aca dejo un tutotial de como eliminar virus en el sector de arranque
es un .pdf esto se ve en el curso de reparadores de pc
gracias
Virus en el sector de arranque
¿Cómo eliminarlos?
Ismael Camarero
icamarero@gmail.com
http://programandoenc.webcindario.comVirus en el sector de arranque
¿Cómo eliminarlos? Si has formateado y no has conseguido nada... hay que atacar el problema
de otro modo:
Windows 95, 98 y Me Ejecutar desde MS-DOS, el comando:
FDISK /MBR El comando FDISK /MBR (Windows 95, 98 y Me), se limita a sobrescribir
lo que se conoce como Master Boot Record (MBR) o sector maestro de arranque.
El MBR no es otra cosa que un pequeño programa que el sistema
operativo utiliza para iniciarse, y que está presente en el primer sector
de las particiones primarias, y en cualquier sector de particiones
extendidas de arranque.
El Master Boot Record es cargado automáticamente por la BIOS cuando
se inicia el sistema desde C:. Este pequeño programa se encarga de
recorrer la tabla de particiones (contenida dentro del MBR) y determinar
cuál es la partición preparada para arrancar (booteable), pasar de disco a
memoria el sector de arranque de ésta (boot sector), y darle a éste el
control para que se ejecute y cargue el sistema operativo.
Como todo programa, el MBR puede ser modificado por un virus, de modo
que éste último tome el control cada vez que se inicie la computadora,
(quedando en memoria), y luego continúe con el comportamiento
aparentemente normal del sistema.
El comando FDISK /MBR, es una opción que vuelve a crear un Master
Boot Record (MBR) en el disco duro (vuelve a colocar allí el programa de
arranque original).
Se puede emplear para recuperar el arranque original en HD con
Windows y Linux. Si se estropea el LILO (cargador de arranque de
Linux), mediante este comando, se recupera el arranque de Windows.
Pero deben tomarse ciertas precauciones antes de usarlo. Y además, es
recomendable hacerlo desde un disquete de arranque, para no darle al
virus la oportunidad de que se ejecute y se cargue en memoria. Además el
virus pudo haber modificado la "Tabla de Particiones" (los datos
necesarios para encontrar y manejar la información guardada en el duro)
y tomar el control una vez iniciado.
En Windows 95, 98 y Me, el FDISK /MBR regenera automáticamente el
Master Boot Record del disco duro sin pedir confirmación. Usarlo es una
manera rápida de eliminar los virus que hayan infectado el registro de
arranque.
Windows NT, 2000, XP y Server 2003 con NTFS NTFS es un tipo de sistema de archivos propietario de Windows NT
(utilizado también en Windows 2000, XP y 2003), del mismo modo que
FAT y FAT32 lo son de Windows 9x y Me. NTFS implementa seguridad a
nivel de archivo. Cada archivo o directorio posee su lista de control de
acceso (ACL) conociéndose en todo momento quien tiene derechos sobre
él, lo que permite especificar claramente los permisos para el uso de
cualquier archivo.
Por el contrario un sistema bajo particiones FAT o FAT32, carece
totalmente de este tipo de protección en los archivos, siendo estos
accesibles por cualquier usuario que use el sistema.
Acerca de la Consola de Recuperación No se puede acceder a particiones NTFS arrancando mediante un
disquete de Win 98.
Cuando se tienen problemas en una partición NTFS bajo Windows NT,
2000 y XP, se requiere el uso de la consola de recuperación, para
acceder a estas particiones desde un disco de inicio.
Existen varias formas de iniciar la consola de recuperación:
1. Iniciar desde disquetes de inicio (4 en Win2K, 6 en XP), o bien utilizar
el CD de instalación y ejecutar /I386/WINNT.EXE (desde el DOS), o /I386/WINNT32.EXE (desde Windows).
2. Arrancar desde el CD, si el CD es booteable. Seleccionar la opción
REPARAR (generalmente pulsando "R" cuando lo pregunte).
¿Qué hacer ante un virus en el sector de arranque?1) Recuperar MBR en Windows 95, 98, Me
Para empezar, configurar la BIOS para que inicie desde un disquete. Esto
puede estar como "1st Boot Device" (hay que poner Floppy y en "2nd Boot
Device" hay que poner IDE-0), o como "Boot Sequence" o similar, y debe
estar como: A: -> C:.
