Author: Jimelle Monteser   
 

a variant of Win32/InstallCore.OG application (NOD32), ADWARE/InstallCore.Gen9 (Antivir), Trojan.Win32.Generic!BT (Sunbelt)

 PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Adware

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Incluye un paquete de desinstalación que elimina completamente los archivos y registros infiltrados.

  TECHNICAL DETAILS

File size: 802,096 bytes
File type: EXE
Memory resident: No
INITIAL SAMPLES RECEIVED DATE: 12 de июня de 2014

Instalación

Agrega las carpetas siguientes:

  • %All Users Profile%\Start Menu\Programs\PDF Creator
  • %Application Data%\Microsoft\Protect\S-1-5-21-1614895754-436374069-682003330-1003\07d30d01-d53a-4888-ab62-d69ffc6b9b11
  • %User Temp%\is{random}
  • %Program Files%\GPLGS
  • %Program Files%\PDF Creator
  • %Program Files%\PDF Creator\Driver
  • %Program Files%\PDF Creator\Driver\X64
  • %Program Files%\PDFCreator
  • %Program Files%\PDFCreator\Actual

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\CUSTPDF Writer

HKEY_LOCAL_MACHINE\SOFTWARE\CUSTPDF Writer\
CPWPV305:

HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript

HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript\
8.15

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Forms

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Monitors\
CUSTPDF Writer Monitor x86

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Monitors\
CUSTPDF Writer Monitor x86\CPWPV305:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
PDF Creator

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Printers\DevModePerUser
PDF Creator = "{value}"

HKEY_LOCAL_MACHINE\SOFTWARE\CUSTPDF Writer\
CPWPV305:
Destination Folder = "%Program Files%\PDFCreator\Actual\"

HKEY_LOCAL_MACHINE\SOFTWARE\CUSTPDF Writer\
CPWPV305:
Converter = "%Program Files%\PDFCreator\Actual\GNUGS"

HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript\
8.15
GS_LIB = "C:\Program Files\GPLGS"

HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript\
8.15
GS_DLL = "C:\Program Files\GPLGS\gsdll32.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Name = "PDF Creator"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Share Name = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Print Processor = "WinPrint"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Datatype = "RAW"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Parameters = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Action = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
ObjectGUID = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
DsKeyUpdate = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
DsKeyUpdateForeground = "3"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Printer Driver = "CUSTPDF Writer"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Default DevMode = "{value}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Priority = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Default Priority = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
StartTime = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
UntilTime = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Attributes = "240"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
txTimeout = "afc8"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
dnsTimeout = "3a98"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Security = "{value}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Port = "CPWPV305:"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printBinNames = "{value}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printCollate = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printColor = "1"

printDuplexSupported
printDuplexSupported = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printStaplingSupported = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMaxXExtent = "00007fff"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMaxYExtent = "00007fff"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMinXExtent = "000000fe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMinYExtent = "000000fe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printNumberUp = "6"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMemory = "1000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMaxResolutionSupported = "fa0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printRate = "00000190"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printRateUnit = "PagesPerMinute"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printPagesPerMinute = "00000190"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
"00000401" = "00000401"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
driverName = "CUSTPDF Writer"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printStartTime = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printEndTime = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printerName = "PDF Creator"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printKeepPrintedJobs = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printSpooling = "PrintAfterSpooled"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
priority = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
uNCName = "\{username}\PDF Creator"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
versionNumber = "00000004"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
serverName = "{username}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
shortServerName = "{username}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
flags = "00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
InitDriverVersion = "00000600"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
FreeMem = "00001000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
JobTimeOut = "00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
Protocol = "00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
PrinterDataSize = "00000230"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
FeatureKeywordSize = "00000018"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
Forms? = "04d0c2a5"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Devices
PDF Creator = "winspool,Ne02:"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\PrinterPorts
PDF Creator = "winspool,Ne02:,15,45"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Ports
Ne02: = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
ChangeID = "00c7bd6c"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Status = "00000080"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Configuration File = "PS5UI.DLL"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Data File = "CUSTPDFW.PPD"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Driver = "PSCRIPT5.DLL"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Help File = "PSCRIPT.HLP"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Datatype = "RAW"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Version = "00000003"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
TempDir = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Attributes = "00000002"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Monitors\
CUSTPDF Writer Monitor x86 Driver
{Default} = "custmon32i.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Monitors\
CUSTPDF Writer Monitor x86\CPWPV305:
{Default} = "PDF Creator"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
ChangeID = "00c7bd6c"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Status = "00000080"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Name = "PDF Creator"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Print Processor = "WinPrint"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Datatype = "RAW"

