1. /

Trojan.Zbot Removal Tool

Detectado:
29 de Mayo de 2014
Actualizado:
18 de Junio de 2014 7:16:15 PM
Tipo:
Removal Information
Esta herramienta está diseñada para eliminar la infección de la variante Gameover de Trojan.Zbot que descarga e instala Necurs rootkit como controlador principal para proteger los archivos del malware (software malicioso) en el disco y la memoria.

Cómo descargar y ejecutar la herramienta

Importante:

Nota para administradores de red: Si cuenta con un servidor MS Exchange 2000, se recomienda excluir la unidad M del análisis de la herramienta, usando el parámetro de exclusión. Para mayor información, lea el artículo de la base de conocimientos de Microsoft: Problemas debidos a una copia de seguridad o a una exploración de la unidad M de Exchange 2000

Siga estos pasos para descargar y ejecutar la herramienta:
  1. Descargue FixNecurs64bit.exe para equipos a 64 bits y FixNecurs32bit.exe para equipos a 32 bits..
  2. Guarde el archivo en una ubicación adecuada, como en el escritorio de Windows.
  3. Si está seguro de estar descargando esta herramienta del sitio web de Security Response, puede omitir este paso. Si no está seguro de donde descargó la herramienta o usted es un administrador de red y necesita autenticar los archivos antes de utilizarlos, siga los pasos de la sección ''La firma digital'' antes de continuar con el paso 4.
  4. Cierre todos los programas.
  5. Si utiliza Windows XP, desactive la Restauración del Sistema. Si desea instrucciones de cómo desactivar Restaurar sistema, lea su documentación de Windows.
  6. Haga doble clic en el archivo FixNecurs64bit.exe o en FixNecurs32bit.exe para ejecutar la herramienta de eliminación.
  7. Haga clic en I Accept para aceptar el acuerdo de licencia para usuario final (EULA) y haga clic en Start para iniciar el proceso y permita que se ejecute la herramienta.





  8. Reinicie el equipo cuando se lo indique la herramienta de remoción. Puede ser que se le indique reiniciar varias veces.



  9. Cuando la herramienta haya completado la ejecución, verá un mensaje solicitándole verificar el archivo de registro con los resultados. También verá un mensaje pidiéndole ejecutar Norton Power Eraser para realizar un análisis adicional.



  10. Haga clic en Sí para ejecutar Norton Power Eraser.

La herramienta de remoción escribe un resumen de las acciones realizadas en un archivo de registro con el nombre FixTool.log con datos similares a los siguientes:

  • Lista de procesos detectados
  • Lista de archivos detectados
  • Lista de procesos finalizados
  • Lista de archivos eliminados
  • Lista de claves de registro eliminadas
  • Lista de valores eliminados del registro
  • Lista de valores eliminados del registro pertenecientes al reinicio



Si el sistema se encuentra limpio, no será necesario reiniciar el equipo y el archivo de registro estará en blanco.

Que hace la herramienta de eliminación
La herramienta de eliminación realiza lo siguiente:

  • Termina los procesos asociados
  • Elimina los archivos asociados
  • Elimina las llaves de registro y los valores agregados por la amenaza


Parámetros
Los siguientes parámetros están diseñados para que puedan ser utilizados por los administradores de red:

  • /HELP, /H, /?
    Muestra el mensaje
  • /SILENT, /S
    Habilita el modo silencioso
  • /NOSILENTREBOOT
    Si se habilita el modo silencioso, no será reiniciado el equipo
  • /LOG=[PATH NAME]
    Crea un archivo de registro en el que [ruta de acceso] es la ubicación en que se almacenan los resultados de la herramienta. De forma predeterminada, este parámetro genera el archivo de registro en la misma carpeta desde la que se ejecutó la herramienta de eliminación.
  • /MAPPED
    Analiza las unidades de red asignadas. (No se recomienda el uso de este parámetro.*)


*Importante: Usar el parámetro /MAPPED no asegura la eliminación completa del virus en el equipo remoto, porque:

  • El análisis de unidades compartidas solo abarca las carpetas que estén asignadas. Podrían quedar excluidas algunas carpetas del equipo remoto, con lo que se producirían omisiones en la detección.
  • Si se encuentra un archivo infectado en la unidad mapeada, la reparación fallará si el archivo está siendo utilizado por otro programa del equipo remoto.
  • En Windows Vista y Windows 7, analizar las unidades compartidas por red puede fallar si la cuenta de usuario utilizada para ejecutar la herramienta de eliminación no es una cuenta de administrador, incluso si es un miembro del grupo de administrador. En estos casos la unidad compartida aparecerá como desconectada después del análisis de la herramienta de eliminación. Por favor lea el siguiente artículo de la base de conocimientos de Microsoft para mayor información: Los programas no tienen acceso a algunas ubicaciones de red después de activar el Control de cuentas de usuario en Windows Vista o sistemas operativos más recientes



Por lo que se debe ejecutar la herramienta de forma local en todos los equipos.

Firma digital
Por motivos de seguridad, la herramienta está firmada digitalmente. Symantec recomienda que solo utilice copias de la herramienta de eliminación que se hayan descargado directamente del sitio Web de Symantec Security Response. Si no está seguro del archivo o es un administrador de red y necesita autenticar el archivo antes de distribuirlo, deberá autenticar la firma digital. Siga estos pasos:
  1. Vaya a http://www.wmsoftware.com/free.htm.
  2. Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó la herramienta.

    Nota: La mayoría de los siguientes pasos se ejecutan desde la línea de comandos de DOS. Si descargó la herramienta de eliminación en el Escritorio de Windows, será más fácil si mueve el archivo a la unidad C. Posteriormente también guarde el archivo Chktrust.exe también en C. (El Paso 3 supone que tanto la herramienta de eliminación como Chktrust.exe se encuentran en el directorio raíz de la unidad C).

  3. Haga clic en Inicio > Ejecutar.
  4. Escriba el siguiente comando: cmd
  5. Haga clic en Aceptar.
  6. En la ventana de la línea de comandos, escriba lo siguiente, oprimiendo la tecla Intro al final de cada línea:
    cd\
    chktrust -i FixTool.exe
  7. Deberá ver uno de los siguientes mensajes, dependiendo de su sistema operativo:

    Windows XP SP2: Aparecerá la ventana de la Utilidad de Validación de Confianza. Dentro de Publicador, haga clic en el vínculo Symantec Corporation. Los Detalles de la firma digital aparecerán.

    Verifique el contenidoo de los campos siguientes para asegurarse de que la herramienta sea auténtica: :
    Name: Symantec Corporation
    Signing Time: 05/22/2014 01:31:04

    Todos los demás sistemas operativos:Deberá ver el siguiente mensaje:Do you want to install and run "FixTool.exe" signed on Thursday, May 22, 2014 01:31:04 and distributed by Symantec Corporation?

    Notas: La fecha y hora de la firma digital corresponden a la hora del pacífico. Está será ajustada a la zona horaria y opciones de configuración regional de su equipo. Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.

    Si este cuadro de diálogo no aparece, puede ser por dos razones: Esta herramienta no es de Symantec: A menos de que esté seguro que la herramienta es legítima y que la descargó del sitio Web de Symantec, no debería ejecutarla.

  8. Haga clic en Sí o Ejecutar para cerrar el cuadro de diálogo.
  9. Escriba exit, y presione la tecla Intro. De este modo, se cerrará la sesión de MS-DOS.
Resumen