Eliminar el Troyano MsnZombie.A
Recuerden que el Troyano MsnZombie.A, se instala vía Messenger, cuando alguno de tus contactos te envía un mensaje invitándote a que descargues el siguiente archivo:
http://animaciones.xxx.xxxxxxpages.com/Bush-gracioso.exe
Síntomas de infección:
- Al ejecutar el archivo, te manda un error, e inmediatamente se deshabilita el antivirus
- No puedes usar ctrl-alt-delete para ver los procesos
- Si accesas a alguna pagina antivirus se cierra.
Hay 2 soluciones para eliminar este troyano de su pc y son las siguiente:
La primera es, si han detectado a tiempo la intrusión de este troyano, podrán hacer una restauración del sistema:
Click en Menú de Inicio -> Accesorios -> Herramientas del sistema -> Restauraicion del Sistema.
Ahi escogen el día anterior a la infección, y todo volverá a la normalidad.
La segunda solución, si es que ya está avanzado el ataque es:
- Reinicien su computadora y entren Modo a Prueba de Fallos, para entrar en Modo a Prueba de Fallos, deben presionar F8 durante el reinicio, desde que se vuelve a prender la máquina.
- Borrar con Shift + Supr los siguientes archivos:
C:\WINDOWS\Avconsol.exe
C:\WINDOWS\Zap.exe
C:\WINDOWS\system32\Hide32.exe
C:\WINDOWS\system32\Ttt.exe
- Cómo este virus afecta al Messenger también, deberán desinstalar el Messenger y después eliminar la carpeta donde estaba instalado.
- Ya que hayan terminado esto, cierran todo y reinicien su máquina, el virus ya debe estar eliminado.
Gracias a German Malkanovish, Muerdecabras por sus comentarios y tips para la eliminación de este troyano.
Escrito el 25.01.07 @ 2:32 pm | Categoria: Seguridad, Virus |
| Written by:
Alan Vargas
Compara Precios de: iPod Touch, Macbook, mp3 Player, Laptop, Cámaras Digitales, Reproductores de DVD.
27.01.07 @ 5:36 am
Muchas gracias por compartir el dato, tenía un equipo aquí infectado con este troyano y he encontrado la solución gracias a tu blog
27.01.07 @ 9:56 pm
Gracias a ti por la visita Guillermo.
30.01.07 @ 6:51 am
hola yo tambien estoy infectado con el bush. exe y no me deja funcinar los antivirus ni entrar a paginas con antivirus y ya es tarde para restaurar el sistema, porke no me deja hacerlo, me lo cierra…
bueno hice lo de reiniciar mi pc y presionar f8 (modo a prueba de fallos) pero me salen opciones como esta:
modo seguro
modo seguro con funciones de red
y mas ….
pero al hacer click en ellas no encuntro los archivos para borrar
C:\WINDOWS\Avconsol.exe
C:\WINDOWS\Zap.exe
C:\WINDOWS\system32\Hide32.exe
C:\WINDOWS\system32\Ttt.exe
si mme podrias ayudar y decir donde los ubico para borrarlos te estare muy agradecido…… gracias de antemano
31.01.07 @ 4:37 am
tengo un equipo con este virus y no hay forma d quitarlo. No m deja restaurar el sistema y cuando entro en modo a prueba d fallos no encuentro esos archivos para borrarlos. Y claro es imposible inetntar bajarme un antivirus ni nada parecido…!!!!
estoy desesperada ya!!!!
31.01.07 @ 10:44 am
Ivan mira, cuando presionas F8 te aparecen opciones para entrar a Windows, MODO SEGURO, MODO SEGURO CON FUNCIONES DE RED, ahi nunca te aparecera la lista de los archivos que tienes que eliminar, únicamente selecciona MODO SEGURO y entrarás a Windows como Administrador….y las carpetas donde puedes encontrar tus archivos son:
C:\WINDOWS\Avconsol.exe
C:\WINDOWS\Zap.exe
C:\WINDOWS\system32\Hide32.exe
C:\WINDOWS\system32\Ttt.exe
Están marcadas en negritas.
