Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

 

W32/Sober.P. Envía mensajes en inglés o alemán
 
VSantivirus No. 1778 Año 9, viernes 20 de mayo de 2005

W32/Sober.P. Envía mensajes en inglés o alemán
http://www.vsantivirus.com/sober-p.htm

Nombre: W32/Sober.P
Nombre NOD32: Win32/Sober.P
Tipo: Gusano de Internet
Alias: Sober.P, Email-Worm.Win32.Sober.q, Email-Worm.Win32.Sober.Q, I-Worm/Sober.Q, Sober.P@mm, Sybari, Symantec, Trj/Agent.TC,, Trj/Sober.W, Trojan.Ascetic.C, W32/Sober.corr, W32/Sober.P@mm, W32/Sober.Q, W32/Sober.q, W32/Sober.q@MM, W32/Sober-Gen, W32/Sober-L, Win32.Ascetic.C, Win32.HLLM.Generic.345, Win32.Sober.Q@mm, Win32/Sober.O!Worm, Win32/Sober.P, Win32:Sober-O, Worm.Sober.Q, Worm.Sober.U, Worm/Sober.gen
Fecha: 13/may/05
Plataforma: Windows 32-bit
Tamaño: 53,792 bytes (UPX)
Herramienta de limpieza: Si
Última modificación: 19/may/05

Escrito en Microsoft Visual Basic, este gusano se propaga por correo electrónico, o es enviado en forma de spam.

Los mensajes tienen asuntos y textos en inglés o alemán.

Utiliza su propio motor SMTP, de modo que no depende del cliente utilizado por la víctima para enviarse.

El remitente siempre es falso, y es seleccionado al azar de la lista de direcciones a las que el gusano se envía.

El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:

.at
.ch
.de
.li

También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.

Mensajes en inglés:

De: [remitente falso]

Asunto:

Your Password & Account number

Texto del mensaje:

hi,
i've got an admin mail with a Password and Account info!
but the mail recipient are you! it's probably an esmtp 
error, i think.
i've copied the full mail text in the Windows text-editor 
& zipped.
ok, cya...

Datos adjuntos:

acc_text.zip

Mensaje en alemán:

De: [remitente falso]

Asunto:

Ich habe Ihre E-Mail bekommen!

Texto del mensaje:

Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und 
gezippt.
Wenn es doch kein Fehler vom Provider ist, sorge dafuer 
das diese Dinger nicht mehr auf meinem Account landen, 
es Nervt naemlich.
Gruss

Datos adjuntos:

MailTexte.zip

En ambos casos, el archivo .ZIP contiene el ejecutable del gusano, con el siguiente nombre y doble extensión:

mail_text-data.txt                  .pif

El gusano solo se ejecuta cuando el usuario hace doble clic sobre el adjunto. Cuando ello sucede, puede abrir el bloc de notas para mostrar un texto que comienza con las siguientes líneas:

Mail-Text:
Unzip failed

Cuando se ejecuta, el gusano crea las carpetas SYSTEM y WIN32 dentro de \WINDOWS\MSAGENT, y copia los siguientes archivos:

c:\windows\msagent\SYSTEM\smss.exe
c:\windows\msagent\WIN32\emdata.mmx
c:\windows\msagent\WIN32\zipzip.zab

Donde SMSS.EXE es una copia del propio gusano.

También crea los siguientes archivos dentro de la carpeta de Windows:

c:\windows\nonrunso.ber
c:\windows\read.me
c:\windows\stopruns.zhz
c:\windows\xcvfpokd.tqa

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

Crea las siguientes entradas para auto ejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Services.dll = "c:\windows\msagent\system\smss.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
_Services.dll = "c:\windows\msagent\system\smss.exe"

El gusano utiliza su propio motor SMTP (Simple Mail Transfer Protocol), para enviarse en forma masiva.

