d:\auto.exe
d:\autorun.inf
e:\auto.exe
e:\autorun.inf
[...]
z:\auto.exe
z:\autorun.inf

El archivo AUTORUN.INF solo contiene esta instrucción:

OPEN = auto.exe

También intentará copiarse en las siguientes ubicaciones del disco duro:

c:\archivos de programa\Auto.exe
c:\windows\Auto.exe
c:\windows\All Users\Desktop\Sysboy.exe
c:\windows\All Users\Start Menu\Programs\Auto.exe
c:\windows\Start Menu\Programs\Auto.exe
c:\windows\Desktop\Sysgril.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

Agrega también, cualquiera de las siguientes entradas al registro de Windows:

Explorer = [camino y nombre del gusano]
Systry = [camino y nombre del gusano]
Systryt = [camino y nombre del gusano]
rundll32 = [camino y nombre del gusano]
rundll64 = [camino y nombre del gusano]

En las siguientes claves:

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices

HKLM\Software\Microsoft\Windows
\CurrentVersion\Runonce

HKLM\Software\Microsoft\Windows
\CurrentVersion\Runonceex

HKLM\Software\Microsoft\Windows
\CurrentVersion\Runservicesonce

De ese modo se autoejecutará en cada reinicio del sistema.

También crea y/p modifica las siguientes entradas, con lo cuál cambia la página de inicio del Internet Explorer, y deshabilita la herramienta de edición del registro (REGEDIT), entre otras cosas:

HKLM\Software\Microsoft\Internet Explorer\Main
Start Page = http:/ /xxxwwwjjjhd.20forfree.com

HKLM\Software\Microsoft\Internet Explorer\Main
Dowload Directory = c:\windows

HKEY_CLASSES_ROOT\txtfile\shell\open\command
first home page = [camino y nombre del gusano]

HKEY_CLASSES_ROOT\swffile\shell\open\command
first home page = [camino y nombre del gusano]

HKEY_CLASSES_ROOT\mp3file\shell\open\command
first home page = [camino y nombre del gusano]

HKEY_CLASSES_ROOT\dllfile\shell\open\command
first home page = [camino y nombre del gusano]

HKEY_CLASSES_ROOT\htmfile\shell\open\command
first home page = [camino y nombre del gusano]

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DiableRegistryTools = "111"

HKLM\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoFolderOptions = "111"

HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\winoldapp
norealmode = "111"

HKLM\Software\CLASSES\Directory\shell\Winamp.Play

HKLM\Software\CLASSES\Directory\shell\Winamp.Enqueue

HKLM\Software\CLASSES\Directory\shell\Winamp.Bookmark

HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}

HKCR\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}

HKLM\Software\Microsoft\Windows
\CurrentVersion\Winlogon
legalnoticecaption = [basura]
legalnoticetext = [basura]

HKLM\Software\Microsoft\Windows NT
\CurrentVersion\Winlogon
legalnoticecaption = [basura]
legalnoticetext = [basura]

Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
4. Reinicie su computadora


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Descargue el siguiente archivo (repara.reg):

http://www.videosoft.net.uy/repara.reg

2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro.

3. Ejecute el editor de registro. Desde una ventana MS-DOS escriba REGEDIT y pulse ENTER

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion

5. Pinche en la carpeta "CurrentVersion" para acceder a cada una de las siguientes carpetas (dentro de "CurrentVersion"):

\Run
\RunServices
\Runonce
\Runonceex
\Runservicesonce

6. Pinche alternativamente en las carpetas "Run", "RunServices", "Runonce", "Runonceex" y "Runservicesonce" y en el panel de la derecha busque y borre toda entrada similar a las siguientes:

Explorer = [camino y nombre del gusano]
Systry = [camino y nombre del gusano]
Systryt = [camino y nombre del gusano]
rundll32 = [camino y nombre del gusano]
rundll64 = [camino y nombre del gusano]

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\CLASSES
\Directory
\shell

8. Pinche en la carpeta "shell" y borre toda entrada con los siguientes nombres:

Winamp.Play
Winamp.Enqueue
Winamp.Bookmark

9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\CLSID

10. Pinche en la carpeta "CLSID" y borre las siguientes entradas:

{871C5380-42A0-1069-A2EA-08002B30309D}
{20D04FE0-3AEA-1069-A2D8-08002B30309D}

11. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Winlogon

12. Pinche en la carpeta "Winlogon" y en el panel de la derecha busque y borre las siguientes entradas:

legalnoticecaption
legalnoticetext

13. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

14. Pinche en la carpeta "Winlogon" y en el panel de la derecha busque y borre las siguientes entradas:

legalnoticecaption
legalnoticetext

15. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos del directorio raíz de todas las unidades de disco, locales y mapeadas:

\auto.exe
\autorun.inf

También borre los siguientes archivo:

c:\archivos de programa\Auto.exe
c:\windows\Auto.exe
c:\windows\All Users\Desktop\Sysboy.exe
c:\windows\All Users\Start Menu\Programs\Auto.exe
c:\windows\Start Menu\Programs\Auto.exe
c:\windows\Desktop\Sysgril.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Información adicional

Cambiar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o pinche en "Página en blanco"). O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com