Estás aquí: Windows Live / Messenger / Trucos / Eliminar el gusano Guapim de messenger

Eliminar el gusano Guapim de messenger

Nacho Osendi Bordel, Sábado 01 de Enero de 2005

En este artículo te explicamos como desinfectarte del gusano Guapim, que utiliza el messenger para propagarse

Gusano con capacidad para propagarse a través del envío de mensajes a los contactos de las aplicaciones de mensajería instantánea 'AOL Instant Messenger' y 'MSN Messenger'. También puede difundirse apor la red de intercambio de ficheros de varias aplicaciones P2P.

Descarga y ejecuta cierto software espía desde determinada dirección.

Modifica el fichero HOSTS para impedir el acceso a varios sitios web pertenecientes a compañías antivirus.

Propagación vía Messenger

Envía el siguiente mensaje a todos los contactos de las aplicaciones de mansajería instantánea 'AOL Instant Messenger' y 'MSN Messenger' del equipo afectado:

Hehe, take a look at this funny game http://freegames.yaboo.dk/[-borrado-]/Monkye.exe

Cómo eliminar Guapim

Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows XP.

Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

Para evitar que el gusano sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de las siguientes claves del registro de Windows, el valor indicado:

Claves: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
        HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
        HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion RunServices
Valor: "PK Guard" = "%System%pkguard32.exe"

Restaure el valor indicado para restaurar el nivel de seguridad del equipo afectado:

Claves: HKEY_LOCAL_MACHINES YSTEM CurrentControlSet Services SharedAccess
        HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services wuauserv 
Valor: "Start" = "3"   (3 es el valor por defecto)  

Restaure el fichero 'HOST' (normalmente ubicado en %System%/ drivers/ etc/ hosts) que ha sido modificado por acción del gusano.
Para ello, utilice una copia de seguridad de dicho fichero, o bien, elimine las siguientes lineas de su contenido, abriéndolo con algún editor, como por ejemplo Notepad:

  • 127.0.2.5 www.symantec.com
  • 127.0.2.5 symantec.com
  • 127.0.2.5 securityresponse.symantec.com
  • 127.0.2.5 sarc.com
  • 127.0.2.5 www.sarc.com
  • 127.0.2.5 www.sophos.com
  • 127.0.2.5 sophos.com
  • 127.0.2.5 www.mcafee.com
  • 127.0.2.5 mcafee.com
  • 127.0.2.5 liveupdate.symantecliveupdate.com
  • 127.0.2.5 www.viruslist.com
  • 127.0.2.5 viruslist.com
  • 127.0.2.5 f-secure.com
  • 127.0.2.5 www.f-secure.com
  • 127.0.2.5 f-prot.com
  • 127.0.2.5 www.f-prot.com
  • 127.0.2.5 kaspersky.com
  • 127.0.2.5 kaspersky-labs.com
  • 127.0.2.5 www.avp.com
  • 127.0.2.5 avp.com
  • 127.0.2.5 www.kaspersky.com
  • 127.0.2.5 www.networkassociates.com
  • 127.0.2.5 networkassociates.com
  • 127.0.2.5 www.ca.com
  • 127.0.2.5 ca.com
  • 127.0.2.5 mast.mcafee.com
  • 127.0.2.5 my-etrust.com
  • 127.0.2.5 www.my-etrust.com
  • 127.0.2.5 download.mcafee.com
  • 127.0.2.5 dispatch.mcafee.com
  • 127.0.2.5 secure.nai.com
  • 127.0.2.5 nai.com
  • 127.0.2.5 www.nai.com
  • 127.0.2.5 vil.nai.com
  • 127.0.2.5 update.symantec.com
  • 127.0.2.5 updates.symantec.com
  • 127.0.2.5 us.mcafee.com
  • 127.0.2.5 liveupdate.symantec.com
  • 127.0.2.5 customer.symantec.com
  • 127.0.2.5 rads.mcafee.com
  • 127.0.2.5 trendmicro.com
  • 127.0.2.5 www.trendmicro.com
  • 127.0.2.5 housecall.trendmicro.com
  • 127.0.2.5 pandasoftware.com
  • 127.0.2.5 www.pandasoftware.com
  • 127.0.2.5 www.trendmicro.com
  • 127.0.2.5 free.grisoft.com
  • 127.0.2.5 www.grisoft.com
  • 127.0.2.5 grisoft.com
  • 127.0.2.5 clamav.net
  • 127.0.2.5 www.clamav.net
  • 127.0.2.5 free-av.com
  • 127.0.2.5 www.free-av.com
  • 127.0.2.5 www.avast.com
  • 127.0.2.5 avast.com
  • 127.0.2.5 cert.org
  • 127.0.2.5 www.cert.org
  • 127.0.2.5 www.microsoft.com
  • 127.0.2.5 microsoft.com
  • 127.0.2.5 www.virustotal.com
  • 127.0.2.5 virustotal.com
  • 127.0.2.5 update.microsoft.com
  • 127.0.2.5 windowsupdate.microsoft.com

Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

 Fuente: Alerta-antivirus.es