Obtiene las direcciones de archivos con las siguientes extensiones:

.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml

Evita enviarse a direcciones cuyos nombres contengan algunas de las siguientes cadenas:

.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
test@
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

El gusano mantiene tres procesos activos en memoria para permanecer siempre residente. Si se elimina cualquiera de ellos, los demás crean un nuevo proceso.

El archivo C:\WINDOWS\READ.ME contiene el siguiente texto:

test test test
In diesem Sinne:
Odin alias Anon

El gusano intenta finalizar procesos activos que contengan las siguientes cadenas de texto en su nombre:

gcas
gcip
giantanti
stinger
hijackthis

Componente troyano (SPAM)

En determinada fecha, el gusano descarga un troyano que no posee la posibilidad de propagarse por si solo, pero abre a su vez una puerta trasera en computadoras ya infectadas, y las convierte en lanzaderas de spam.

Cuando se ejecuta, el troyano otra carpeta HELP dentro de \WINDOWS\HELP, y copia los siguientes archivos:

c:\windows\help\HELP\csrss.exe
c:\windows\help\HELP\services.exe
c:\windows\help\HELP\smss.exe

Crea además la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SystemBoot = "c:\windows\help\help\services.exe"

También libera los siguientes archivos en la misma carpeta donde se ejecuta:

fastso.ber
sacri2.ggg
sacri3.ggg
sysonce.tst
voner1.von
voner2.von
voner3.von

Crea el siguiente archivo:

c:\windows\system32\Spammer.Readme

Dicho archivo contiene el siguiente texto:

[dirección de internet]
[dirección de internet]

Ich bin immer noch kein Spammer!
Aber sollte vielleicht einer werden :)

In diesem Sinne

in the file c:\windows\system32\Spammer.Readme

Dicho mensaje advierte a las compañías de antivirus que el Sober no es un remitente de spam, aunque quizás podría llegar a serlo.

El troyano también crea los siguientes archivos vacíos en la carpeta de Windows y en la que se ejecute el mismo:

adcmmmmq.hjg
gdfjgthv.cvq
langeinf.lin
seppelmx.smx
xcvfpokd.tqa

Dichos archivos son creados para deshabilitar versiones anteriores del Sober.

Si se ejecuta entre el 15/5/2005 y 22/5/2005, el troyano inicia su rutina de envío masivo de spam. Esta acción tiene como resultado un notorio aumento de correo no solicitado, donde casi todos los mensajes contienen asuntos y textos en alemán e inglés, con contenido político ultra-derechista.

Las direcciones para enviarse, son obtenidas de archivos del equipo infectado con las siguientes extensiones:

.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml

Esta rutina del troyano ignora las direcciones que contengan alguna de las siguientes cadenas en su nombre:

.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
iana-
iana@
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
t-dialin
test@
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

El troyano envía los siguientes mensajes en alemán o inglés:

Mensajes en alemán:


Ejemplo 1:

Asunto:

4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass

Texto del mensaje:

[dirección de internet]
Neue Dokumente:
[dirección de internet]
Botschafter in Kiew beschwerte sich noch 2004:
[dirección de internet]
Traumziel Deutschland:
Ohne Deutsch nach Deutschland:
[dirección de internet]
[dirección de internet]
Kanzler erleichtert Visaverfahren fr Golfstaaten:
[dirección de internet]
Vorbildliche Aktion:
[dirección de internet]


Ejemplo 2:

Asunto:

Auf Streife durch den Berliner Wedding

Texto del mensaje:

[dirección de internet]
[dirección de internet]


Ejemplo 3:

Asunto:

Auslaender bevorzugt

Texto del mensaje:

[dirección de internet]
Jetzt weiss man auch, wie es dazu kommt, dass Drogen,
Waffen & Handy's in die Haende der Knacki's gelangen!


Ejemplo 4:

Asunto:

Deutsche Buerger trauen sich nicht ...