Nes también busca en esas carpetas…y si no las encuentras, cuando estes en la carpeta C:\WINDOWS hasta arriba verás que hay varios Menus: Archivo, Edición, Ver, Favoritos, Herramientas y Ayuda.
Vas a dar click en Herramientas, después en Opciones de Carpeta, cuando se abra la ventana, le das click en la pestaña Ver y seleccionas Mostrar todos los archivos y carpetas ocultos. Así deberán aparecer estos archivos para que los elimines.
01.02.07 @ 11:55 am
Amigos, esta mañana me cayo este troyano, y como no sabia y notaba la maquina rara, la reinicie, y efectivamente no me dejaba ver el task manager ni los procesos, entonces entre al MSconfig, y busque en el tab de startup los siguientes procesos de arranque: antivirus32, hide32, ZAZ y DIUP. luego volvi a reiniciar la maquina. Con esto evitaba que se volvieran a activar… luego manualmente borre estos archivos de sus ubicaciones en la carpeta windows, y borre manualmente sus referencias en el registry. No estoy seguro si quedo eliminado totalmente pero no me ha vuelto a molestar… espero esta sea otra forma de eliminarlo.
saludos
01.02.07 @ 1:42 pm
Gracias por el Tip jairo
06.02.07 @ 3:20 pm
gracias brother x la informacion estaba muy asustado xq ni el antivirus funcionaba
pero deja decir q el virus es muy bueno x como blokea hasta las paginas web con relacion a antivirus
07.02.07 @ 7:54 pm
se agradece este aporte muchas gracias por poner como quitarlo
14.02.07 @ 10:21 am
sorry , pero estoy re asustada se emtio ese virus a mi maquina y probe reiniciar con modo a prueba de fallos y despues modo seguro , pero despues al busvcar las carpetas en el buscador no aparecen la unica que aparecio es la de hide32 pero cuando la quiero eliminar me dice que no lo puede eliminar por favor ayudenme que no se como hacer , si pueden diganme como hago paso por paso , mil gracias.
Saludos
24.03.07 @ 3:52 pm
oyee a mi me enviaron ese virus pero hace tiempo y no recuerdo bien kien fue la persona .. por lo tanto no se kn exactitud la fecha en la k me lo han mandado !! .. kmo hago ?
02.04.07 @ 10:48 am
ise todo lo q dices pero no me aparece ningina carpeta con esos nombre plizz.. ayuda..:!!!!!!!!
24.04.07 @ 7:29 pm
Les recomiendo, entre en modo a prueba de fallos, entre a internet explorer y busquen en google:panda scaneo online, y luego lo ejecutan y eso borra el virus, luego entran al registro y borran los rastros. Les recomiendo pasar despues ad-aware o spybot, para eliminar cualquier programa espia que se halla inflitrado en el sistema.
Saludos
04.05.07 @ 5:25 pm
Ojo, que a veces te instala los archivos con otro nombre, pero los ubica a 2 en c:\windows\ y a los otros 2 en C:\windows\system32\ . No recuerdo los nombres de los archivos, pero los encontré porque tienen un icono como el de flash, y en “organización” dice: “Película de flash” o algo asi. Igualmente no se si lo eliminé por completo. Si alguien tiene otro dato, le agradecería. Saludos
04.05.07 @ 5:43 pm
aca hay mas info
http://www.emol.com/noticias/tecnologia/detalle/detallenoticias.asp?idnoticia=254715
07.05.07 @ 4:05 pm
cambian los nombres de los archivos.
a mi me tocaron otros.
pero yo tengo otro problema, me hizo bosta el firefox, no me funciona.
ya saque los archivos.
lo reinstale y nada.
si alguien sabe.
gracias
diego
07.05.07 @ 9:58 pm
los nombres que ahora tienen los archivos son Cfreer.exe, nzil.exe y negdo.exe
08.05.07 @ 1:28 pm
hay 4 archivos:
- 2 en C/WINDOWS> Cfreer.exe Y TAMBIÉN nazil.exe
- 2 en C>WINDOWS>system32 > negdo.exe Y CREO QUE TAMBIEN es juegs.exe
Recordar k el icono es como el de las peliculas flash, (una “F”) y para poder borrarlo debeis entrar en modo seguro (pulsando f8 al arrancar windows), los archivos no os van a aparecer en la carpeta puesto k estan ocultos, para poder verlos hayacer click en Herramientas después en Opciones de Carpeta, cuando se abra la ventana, le das click en la pestaña Ver y seleccionas Mostrar todos los archivos y carpetas ocultos. Así deberán aparecer estos archivos para que los elimines.
