Como eliminar el virus Win32/PSW.OnLineGames.NLI(troyano)
March 10, 08 by G2 | Puesto en Herramientas, tutorialSegún el informe generado cada mes por ESET, INF/Autorun ha reeditado en febrero su primer puesto como la amenaza que ha sumado más detecciones en el mes. En los últimos lugares se encuentran variantes de códigos maliciosos, como Win32/Pacex.Gen, Win32/Agent, Win32/Obfuscated.A1, Win32/IRCBot.AHH y Win32/PSW.OnLineGames.NLI.
VÃa Vnut.es.
Para una rápida desinfección siga los siguientes pasos:
Primero descargas el combofix y SuperAntiSpyware (instalalo y actualizalo).
Guarda el siguiente texto en un archivo llamado CFScript.txt.
File::
C:\3wcxx91.cmd
C:\h.cmd
C:\u2.cmd
C:\tio8×6.cmd
C:\x.com
C:\d.com
C:\m1t8ta.com
C:\xn1i9x.com
C:\188qsm.bat
C:\x6.bat
C:\juok3st.bat
C:\gumkrhf.bat
C:\0hct8ybw.bat
C:\fppg1.exe
C:\oufddh.exe
C:\xo8wr9.exe
C:\ylr.exe
C:\2ifetri.cmd
C:\d6fagcs8.cmd
C:\awda2.exe
C:\Autorun.inf
C:\WINDOWS\system32\avpo0.dll
C:\3wcxx91.cmd
C:\x.com
C:\188qsm.bat
C:\2ifetri.cmd
C:\h.cmd
C:\WINDOWS\system32\help.exe.tmp
C:\WINDOWS\system32\avpo.exe
D:\3wcxx91.cmd
D:\h.cmd
D:\u2.cmd
D:\tio8×6.cmd
D:\x.com
D:\d.com
D:\m1t8ta.com
D:\xn1i9x.com
D:\188qsm.bat
D:\x6.bat
D:\juok3st.bat
D:\gumkrhf.bat
D:\0hct8ybw.bat
D:\fppg1.exe
D:\oufddh.exe
D:\xo8wr9.exe
D:\ylr.exe
D:\2ifetri.cmd
D:\d6fagcs8.cmd
D:\awda2.exe
D:\Autorun.infRegistry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“avpa”=-
“wsctf.exe”=-
“EXPLORER.EXE”=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{037e7f10-7aa0-11dc-9d15-000b6a69538d}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{196b138f-8eba-11dc-9d6e-000b6a69538d}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{58ba6699-cf0e-11dc-9dff-000b6a69538d}]
Como siguiente paso desactiva “Restaurar Sistema”, reinicia, entra en Modo seguro y corre el SuperAntiSpyware en todos los discos y memorias Usb.
************************************************
Para Desactivar Restaurar sistema
1. En la barra de tareas de Windows, haga clic sobre el botón Inicio.
2. Haga clic con el botón derecho en Mi PC y luego click en Propiedades.
3. Haga clic en la pestaña Restaurar sistema. Marque la casilla Desactivar Restaurar sistema o la casilla Desactivar Restaurar sistema en todas las unidades. (Si no le es posible ver esta casilla, quiere decir que no inició la sesión como Administrador)
4. Haga clic en Aplicar. Le das Si, para confirmar está acción y luego aceptar.
Para entrar en Modo seguro
1. Reinicias la PC
2. Despues del pantallazo del bios, apreta F8
3. Aparece en modo texto en blanco y negro varias opciones, elige la opción que dice Modo Seguro apreta enter.
************************************************
Después de terminar de usar SuperAntiSpyware, hacemos uso del archivo “CFScript.txt” y lo arrastramos hacia Combofix, como indica la siguiente animación:
Sigue las instrucciones del combofix y una vez que termine su tarea, reinicia la Pc.
Actualiza tu antivirus y haz un análisis exhaustivo de tus discos duros y recuerda desinfectar tus memorias usb y mantener al dÃa las actualizaciones de tu sistema operativo.
Saludos!
Actualizado 03-09-2008:
Revisen el tutorial de como eliminar virus de pendrive o memoria usb.
laureano maya Says: 13.03.08 at 12:44 am
Hola, de antemano gracias por el tiempo que haz dedicado a este tema del (Win32/PSW.OnLineGames.NLI) segui los pasos que sugieres, pero desafortunadamente el virus (Win32/PSW.OnLineGames.NLI) sigue en mi PC, como si nada, si conoces otro metodo para eliminarlo te agradeceria lo publiques, estare al tanto de tus comentarios.
saludos.
G2 Says: 13.03.08 at 9:26 am
@laureano maya :
Te cuento que yo realice ese procedimiento en varias pcs de mi red y me ha ido bien, te recomiendo que pases por http://www.forospyware.com y muestres tu caso para tener más detalles acerca de tu problema con este virus.
Ing. hp Luis A. León Says: 25.04.08 at 1:24 am
Bueno agregando mas informacion sobre como eliminar el (Win32/PSW.OnLineGames.NLI), debo comentarles que yo lo eh eliminado satisfactoriamente con el antivirus Avast 4.8 Home o con la version profesional, las dos trabajan estupendamente y aclaro, la version home es totalmente gratuita y la profesional pues ay que pagar la licensia pero con la home es mas que suficiente, despues de instalarlo siempre al abrir la ventana de opciones te escanea la memoria y el arranque, pero su mayor potencial lo obtienes al programar un escaneo al arranque pues reiniciara tu maquina y hara un analisis de todas las unidades incluyendo el Sistem Volume Information que es sonde mayormente se aloja, todo esto antes de iniciar windows.
Espero les ayude mi experiencia y si tienen dudas pueden mandar sus preguntas a:
soportepc@live.com.mx
Elizabeth Says: 28.05.08 at 12:25 pm
no hay una manera mas facil y rapida de eliminar este troyano??? yo he formateado el pc y tp se elimina :S
G2 Says: 10.07.08 at 2:08 pm
@ELIZABETH :Si haz formateado tu pc es seguro que tu pendrive o memoria usb este infectada. Usa el Flash desinfector, además no te olvides de escanear tus demás particiones en caso las tuvieras , pero a través del explorador de windows y nos desde el clásico MI PC !!
Saludos
dany Says: 20.10.08 at 11:38 am
gracias hermano, este tutorial me a servido de muchisimo
fernando Says: 24.10.08 at 4:24 pm
HOLA TENGO UNA GRANDISIMO PROBLEMA CON UN MALDITO TROYANO LLAMADO WIN32/PSW.ONLINEGAMES.NLI ES UN VERDADERO PROBLEMA Y NO SE DEJA ACABAR, SE ESCONDE. lo peor es que vino en la memoria usb no se de quien y la mia tambien se infecto, no se que hacer ya he probado con todos los mas poderosos antivirus y nada. gracias por su ayuda.