Texto del mensaje:

Auslaenderbanden terrorisieren Wahlkampf - deutsche
Buerger trauen sich nicht ihre Meinung zu sagen!
Weiter auf:
[dirección de internet]
Auslaender ueberfallen nationale Aktivisten:
[dirección de internet]
[dirección de internet]


Ejemplo 5:

Asunto:

Auslaenderpolitik

Texto del mensaje:

[dirección de internet]


Ejemplo 6:

Asunto:

Blutige Selbstjustiz

Texto del mensaje:

[dirección de internet]
Polizeiexperten warnen: Ethnisch abgeschottete Mafia-Clans
sind kaum noch zu durchdringen. Die Gerichte tragen
Mitschuld.
Weiter auf:
[dirección de internet]


Ejemplo 7:

Asunto:

Deutsche werden kuenftig beim Arzt abgezockt

Texto del mensaje:

[dirección de internet]
EU-Abgeordnete goennen sich luxurioese Vollversorgung:
[dirección de internet]
Deutsche Krankenversicherungen muessen fuer Harems-Frauen
zahlen:
[dirección de internet]
Kassenfunktionaere vervierfachten Gehalt:
[dirección de internet]


Ejemplo 8:

Asunto:

Paranoider Deutschenmoerder kommt in Psychia trie

Texto del mensaje:

[dirección de internet]


Ejemplo 9:

Asunto:

Du wirst zum Sklaven gemacht!!!

Texto del mensaje:

[dirección de internet]
Immer mehr Frauen prostituieren sich:
[dirección de internet]
STAATSPROPAGANDA:
[dirección de internet]


Ejemplo 10:

Asunto:

Dresden 1945

Texto del mensaje:

[dirección de internet]


Ejemplo 11:

Asunto:

Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer

Texto del mensaje:

[dirección de internet]


Ejemplo 12:

Asunto:

Gegen das Vergessen

Texto del mensaje:

In den fruehen Abendstunden des 13. Februar 1945 gegen
21:41 Uhr heulten die Sirenen der Lazarettstadt Dresden
das erste mal auf. Die Bewohner der Elbmetropole machten
sich zu der Zeit noch keine Sorgen, da Dresden als Stadt
ohne Bewaffnungund ohne militaerischen Nutzen bekannt war
und von ca. 1,2 Millionen Frauen, Kindern und Greisen
bewohnt wurde. Gegen 22:09 Uhr gab der Rundfunk durch,
dadie alliierten Bomberverbaende ihren Kurs geaendert
haben und nun auf Dresden zufliegen. Kurz darauf befanden
sich 244 britische Bomber am Himmel der deutschen
Kulturstadt. Drei Stunden nach dieser ersten Angriffswelle
- es befanden sich bereits alle
verfuegbarenRettungsmannschaften, Sanitaeter und
Feuerwehmaenner in Dresden - verdunkelten weitere 500
Bomber den Himmel. Am naechsten Tag folgte die letzte
Angriffswelle mit erneut 300 US-B-17-Bombern. Zwischen
12:12 Uhr und 12:21 Uhr warfen diese 783 Tonnen Bomben ab.
- Das entspricht mehr als 85 Tonnen pro Minute. Nach dem
Abwerfen setzten die US-Bomber zum Tiefflug an und
beschossen Fluechtende mit ihren Bordwaffen. In diesen
drei Angriffsschlaegen, die insgesamt 14 Stunden
andauerten, warfen die Befreier 650.000 Brandbomben und
200.000 Sprengbomben ab, welche einen Feuersturm von ueber
1000 Grad in der Stadt erzeugten. Obwohl Dresden weder
Flugabwehr, noch Ruestungsindustrie oder aehnliche
kriegswichtige Ziele besass wurden weit mehr als 350.000
unschuldige deutsche Zivilisten in diesen zwei Tagen
kaltbluetig ermordet. Keiner der schuldigen Alliierten
wurde jemals fuer dieses brutale Kriegsverbrechen auchnur
angeklagt und die Massenmedien und die bundesdeutsche
Regierung schweigen diese Taten tot und sehen es nicht als
noetig an den Opfern zu gedenken.!


