Virus en el MBR
Buenas, hemos formateado un portátil el cual parece que se había infectado de virus y spywares nada más conectarlo a Internet!
Eliminamos sus particiones, formateamos y reinstalamos XP. Ahora hemos instalado el antivirus Avast y procederemos a conectar con Internet para actualizarlo además de actualizar XP.
Mi duda es, ¿es posible que en el MBR del HD quede algún virus? ¿Con el antivirus podemos comprobarlo?
Me han hablado del COPYS /MAST, ¿qué me aconsejas para no tener que volver a formatear?
Gracias
Eliminamos sus particiones, formateamos y reinstalamos XP. Ahora hemos instalado el antivirus Avast y procederemos a conectar con Internet para actualizarlo además de actualizar XP.
Mi duda es, ¿es posible que en el MBR del HD quede algún virus? ¿Con el antivirus podemos comprobarlo?
Me han hablado del COPYS /MAST, ¿qué me aconsejas para no tener que volver a formatear?
Gracias
4 respuestas
Respuesta de psychosoldie
1
Por lo que leo, no estáis seguros de si se ha eliminado por completo, ¿o sospecháis que esta infectado de nuevo?
En principio es muy raro que un virus haya conseguido infectar el sector de arranque del disco duro y más aun el mbr, de todas maneras, podrías arrancar con la con la consola de recuperación y un vez entres en ella teclear "fix /mbr" o "fix mbr" no recuerdo bien la sentencia, para así resetear la configuración del mbr y eliminar cualquier cosa sospechosa que haya ahí, también tengo que avisarte que si utilizas un arranque dual, es decir 2 sistemas operativos en la misma maquina, puede que haciendo eso, solo dejes operativo el arranque de uno de los 2 sistemas y para poder arrancar el otro necesites un disquete de arranque o instalar un aplicación como boot magic para poder iniciarla.
Lo que si te recomiendo es que instales los 2 hotfix para los virus sasser y blaster, ya que sino nada más conectar a internet puede que vuelvas a quedar infectado por una de las variantes de esos virus.
También seria buena idea instalar un firewall que corte todos los puertos de entrada y una vez tengas actualizado el SO, abrir los peurtos que necesites.
También estaría muy bien realizar un ghost del disco duro, así en caso de estropicio, podrías restaurar el sistema tal y como lo dejaste antes de hacer el ghost y no tardar horas y horas en volver a configurarlo de nuevo.
Si tienes alguna duda o necesitas una aclaración, me lo comentas que miraremos de solucionarla.
En principio es muy raro que un virus haya conseguido infectar el sector de arranque del disco duro y más aun el mbr, de todas maneras, podrías arrancar con la con la consola de recuperación y un vez entres en ella teclear "fix /mbr" o "fix mbr" no recuerdo bien la sentencia, para así resetear la configuración del mbr y eliminar cualquier cosa sospechosa que haya ahí, también tengo que avisarte que si utilizas un arranque dual, es decir 2 sistemas operativos en la misma maquina, puede que haciendo eso, solo dejes operativo el arranque de uno de los 2 sistemas y para poder arrancar el otro necesites un disquete de arranque o instalar un aplicación como boot magic para poder iniciarla.
Lo que si te recomiendo es que instales los 2 hotfix para los virus sasser y blaster, ya que sino nada más conectar a internet puede que vuelvas a quedar infectado por una de las variantes de esos virus.
También seria buena idea instalar un firewall que corte todos los puertos de entrada y una vez tengas actualizado el SO, abrir los peurtos que necesites.
También estaría muy bien realizar un ghost del disco duro, así en caso de estropicio, podrías restaurar el sistema tal y como lo dejaste antes de hacer el ghost y no tardar horas y horas en volver a configurarlo de nuevo.
Si tienes alguna duda o necesitas una aclaración, me lo comentas que miraremos de solucionarla.
El sistema solo tiene WXP por lo que supongo no se estropeará por escribir desde un disco de inicio fix /mbr (la consola no la he usado nunca, se abre desde el CD de XP verdad).
