1 anexo(s) | Baixar anexo (198,7 KB) Imagem.jpg (198,7 KB)
tem você ai...
Con asunto: Fotos 05/06
No lo abras! Es un virus.
Si ya lo has abierto estás infectado.
Qué hace el virus?
Abre un nuevo proceso oculto del Internet Explorer, que hace uso de tus credenciales de tu cliente webmail (hotmail o gmail) y reenvía a todos tus contactos el virus, varias veces.
Cómo lo limpio?
A día de hoy, 12 de junio de 2010, no hay un antivirus que lo limpie, así que debes borrarlo manualmente.
Los pasos son:
1. Cerrar sesión en hotmail para que el virus deje de reenviarse a todos tus contactos.
2. Eliminar toda la información privada de Internet Explorer, pulsando Ctrl+Mayúsculas+Del
3. Matar los procesos del virus desde el Administrador de tareas: Ctrl+Alt+Del / Iniciar el Administrador de Tareas / Procesos / Ver procesos de todos los usuarios / Ordenar por nombre (Pinchar en la columna "Nombre de Imagen") y buscar:
- xlr.exe
- xlr2.exe
(Con el botón derecho / Finalizar el árbol de tareas)
4. Borrar las claves de registro, para que al reiniciar el equipo no se vuelva a abrir el virus: TeclaDeWindows+R / regedit.exe / Edición / Buscar y escribimos xlr.exe. Cuando lo encuentre, borrar todo lo que empiece por xlr. Serán 2 o 4 claves, dependiendo de las veces que hayamos intentado abrir la foto.
5. Borrar la carpeta donde están copiados los ficheros del virus (C:\CMOS): Abrir el explorador de archivos. La carpeta está oculta, por lo que debes tener configurado el explorador de archivos para que permita ver archivos ocultos. Si no ves una carpeta que se llame CMOS dentro de C:\, haz lo siguiente: Pulsa tecla Alt / Herramientas / Opciones de Carpeta / Ver / Archivos y Carpetas Ocultos / Mostrar Archivos, carpetas y unidades ocultos.
Ahora que ves la carpeta intenta eliminarla. Si da error, cámbiale el nombre a CMOSKKKKKK.
6. Reinicia el ordenador.
Si todo ha ido bien, ya no aparecerá el proceso xlr.exe en la lista de procesos, ni habrá aparecido de nuevo la carpeta C:\CMOS, y lo más importante, tus amigos dejarán de recibir el virus.
Si alguno de tus amigos ya ha abierto el correo y está también infectado, mándale este artículo.
Editado el 18/06/2010: Aprovecho el enorme número de visitas que está teniendo este artículo para daros a conocer una nueva web de empleo en la que he colaborado, y que tal como está la situación, podría resultarle útil a alguien. Se llama FaqJobs (www.faqjobs.net). Perdón por el inciso.
Editado el 21/06/2010: Cierro los comentarios. Empiezan a haber más de spam que de lectores
Estoy en el paso 5 y al cambiar el nombre por CMOSKKKKKK no puedo eliminarlo porque dice que el archivo está en uso, ya he reiniciado el ordenador antes. ¿Qué puedo hacer?
Muchas gracias.
Si te siguen apareciendo, repite todos los pasos, pero en el paso 3, el de matar procesos, mata también todos los que se llamen iexplore.exe. Te cerrará los navegadores abiertos por tí, y también el que te haya abierto el virus en modo invisible.
Se me ha olvidado comentar que el virus no habría sido capaz de reenviarse a sí mismo si no se hubiera iniciado sesión desde Internet Explorer, es decir, si nunca utilizamos Internet Explorer, aunque el virus estuviera ejecutándose en el pc, no habría encontrado la manera de entrar a hotmail y coger nuestra agenda de contactos.
Alternativas a Internet Explorer a salvo de este y otros virus:
http://www.google.es/chrome
http://www.mozilla-europe.org/es/firefox/
Perdonad mi ignorancia que es total y la prueba es que yo ejecute esta tarde la aplicacion, pero tengo una pregunta:
¿que es hacerse con las credenciales de hotmail y gmail? o dicho de otra forma: ¿cual es el daño real que puedo sufrir yo y aquellos a quienes se lo he "reenviado"?
