c:\documents and settings\default\start menu\programs\startup\hotfix.exe
c:\hotfix.exe
c:\my shared folder\
c:\program files\ares\my shared folder\
c:\program files\bearshare\shared\
c:\program files\earthstation5\new media files\
c:\program files\edonkey2000\incoming\
c:\program files\grokster\my grokster\
c:\program files\imesh\client\
c:\program files\kazaa lite\my shared folder\
c:\program files\kazaa\my shared folder\
c:\program files\overnetincoming\
c:\program files\qtraxmax\
c:\program files\shareaza\downloads\
c:\program files\ws_ftp\about.exe
c:\program files\xolox\downloads\programs\
c:\program files\xs client\
c:\windows\start menu\programs\startup\hotfix.exe
c:\winnt\start menu\programs\startup\hotfix.exe
d:\hotfix.exe
e:\hotfix.exe
f:\hotfix.exe
g:\hotfix.exe
h:\hotfix.exe
i:\hotfix.exe
j:\hotfix.exe
k:\hotfix.exe
l:\hotfix.exe
m:\hotfix.exe
n:\hotfix.exe
o:\hotfix.exe
p:\hotfix.exe
q:\hotfix.exe
r:\hotfix.exe
s:\hotfix.exe
t:\hotfix.exe
u:\hotfix.exe
v:\hotfix.exe
w:\hotfix.exe
x:\hotfix.exe
y:\hotfix.exe
z:\hotfix.exe

También se copia en las carpetas compartidas de las siguientes aplicaciones P2P que estén instaladas en el equipo infectado (no todas esta aplicaciones están activas actualmente):

Audiogalaxy Satellite
Blubster
Blue Box Network
DC++
Direct Connect
eMule
Filetopia3
FreeWire
Gnucleus
iMesh
LimeWire
Morpheus
Nova
SoulSeek

También crea o modifica los siguientes valores en el registro de Windows:

HKLM\SOFTWARE\Qtrax\Gnutella\download
SharedDirectory = C:\Program Files\QtraxMax

HKCU\Software\iMesh\Client\LocalContent
Dir2 = 012345:C:\Program Files\iMesh\Client

Estos son algunos de los nombres con los que se copia en las carpetas compartidas de las utilidades P2P:

100PROOF.exe
2600 Tones.exe
about.exe
Ad-aware.exe
Adobe Illustrator 10.exe
AIMPatch.exe
All Your Base.exe
Anal Play.exe
Animatrix.exe
API Spy.exe
Arcade Pack.exe
Atari2600.exe
Autocad2002.exe
Avril Naked.exe
Battlenet Crack.exe
BattleNetKeyGen.exe
Bejeweled.exe
Best of Porn.exe
BitTorrent.exe
BLEAM Install.exe
Blue Girl.exe
BOOTIE.exe
BUGSLIFE.exe
Caracho Clone.exe
Cd Ripper2.0.exe
Celeb Bloopers.exe
civ2map.exe
Civilization 3.exe
COMBO.exe
Commodore64 ROM.exe
Commodore64.exe
CrazyGirlSex.exe
Credit Card Gen.exe
CuteFTP.exe
DareDevil.exe
DBZ Season 4.exe
DC++.exe
DCPlusPlus.exe
DeadAIM.exe
Diablo Item Gen.exe
DirectX9.exe
DivFix.exe
DIVX 6.0 codec.exe
DIVX Codec.exe
Donkey Kong.exe
DOOM3 Beta.exe
DoomII Install.exe
Duke Riots.exe
E3 Sampler.exe
EVEOnline.exe
FakeID.exe
Fate Zero.exe
Fetish Sex Game.exe
Finale 2002.exe
Fireworks MX Final.exe
Flapjack.exe
FreeBSD.exe
Friends.exe
Galaga2.exe
GameCube Emulator.exe
GeForce4 Drivers.exe
gens.exe
GTA3 Crack.exe
Hamster Dance.exe
hbo-codecs.exe
Hello Kitty.exe
Hentai and Friends.exe
Hitchhikers Guide.exe
Homestarrunner.exe
Hot Teens_9.exe
hotfix.exe
Hotline Server.exe
ICQ Lite.exe
ISO Burner.exe
Kazaa Hack.exe
Kazaa321.exe
King Quest 6.exe
kmd.exe
Kung Fu Chess.exe
Limewire7.2.exe
Magic Card Gen.exe
Mandrake Linux.exe
Manga.exe
MAPLE.exe
Mathematica.exe
MATLAB6.5.exe
Megaman X 2.exe
mIRC.exe
Monty Python.exe
Mozilla2.1.exe
MP3 PRO codec.exe
MTV VMAs 2003.exe
Napster (Free Beta).exe
Netbus Scanner.exe
NIMO Codepack.exe
Nimo50build8.exe
OGG Vorbis codec.exe
Opera Baby.exe
Oreo Punter(AOL).exe
Pac-man.exe
PGP Cracker4.exe
Photoshop6.exe
PortScanner2 Install.exe
pr0n Showcase.exe
PS2 Emulator.exe
QuickTimeInstaller.exe
Railroad Tycoon.exe
readme.exe
Red Hat 9.0.exe
Rescue Disk.exe
SimCity Classic.exe
SimCity4 Crack.exe
Slackware Setup.exe
SmartFTP.exe
Snood Full.exe
Snood244.exe
SOJ Generator.exe
Solitaire2.exe
SoundForge6.exe
Space Invaders.exe
Spybot.exe
SpyWare Stopper.exe
Starcraft Ghost.exe
Starcraft Map Hack.exe
StrongBad.exe
Super Mario3.exe
SuSe Linux.exe
TheSims(1 of 3).exe
Titties Galore Pt3.exe
Trillian Pro1.0.exe
Trogdor.exe
UNREAL2.exe
VB OCX Tools.exe
VirtualDub.exe
VisualBoyAdvance.exe
VIVO Player.exe
Warcraft3 Crack.exe
Winamp3.exe
Windows Update Crack.exe
WinDVD.exe
WinRAR.exe
WinXP Crack.exe
WinXP Serial.exe
Worms World Party.exe
Worms World Party.exe
WWWHacker.exe
Xbox Emulator.exe
XVID decoder.exe
ZSNESW.exe

Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Información adicional

Restaurar la configuración de los programas P2P

Como el virus modifica la configuración de algunos programas de intercambio de archivos (P2P), es necesario restaurar las mismas para seguir utilizando esos programas. Para ello, deberá seguir las instrucciones reportadas con la documentación de dichas aplicaciones.


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com