HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
y
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
Borre la carpeta "RunDLL32r" si aparece en alguna de las dos ramas mencionadas.
2. Con el REGEDIT localice las siguientes ramas:
HKEY_LOCAL_MACHINE
Software
Microsoft
Active Setup
Installed Components
Borre las entradas "%random" y "name%" si aparecen allí
3. Con el REGEDIT localice la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
Currentversion
explorer
User shell folders
Borre la entrada "Common Startup" en la ventana de la derecha
4. Desde Inicio, Ejecutar, teclee SYSTEM.INI (más Enter), y modifique la siguiente entrada (nombre_servidor puede ser cualquier nombre dado al servidor del troyano):
[boot]
shell=Explorer.exe c:\windows\system\nombre_servidor.exe
Cámbiela por la siguiente:
[boot]
shell=Explorer.exe
5. Desde Inicio, Ejecutar, teclee WIN.INI (más Enter), y modifique la siguiente entrada:
[Windows]
load=c:\windows\system\nombre_servidor.exe
Cambiándola por la siguiente:
[windows]
load=
6. Borre el archivo C:\EXPLORER.EXE
Importante: No confunda C:\EXPLORER.EXE con C:\WINDOWS\EXPLORER.EXE que es el Explorador de Windows.
7. Reinicie la computadora
8. Borre el archivo del troyano, ("nombre_servidor.exe", donde "nombre_servidor" puede ser cualquier nombre dado al servidor), de la carpeta C:\WINDOWS\SYSTEM
Fuentes: Dark Eclipse, Panda
0 comentarios:
Publicar un comentario