Pasos para desinfectar las computadoras con el virus services.

exe
Este manual est orientado a explicar a los usuarios un mtodo de descontaminacin muy sencillo para un programa maligno que ha estado afectando las computadoras de la UCI y que ha provocado gran inestabilidad en la red de datos. Este programa maligno copia un archivo ejecutable (services.exe) en el disco duro de la PC (C:\Documents and Settings\All Users\Favoritos) y provoca que la PC empiece a emitir gran cantidad de paquetes a la red, provocando su inestabilidad. Los sntomas para determinar si la computadora est infectada son los siguientes: No es posible ejecutar la consola de comandos de Windows (CMD) No es posible ejecutar el Administrador de Tareas de Windows (Task Manager) La PC funciona con lentitud Se aprecia en la actividad de red de la PC mayor cantidad de paquetes enviados que recibidos. La primera variante de este programa maligno es detectada por el antivirus Kaspersky como Trojan.Win32.Vilsel.voq. Se ha detectado otra variante que ya fue enviada a los laboratorios de Kaspersky para su procesamiento. Para desinfectar la PC se pueden seguir los siguientes pasos: 1. Iniciar la PC en modo a prueba de fallos (antes de aparezca el mensaje de bienvenida de Windows pulsar repetidas veces la tecla F8)

2. Borrar el fichero services.exe se encuentra en C:\Documents and Settings\All Users\Favoritos

3. Iniciar Windows normalmente verificando que no hay ninguna memoria flash o dispositivo de almacenamiento USB conectado a la PC. Verificar en el Task Manager de Windows que no existen procesos de ping.exe ejecutndose. A partir de este momento ya ha quedado completamente descontaminada la computadora.

A continuacin se explicarn otro grupo de acciones para impedir una futura infeccin de la PC con otras variantes de este programa maligno que no sean detectadas por Kaspersky. 4. Para evitar que la PC vuelva a infectarse se recomienda crear un fichero txt o de cualquier otro tipo (que no est vaco para que el tamao sea diferente de 0 KB) en esa misma localizacin del disco duro y luego renombrarlo a services.exe 5. Quitar posteriormente los permisos a todos los usuarios sobre ese fichero. En las propiedades del fichero renombrado a services.exe, desde el botn Avanzadas de la pestaa Seguridad

Entrar a la ventana Configuracin avanzada de seguridad y desmarcar la herencia de permisos para este fichero.

Luego seleccionar Remove o Copy, asegurndose en cualquier caso que no quede ningn usuario con permisos para ese fichero.

Las propiedades de seguridad del fichero deben quedar de la siguiente manera

Al hacer lo anteriormente descrito se impide que el programa maligno puede copiarse nuevamente en la localizacin C:\Documents and Settings\All Users\Favoritos debido a que ya existe un fichero de igual nombre que no permite ser reemplazado.