Kioskea
Buscar
Haz una pregunta »

Cómo eliminar Mabezat/Tazebama

Marzo 2015



Mabezat es un virus para Windows que se propaga copiándose a sí mismo en redes de uso compartido y en dispositivos extraíbles.

Mabezat se copia en los dispositivos extraíbles y fijos utilizando uno o varios de los archivos siguientes:
Adjust Time.exe, AmericanOnLine.exe, Antenna2Net.exe, BrowseAllUsers.exe, CD Burner.exe, Crack_GoogleEarthPro.exe, Disk Defragmenter.exe, FaxSend.exe.exe, FloppyDiskPartion.exe, GoogleToolbarNotifier.exe, HP_LaserJetAllInOneConfig.exe, IDE Conector P2P.exe, InstallMSN11Ar.exe, InstallMSN11En.exe, Audio dump.exe, Lock Folder.exe, LockWindowsPartition.exe, Make Windows Original.exe, MakeUrOwnFamilyTree.exe, Microsoft MSN.exe, Microsoft Windows Network.exe, msjavx86.exe, NokiaN73Tools.exe, Office2007 Serial.exe, PanasonicDVD_DigitalCam.exe, RadioTV.exe, Recycle Bin.exe, RecycleBinProtect.exe, ShowDesktop.exe, Sony Erikson DigitalCam.exe, Win98compatibleXP.exe, Windows Keys Secrets.exe, WindowsXp StartMenu Settings.exe, WinrRarSerialInstall.exe


Mabezat crea en los soportes extraíbles y fijos archivos RAR con los nombres de archivos siguientes:

-backup.rar, documents_backup.rar, imp_data.rar, MyDocuments.rar, office_crack.rar, passwords.rar, serials.rar, source.rar, windows.rar, windows_secrets.rar


Estos ficheros contienen un archivo dropper: Readme.doc.exe

Al instalarse W32/Mabezat-B, son creados los siguientes archivos:

%Profile%\hook.dl_    
%Profile%\tazebama.dl_
%Profile%\tazebama.dll
%SystemDrive%\1.taz
%SystemDrive%\autorun.inf
%SystemDrive%\zPharaoh.exe
%AppData%\Microsoft\CD Burning\1.taz
%AppData%\Microsoft\CD Burning\autorun.inf
%AppData%\Microsoft\CD Burning\zPharaoh.exe
%appdata%\tazebama\zPharaoh.dat
%appdata%\tazebama\zPharaoh.exe
%appdata%\tazebama\zPharaoh.log
%appdata%\tazebama


Esta infección se transmite mediante dispositivos de almacenamiento extraíbles, redes de uso compartido y archivos infectados.

Ejemplo en un informe HijackThis infectado con Mabezat:

C:\Documents and Settings\tazebama.dl_


Ejemplo de infección Mabezat encontrada:

C:\DOCUME~1\PROPRI~1\APPLIC~1\tazebama      
C:\Documents and Settings\tazebama.dll
C:\Documents and Settings\JAROD\Application Data\tazebama\zPharaoh.dat
C:\Documents and Settings\hook.dl_
C:\Documents and Settings\tazebama.dl_
C:\zPharaoh.exe (la letra de la unidad puede cambiar ya que todos los dispositivos pueden ser infectados)
C:\zPharaoh.inf (la letra de la unidad puede cambiar ya que todos los dispositivos pueden ser infectados)
C:\Program Files\Microsoft Works\WkDStore.exe [RESULTADO] Contiene el gusano WORM/Mabezat.B.91
C:\Start Menu\Programs\Startup\zPharoh.exe
C:\Documents and Settings\[User Name]\Application\Data\tazebama\zPharaoh.dat
C:\Documents and Settings\My Documents\readme.doc.exe


Pueden aparecer mensajes de este tipo: "La aplicación o la DLL c:\documents and settings\tazebama.dll no es una imagen de Windows valida".

Pasos previos

Si tienes instalado Windows Vista o 7, desactiva el UAC durante la desinfección.

Si TeaTimer (el residente de Spybot) está instalado, desactívalo para no interferir con la desinfección. Para esto, inicia Spybot, dale clic en el menú Modo y escoge Modo avanzado. A continuación, dale clic a Herramientas > Residente. Desmarca Residente "TeaTimer" y cierra Spybot:


Eliminar Mabezat/Tazebama con Malwarebytes Anti-Malware

Descarga e instala Malwarebytes Anti-Malware en tu PC. Actualízalo antes de utilizarlo. En la interfaz de Malwarebytes Anti-Malware, dale clic a Analizar su PC > Análisis completo > Analizar Ahora. Para ver los resultados, haz clic en el botón Mostrar los resultados. Finalmente, haz clic en Aplicar acciones:


Eliminar Mabezat/Tazebama con SuperAntiSpyware

Descarga SuperAntiSpyware e instálalo (elige el idioma durante la instalación). Actualízalo y, a continuación, haz clic en Examina su Computadora para iniciar un análisis del PC:



Selecciona los discos a analizar. Elige Hacer Examen Rápido, luego haz clic en Siguiente.

Eliminar Mabezat/Tazebama con Combofix

Advertencia: Solo utiliza este programa si te lo ha sugerido un usuario calificado y que conozca este herramienta. No lo utilices en otro caso, es peligroso.

Descarga Combofix y selecciona Guardar destino como

En la nueva ventana, elige el Escritorio como destino. En el campo Nombre en vez de Combofix pon, por ejemplo, kioskea.exe, luego haz clic en Guardar.

Desconéctate de Internet, desactiva todos tus programas de protección (antivirus, firewall, antispyware) y cierra todas las aplicaciones y programas.

Haz doble clic en kioskea.exe para ejecutarlo (en Vista y 7, haz clic derecho sobre kioskea.exe y selecciona Ejecutar como administrador).

Acepta el mensaje de advertencia y la instalación de la Consola de recuperación (en XP).

Presiona la tecla Y (Yes) para iniciar el análisis. El informe será creado en la raíz: C:\Combofix.txt.



Nota: la etapa de renombrado es obligatoria si no te aparecerá el mensaje "Combofix.exe no es una aplicación win32 valida".

Después de la limpieza

Para comprobar que no queda ningún rastro de la infección, analiza tu PC con un antivirus en línea.

Información complementaria

http://home.mcafee.com/virusInfo/VirusProfile.aspx?key=143555#none
http://www.symantec.com/...
http://www.viruslist.com/sp/viruses/encyclopedia?virusid=225010
http://vil.nai.com/vil/content/v_143555.htm
http://www.f-secure.com/v-descs/worm_w32_mabezat_b.shtml
http://www.cloudantivirus.com/es/threat-information/antivirus/Mabezat.C/183820/
Consulta este artículo sin tener que estar conectado, descárgalo gratis aquí en formato PDF:
Como-eliminar-mabezat-tazebama.pdf

Consulta también

En la misma categoría

Comment supprimer Mabezat / Tazebama ?
Por jlpjlp el 2 de diciembre de 2009
El artículo original fue escrito por jlpjlp. Traducido por Carlos-vialfa.
El documento « Cómo eliminar Mabezat/Tazebama » de Kioskea (es.kioskea.net) se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo bajo las condiciones señaladas por esta licencia. Deberás hacerla siempre visible y dar crédito a Kioskea.