Ejemplo 13:

Asunto:

Tuerkei in die EU

Texto del mensaje:

GEWALTEXZESS:
[dirección de internet]
Politiker zerrei t Menschenrechtsbericht:
[dirección de internet]
Schily = Hitler
[dirección de internet]
Schily wehrt sich gegen Hitler-Vergleiche:
[dirección de internet]
Sie hat ja wie eine Deutsche gelebt:
[dirección de internet]
[dirección de internet]
Parallelgesellschaften - Feind hoerte mit:
[dirección de internet]
Sie war unerlaubt spazieren:
[dirección de internet]
Tiere an Autobahn geschlachtet:
[dirección de internet]


Ejemplo 14:

Asunto:

Hier sind wir Lehrer die einzigen Auslaender

Texto del mensaje:

[dirección de internet]
[dirección de internet]


Ejemplo 15:

Asunto:

Multi-Kulturell = Multi-Kriminell

Texto del mensaje:

[dirección de internet]


Ejemplo 16:

Asunto:

Verbrechen der deutschen Frau

Texto del mensaje:

[dirección de internet]


Ejemplo 17:

Asunto:

S.O.S. Kiez! Polizei schlaegt Alarm

Texto del mensaje:

[dirección de internet]


Ejemplo 18:

Asunto:

Transparenz ist das Mindeste

Texto del mensaje:

[dirección de internet]


Ejemplo 19:

Asunto:

Trotz Stellenabbau

Texto del mensaje:

[dirección de internet]


Ejemplo 20:

Asunto:

Vorbildliche Aktion

Texto del mensaje:

[dirección de internet]


Ejemplo 21:

Asunto:

Augen auf

Texto del mensaje:

[dirección de internet]


Ejemplo 22:

Asunto:

Du wirst ausspioniert ....!

Texto del mensaje:

und weisst es nicht einmal:
[dirección de internet]


Ejemplo 23:

Asunto:

Volk wird nur zum zahlen gebraucht!

Texto del mensaje:

[dirección de internet]
... damit Sie nicht als der erste Kanzler in die deutsche
Geschichte eingehen, der Untertanen verboten hat, aus
ihren Fenstern auf die Strasse zu gucken - selbst Nazis
und Stalinisten haben niemals eine aehnliche Anordnung
treffen lassen!


Ejemplo 24:

Asunto:

60 Jahre Befreiung: Wer feiert mit?

Texto del mensaje:

[dirección de internet]


Ejemplo 25:

Asunto:

Graeberschaendung auf bundesdeutsche Anordnung

Texto del mensaje:

[dirección de internet]


Ejemplo 26:

Asunto:

Schily ueber Deutschland

Texto del mensaje:

[dirección de internet]


Posibles mensajes en inglés:

Ejemplo 1:

Asunto:

The Whore Lived Like a German

Texto del mensaje:

Full Article:
[dirección de internet]


Ejemplo 2:

Asunto:

Turkish Tabloid Enrages Germany with Nazi Comparisons

Texto del mensaje:

Full Article:
[dirección de internet]


Ejemplo 3:

Asunto:

Dresden Bombing Is To Be Regretted Enormously

Texto del mensaje:

Full Article:
[dirección de internet]


Ejemplo 4:

Asunto:

Armenian Genocide Plagues Ankara 90 Years On

Texto del mensaje:

Full Article:
[dirección de internet]

El troyano controla la hora y fecha actual sincronizándose con una lista de servidores NTP (Network Time Protocol o Protocolo de Tiempo de Red).

