Solo quería escuchar un poco de musica mientras terminaba el diseño de una pagina web, cuando de repente la computadora empieza a actuar de manera muy extraña, sin que yo le dé ninguna orden, se cambió el fondo de pantalla, apareció al lado del reloj un mensaje que decía "Virus Alert!, empezaron a abrirse más rapidamente muchas ventanas pop-ups, que entorpecían el funcionamiento del sistema operativo y dañaban ligeramente mi equipo. Trato de presionar Ctrl. Alt. Surp. para terminar el/los procesos que estaban infectando mi equipo. Y enseguida me aparece un cartel que decía "El administrador de tareas ha sido bloqueado" etc etc.
Pensé entonces que si hiba a inicio, ejecutar y le entraba al "gpedit.msc" podía volver a activarlo, pero tambien estaba bloqueada esa función. Voy a "Mi Pc" y no había ninguna unidad visible. Entonces, desactivé la placa Wireless para cortar la comunicación de internet, y apagué el equipo. Navegando un poco por internet, pude recopilar esta información gracias a los
Foros Spyware. Espero que les sea de ayuda a aquellos que les acontezca el mismo problema.
----------------------------------------
Nombre: Zlob "Virus Alert!
Tipo: Variante de Zlob que modifica varias opciones.
Alias: Trojan Zlob, Zlob.MediaCodec, y la familia PSGuard
Virus Alert!, se trata de una nueva variante del conocido malware Zlob/PSguard el cual se encarga no solo de infectar el sistema, sino de implementar varias modificaciones y restricciones en este agregando la leyenda de "Virus Alert!" al costado del reloj entre otras.
También nos cambia el escritorio de Windows y nos abre pop-us publicitarios de falsas soluciones Antispyware como Antivirus 2008 PRO, SpyGuarder, entre otros.
Para eliminar este malware ya tenemos no solo una herramienta especializada como lo es DelPSGuard y un articulo con los pasos a seguir con esta, por lo que esta guía esta enfocada principalmente a recuperar el sistema de las modificaciones que este realiza y las cuales no se revierten con solo eliminar el malware sino que hay que hacerlas manualmente.
Las opciones de Windows que modifica "Virus Alert!" son:# Modifica el formato de la hora y las opciones de región.
# Modifica el numero del registro de Windows (ID del Producto).
# Bloquea el "Administrador de Tareas" (Task Manager).
# Bloquea el "Editor del Registro" (Regedit).
# Oculta el botón de "Programas" del menú "Inicio".
# Oculta los iconos del disco duro (HD).
# Oculta y bloquea otras funciones comunes del PC.
Las modificaciones son independientes al malware por lo que si bien podemos eliminar el malware con herramientas como
DelPSGuard,
HijackThis y
Malwarebytes’ Anti-Malware, tendremos que implementar el resto de los cambios manualmente para poder eliminar los mensajes de advertencia, siguiendo esta guía para:
Eliminar "Virus Alert!" Zlob----------------------------------------------------------------------------
Antes de continuar recuerde que lo primordial es seguir y eliminar el malware correctamente para que después pueda trabajar en restaurar los cambios ya que en caso contrario y que su equipo permanezca infectado, estos cambios no surgirán efecto.
* Descargue el archivo
FS-AVFix (al final del mensaje)
* Descomprimirlo en el escritorio de Windows.
* Presionar el botón derecho del mouse y luego hacer clic en "instalar" (tal como lo muestra la imagen de abajo:)
* Reiniciar el sistema.
Esto eliminara todas las restricciones de su sistema implementadas por el malware y restaurara los iconos al estado original, permitiéndolo a su vez implementar el resto de pasos manualmente para borrar los mensajes de "Virus Alert!"
Eliminar los mensajes de Virus Alert! de la barra de herramientas.Ir a INICIO > EJECUTAR > y escribir "REGEDIT" (sin comillas) Aceptar. >
* Una vez dentro del REGEDIT vamos a navegar hacia las siguientes llaves del registro:
* HKEY_CURRENT_USER > Control Panel > International >
* A su derecha vera la clave de: sTimeFormat
* En caso de que dentro de este se vea "Virus Alert!"
* Hacer doble clic y ponemos: h:mm:ss tt y Aceptar.
Ajuste las modificaciones en el reloj:Ir a INICIO > EJECUTAR> y escriba: intl.cpl Aceptar
Si estas opciones fueron modificadas, restáurelas para ver la hora en la región de su preferencia.
Restaurando el número de ID del producto:
Tenga en cuenta que esta ID de Producto no es el numero de serie con el que instalo Windows y este también puede ocasionar que el sistema muestre un error como "No se pudo completar la validación de Windows auténtico" y/o un error: "0x80080201 No se puede detectar el ID de producto (PID)"
Para ver su ID de descargue la herramienta de
Microsoft llamada Microsoft Genuine Advantage Diagnostic (MGADIAG)Ejecútela y esta le mostrara el número de 20 caracteres que tiene que colocar en la siguiente llave del registro.
* HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion
* A su derecha vera la clave de: ProductId
* En caso de que en este tena "Virus Alert!" haga doble clic para ingresar el numero de 20 caracteres en este y Aceptar.
Reiniciar el sistema.
Fuente: Virus Alert! Nueva variante de la familia de malware Zlob.-------------------------------------------------
Aun haciendo eso, el virus se había retirado, pero el sistema segúia fallando, por lo tanto procedí de esta manera...
Herramientas necesarias para la limpieza:
*
HijackThis *
CCleaner *
Malwarebytes' Anti-Malware *
DelPSGuard.exe1- Apagar el
"Restaurar Sistema" (solo Win Me y XP) (click en link si no sabes como se hace)
2- Desinstalar desde el Panel de Control - Agregar/Quitar Programas ,cualquier programa de la familia Psguard
3- Reiniciar eh iniciar en
"Modo a prueba de fallos" (modo seguro)
4- Con todos los programas cerrados ejecutar
HijackThis y aplicarle a cualquiera de estas entradas (si las tiene)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\System32\hp[numero de cuatro cifras].tmp
O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - C:\Archivos de programa\[Nombre de "Codec"\isamonitor.exe
O4 - HKLM\..\Run: [SpyAxe] C:\Archivos de programa\SpyAxe\spyaxe.exe
O4 - HKLM\..\Run: [PSGuard] C:\Archivos de programa\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [SpyFalcon] C:\Archivos de programa\[Nombre del falso Antispyware]\Archivo.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O20 - AppInit_DLLs: hadjajr.ini
O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll
O21 - SSODL: archenteric - {d7bdd42a-7e69-4bb8-aac3-d76ff65a3aa3} - C:\WINDOWS\system32\ [nombre aleatorio] .dll
5- Ejecutar la herramienta
DelPSGuard siguiendo los pasos de su
Manual. Esto es muy importante ya que la herramienta detectará y eliminará todo archivo y entrada del registro de Windows relacionada con la variante que este tenga.
6- Ejecutar la herramienta
Malwarebytes' Anti-Malware*Nota* Es importante que envíe a "Cuarentena" todo lo que este detecte.7- Reinicie nuevamente en modo normal y ejecute CCleaner para terminar de limpiar los archivos temporales, cookies y archivos innecesarios del PC.
8- Para evitar futuras infecciones de este tipo, recomendamos navegar con un navegador mas rápido y seguro como
FirefoxSe agradece oficialmente a la gente del
Foro de Spyware por brindar información gratis y detallada para eliminar el Malware.
======================================
Te fue de utilidad? deja tu comentario.