Muchas gracias!!
Un saludo
Gracias!
un saludo
una vez más gracias por colgar este post tan bien explicado!! suerte que hay gente que "dedica" unos minutos de su tiempo a poder contar lo que sabe en internet
Un abrazo,
Xavi
mil gracias por tu tiempo.Saludos!!
Hay que abrir la foto para infectarse.
De todas formas, si quieres estar seguro de no estar infectado mira que no esté corriendo el proceso xlr.exe
Una pequeña sugerencia para aquellos que no les deje borrar la carpeta CMOS. Os podeis bajar un programa que se llama "unlocker"
Cuando te sale el mensaje de windows (porque esta en uso el archivo xlbs... o algo así) al intentar borrar la carpeta CMOS, el programilla este (UNLOCKER) salta y te permite la opción de eliminar. Te saldrá un mensaje del programa diciendo que si quieres que se borre al reiniciar el sistema. Reinicias y ya está
UN saludo
http://www.brothersoft.com/download-unlocker-208761.html
Había probado con Kapersky, Microsoft Essentials, Nod 32, Norton y McAfee y ninguno me lo encontraba!
msncleaner
yo lo e borrado con eso
Un saludo
muy útil!!!
Estoy en deuda.
Un saludo
Es gratuito.
Si no fuera por los buenos samaritanos de la red como tu, muchos de nosotros estariamos jodidos!
Mil gracias.
Sin embargo para intentar eliminarlo al ir a procesos curiosamente no aparece ningún xlr. También he buscado en C: la carpeta CMOS de la que hablas y no aparece pese a que tengo visibles los archivos ocultos. ¿Es posible que el virus por alguna razón no se haya instalado?
Gracias y un saludo
Si sí que lo ha enviado, es posible que haya mutado y ahora se llame de otra forma.
Puedes reenviarme el correo con el virus y lo miro.
Un saludo.
El antivirus que tengo es un Panda, una versión de evaluación. Con eso te lo digo todo... Pero sí, tal vez haya podido pararlo de alguna manera. Por cierto, he estado en casa de mi hermano que como te he dicho está infectado y aunque he logrado cerrarle los procesos xlr, no aparece la carpeta CMON. Es posible que yo esté haciendo algo mal. La busco en archivos comunes de C: tras configurarlo para que sean visibles las carpetas ocultas, pero no aparece. No entiendo el paso previo de regedit.exe (no, no tengo mucha idea de informática, lo reconozco...).
En cualquier caso, muchas gracias por tu ayuda.
Saludos
P.D. Menuda murga te estamos dando con este tema...
y si se pincha en la foto?
MUCHAS GRACIAS POR TU INFORMACIÓN
un saludo
haber a mi me han enviado este mensaje, lo he abierto y he pensado q era ujn virus y lo he borrado, por si acaso he mirado en los procesos y en ningun lado me sale xrl ni en el regedit ni nada. entonces no tengo nada no?
gracias por adelantado
estos blogs son los q nos salvan dia a dia(:
Con tu información he podido solucionar lo del dichoso bichito de Fotos 05/06.
Muchas gracias amigo
Una vez limpio el registro, reinicias la máquina y borras la carpeta.
Gracias por el manual, me ha venido pero que muy bien.
Un saludo.
Gracias
Si abro el correo desde el iPhone y le doy a la foto y m sale una página como para q se abra la foto y antes de q se cargue cierro la pág. Tengo el virus?? Pq aquí en el teléfono no puedo hacer ninguno de esos pasos..
No he notado q el teléfono vaya mal pero querría saber si pasa algo...
Muchas gracias!!
Lo detectó y lo eliminó antes de infectar el ordenador.
He recibido la puñetera foto y como no he caido en la trampa como una IMBECIL...ahora estoy verdaderamente desesperada.
He seguido tus increibles y más que claras explicaciones al pie de la letra, pero NO HAY ANERA. ¡¡¡ CADA VEZ QUE REINICIO EL OREDENADOR ESTÁN AHI LOS PROCESOS xlr y xlr2 así como el archivo C:/MOS.
He probado en finalizar el proceso iexplorer.exe, pero en mi PC no aparece.