Sobre los parches de blaster y sasser, he bajado de internet el del blaster con el que parece que es el último parche salido de microsoft, de sasser me ha sorprendido ver que en microsoft no aparecía ya el parche, no se si dejarlo como está y si le entra pues quitárselo, o ponerle uno antiguo que yo tengo grabado: Windows xp-KB835732-x86-ESN.EXE
Saludos y muchas gracias por tus consejos
Sobre los parches de blaster y sasser, he bajado de internet el del blaster con el que parece que es el último parche salido de microsoft, de sasser me ha sorprendido ver que en microsoft no aparecía ya el parche, no se si dejarlo como está y si le entra pues quitárselo, o ponerle uno antiguo que yo tengo grabado: Windows xp-KB835732-x86-ESN.EXE
Saludos y muchas gracias por tus consejos
Si solo tienes un sistema instalado, puedes hacer un fix /mbr sin problemas.
Si se entra con el CD de windows y luego entra en la consola de recuperacioin para entrar en el ms-dos y poder teclear el comando.
A cotninuacion te paso el link del parche del sasser:
http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=es&SrcCategoryId=&SrcFamilyId=3549ea9e-da3f-43b9-a4f1-af243b6168f3&genscs=&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2fa%2fb%2f2%2fab2f3bb1-e6ec-498f-b391-82c5a4c9cc4c%2fWindowsXP-KB835732-x86-ESN.EXE
Una vez pongas los parches y conectes a internet actualízate el SO en la página de windows update.
Saludos y cualquier consulta no dudes en preguntármela.
Si se entra con el CD de windows y luego entra en la consola de recuperacioin para entrar en el ms-dos y poder teclear el comando.
A cotninuacion te paso el link del parche del sasser:
http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=es&SrcCategoryId=&SrcFamilyId=3549ea9e-da3f-43b9-a4f1-af243b6168f3&genscs=&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2fa%2fb%2f2%2fab2f3bb1-e6ec-498f-b391-82c5a4c9cc4c%2fWindowsXP-KB835732-x86-ESN.EXE
Una vez pongas los parches y conectes a internet actualízate el SO en la página de windows update.
Saludos y cualquier consulta no dudes en preguntármela.
Respuesta de bestmachine
1
No puedes tener virus en el MBR ya que eliminaste las particiones y formateaste, por lo que el boot de arranque no estará infectado.
En cualquier caso con pasar el antivirus siempre actualizado al día te compobará si tienes virus en el la memoria(En caso de tener virus deberías de arrancar desde un entorno limpio para desinfectar la memoria, arranque desde diskettes, CD o otro disco duro y poner ese como esclavo, y posteriormente analizar la memoria)
Te recomiendo que tienes que tener un antivirus actualizado al día, y siempre es prácticamente obligatorio que tenga un firewall incorporado o que lo tengas a parte y que tenga detección de anti-spyware, ya que sino podrás tener programas malware que entorpezcan el funcionamiento del sistema.
Si no tienes uno de este tipo te recomiendo uno de los siguientes, yo tengo el Platinum 2005 que va bastante bien, y tiene todas estas detecciones y alguna más:
1. Platinum 2005 Internet Security
2. Kaspersky Personal Security Suite
Si no te lo quieres comprar, bajateló de emule, mocosoft, astalavista o cualquier sitio de descargas pirateado
En caso de que tengas otro antivirus que no disponga de dichos controles, y no lo quieras cambiar, debes instalarte un firewall independiente por ej el de zone alarm, sygate, o Kerio, que funcionan bien los 3 y un detector anti-spyware, spyboot Search & Destroy 1.4 B2 que es el que mejor va, pero lo mejor como te digo es que el antivirus lo tenga todo integrado.
Para no tener que formatear debido a algún efecto destructivo de cualquier tipo, ten una imagen original de ese portátil (Drive Image, Norton Ghost, etc), y si tienes problemas lo restauras, también es conveniente que las realices periódicamente.