Luego ya desinstalais el msn y sus carpetas.
08.05.07 @ 6:31 pm
Hola! gracias por la informacion tb estab muy asustada con este virus, lei esto por suerte me di cuenta a tiempo eso creo ya que antes de ayer me mandaron este archivo y por ser curiosa lo acepte, entre en modo prueba de fallos o seguro y fui a restaurar sistema de una semana antes para estar bien segura.
y creo que elimine el virus almenos nadie me dice ¿que es eso?
solo llevo 15 minutos en msn si, espero que este virus se borrara.
saludos y muchas gracias por este post en tu blog
09.05.07 @ 9:19 am
Pasos para Remover el Trj/MsnZombie.A infectado por
el archivo Bush[1].exe
1. Desinstalar el MSN Messenger
2. Borrar de Archivos de Programa (Program Files) la
carpeta que se genera al instalar el messenger.
3. Borrar todos los archivos que se encuentran en la
carpeta de Archivos Temporales de Internet
(Temporary Internet Files).
4. Reiniciar la máquina en Safe Mode (Modo Seguro).
5. En la opción de folder habilitar que se vean los
archivos ocultos y protegidos por el sistema.
6. Buscar los siguientes archivos y borralos de la
maquina. (No todos van a aparecer)
C:\Windows\avconsol.exe
C:\Windows\zap.exe
C:\Windows\cfreer.exe
C:\Windows\Nzil.exe
C:\Windows\System32\ttt.exe
C:\Windows\System32\hide32.exe
C:\Windows\System32\Negdo.exe
C:\Windows\System32\Juegs.exe
7. Ejecutar el regedit
8. En la siguiente ruta borrar todo lo relacionado
con los archivos mencionados en el punto 6.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
9. Reiniciar la máquina en Modo Normal
10. La máquina ha quedado desinfectada.
11. Instalar de nuevo el messenger.
10.05.07 @ 8:15 am
Hola:
Solo queria agradecerles a ustedes porque pude desinfectar mi maquina con las instrucciones en esta pagina.
Y pues Tengamos mas cuidado y preguntemos si de verdad nos tan mandando algo por q por ingenuos o curiosos fuimos victimas de este canijo virus.
14.05.07 @ 6:41 pm
mira esto es mas simple de lo ke parese solo tienen ke bajar el antiviris nod32 y escanear todo el dico duro y santo remedio sin tener ke ocupar f8 para todos los ke tienen este virus creo ke es un buen datito solo el programa te mandara a reiniciar el pc para ke sea bien eliminado pero funciona si ke se agradese si me prenden velitas jajajajajajajaja chao
12.08.07 @ 5:44 pm
hola: en mi pc sale lo siguiente
El archivo C:\WINDOWS\system32\perfc000.dat está infectado con Probablemente una variante modificada de (Troyano) Win32/Small.
quiero eliminarlo por favor ayúdame!!.
20.08.07 @ 7:57 pm
que tal, el dia 8 de agosto del 2007 se infecto mi maquina con una variante del troyano Win32/PSW.OnLineGames.NEO
y el archivo infectado esta en la ruta C:/WINDOWS/system32/NVDispDrv.dll
la pregunta es ¿cómo elimino este archivo? no me permite hacerlo manualmente porque puede estar en uso o protegido y ya me molesta que el antivirus me manda a cada momento avisos que está infectado este archivo. me pide eliminarlo pero no se puede. ¿Hay una forma de quitarlo sin que afecte el funcionamiento del sistema de mi maquina? gracias por la informacion que me puedan dar.