Luego, con un disco de inicio, del mismo sistema operativo del instalado
en tu PC (Windows 95, 98, 98 Segunda Edición, Me, etc.), creado en una
máquina LIMPIA de virus, se inicia el sistema desde A:
Para ver cómo esta el HD, ejecutar desde la línea de órdenes:
DIR C:
Si el disco C: se ve (sale el listado de los directorios en C:), teclear lo
siguiente (siempre desde A:):
FDISK /MBR
Para crear un disquete de inicio en una máquina limpia con Windows
95/98, lo más fácil es hacerlo desde Panel de Control, Agregar o quitar
programas, pestaña "Disco de inicio".
Después conviene pasar un antivirus desde disquetes preparados
(cuatro) anteriormente (también en una máquina limpia), Ver:
http://www.vsantivirus.com/fprot-disq.htm en donde se explica cómo ejecutar el antivirus desde disquete. Leer las
instrucciones (ojo, funciona en FAT, no para NTFS) y descargar las
herramientas que indica desde
http://www.vsantivirus.com/f-prot.htm 2) Windows NT, 2000, XP, 2003
En Windows NT, 2000, XP y Server 2003, arrancar desde disquetes o CD
de inicio, seleccione la opción RECUPERAR para entrar a la consola de
recuperación como dije antes. Cuando se inicie la consola de
recuperación, e, ejecutar el comando FIXMBR para reparar el Master Boot Record.
Si necesitas ayuda teclear HELP para obtener la ayuda de los comandos
(te puede pedir contraseña de administrador)
Recuperar sector de arranque (Boot Sector)
El sector de arranque es un código ejecutable que informa al sistema que
archivo se deberá cargar al iniciar el proceso de arranque. Es lo que el
MBR ejecuta en primer término.
Por ejemplo, en Windows 95, 98, Me, el sector de arranque le dice al
sistema que comience la ejecución del archivo IO.SYS, mientras que en
NT, 2000, XP, ese primer archivo es NTLDR (habrás visto que si intentas
arrancar el sistema desde un disquete o HD no bootable sale un mensaje
de error indicando la falta del NTLDR.
Cómo el sector de arranque es un programa, puede ser infectado por un
virus. Un virus de sector de arranque (boot sector virus), puede
reemplazar el programa original por uno propio, tomando el control.
Algunos virus realizan un respaldo del sector de arranque original en el
momento de la infección. Para limpiar una infección, el uso de un antivirus
es lo más recomendable, ya que éste suele saber donde almacena cada
virus el sector de arranque original y reponerlo, siempre que no haya sido
modificado (evidentemente, no todos los virus tienen el mismo
comportamiento).
Si quieres recuperar el sector de arranque manualmente, se pueden
seguir los siguientes pasos.
Windows 95, 98 y Me
Inicia desde un disquete de inicio, creado previamente en una máquina
limpia.
Desde la línea de comandos (A:\), ejecuta la orden:
SYS C: ¡¡¡MUY IMPORTANTE!!!, antes de esto, DEBES estar MUY SEGURO que
el disquete de inicio es del MISMO SISTEMA OPERATIVO
INSTALADO EN C:\ Para crear un disquete de inicio en una máquina limpia con Windows
95/98, lo más fácil es hacerlo desde Panel de Control, Agregar o quitar
programas, pestaña "Disco de inicio".
Windows NT, 2000, XP, 2003 Arrancar el ordenador con disquetes o (mejor) CD de inicio, seleccionar
la opción RECUPERAR para entrar a la consola de recuperación, y cuando
esta se inicie, ejecuta el comando FIXBOOT para reparar el Boot Sector
o sector de arranque (se requerirá la contraseña de administrador).
Cómo proteger el sector de arranque contra virus.
El sistema de archivos NTFS no es reconocido hasta que Windows no
arranca su servicio de reconocimiento de archivos, del mismo modo que
tampoco lo es el FAT hasta que el sistema se inicia. Por lo tanto,
cualquier disquete infectado que quede en la disquetera al iniciarse
Windows, puede infectar el MBR.
Cualquier protección a ese nivel, solo ocurrirá cuando Windows esté
cargado (protección de escritura en el "boot sector" por ejemplo), pero
no cuando arranca el PC.
De allí que se deban tomar precauciones para evitar que un equipo se
infecte por ese descuido.
El mejor consejo al respecto, es eliminar la disquetera de la secuencia de
arranque, configurando la BIOS del sistema para desactivarla o
cambiando el orden de arranque para que se procese el disco duro antes.