Action
Action = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
DsKeyUpdate = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
DsKeyUpdateForeground = "00000003

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Printer Driver = "CUSTPDF Writer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Priority = "00000001"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Default Priority = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
StartTime = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
UntilTime = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
"00000240" = "00000240"

txTimeout
"0000afc8" = "0000afc8"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
dnsTimeout = "00003a98"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Port = "CPWPV305:"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMaxXExtent = "00007fff"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMaxYExtent = "00007fff"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMinXExtent = "000000fe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMinYExtent = "000000fe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printNumberUp = "00000006"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMemory = "00001000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMaxResolutionSupported = "00000fa0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printRate = "00000190"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printRateUnit = "PagesPerMinute"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printPagesPerMinute = "00000190"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
driverVersion = "00000401"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
driverName = "CUSTPDF Writer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
printStartTime = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
printEndTime = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
printerName = "PDF Creator"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
printSpooling = "PrintAfterSpooled"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
priority = "00000001"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
uNCName = "\{username}\PDF Creator"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
versionNumber = "00000004"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
serverName = "{username}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
shortServerName = "{username}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
flags = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
InitDriverVersion = "00000600"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
FreeMem = "00001000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
JobTimeOut = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
Protocol = "00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
PrinterDataSize = "00000230"

Rutina de infiltración

Infiltra los archivos siguientes:

  • %All Users Profile%\Start Menu\Programs\PDF Creator\Preferences.lnk
  • %All Users Profile%\Start Menu\Programs\PDF Creator\Readme.lnk
  • %All Users Profile%\Start Menu\Programs\PDF Creator\Uninstall PDF Creator.lnk
  • %User Temp%\is{random}\12726241_stp.EXE
  • %User Temp%\is{random}\12726241_stp.EXE.part
  • %Program Files%\PDF Creator\Converter.exe
  • %Program Files%\PDF Creator\CPWriter2.exe
  • %Program Files%\PDF Creator\custmon32i.dll
  • %Program Files%\PDF Creator\custmon64i.dll
  • %Program Files%\PDF Creator\custmoni.dll
  • %Program Files%\PDF Creator\Driver\CUSTPDFW.PPD
  • %Program Files%\PDF Creator\Driver\CUSTPDFW.SPD
  • %Program Files%\PDF Creator\Driver\FONTS.MFM
  • %Program Files%\PDF Creator\Driver\ICONLIB.DLL
  • %Program Files%\PDF Creator\Driver\PS5UI.DLL
  • %Program Files%\PDF Creator\Driver\PSCRIPT.DRV
  • %Program Files%\PDF Creator\Driver\PSCRIPT.HLP
  • %Program Files%\PDF Creator\Driver\PSCRIPT.INI
  • %Program Files%\PDF Creator\Driver\PSCRIPT.NTF
  • %Program Files%\PDF Creator\Driver\PSCRIPT5.DLL
  • %Program Files%\PDF Creator\Driver\PSMON.DLL
  • %Program Files%\PDF Creator\Driver\TESTPS.TXT
  • %Program Files%\PDF Creator\Driver\X64\PS5UI.DLL
  • %Program Files%\PDF Creator\Driver\X64\PSCRIPT.HLP
  • %Program Files%\PDF Creator\Driver\X64\PSCRIPT.NTF
  • %Program Files%\PDF Creator\Driver\X64\PSCRIPT5.DLL
  • %Program Files%\PDF Creator\message.exe
  • %Program Files%\PDF Creator\PDFWrite.rsp
  • %Program Files%\PDF Creator\pdfwriter.exe
  • %Program Files%\PDF Creator\pdfwriter32.exe
  • %Program Files%\PDF Creator\pdfwriter64.exe
  • %Program Files%\PDF Creator\Preferences.exe
  • %Program Files%\PDF Creator\Readme.htm
  • %Program Files%\PDF Creator\Setup.exe
  • %Program Files%\PDF Creator\Setup.inf
  • %Program Files%\PDF Creator\unInstpw.exe
  • %Program Files%\PDF Creator\unInstpw64.exe
  • %Program Files%\PDFCreator\Actual\CPWriter2.exe
  • %Program Files%\PDFCreator\Actual\PDFWrite.rsp
  • %Program Files%\PDFCreator\Actual\pdfwriter.exe
  • %Program Files%\PDFCreator\Actual\Preferences.exe
  • %Program Files%\PDFCreator\Actual\README.HTM
  • %Program Files%\PDFCreator\Actual\setup.inf
  • %Program Files%\PDFCreator\Actual\uninstpw.exe
  • C:\WINDOWS\system32\custmon32i.dll
  • C:\WINDOWS\system32\spool\drivers\w32x86\CUSTPDFW.PPD
  • C:\WINDOWS\system32\spool\drivers\w32x86\PS5UI.DLL
  • C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT.HLP
  • C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT.NTF
  • C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT5.DLL
  • C:\WINDOWS\system32\spool\drivers\w32x86\3\CUSTPDFW.BPD
  • C:\WINDOWS\system32\spool\drivers\w32x86\3\CUSTPDFW.PPD

