el molesto imagens001.exe
Para empezar, debemos saber que imagens001.exe es un Win32.TrojanDownloader.B
anload.ID y es de bajo nivel (casi sin importancia, es molesto). Cuando ejecutas el archivo "imagens001.exe" se copia a %windir%\system32\service\navupdt.exe y luego baja un archivo JPG fake, que se guarda como services.exe.
También existe en esa carpeta el archivo services.exe que al abrirlo con note pad vemos que es el codigo fuente de una web con el titulo Brasil Online con varios textos, al final hay adjunto un archivo JavaScript que no tiene nada de malicioso a primera vista pero son direcciones que bloquea (todo antivirus on-line brasileños).
Arxivo service.dll - Configuración
[VERSAO]
1
[MODULO]
http://mdcoco01.vila.bol.com.br/md_coco.jpghttp://mdcoco01.vila.bol.com.br/md_coco.jpg[SMTP]
smtp.mail.yahoo.co.jp
smtps.uol.com.br
[CONTAS]
1:
[email protected]:cpp171
2:
[email protected]:cpp171
[DESTINO]
[email protected][EMAILS_CONTATOS]
[email protected][MensagemMSN]
Mira las fotos >>>
http://hometown.aol.com.au/miralafoto/imagens001.exe[END]
La solución para borrar el archivo/virus tan molesto es un poco complicada para aquellos que desconocen totalmente "este mundo"... Primero para saber seguro que el programa esta funcionando debemos usar el Administrador de Tareas de Windows (accedemos con Control+Alt+Supr), una vez ahi vamos a ver los procesos y los ordenamos por nombre de usuario de manera que veremos el programa "services.exe" ejecutado con el nombre de nuestro usuario (habrá otro como SYSTEM, que es el real). Debemos parar el "service.exe" ejecutado como nuestro usuario para que deje de causar molestias (pulamos Terminar proceso).
Ahora es hora de quitarlo de nuestro Microsoft Windows, para tal cosa deberemos reiniciar nuestro ordenador, pero a "Modo a Prueba de Fallos" (tambien conocido como "Modo Seguro"). Para reniciarlo a Modo Seguro deberemos pulasr repetidas veces F8 después de que nuestro ordenador chekee la memoria RAM (es un poco después pero es algo dificil contarlo). Nos saldra una lista de "boots", Modo Seguro, Modo Seguro con Funciones de red, Iniciar Windows normalmente... vamos a Modo Seguro, el primero de todos. Cargará nuestro Windows y nos saldra la pantalla para escojer la cuenta con la que iniciar, selecionad Administrador.
Ya vemos nuestro escritorio, aunque es algo diferente, ¿verdad?
Ahora vamos a nuestro Disco Duro donde tenemos Windows (por defecto es C: y la carpeta WINDOWS\). De tal modo que accedemos a Windows\System32\service y ahi veremos varios archivos y eso significa que debemos borrarlos al completo para que no se ejecuten de nuevo.
Referencia: http://www.gsmspain.com/foros/394087_Off-topic_Ayuda--Virus-.html
[VERSAO]
2
[MODULO]
http://hometown.aol.com.au/modnatal/mdv2_coco.jpghttp://hometown.aol.com.au/modnatal/mdv2_coco.jpg[SMTP]
smtp.globo.com
smtp.pop.com.br
[CONTAS]
1:
[email protected]:992769
1:
[email protected]:992769
2:
[email protected]:102030
2:
[email protected]:102030
[DESTINO]
[email protected][EMAILS_CONTATOS]
[email protected][MensagemMSN]
ve esa vaina
http://hometown.aol.com.au/miralafoto/foto.exe[END]
Autor