Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CLASSES_ROOT\CLSID\{AFD4AD01-58C1-47DB-A404-FBE00A6C5486}\
InprocServer32
(default) = {malware path and filename}
Se registra como BHO para garantizar su ejecución automática cada vez que se utilice Internet Explorer mediante la introducción de las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{AFD4AD01-58C1-47DB-A404-FBE00A6C5486}
Otras modificaciones del sistema
Agrega las siguientes claves de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\AppID\main.DLL
HKEY_CLASSES_ROOT\AppID\{A0E1054B-01EE-4D57-A059-4D99F339709F}
HKEY_CLASSES_ROOT\CLSID\{AFD4AD01-58C1-47DB-A404-FBE00A6C5486}
HKEY_CLASSES_ROOT\CurVer
HKEY_CLASSES_ROOT\Interface\{986A8AC1-AB4D-4F41-9068-4B01C0197867}
HKEY_CLASSES_ROOT\LXà)û`Ú »
HKEY_CLASSES_ROOT\TypeLib\{8E3C68CD-F500-4A2A-8CB9-132BB38C3573}
HKEY_CLASSES_ROOT\main.BHO
HKEY_CLASSES_ROOT\main.BHO.1
HKEY_CLASSES_ROOT\{AFD4AD01-58C1-47DB-A404-FBE00A6C5486}
HKEY_CLASSES_ROOT\‚”#˜‚
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como TROJ_EVADIPED.WC
Step 3
Reiniciar en modo seguro
[ aprenda más ]
[ parte posteriora ]
Para reiniciar en modo seguro:
• Para usuarios de Windows 98 y ME
- Reinicie el equipo.
- Pulse la tecla CTRL hasta que aparezca el menú de inicio.
- Seleccione la opción Modo seguro y pulse Intro.
• Para usuarios de Windows NT (modo VGA)
- Haga clic en Inicio>Configuración>Panel de control.
- Haga doble clic en el icono Sistema.
- Haga clic en la pestaña Inicio o Apagado.
- Establezca 10 segundos en el campo Mostrar lista y haga clic en Aceptar para guardar el cambio.
- Apague el equipo y reinícielo.
- Seleccione el modo VGA en el menú de inicio.
• Para usuarios de Windows 2000
- Reinicie el equipo.
- Pulse la tecla F8 cuando vea la barra Iniciando Windows en la parte inferior de la pantalla.
- Seleccione la opción Modo seguro en el menú de opciones avanzadas de Windows y pulse Intro.
• Para usuarios de Windows XP
- Reinicie el equipo.
- Pulse la tecla F8 cuando haya finalizado la autoprueba de encendido (POST). Si no aparecen las opciones avanzadas de Windows, intente reiniciar y pulse F8 varias veces después de que aparezca de la pantalla de la autoprueba de encendido (POST).
- Seleccione la opción Modo seguro en el menú de opciones avanzadas de Windows y pulse Intro.
• Para usuarios de Windows Server 2003
- Reinicie el equipo.
- Pulse la tecla F8 cuando se haya iniciado Windows. Si no aparecen las opciones avanzadas de Windows, intente reiniciar y, a continuación, pulse F8 varias veces tras el inicio.
- En el menú de opciones avanzadas de Windows, utilice las teclas de flecha para seleccionar la opción Modo seguro y pulse Intro.
Step 4
Eliminar esta clave del Registro
[ aprenda más ]
[ parte posteriora ]
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CLASSES_ROOT\AppID
- In HKEY_CLASSES_ROOT\AppID
- {A0E1054B-01EE-4D57-A059-4D99F339709F}
- In HKEY_CLASSES_ROOT\CLSID
- {AFD4AD01-58C1-47DB-A404-FBE00A6C5486}
- In HKEY_CLASSES_ROOT
- In HKEY_CLASSES_ROOT\Interface
- {986A8AC1-AB4D-4F41-9068-4B01C0197867}
- In HKEY_CLASSES_ROOT
- In HKEY_CLASSES_ROOT\TypeLib
- {8E3C68CD-F500-4A2A-8CB9-132BB38C3573}
- In HKEY_CLASSES_ROOT
- In HKEY_CLASSES_ROOT
- In HKEY_CLASSES_ROOT
- {AFD4AD01-58C1-47DB-A404-FBE00A6C5486}
- In HKEY_CLASSES_ROOT
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
- {AFD4AD01-58C1-47DB-A404-FBE00A6C5486}
Para eliminar las claves del Registro que este malware/grayware/spyware ha creado:
- Abra el Editor del Registro. Para ello, haga clic en Inicio>Ejecutar, escriba regedit en el cuadro de texto y pulse Intro.
- En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CLASSES_ROOT>AppID - También en el panel izquierdo, busque y elimine la clave:
main.DLL - También en el panel izquierdo, busque y elimine la clave:
{A0E1054B-01EE-4D57-A059-4D99F339709F} - En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CLASSES_ROOT>CLSID - También en el panel izquierdo, busque y elimine la clave:
{AFD4AD01-58C1-47DB-A404-FBE00A6C5486} - En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CLASSES_ROOT - También en el panel izquierdo, busque y elimine la clave:
CurVer - En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CLASSES_ROOT>Interface - También en el panel izquierdo, busque y elimine la clave:
{986A8AC1-AB4D-4F41-9068-4B01C0197867} - También en el panel izquierdo, busque y elimine la clave:
LXà)û`Ú » - En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CLASSES_ROOT>TypeLib - También en el panel izquierdo, busque y elimine la clave:
{8E3C68CD-F500-4A2A-8CB9-132BB38C3573} - También en el panel izquierdo, busque y elimine la clave:
main.BHO - También en el panel izquierdo, busque y elimine la clave:
main.BHO.1 - También en el panel izquierdo, busque y elimine la clave:
{AFD4AD01-58C1-47DB-A404-FBE00A6C5486} - También en el panel izquierdo, busque y elimine la clave:
‚”#˜‚ - En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Browser Helper Objects - También en el panel izquierdo, busque y elimine la clave:
{AFD4AD01-58C1-47DB-A404-FBE00A6C5486} - Cierre el Editor del Registro.
Step 5
Buscar y eliminar el archivo detectado como TROJ_EVADIPED.WC
[ aprenda más ]
[ parte posteriora ]
Asegúrese de que tiene activada la casilla
Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos ocultos.
Para buscar y eliminar el archivo de malware/grayware/spyware:
- Haga clic con el botón derecho en Inicio y haga clic en Buscar....
- En el cuadro de entrada Nombre, escriba los nombres de los archivos detectados anteriormente.
- En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
- Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAYÚS+SUPR para eliminarlo definitivamente.
