Nombre: Win32.Spybot.worm
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: W32/Forbot, Forbot, Backdoor.Agobot.3.IX, Backdoor.ForBot.a, Backdoor.Forbot.b, Backdoor.ForBot.B, Backdoor.Forbot.C, Backdoor.ForBot.D, Backdoor.ForBot.d, Backdoor.ForBot.e, Backdoor.ForBot.f, Backdoor.ForBot.gen, Backdoor.ForBot.GEN, Backdoor.IRC.Bot, Backdoor:IRC/SdBot, IRC/BackDoor.SdBot.29.N, Spybot.1_2UD, Trojan.Scsmxe, W32.HLLW.Gaobot.gen, W32.IRCBot.Gen, W32.Spybot.Worm, W32/Forbot-B , W32/Gaobot.worm.gen.g, W32/Gaobot.YH.worm, W32/Sdbot.AED.worm, W32/Sdbot.worm.gen, W32/Sdbot.worm.gen.o, W32/Sdbot-DN, W32/Sdbot-DP, W32/Sdbot-EB, W32/Spybot.RZ, Win32.Forbot, Win32.ForBot.A, Win32.ForBot.B, Win32.ForBot.B, Win32.ForBot.C, Win32.ForBot.D, Win32.ForBot.E, Win32.Forbot.G, Win32.Forbot.H, Win32.HLLW.ForBot.24021, Win32/Agobot.123168.Trojan, Win32/Agobot.Worm, Win32/Forbot.A, Win32/ForBot.A.Worm, Win32/Forbot.C, Win32/Forbot.D, Win32/Forbot.E, Win32/Forbot.F, Win32/ForBot.F.Worm, Win32/Forbot.G, Win32/Forbot.G.Worm, Win32/Forbot.NA, Win32/Forbot.NB, Win32/Forbot.NC, Win32/IDStreal.Worm, Win32/Slinbot.122704.Worm, Win32/SpyBot.351600.Trojan, Win32:Forbot-B [Trj], Worm.Forbot.B1, Worm/Agobot.23.BS, Worm/ForBot.C, Worm/Spybot.UT, WORM_SDBOT.FO

Este es un Gusano de internet con funciones de caballo de Troya que se propaga por programas P2P tipo KaZaa.

Pasos para eliminar w32.spybot.worm:

1- Desconectar las carpetas compartidas de KaZaa o cualquier otro programa de intercambio de archivos P2P

2- Descargar el parche de seguridad Microsoft Security Bulletin MS04-011

3- Si usas Win Me o XP apagar el Restaurar Sistema de las propiedades de MiPc.

4- Reiniciar el sistema pulsando la tecla F8 y en modo a prueba de fallos.

5- Pasarle un Antivirus actualizado, eliminar lo que encuentre y lo que no pueda eliminar anotar el nombre para buscar despues.

6- Buscar y eliminar estos archivos:

amsndmgr.exe
keylog.txt
open_me.exe

Borra también la carpeta "neveragain" y su contenido:

c:\windows\system\neveragain


Editar el registro

7- Inicio>Ejecutar> y poner REGEDIT, si encuentras algun archivo que el antivirus no puedo borrar en estas ramas eliminarlo manualmente.

8- En el parte izquierda del regedit, pincha en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

9- Pincha en la carpeta "Run" y busca y borra esta entrada:

lnternet Explorer = c:\windows\system\amsndmgr.exe

10- Ahora busca esta rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Runonce

11- Pincha en la carpeta "Runonce" y busca y borra esta entrada:

lnternet Explorer = c:\windows\system\amsndmgr.exe

12- Busca esta otra:

HKEY_CURRENT_USER
\Software
\KAZAA
\LocalContent

13- Pincha en la carpeta "LocalContent" y busca y borra esta entrada:

Dir0 = 012345:c:\windows\system\neveragain\

14- Salir del registro y confirma los cambios.

15- Poner en el buscador de windows tftp*.* y eliminar todos los que esten en C:\ pero que tengan 0 KB unicamente los que tengan 0 KB

16- Reiniciar el Pc en modo normal.

17- Pasarle el Panda Active Scan Antivirus

Espero que les funcione y si tienen dudas o no puede eliminarlo pueden abrir un nuevo tema en este foro y los ayudaremos.

__________________