Lo que creo que estoy haciendo mal es el PASO 2 que como soy rubia no lo capto... me he metido en opciones de internet y le he dado a ELIMINAR TODO...archivos temprales, cookies y toda la mandanga porque las teclas CTR+ALT+DEL o CTR+ALT+SUPR no me llevan a ninguna parte (no se si porque las pulso cuando o donde no toca).
¿¿¿¿¿¿¿¿¿¿¿¿Podrías ayudarme por favor????????????....NO PUEDO MAS!!!! ES EL VIRUS MAS MOLESTO DEL MUNDO y me tiene dl todo inhabilitado el correo.
MIL GRACIAS
http://www.brothersoft.com/download-unlocker-208761.html
y ejecutas este programa le das a elminar y reinicias, y asi se borra, luego no se te olvide queitarlo de la papelera de reciclaje, saludos y gracias a todos otra vez !!!
Da gusto que haya personas como tú.
Para cualquier cosa podeis contactar conmigo en el siguiente foro : http://foro.devildrey33.es/viewtopic.php?f=6&t=34&p=39#p39
Espero que os sirva de ayuda, saludos.
Gracias
Mil gracias de antemano
Gracias
De todas formas como ya he comentado mas arriba, he creado una aplicación que revisa y desinstala ese virus sin complicaciones : http://www.devildrey33.es/Apps/Antivirus_fotos.zip
Para mas información podéis consultar este enlace : http://foro.devildrey33.es/viewtopic.php?f=6&t=34&p=39#p39
Espero que os sirva de ayuda, Saludos.
Por otra parte, agradezco la contribución y apoyo que nos ha brindado David Lozano Lucas con esta publicación y al resto de ustedes por los comentarios que también han sido de gran utilidad.
Yo también caí como una tonta, jejejje. En principio parece que lo he eliminado aunque ahora me sucede algo muy raro. Mi portatil tiene dos usuarios: el de mi marido y yo. Después de haber hecho todo lo que dices ahora resulta que desde mi usuario no tengo acceso a hotmail, vamos que ni siquiera se abre la página del windows live, cosa que si hacía cuando tenía antes el virus aunque ésta se caía inmediatamente en cuanto metía mi nombre y contraseña, además de enviarle spams a mis contactos. Pues extrañamente desde el usuario de mi marido si que puedo entrar en hotmail y no se me va y parece que no ha enviado más virus.
Me habré cargado algun archivo o algo en el proceso de desinfección. Deciros que copié el link ese del devildrey33 y no me dejó borrar los virus, por lo que hice los pasos que dejaste. Y por cierto tampoco encuentro donde se me ha instalado ese archivo.
Muchas preguntas no? Gracias si me echas un cable
www.google.es/chrome
www.mozilla.com/firefox/
www.opera.com/download/
www.apple.com/es/safari/download/
Espero que haya sido suficiente la información entre el artículo y las respuestas a las preguntas.
Un saludo a todos ;=)
"Microsoft facilitará a los usuarios de Windows la elección de navegador - http://www.20minutos.es/noticia/589412/0/microsoft/polemica/navegador/"
FELICIDADES Y SALUDOS DESDE MEXICO!
cuando quiero borrar la carpeta (C:\CMOS): , al poner el cursor, veo que están dentro los archivos .exe. Y no me deja borrarla, dice que está en uso o protegido de escritura. Si le cambio el nombre, funcionara, pero tiene que haber algo dentro, como yo veo???
gracias
Has alcanzado el límite de mensajes que puedes enviar en 24 horas. Guarda el mensaje y envíalo más tarde. Más información
Ya no sé que más hacer.
Gracias de todas formas.
Curra
Gracias a todos.
Cuando reinicio me vuelve a aparecer los procesos pero ni rastro de la carpeta.
¿Alguien me puede ayudar?
Un saludo.
Me ha pasado algo curioso es que mis contactos han recibido el virus antes que yo!
He revisado los dos ordenadores con los que habitualmente trabajo y no encuentro ni los archivos xlr.exe ni la carpeta CMOS, ¿es posible q estén escondidos en otro lugar?? aunque ya he probado a buscar la carpeta poniendo cmos en "buscar"¿?
Gracias!
Saludos,
Carmen
gracias por la información, lo haré saber a mis contactos
desesperada.