Gusano que se propaga a través de clientes de mensajería instantánea y abre una
puerta trasera para comprometer el ordenador infectado.
Solución
Si
utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede
usar la característica de ‘Restauración del Sistema’ para eliminar el virus
volviendo a un punto de restauración anterior a la infección (tenga en cuenta
que se desharán los cambios de configuración de Windows y se eliminarán todos
los archivos ejecutables que haya creado o descargado desde la fecha del punto
de restauración). Si tiene alguna duda o problema sobre el funcionamiento de
esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o
la Restauración en Windows Vista.
En caso de que no pueda volver a un
punto de Restauración anterior o no le funcione, es recomendable que desactive
temporalmente la Restauración del Sistema antes de eliminar el virus por otros
medios, ya que podría haberse creado una copia de seguridad del virus. Si
necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me. A
continuación siga estos pasos para la eliminación del virus:
Detenga el
servicio creado por acción del código malicioso siguiendo el proceso
indicado:
1. Pulse ‘Inicio’ , ‘Ejecutar’.
2. Teclee services.msc, y
pulse ‘Aceptar’.
3. Localice y seleccione los servicios indicados en la
sección de ‘Infección/Efectos’.
4. Pulse ‘Acción’, ‘Propiedades’.
5.
Pulse ‘Detener’.
6. Cambie el ‘Tipo de inicio:’ a Manual.
7. Pulse
‘Aceptar’ y cierre la ventana de Servicios.
8. Reinicie su equipo.
Descargue el programa RegUnlocker y restaure el ‘Modo seguro’ desde la
pestaña ‘Reparadores’. Marque ‘Repara el Modo Seguro (Modo a prueba de fallos)’.
Haga click en el botón ‘Aceptar’. Reinicie su ordenador en Modo Seguro o Modo a
Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican
en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.
Con un antivirus actualizado, localice todas las copias del virus en el
disco duro de su PC. Si no dispone de antivirus, visite nuestra página de
Antivirus gratuitos.
Elimine los siguientes ficheros:
C:\Documents
and Settings\Administrator\Start Menu\Programs\Startup\Adobe Gamma Loader.com
C:\Program Files\Microsoft Office\OFFICE11\ WINWORD.EXE
C:\Program
Files\Microsoft Office\OFFICE11\services.exe
Nota: A Menudo los antivirus
informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos
debido a que no hay nada que reparar, simplemente hay que borrar el
fichero.
Si no se puede reparar la infección o borrar los ficheros, puede
ser debido a que el fichero está en uso por estar el virus en ejecución
(residente en memoria).
En el caso de que no se pueda eliminar el fichero
del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el
Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me
seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la
pestaña ‘Procesos’ pulse con el botón derecho en el proceso y seleccione
‘Terminar Proceso’. A continuación vuelva a intentar el borrado o reparación de
los ficheros que se han creado por la acción del virus. Puede obtener más
información en la sección «Administrador de Tareas», de la página Eliminar
librerías .DLL o .EXE.
Borre las siguiente claves del registo y todo su
contenido:
Clave:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Valor: «Shell» = «Explorer.exe, C:\Program Files\Microsoft
Office\OFFICE11\services.exe»
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\Acha.exe
Valor: «Debugger» = «cmd.exe /c
del»
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\
CurrentVersion\Image File Execution Options\AmyMastura.exe\
Valor:
«Debugger» = «cmd.exe /c del»
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\BabyRina.exe\
Valor: «Debugger» = «cmd.exe /c
del»
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\
CurrentVersion\Image File Execution Options\cscript.exe\
Valor:
«Debugger» = «rundll32.exe»
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\csrsz.exe\
Valor: «Debugger» = «cmd.exe /c
del»
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\
CurrentVersion\Image File Execution Options\lsasc.exe\
Valor:
«Debugger» = «cmd.exe /c del»
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\registry.exe\
Valor: «Debugger» = «cmd.exe /c
del»
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\
CurrentVersion\Image File Execution Options\SMSSS.exe\
Valor:
«Debugger» = «cmd.exe /c del»
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\wscript.exe\
Valor: «Debugger» =
«rundll32.exe»
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\
Valor: «NeverShowExt» = «»
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
Valor:
UacDisableNotify» = «1»
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\
Valor:
«AntiVirusDisableNotify» = «1»
Valor: «AntiVirusOverride» = «1»
Valor:
«FirewallDisableNotify» = «1»
Valor: «FirewallOverride» = «1»
Valor:
«FirstRunDisabled» = «1»
Valor: «UpdatesDisableNotify» = «1»
Valor:
«UacDisableNotify» = «1»
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\system\
Valor: «EnableLUA» = «0»
Clave:
HKEY_ALL_USERS\Software\Microsoft\Office\Common\
Valor: «QMSessionCount» =
«2»
Clave:
HKEY_ALL_USERS\Software\Microsoft\Office\Common\Assistant\
Valor:
«CurrAsstState» = «26»
Borre las siguientes entradas de
registro:
Clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\Acha.exe
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\AmyMastura.exe
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\BabyRina.exe
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\cscript.exe
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\csrsz.exe
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\lsasc.exe
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\registry.exe
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\SMSSS.exe
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File
Execution Options\wscript.exe
Elimine todos los archivos
temporales del ordenador, incluidos los archivos temporales del navegador, vacíe
también la Papelera de reciclaje.
Reinicie su ordenador y explore todo el
disco duro con un antivirus para asegurarse de la eliminación del virus. Si
desactivó la restauración del sistema, recuerde volver a activarla. Cree un
punto de restauración, le resultará útil para recurrir a él en caso de posibles
infecciones o problemas en el futuro.
28.488116
-16.314776