Cómo eliminar manualmente el virus fantasma
Escrito por Moonesia

Publicado: 13/06/2006
    Actualizado: 13/06/2006
Página personal    

Primeramente veremos si podemos ejecutar el editor de registro de windows (regedit.exe).

Oprimimos el botón inicio, seleccionamos ejecutar y en la caja de diálogo escribimos regedit.exe y presionamos Enter.
Si de esta forma no es es imposible, puesto que el virus nos impide ejecutarlo, procederemos a hacer lo siguiente:

1. Nos bajamos el archivo fixswen.inf (tranquilos es un archivo que lo que hará será simplemente modificar la parte del registro que ha cambiado el virus para impedirnos acceder al editor)

2. Nos paramos sobre el archivo que acabamos de bajar, presionamos el botón derecho del mouse y seleccionamos instalar ( si nos pregunta si queremos instalarlo o algo así decimos que si)

Ahora procederemos entonces, con nuestro regedit.exe liberado a volver a realizar el primer paso de este tutorial:

1. Oprimimos el botón inicio, seleccionamos ejecutar y en la caja de diálogo escribimos regedit. exe

2. Buscamos en regedit las carpetas (o ramas siguientes) y vamos abriendo una, luego buscando dentro de ella la que sigue, etc: HKEY_LOCAL_MACHINE->Software->Microsoft ->Windows->CurrentVersion->Run

3.Miramos si aparece alli la carpeta "RunDLL32r", si es así, la borramos

4. Ahora, sin cerrar regedit buscamos en las carpetas (o ramas) siguientes: HKEY_LOCAL_MACHINE->Software ->Microsoft->Active Setup->Installed Components

5. Miramos si aparecen allí las entradas "%random" y "name%" y las borramos

6. Ahora, buscamos las carpetas (o ramas) siguientes: HKEY_LOCAL_MACHINE ->Software->Microsoft->Windows->CurrentVersion ->explorer->User shell folders

7.Borramos la entrada "Common Startup" en la ventana de la derecha

8. Cerramos regedit y oprimimos otra vez, el botón inicio, seleccionamos ejecutar y en la caja de diálogo escribimos SYSTEM.INI (más Enter)

9. Se nos abrirá un archivo de texto, donde modificaremos la siguiente entrada: (nombre_servidor puede ser cualquier nombre dado al servidor del troyano):

[boot]
shell=Explorer.exe c:\windows\system\nombre_servidor.exe


cambiándola por :

[boot]
shell=Explorer.exe


10. Grabamos y cerramos el archivo

11. Ahora volvemos a l botón inicio, seleccionamos ejecutar y en la caja de diálogo escribimos WIN.INI (más Enter) y modificamos la siguiente entrada:

[Windows]
load=c:\windows\system\nombre_servidor.exe

Cambiándola por :

[windows]
load=

12. Luego abrimos Mi Pc, buscamos el disco o unidad C:\ y alli nos paramos sobre el archivo explorer.exe y presionando a la vez la tecla shift y la tecla Supr lo borramos.
Importante: No confunda C:\EXPLORER.EXE con C:\WINDOWS\EXPLORER.EXE que es el Explorador de Windows.

13. Decimos que queremos borrarlo cuando windows nos pregunte

14. Reiniciamos el ordenador

15. Borramos el archivo del troyano, ("nombre_servidor.exe", donde "nombre_servidor" puede ser cualquier nombre dado al servidor), de la carpeta C:\WINDOWS\SYSTEM

16. Finalmente si alguien te avisa o tu ves, que al usar el mirc estas enviando el link con el virus por privados o canales. Desinstala tu mirc e instala uno nuevo desde cero.

Este tutorial ha sido realizado recopilando información dispersa de diferentes fuentes, para hacer más clara la eliminación del virus, por lo tanto mi trabajo no ha sido mas que recopilar y unir los textos en un solo documento.

Fuentes: Mcafee Threat Center Video Soft Antivirus Enciclopedia Symantec Security Response