La siguiente es la lista de servidores NTP monitoreados:

clock.psu.edu
cuckoo.nevada.edu
ntp.lth.se
ntp.massayonet.com.br
ntp.pads.ufrj.br
ntp-1.ece.cmu.edu
ntp-2.ece.cmu.edu
ntp2b.mcc.ac.uk
ntp3.fau.de
ntp-sop.inria.fr
os.ntp.carnet.hr
Rolex.PeachNet.edu
rolex.usg.edu
sundial.columbia.edu
time.kfki.hu
time.nist.gov
time.xmission.com
time-a.timefreq.bldrdoc.gov
time-ext.missouri.edu
timelord.uregina.ca
utcnist.colorado.edu

Si la fecha es 23/5/2005 o posterior, en lugar de enviar mensajes, el troyano intenta descargar y ejecutar otro archivo de alguno de los siguientes dominios:

free.pages.at
home.arcor.de
home.pages.at
people.freenet.de
scifi.pages.at

El nombre del archivo a descargar (una probable nueva variante del gusano), está formada por un script de acuerdo a la fecha y hora.

El troyano también examina si existe una conexión a la red, intentando conectarse a alguno de los siguientes dominios:

microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com

Si no existe una conexión, el troyano muestra el siguiente mensaje:

Memory Read in Winsock Module {0x0000001F} failed.
Restart your Computer to fix this problem.

El troyano intenta finalizar todos los procesos cuyo nombre contenga alguna de las siguientes cadenas:

fxsob
gcas
gcip
giantanti
hijack
inetupd.
microsoftanti
nod32.
nod32kui
sober
s-t-i-n-g

El troyano intenta deshabilitar el cortafuegos de Windows XP, modificando la siguiente entrada del registro:

HKLM\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "0"

También intenta deshabilitar la actualización automática de Windows, modificando la siguiente entrada:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\WindowsUpdate\Auto Update
AUOptions = "0"

El gusano busca el siguiente archivo en el sistema. Si el mismo existe, el gusano no se ejecuta:

c:\windows\system32\bbvmwxxf.hml


Más información:

Mutación del Sober inunda las casillas con spam
http://www.vsantivirus.com/18-05-05.htm


Herramienta de limpieza automática:

Descargue y ejecute esta herramienta de NOD32 en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober

Herramienta de limpieza (c) Future Time Srl


Reparación manual

Antivirus


Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre todos los archivos detectados como infectados.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\help\HELP\csrss.exe
c:\windows\help\HELP\services.exe
c:\windows\help\HELP\smss.exe
c:\windows\msagent\SYSTEM\smss.exe
c:\windows\msagent\WIN32\emdata.mmx
c:\windows\msagent\WIN32\zipzip.zab
c:\windows\nonrunso.ber
c:\windows\read.me
c:\windows\stopruns.zhz
c:\windows\xcvfpokd.tqa

También borre las carpetas \SYSTEM y \WIN32 dentro de "c:\windows\msagent" y \HELP dentro de "c:\windows\help" (no borre C:\WINDOWS\SYSTEM ni C:\WINDOWS\MSAGENT ni C:\WINDOWS\HELP que son carpetas legítimas de Windows).

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares a los descriptos antes.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y borre la siguiente entrada:

_Services.dll

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y borre las siguientes entradas:

Services.dll
SystemBoot

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\WindowsUpdate
\Auto Update

7. Haga clic en la carpeta "Auto Update" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de "AUOptions" por "4":

AUOptions = "4"

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet001
\Services
\SharedAccess
\Parameters
\FirewallPolicy
\StandardProfile

9. Haga clic en la carpeta "StandardProfile" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de "EnableFirewall" por "1":

EnableFirewall = "1"

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).



Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Publicado anteriormente:

VSantivirus No. 1773 Año 9, domingo 15 de mayo de 2005


Actualizaciones:

19/05/05 - 19:08 -0300 (Ampliación de descripción)
19/05/05 - 22:11 -0300 (Nuevos alias)




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS