ESET Latinoamérica - Laboratorio
« Malware simula ser WinRAR
Solución al Primer Desafío de ESET »

Herramienta para eliminar MebRoot

Septiembre 25, 2008 11:00 am

Cuando hablamos de rootkit en el sector de arranque mencionamos una técnica por la cual es posible modificar la MBR del disco desde Windows y hablamos de un rootkit que ESET NOD32 detecta como Win32/Mebroot.

En los últimos días hemos detectado una creciente cantidad de sitios que propagan este código dañino a través de códigos ofuscados y permiten que el rootkit tome el control del sistema, luego del reinicio del mismo.

Por eso, hemos desarrollado una aplicación gratuita que permite remover este rootkit desde la tabla de partición sin esfuerzo alguno. Si tiene sospecha de que este código haya podido afectar su sistema, sólo debe descargar ESET Mebroot Remover y ejecutarlo. A continuación se le informará si el rootkit fue encontrando o no en el sistema y, en caso afirmativo, la herramienta lo eliminará:

Si desea confirmar que ha sido infectado con este rootkit, recomiendo utilizar (gratuitamente) ESET Sysinspector que en segundos le informará si su tabla de partición ha sido modificada por este código, de la siguiente manera:

Como último consejo siempre recuerde descargar las herramientas que utilice desde sitios confiables.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 5
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Categorias: Alertas, Productos

11 Comentarios en “Herramienta para eliminar MebRoot”

  1. Alex dijo:
    7-6-2009 a las 4:27 am

    He ejecutado la herramienta de recuperación del MBR a través de la consola de recuperación del sistema y me ha desbaratado la tabla de particiones, pero al final he conseguido arreglar el sector de arranque con Testdisk. Ahora está todo correcto y parece que no hay rastro del virus ese.

    Gracias por todo.

  2. Cristian Borghello dijo:
    5-6-2009 a las 8:56 pm

    Hola Alex:

    Es la primera vez que nos informan un caso similar. Puedes ponerte en contacto con soporte para asistirte, a través de tu distribuidor.

    Cristian

  3. Alex dijo:
    5-6-2009 a las 2:32 pm

    Acabo de utilizar esta herramienta y se supone que me ha eliminado el virus, pero al reiniciar el sistema cuando la aplicación me lo ha pedido, me ha dado un error de NTLDR mientras arrancaba y me he quedado sin disco duro… ahora no puedo acceder a él ni poniéndolo de secundario (con el SO en otro disco).
    Hay alguna forma de arreglar esto sin perder los datos del disco?? si no, a ver si va a ser peor el remedio…

  4. Cristian Borghello dijo:
    13-5-2009 a las 5:28 pm

    Hola Roberto:

    Por favor ejecuta la herramienta en modo prueba de fallos.

    Cristian

  5. Roberto dijo:
    13-5-2009 a las 4:53 pm

    hola gracias.
    pero al correrlo me dice que:
    que lo encontro y que si lo quiero eliminar y tecleo que si
    unable to clean the rootkit
    que puedo hacer?

    gracias de antemano

  6. Jorge Mieres dijo:
    14-10-2008 a las 4:26 pm

    Cómo información adicional, les cuento que la herramienta de eliminación del malware en cuestión no funciona con otras unidades, es decir, se toma por defecto que el sector de arranque se encuentra en la unidad “C”.

    Sin embargo, si el malware se encuentra en la MBR de otra unidad, se puede recurrir a la utilidad mbrfix de Microsoft Windows. Para ello, les paso un pequeño procedimiento:

    1.- Reiniciar la PC en modo a prueba de fallos (modo seguro).

    2.- Luego, hay que acceder a la consola desde Inicio/Todos los programas/Accesorios/Símbolo del sistema o directamente desde Inicio/Ejecutar, escribir cmd.

    3.- Una vez en la ventana MS-DOS se debe escribir el siguiente comando:

    C:/mbrfix /drive 0 listpartitions

    Este comando devolverá un listado con las particiones del equipo, algo similar a lo siguiente:

    C:\Documents and Settings\mieres>C:/mbrfix /drive 0 listpartitions # Boot Size (MB) Type
    1 Yes 23713 7 NTFS
    2 Yes 45114 7 NTFS
    3 0 0 None
    4 0 0 None

    En este punto, suponiendo que la unidad “C” corresponde a la unidad 1, y la unidad “D” corresponde a la unidad 2, se debe escribir el siguiente comando:

    C:/mbrfix /drive 0 fixmbr > PARA REPARAR LA UNIDAD 1 (C) C:/mbrfix /drive 1 fixmbr > PARA REPARAR LA UNIDAD 2 (D)

    Recuerden que van a necesitar el disco de instalación del sistema operativo, por lo tanto lo deberían tener a mano.

    si desean aprender un poco más sobre el uso de éste y otros comandos en Microsoft Windows pueden realizar lo siguiente:

    Desde Inicio/Ejecutar, escribir “HH Ntcmds.chm” sin las comillas. Aparecerá una guía de comandos.

    Saludos.

    Jorge

  7. Herramienta para eliminar MebRoot dijo:
    2-10-2008 a las 6:57 pm

    [...] FUENTE [...]

  8. Cristian Borghello dijo:
    29-9-2008 a las 2:07 pm

    Hola rockeset:

    No debería decirte esto pero será una de tantas nuevas funcionalidades en la nueva versión de ESET NOD32.

    Cristian

  9. rockeset dijo:
    26-9-2008 a las 7:13 pm

    Gracias, el programa eliminó el mebroot de mi pc finalmente!.
    una pregunta:
    porque el eset nod32 no puede eliminarlo?

    Saludos.

  10. Eliminar rootkit Mebroot con Mebroot Remover « Cajón desastres dijo:
    26-9-2008 a las 5:15 am

    [...] Via. [...]

  11. Gorrina dijo:
    25-9-2008 a las 6:42 pm

    Estaba a punto de formatear el pc, y me habeis salvado la vida, mil agradecimientos Cristian.

Comentarios