BlueLemon

Gracias a:
Isern Palaus

Aquí un resumen adaptado por mí a la version mas extendida en mi opinion:

Para empezar, debemos saber que imagens001.exe es un Win32.TrojanDownloader.Banload.ID y es de bajo nivel (casi sin importancia, es molesto). Cuando ejecutas el archivo “foto.exe” se copia a %windir%\system32\service\navupdt.exe y luego baja un archivo JPG falso, que se guarda como services.exe.

Primero para saber seguro que el programa esta funcionando debemos usar el Administrador de Tareas de Windows (accedemos con Control+Alt+Supr), una vez ahi vamos a ver los procesos y los ordenamos por nombre de usuario de manera que veremos el programa “services.exe” ejecutado con el nombre de nuestro usuario (habrá otro como SYSTEM, que es el real). Debemos parar el “service.exe” ejecutado como nuestro usuario para que deje de causar molestias (pulsamos Terminar proceso).
Cuando decidimos matar el proceso services.exe nos dirá que es crítico y si queremos, o no, seguir con el proceso, aceptaremos.

Ahora es hora de quitarlo de nuestro Microsoft Windows, para tal cosa deberemos reiniciar nuestro ordenador, pero a “Modo a Prueba de Fallos” (tambien conocido como “Modo Seguro”). Para reniciarlo a Modo Seguro deberemos pulasr repetidas veces F8 después de que nuestro ordenador arranque. Nos saldra una lista de “boots”, Modo Seguro, Modo Seguro con Funciones de red, Iniciar Windows normalmente… vamos a Modo Seguro, el primero de todos. Cargará nuestro Windows y nos saldra la pantalla para escojer la cuenta con la que iniciar, selecionad Administrador.

Ahora vamos a nuestro Disco Duro donde tenemos Windows (por defecto es C: y la carpeta WINDOWS\). De tal modo que accedemos a Windows\System32\service y ahi veremos varios archivos y eso significa que debemos borrarlos al completo para que no se ejecuten de nuevo.