En cualquier caso siguiendo las indicaciones que te he comentado sobre el firewall y demás eliminaras todos esos problemas, ya que siempre es debido a lo mismo
Suerte y Saludos
En cualquier caso con pasar el antivirus siempre actualizado al día te compobará si tienes virus en el la memoria(En caso de tener virus deberías de arrancar desde un entorno limpio para desinfectar la memoria, arranque desde diskettes, CD o otro disco duro y poner ese como esclavo, y posteriormente analizar la memoria)
Te recomiendo que tienes que tener un antivirus actualizado al día, y siempre es prácticamente obligatorio que tenga un firewall incorporado o que lo tengas a parte y que tenga detección de anti-spyware, ya que sino podrás tener programas malware que entorpezcan el funcionamiento del sistema.
Si no tienes uno de este tipo te recomiendo uno de los siguientes, yo tengo el Platinum 2005 que va bastante bien, y tiene todas estas detecciones y alguna más:
1. Platinum 2005 Internet Security
2. Kaspersky Personal Security Suite
Si no te lo quieres comprar, bajateló de emule, mocosoft, astalavista o cualquier sitio de descargas pirateado
En caso de que tengas otro antivirus que no disponga de dichos controles, y no lo quieras cambiar, debes instalarte un firewall independiente por ej el de zone alarm, sygate, o Kerio, que funcionan bien los 3 y un detector anti-spyware, spyboot Search & Destroy 1.4 B2 que es el que mejor va, pero lo mejor como te digo es que el antivirus lo tenga todo integrado.
Para no tener que formatear debido a algún efecto destructivo de cualquier tipo, ten una imagen original de ese portátil (Drive Image, Norton Ghost, etc), y si tienes problemas lo restauras, también es conveniente que las realices periódicamente.
En cualquier caso siguiendo las indicaciones que te he comentado sobre el firewall y demás eliminaras todos esos problemas, ya que siempre es debido a lo mismo
Suerte y Saludos
Respuesta de djmarcos
1
No no queda ningún virus porque tu ya has formateado el HD, no he probado ese antivirus pero podéis comprobarlo con discos de rescate, y el consejo que te doy que crees 2 particiones, archivos de sistema, y luego archivos independiente tuyos, actualizar el xp, tener un buen firewall y desconfiar de las páginas web que visitas.
Si quieres más consejos no dudes en preguntarme un saludo
Si quieres más consejos no dudes en preguntarme un saludo
Respuesta de rfol
1
Claro y la solución teórica la se es reseteando el el código de arranque maestro, también conocido como Master Boot Record o MBR. Lamentablemente hasta donde se los antivirus analizan el sector de arranque de Windows o los SO´s buscando virus colocados ahí que se auto arrancan con el SO; pero no el dicho "sector" del HD.
Para no tener que formatear cada mes o por semanas... haz una imagen en el mismo HD o en otro aparte y cuando quieras sustituyes la partición de C (de la que debes hacer la partición). En portátiles la imagen de C no debe ocupar mucho pero... al tener poca capacidad mmmmm la imagen puede ser de 3 o 4 Gb o más dependiendo de los programas instalados en C y las actualizaciones :( Y si te quitas 4 o 5 Gb de 40 Gb en total se notan xDDD
Puede hacerlo por red guardando la imagen C del portátil en otro Pc y transferir la imagen por la red creada entre ambos.
La guía de la creación de la imagen de C en otro HD estará pronto en: www.xtreme-condition.com
Para más información también estoy en: www.xtreme-condition.com
Para no tener que formatear cada mes o por semanas... haz una imagen en el mismo HD o en otro aparte y cuando quieras sustituyes la partición de C (de la que debes hacer la partición). En portátiles la imagen de C no debe ocupar mucho pero... al tener poca capacidad mmmmm la imagen puede ser de 3 o 4 Gb o más dependiendo de los programas instalados en C y las actualizaciones :( Y si te quitas 4 o 5 Gb de 40 Gb en total se notan xDDD
Puede hacerlo por red guardando la imagen C del portátil en otro Pc y transferir la imagen por la red creada entre ambos.
La guía de la creación de la imagen de C en otro HD estará pronto en: www.xtreme-condition.com
Para más información también estoy en: www.xtreme-condition.com