Herramienta para eliminar MebRoot

Cuando hablamos de rootkit en el sector de arranque mencionamos una técnica por la cual es posible modificar la MBR del disco desde Windows y hablamos de un rootkit que ESET NOD32 detecta como Win32/Mebroot.

En los últimos días hemos detectado una creciente cantidad de sitios que propagan este código dañino a través de códigos ofuscados y permiten que el rootkit tome el control del sistema, luego del reinicio del mismo.

Por eso, hemos desarrollado una aplicación gratuita que permite remover este rootkit desde la tabla de partición sin esfuerzo alguno. Si tiene sospecha de que este código haya podido afectar su sistema, sólo debe descargar ESET Mebroot Remover y ejecutarlo. A continuación se le informará si el rootkit fue encontrando o no en el sistema y, en caso afirmativo, la herramienta lo eliminará:

Si desea confirmar que ha sido infectado con este rootkit, recomiendo utilizar (gratuitamente) ESET Sysinspector que en segundos le informará si su tabla de partición ha sido modificada por este código, de la siguiente manera:

Como último consejo siempre recuerde descargar las herramientas que utilice desde sitios confiables.

Cristian

Autor , ESET

  • Gorrina

    Estaba a punto de formatear el pc, y me habeis salvado la vida, mil agradecimientos Cristian.

  • Pingback: Eliminar rootkit Mebroot con Mebroot Remover « Cajón desastres()

  • rockeset

    Gracias, el programa eliminó el mebroot de mi pc finalmente!.
    una pregunta:
    porque el eset nod32 no puede eliminarlo?

    Saludos.

  • Hola rockeset:

    No debería decirte esto pero será una de tantas nuevas funcionalidades en la nueva versión de ESET NOD32.

    Cristian

  • Pingback: Herramienta para eliminar MebRoot()

  • Cómo información adicional, les cuento que la herramienta de eliminación del malware en cuestión no funciona con otras unidades, es decir, se toma por defecto que el sector de arranque se encuentra en la unidad “C”.

    Sin embargo, si el malware se encuentra en la MBR de otra unidad, se puede recurrir a la utilidad mbrfix de Microsoft Windows. Para ello, les paso un pequeño procedimiento:

    1.- Reiniciar la PC en modo a prueba de fallos (modo seguro).

    2.- Luego, hay que acceder a la consola desde Inicio/Todos los programas/Accesorios/Símbolo del sistema o directamente desde Inicio/Ejecutar, escribir cmd.

    3.- Una vez en la ventana MS-DOS se debe escribir el siguiente comando:

    C:/mbrfix /drive 0 listpartitions

    Este comando devolverá un listado con las particiones del equipo, algo similar a lo siguiente:

    C:Documents and Settingsmieres>C:/mbrfix /drive 0 listpartitions # Boot Size (MB) Type
    1 Yes 23713 7 NTFS
    2 Yes 45114 7 NTFS
    3 0 0 None
    4 0 0 None

    En este punto, suponiendo que la unidad “C” corresponde a la unidad 1, y la unidad “D” corresponde a la unidad 2, se debe escribir el siguiente comando:

    C:/mbrfix /drive 0 fixmbr > PARA REPARAR LA UNIDAD 1 (C) C:/mbrfix /drive 1 fixmbr > PARA REPARAR LA UNIDAD 2 (D)

    Recuerden que van a necesitar el disco de instalación del sistema operativo, por lo tanto lo deberían tener a mano.

    si desean aprender un poco más sobre el uso de éste y otros comandos en Microsoft Windows pueden realizar lo siguiente:

    Desde Inicio/Ejecutar, escribir “HH Ntcmds.chm” sin las comillas. Aparecerá una guía de comandos.

    Saludos.

    Jorge

  • Roberto

    hola gracias.
    pero al correrlo me dice que:
    que lo encontro y que si lo quiero eliminar y tecleo que si
    unable to clean the rootkit
    que puedo hacer?

    gracias de antemano

    • Hola Roberto:

      Por favor ejecuta la herramienta en modo prueba de fallos.

      Cristian

  • Alex

    Acabo de utilizar esta herramienta y se supone que me ha eliminado el virus, pero al reiniciar el sistema cuando la aplicación me lo ha pedido, me ha dado un error de NTLDR mientras arrancaba y me he quedado sin disco duro… ahora no puedo acceder a él ni poniéndolo de secundario (con el SO en otro disco).
    Hay alguna forma de arreglar esto sin perder los datos del disco?? si no, a ver si va a ser peor el remedio…

    • Hola Alex:

      Es la primera vez que nos informan un caso similar. Puedes ponerte en contacto con soporte para asistirte, a través de tu distribuidor.

      Cristian

  • Alex

    He ejecutado la herramienta de recuperación del MBR a través de la consola de recuperación del sistema y me ha desbaratado la tabla de particiones, pero al final he conseguido arreglar el sector de arranque con Testdisk. Ahora está todo correcto y parece que no hay rastro del virus ese.

    Gracias por todo.

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Nueva generación de rootkits()

  • jordi

    a mi me entra el troyano y reinicio y ya no lo tengo hasta que me vuelve a aparecer el mensaje de alerta.

    El ESET Mebroot Remover no tiene version para w7 64 bits y no lo puedo ejecutar…

    He pasado el ESET Sysinspector y ahora no me detecta nada… Pero no quiero que entre el troyano cada dia y tenga que reiniciar la maquina para evitar que entre del todo…

    Saludos

    • Hola jordi,

      La cantidad de veces que aparezca el troyano dependerá de la exposición que tengas a este, y el antivirus va a detectarlo cada vez que este intente infectar el sistema.

      Si quieres un análisis personalizado de tu sistema, contacta al soporte técnico que podrán ayudarte con las configuraciones.

      Sebastián

  • Sergio K.

    Como remuevo un Terminate and Stay Resident Virus de mi PC.
    ESET lo reconoce como TSR.BOOT y reside en el sector de arranque del HDD obviously. Hay alguna herramienta para removerlo, o solo for mateando el HDD lo hara? Gracias por cualquier respuesta tendiente a resolver esto.

    • Hola Sergio K.,

      Para remover algunos virus que residen en el sector de arranque es necesario utilizar algunas herramientas especiales, como ESET SysRescue. Chequea el enlace y si tienes dudas contacta al soporte técnico que podrán ayudarte en la tarea.

      Sebastián

Síguenos