escrito por jlpjlp, contribuidor de
CommentCaMarche
Publicado por
Carlos-vialfa -
última actualización el 4 de enero de 2010, 17:10 por Carlos-vialfa