En las opciones de Setup de la BIOS, se debe buscar y habilitar (si no lo
estuviera), la opción "Boot Sequence" o similar como "C, A..." etc. o "C: ->
A:", o "1st Boot Device" como "IDE-0", "2nd Boot Device" como "Floppy",
o la que corresponda en su caso. Deberás grabar los cambios y salir para
reiniciar la computadora. Generalmente podrás hacerlo pulsando F10, o
siguiendo las instrucciones en pantalla.
Advertencia: Cualquier sistema con arranque desde A o desde CD es un sistema
inseguro, por el sencillo motivo de que se puede inicializar con un
disquete preparado o (peor aún) con un CD de Linux sin instalación (live
CD). Una vez arrancado de una u otra forma, tomar el control es
facilísimo (un Linux completito cabe en un disquete, para permitir
trabajar en modo consola, método muy poderoso).
Solución: En una empresa que quiera proteger mínimamente sus datos, esto sería
obligatorio:
1.- Arrancar desde disco duro siempre.
2.- Proteger la BIOS mediante password para evitar que
intencionadamente puedan cambiar la secuencia de arranque. (Ojo a los
olvidos de password de BIOS :=( son superpeligrosos))
Comentario final Existen muchos virus de arranque antiguos que a pesar de infectar el
MBR o el sector de arranque, no podrán funcionar en Windows, porque están designados para ejecutarse en modo real (DOS) y no protegido.
Método sugerido de limpieza para algunos virus de arranque
Descargar (en una máquina limpia), la siguiente herramienta gratuita de
McAfee:
http://download.nai.com/products/mcafee-avert/em_dats/emscan.zip
Copiar el contenido del .ZIP a un disquete:
internet.dat
Bootscan.exe
License.dat
Messages.dat
clean.dat
names.dat
scan.dat
emergency.txt
VALIDATEIniciar la computadora infectada con un disquete de inicio limpio y
protegido, creado en una computadora limpia. Luego que aparezca el
símbolo de sistema (A:\), seguir estos procedimientos:
Windows 95, 98, Me:
Desde el símbolo de sistema (A:\), teclear lo siguiente más Enter:
BOOTSCAN C: /BOOT /CLEAN /NOMEM
Windows NT, 2000, XP: BOOTSCAN C: /boot /clean
Sacar el disquete y reiniciar el ordenador.
Nota:
Con un antivirus actualizado, limpia todos los disquetes que hayas
utilizado en el ordenador infectado.
Examinar todos sus discos duros con uno o más antivirus actualizados.
En casos extremos en los que no sea posible la eliminación del virus, sea
aconseja un formateo a bajo nivel. Esta herramienta es peligrosa, de
modo que puedes llegar a perder hasta el disco duro. Es conveniente
acceder a la web del fabricante del disco duro, quien te proporcionará
(debería) las herramientas necesarias.
Algunas placas vienen con una BIOS que permite realizar un formateo a
bajo nivel (low level format).
febrero de 2005
Elaborado por Ismael Camarero icamarero@gmail.com
http://rapidshare.com/files/33512505/Virusenelsectordearranque.pdf.html
ta bueno! ya lo sabia! pero hago una coreccion, no lo vuelve a generar al mbr, si no que restaura la copia de seguridad q se hace al crear la particion, dira en sector se encuentra esa copia pero la verdad no me acuerdo hace como 3 años lo vi a eso. buen aporte!
Che, alguno de los que lo bajó, que se cope y que pegue el texto en este hilo, respetando los créditos, claro.
Saludos,
Mn
Ah bueh, pensé que se habia movido a tutoriales pero por lo que veo la PC no me hizo caso.
Ahora pruebo otra vez... Emedus, te edito el post asi no queda muy largo, gracias.
PD: Lo unico que te pediría antes de moverlo a tutoriales es que lo edites un poco, como por ejemplo ponerle negrita a los titulos o simplemente subrayarlos como esta en el PDF, asi se hace mas facil la lectura.
yo tengo un virus...
foto_celular.zip
no se como sacarlooo
cuidatedelmundo si tenes antivirus anializalo y si no tenes conseguite uno ya!!!!
gracias!.. se paso el tuto :palmas:
Esta muy bueno, como puedo hacer si tengo un virus sobre windows xp para crear un antivirus que boote y pueda ser corrido sino arranca el windows xp. Tengo el avg instalado y no le encuentro la manera
Gracias
Yo no entiendo mucho, pero se a quien le puede resultar interesante (y muy útil) leerlo.
Muchas gracias =)
Jamon del medio. :palmas: :wave: :palmas: :wave: :palmas: :wave: :up: