c:\windows\system\exewin32.exe
c:\windows\system\explorere.exe
c:\windows\system\taskmgr32.dll
[red]\regi32.exe

Donde [red] es cualquier carpeta compartida de red.

2. Modifica las siguientes ramas en el registro:

HKCR\exefile\shell\open\command
(Predeterminado) = c:\windows\system\exewin32.exe "%1" %*

HKCR\comfile\shell\open\command
(Predeterminado) = c:\windows\system\exewin32.exe "%1" %*

HKCR\batfile\shell\open\command
(Predeterminado) = c:\windows\system\exewin32.exe "%1" %*

3. Crea la siguiente entrada en WIN.INI:

[windows]
run = c:\windows\regi32.exe

4. Agrega un archivo HOSTS o LMHOSTS para bloquear el acceso a los siguientes sitios pertenecientes a conocidos antivirus:

www.avp.com
www.avp.ru
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.nai.com
www.sophos.com
www.symantec.com

5. Impide se ejecuten las siguientes aplicaciones:

CALC
NOTEPAD
Process Viewer
Registry Editor
System Configuration Utility
Windows Task Manager
Keylogging Routine

6. Realiza ataques de denegación de servicio a los siguientes sitios de Internet:

jamaat.org
klc.org.pk
pak.gov.pk
piac.com.pk
ummah.org.uk

7. El código del gusano contiene el siguiente texto encriptado, que no es mostrado en ningún momento:

Anonymous ra , dEviL inCArnATe

Los demás detalles del gusano son idénticos a la versión W, y se dan en el siguiente enlace:

W32/Yaha.U (Yaha.T). Envío masivo de correo infectado
http://www.vsantivirus.com/yaha-u.htm

Reparación manual

Preparación previa

Descargue el siguiente archivo (repara2.reg):

http://www.videosoft.net.uy/repara2.reg


Finalizar el proceso en memoria del virus

Windows 95, 98 y Me

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Windows NT, 2000 y XP

1. Actualice sus antivirus con las últimas definiciones, luego pulse CTRL+ALT+SUPR.

2. Pinche en Administrador de tareas.

3. Pinche en la lengüeta Procesos.

4. En la lista de tareas, señale la siguiente y pulse el botón de finalizar tarea:

EXEWIN32.EXE
EXPLORERE.EXE
TASKMGR32.DLL
REGI32.EXE

Editar el registro

Haga doble clic sobre el archivo REPARA2.REG descargado antes (ver "Preparación previa"), para agregar su contenido al registro.


Editar el archivo WIN.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[windows]
run = c:\windows\regi32.exe

Debe quedar como:

[windows]
run =

3. Grabe los cambios y salga del bloc de notas.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

1. Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\exewin32.exe
c:\windows\system\explorere.exe
c:\windows\system\taskmgr32.dll
[red]\regi32.exe

Donde [red] es cualquier carpeta compartida de red.

2. Borre el archivo HOSTS:

c:\windows\hosts
c:\windows\system32\drivers\etc\hosts

HOSTS es un archivo en formato texto, sin extensión, ubicado en windows\hosts o windows\system32\drivers\etc\hosts, dependiendo de la versión de Windows. Dicho archivo es usado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS. El archivo HOSTS normalmente no es utilizado en una instalación doméstica. En caso contrario, confirme con el administrador de su red si el mismo es necesario, y de lo contrario bórrelo.

3. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

4. Borre también los mensajes electrónicos similares a los descriptos antes.


Si no se realiza cuidadosamente este procedimiento de limpieza, el gusano puede volver a modificar ciertos archivos, o incluso el registro. Si es necesario, reitere los mismos pasos luego de completar la primera limpieza.


Información adicional

Actualizar Internet Explorer

Actualice su Internet Explorer según se explica en el siguiente artículo:

http://www.vsantivirus.com/vulms03-032.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com