- A friendly reminder to ALL online bank users
- Fw: Could you tell if you have been scammed online.??
- Fw: Dont be another victim..!!
- Fw: Reminder to be aware of internet scams
- Fw: WARNING are a online banker..??
- Have you been hooked by an online PHISHERMAN..???
- PHISHING the new way of internet banking scams
- Re: Gone phishing online.?? Well others have.!!
- Re: Have you been a victim to internet scams
- Re: Help stop the internet scammers

Texto del mensaje:

To whom it may concern,

We at antiscam.com are just warning all the online 
banking account users to watch out for suspicious 
emails and web sites. If you would like to know more 
about how to report and avoid being a victim to another 
new internet scam then please read the attached file. 
Thank you for your time.

Datos adjuntos: scmhlpr.vbs

Cuando el gusano se ejecuta, finaliza cualquier proceso activo cuyo nombre contenga alguna de las siguientes cadenas:

block
script

Crea y ejecuta el siguiente script, con el que finaliza cualquier proceso activo llamado TASKMGR.EXE:

c:\windows\system32\winmgmt32.vbs

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También crea las siguientes copias de si mismo:

c:\archivos de programa\windowsupdate\wuauclt.tmp\dwnldscn.vbs
c:\windows\applogs\applog32.vbs
c:\windows\system\scmhlpr.vbs
c:\windows\system32\scmhlpr.vbs

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

También crea los siguientes archivos y luego los utiliza para modificar el registro:

c:\windows\system\activeuser32.reg
c:\windows\system\msmisc.reg
c:\windows\system\msmisc.reg
c:\windows\system\win32reg.reg
c:\windows\system\winmgmt32.vbs
c:\windows\system32\activeuser32.reg
c:\windows\system32\msmisc.reg
c:\windows\system32\win32reg.reg

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Spore.b = c:\windows\system32\scmhlpr.vbs

HKLM\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
RestrictRun = "1"
NoFolderOptions = "1"
NoWinKeys = "1"
NoViewContextMenu = "1"
NoClose = "1"
NoSetFolders = "1"
NoDrives = "0x03ffffff"
NoRun = "1"
NoFind = "1"

HKLM\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\RestrictRun
1 = "notepad.exe"
2 = "wordpad.exe"
3 = "write.exe"
4 = "wuauclt.exe"

HKCU\SOFTWARE\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"

HKCU\Software\Microsoft\Internet Explorer\Main
Window Title = "vbs.Spore.b@mm (c) 2004"

HKCU\SOFTWARE\Microsoft\Windows\SysBIOS
HKCU\SOFTWARE\Microsoft\Windows\SysBIOS\Virii
HKCU\SOFTWARE\Microsoft\Windows\SysBIOS\Virii\Spore.b

HKCU\SOFTWARE\Microsoft\Windows\SysBIOS\Virii\Spore.b
Sys_Infected = "vbs.Spore.b@mm"

Algunas de esas entradas deshabilitan varias utilidades del sistema (bloc de notas, Wordpad, Write, el Cliente de actualización automática de Windows Update, Regedit, etc.)

El gusano borra los archivos del escritorio de Windows del usuario actual, y la carpeta de favoritos del Internet Explorer.

Crea en la carpeta de favoritos, numerosos enlaces a sitios con contenido para adultos.

Busca direcciones electrónicas en archivos de todos los discos duros y de red del equipo infectado, que tengan las siguientes extensiones:

.asp
.doc
.hta
.hte
.htm
.html
.htt
.htx
.rtf
.shtml
.stm
.txt
.xml

Envía a todas las direcciones encontradas, mensajes como los descriptos antes.

El gusano muestra un mensaje de error al ejecutarse, con el título de "Windows Script Host" y alguno de los siguientes componentes:

Script: [uno de los siguientes]

- wscript.exe
- cscript.exe

Line: [un número entre 0 y 499]

Char: [un número entre 0 y 999]

Error: [uno de los siguientes]

- Expected end of statement
- Object required: 'Virus Scan..!!'
- Expected 'System Update..!!'
- Syntax error
- Unterminated string constant

Code: [uno de los siguientes]

- $yst3m_!nFeCt!oN
- $yst3m_0v3rl0aD
- $yst3m_3rRoR
- BufF3r_Ov3rFl0w
- DaMaGe !s d0n3
- FaRr-Qu3 Lo0s3r
- To0 l@t3 $uCk3r
- V!RU$ !nFeCt!oN
- vbs.Spore.b@mm
- y0u @sSh0l3

Source: [uno de los siguientes]

- Microsoft VBScript compilation error
- Microsoft VBScript runtime error

Reparación manual

Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Descargue el siguiente archivo:

http://www.videosoft.net.uy/restore.reg

2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro.

3. Ejecute el editor de registro. Desde una ventana MS-DOS o "Símbolo del sistema", escriba REGEDIT y pulse ENTER

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main

5. Haga clic en la carpeta "Main" y en el panel de la derecha busque y borre la siguiente entrada:

Window Title = "vbs.Spore.b@mm"

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer

7. Haga clic en la carpeta "Explorer" y en el panel de la derecha busque y borre las siguientes entradas:

NoClose = "1"
NoDrives = "0x03ffffff"
NoFind = "1"
NoFolderOptions = "1"
NoRun = "1"
NoSetFolders = "1"
NoViewContextMenu = "1"
NoWinKeys = "1"
RestrictRun = "1"

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\SysBIOS

9. Haga clic en la carpeta "SysBIOS" y bórrela.

10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer
\RestrictRun

11. Haga clic en la carpeta "RestrictRun" y en el panel de la derecha busque y borre las siguientes entradas:

1 = "notepad.exe"
2 = "wordpad.exe"
3 = "write.exe"
4 = "wuauclt.exe"

12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

13. Haga clic en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Spore.b = "c:\windows\system32\Scmhlpr.vbs"

14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\archivos de programa\windowsupdate\wuauclt.tmp\dwnldscn.vbs
c:\windows\applogs\applog32.vbs
c:\windows\system\activeuser32.reg
c:\windows\system\msmisc.reg
c:\windows\system\msmisc.reg
c:\windows\system\scmhlpr.vbs
c:\windows\system\win32reg.reg
c:\windows\system\winmgmt32.vbs
c:\windows\system32\activeuser32.reg
c:\windows\system32\msmisc.reg
c:\windows\system32\scmhlpr.vbs
c:\windows\system32\win32reg.reg
c:\windows\system32\winmgmt32.vbs

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Borrar favoritos

1. Inicie Microsoft Internet Explorer
2. Seleccione el menú Favoritos, Organizar favoritos
3. Borre las entradas no deseadas


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com