Acerca del virus
Este troyano esta atacando los computadores de la universidad dañando
los archivos de word de forma irreversible, pero su propagación se puede
detener ya que solo se activa si la persona ejecuta un archivo infectado. Su
nombre deriva del parecido en su forma de actuar como los astutos griegos de
la mitología: llega al computador oculto en un software aparentemente
inofensivo. Sin embargo, al ejecutarlo instalará en nuestro computador
un segundo programa, el troyano.
Los efectos de este troyano son de alto riesgo, se han recibido reportes de
daño en los documentos de texto ya que puede alterarlos y dañarlos.
Identificar el virus
Para esto debemos escanear el PC con un antivirus, preferiblemente TREND
MICRO antivirus, si no lo tiene se puede hacer un escaneo gratuito
con este antivirus a través de Internet, en la siguiente dirección:
http://ae.trendmicro-europe.com/enterprise/products/housecall_launch.php
luego de click en la pestaña de procesos.
En la lista de procesos corriendo identifique los programas que estan infectados,
selecciónelos uno a uno y presione terminar tarea o terminar proceso.
Para verificar si se termino el proceso cierre el administrador de tareas y
vuelva a iniciarlo para ver si los programas realmente terminaron.
Ahora finalmente cierre el administrador de tareas.
*NOTA: En sistemas con Windows 95, 98, and ME, el administrador
de tareas de Windows podría no mostrar ciertos procesos. Se puede usar
un explorador de procesos para terminar dichos procesos. Uno puede ser Process
Explorer http://www.sysinternals.com/ntw2k/freeware/procexp.shtml.
Si pudo terminar el proceso siga con lo siguiente:
Eliminando entradas de autoarranque del registro de Windows.
Eliminando estas entradas prevenimos que el virus se ejecute al inicio del sistema.
Abra el editor del registro:
De Click en el botón de inicio, luego elija ejecutar, y en la caja de
dialogo escriba REGEDIT, y presione ENTER.
En el panel del lado izquierdo, de doble clic en lo siguiente:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
En el panel derecho, localice y elimine la siguiente entrada o línea:
DllExecutable = "%Windows%\MsRunDll32.exe"
Cierre el editor de windows.
Si usted no es capaz de terminar el proceso del archivo infectado, reinicie
el sistema y repita.
Eliminar entradas de autoarranque de archivos del sistema
Este virus a veces modifica archivos del sistema, así se ejecuta cada
vez que se inicia Windows. Estas entradas de autoarranque tienen que ser eliminadas
antes de que un sistema infectado pueda ser reiniciado con seguridad.
Abra el archive SYSTEM.INI, así:
De Click en el botón de inicio, luego elija ejecutar, y en la caja de
dialogo escriba WIN.INI, y presione ENTER, se abrirá el archivo en un
editor de texto, usualmente Notepad.
Busque en el archivo y en la sección de Windows localice la línea
que comienza con:
Run=
En esa misma línea borre el camino y nombre del archivo infectado:
%Windows%\MsRunDll32.exe
In System Configuration Editor, select the AUTOEXEC.BAT window.
Locate and delete the following lines:
@Echo off
Rem Do not REMOVE the next lines
Rem Required by System Protocol
Win %Windows%\MsRunDll32.exe
and,
Rundll.exe user,exitwindows
Rundll32.exe user,exitwindows
-----------------------------------
Format /y c:
Format c:
format /v c:
@Del c:\*.e*
Close System Configuration Editor and click Yes when prompted to save.
Eliminando entradas infectadas del archive HOSTS
Eliminando estas entradas arreglaremos los cambios que se hicieron en el archivo.
Abra un editor de textos como notepad y abra el archivo:
En Windows 95, 98 y Millenio:
C:\WINDOWS\system\drivers\etc\hosts
En Windows 2000, XP:
C:\WINDOWS\system32\drivers\etc\hosts
Elimine las siguientes entradas:
• 1-se.com
• 58q.com
• SymantecLiveUpdate.com
• SymantecLiveUpdated.com
• WindowsUpdate.com
• WindowsUpdated.com
• admisiones.unal.edu.co
• aifind.cc
• aifind.info
• allneedsearch.com
• approvedlinks.com
• es.Mail.Yahoo.com
• freednshosts.info
• msn.search.com
• search.msm.com
• securityresponse.symantec.com
• symantec.securityresponse.com
• www.Altavista.com
• www.AntiVirus.com
• www.Apple.com
• www.Apple.com/quicktime/download
• www.Argentina.com
• www.BasuraMail.com
• www.Bolivia.com
• www.Brazil.com
• www.CartoonNetwork.com
• www.CartoonNetworkLa.com
• www.Chile.com
• www.Colombia.com
• www.Ecuador.com
• www.EscuelaIng.com
• www.EscuelaIng.edu.co
• www.Google.com
• www.Google.com.co
• www.Hispavista.com
• www.HotMail.com
• www.IBM.com
• www.Kapersky.com
• www.LatinCards.com
• www.LatinChat.com
• www.LatinGames.com
• www.LatinMail.com
• www.Microsoft.com
• www.Microsoft.com.co
• www.Microsoft.es
• www.MundoNick.com
• www.MusicCity.com
• www.Nick.com
• www.PandaSoftware.com
• www.PandaSoftware.es
• www.Paraguay.com
• www.Planetarroba.com
• www.ProgramasFull.com
• www.Rotten.com
• www.SCO.com
• www.Sophos.com
• www.StarMedia.com
• www.Tnt.com
• www.TntLa.com
• www.Tonterias.com
• www.TrendMicro.com
• www.Uruguay.com
• www.Venezuela.com
• www.VirusList.com
• www.Yahoo.com
• www.Yahoo.es
• www.avg.com
• www.avp.com
• www.doubleclick.com
• www.icfes.gov.co
• www.msn.com
• www.sia.unal.edu.co
• www.soho.com.co
• www.symantec.com
• www.symantec.com.co
• www.terra.com
• www.udistrital.edu.co
• www.unal.edu.co
Guarde el archivo y salga del editor de textos.
Instrucciones adicionales para limpiar Windows ME/XP
Usuarios que tengan Windows ME o XP tiene que deshabilitar la restauracion del
sistema en el siguiente enlace se dan las instrucciones.
http://www.trendmicro.com/en/security/advisories/win_me_clean.htm