WinZip Self-Extractor
WinZip Self-Extractor header corrupt.
Possible cause: bad disk or file transfer error

El usuario, pensando se trata de una descarga inconclusa, no sospechará que en ese momento el troyano se ha copiado a si mismo al directorio C:\WINDOWS con el nombre de SYSTEMSPOOLER.EXE y que ha modificado además, la siguiente clave del registro para ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Spooler service = C:\WINDOWS\SYSTEMspooler.exe

Una vez en memoria, el troyano robará las claves de acceso a Internet, y las intentará enviar a un usuario de ICQ. Esto lo hace aún sin la presencia del programa ICQ en la computadora infectada.

Como sacar el troyano de un sistema infectado

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

Spooler service "C:\WINDOWS\SYSTEMspooler.exe"

4. Pinche sobre el nombre "Spooler service" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

7. Pinche en Inicio, Buscar, Archivos o carpetas.

8. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

9. En la casilla "Nombre" escriba (o "corte y pegue") el siguiente nombre:

SYSTEMspooler.exe

10. Pinche en "Buscar ahora".

11. Si aparece ese archivo, márquelo.

12. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.

13. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

14. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.

Fuente: McAfee, Kaspersky