domingo, septiembre 27, 2009
Albert López
Ya hace unos cuantos dias que tengo compañeros con problemas con un nuevo gusano que se propaga mediante el msn dejando un enlace simulando una foto alojada en flypictures.info. En el mensaje como siempre sale una pequeña descripción falsa para que el usuario acceda a clickar el enlace y así infectarse.
El enlace que se nos muestra puede ser distinto, ya que són diferentes fotografias falsas subidas que en realidad són un archivo .com que ejecuta el virus. El archivo del virus tiene el nombre DVC-IMAGEN09.JPG_www.myfilehd.com.
Pondré aquí una pequeña guia para poderlo eliminar manualmente ya que todavía muchos antivírus no lo detectan. El gusano solo crea dos archivos en el sistema, una copia de el y un archivo de texto, el archivo de texto se puede eliminar directamente.
Para borrar el fichero dwwin.exe seguiremos los siguientes pasos, ya que si se intenta eliminar sin realizar estos pasos saldrá un mensaje que no se puede eliminar porque está siendo utilizado por el sistema.
Lo primero que se debe hacer es cerrar el proceso del archivo, para ello presionamos cntrl+alt+supr y en procesos buscamos y eliminamos el llamado dwwin.exe. Ahora ya podrémos eliminar el archivo dwwin.exe ya que al cerrar el proceso éste ya no esta ejecutandose.
También sería conveniente buscar en el ordenador si existe el siguiente archivo y eliminarlo:
El enlace que se nos muestra puede ser distinto, ya que són diferentes fotografias falsas subidas que en realidad són un archivo .com que ejecuta el virus. El archivo del virus tiene el nombre DVC-IMAGEN09.JPG_www.myfilehd.com.
Pondré aquí una pequeña guia para poderlo eliminar manualmente ya que todavía muchos antivírus no lo detectan. El gusano solo crea dos archivos en el sistema, una copia de el y un archivo de texto, el archivo de texto se puede eliminar directamente.C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\9b8d_appcompat.txt
C:\WINDOWS\system32\dwwin.exe
Para borrar el fichero dwwin.exe seguiremos los siguientes pasos, ya que si se intenta eliminar sin realizar estos pasos saldrá un mensaje que no se puede eliminar porque está siendo utilizado por el sistema.
Lo primero que se debe hacer es cerrar el proceso del archivo, para ello presionamos cntrl+alt+supr y en procesos buscamos y eliminamos el llamado dwwin.exe. Ahora ya podrémos eliminar el archivo dwwin.exe ya que al cerrar el proceso éste ya no esta ejecutandose.
Por otra parte cabe eliminar la llave del registro, para ello ve a inicio>ejecutar>regedit y mira en la siguiente clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Run si existe algúna que contenga el fichero dwwin.exe y eliminala.
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Run si existe algúna que contenga el fichero dwwin.exe y eliminala.
También sería conveniente buscar en el ordenador si existe el siguiente archivo y eliminarlo:
C:\DVC-IMAGEN09.JPG_www.myfilehd.comPor otra parte comentar, que posíblemente en unos dias muchos antivírus detectarán el gusano y lo eliminarán sin problemas, incluso se puede probar con el MsnCleaner anunciado unos dias atrás.
- Detectando y eliminando virus del msn: MsnCleaner
Posted in: Alertas de Malware
5 comentarios:
no tngo ninguna de las rutas en la compu, pero si tngo el virus, sera qe se guarda cn diferentes nombres en cada pc?
no tengo dwin.exe en system32 ni la carpeta de DOCUME~1, y tngo ese virus, qe hago?
Puede ser que el virus se copie con otro nombre, para salir de dudas, necesitaria un log del hijackthis para localizarlo. Para ello en el foro, en el subforo de virus/spyware/adware explica el problema que tienes y pega el log. Si no sabes utilizar hijackthis en el mismo subforo hay una explicación en el mensake " Como exponer un problema con virus?"
Saludos.
el virus no, me permitio instalar el hijackthis,me lo cierra cuando lo abro, al igual que el messenger cleaner, tmb me bloqea las paginas de antivirus y foros sobre antivirus para buscar mas soluciones, solo puedo abrir esta, ayuda porfavor :/.
Saludos.
Eso es porque el virus te a renombrado el archivo hosts, es un archivo de configuración donde los virus lo aprovechan para añadir direcciónes que les interese para que no se puedan abrir.
Por ejemplo si edito yo el archivo host y escribo www.google.com, si después intento acceder a google no podré.
Si quieres conocer más sobre el archivo hosts visita http://www.saulo.net/pub/articulo.php?cod=hosts , este problema es sencillo de solucionar.
Saludos.
Publicar un comentario