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Otros detalles

Agrega las siguientes entradas de registro para añadir una opción de desinstalación al Panel de control:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
PDF Creator
DisplayName = "PDF Creator"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
PDF Creator
UninstallString = "%Program Files%\PDFCreator\Actual\uninstpw.exe %Program Files%\PDFCreator\Actual\"

Incluye un paquete de desinstalación que elimina completamente los archivos infiltrados y registros agregados.

  SOLUTION

Minimum scan engine: 9.700
SSAPI Pattern-Datei: 1.518.22
SSAPI Pattern veröffentlicht am: 14 de июня de 2014

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Identificar y terminar los archivos detectados como ADW_INSTALLCOR

[ learnMore ]
  1. Para los usuarios de Windows 98 y ME, puede que el Administrador de tareas de Windows no muestre todos los procesos en ejecución. En tal caso, utilice un visor de procesos de una tercera parte (preferiblemente, el Explorador de procesos) para terminar el archivo de malware/grayware/spyware. Puede descargar la herramienta en cuestión aquí.
  2. Si el archivo detectado aparece en el Administrador de tareas o en el Explorador de procesos, pero no puede eliminarlo, reinicie el equipo en modo seguro. Para ello, consulte este enlace para obtener todos los pasos necesarios.
  3. Si el archivo detectado no se muestra en el Administrador de tareas o el Explorador de procesos, prosiga con los pasos que se indican a continuación.

Step 3

Quitar ADW_INSTALLCOR por medio de su propia opción de desinstalación

[ learnMore ]
Para desinstalar el proceso de grayware

Step 4

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • CUSTPDF Writer
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • GPL Ghostscript
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers
    • PDF Creator
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
    • Forms
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows NT x86\Drivers\Version-3
    • CUSTPDF Writer
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors
    • CUSTPDF Writer Monitor x86
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers
    • PDF Creator
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
    • PDF Creator

Step 5

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Printers\DevModePerUser
    • PDF Creator = "{value}"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices
    • PDF Creator = "winspool,Ne02:"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts
    • PDF Creator = "winspool,Ne02:,15,45"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports
    • Ne02: = ""

Step 6

Buscar y eliminar esta carpeta

[ learnMore ]
Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todas las carpetas ocultas.
  • %All Users Profile%\Start Menu\Programs\PDF Creator
  • %Application Data%\Microsoft\Protect\S-1-5-21-1614895754-436374069-682003330-1003\07d30d01-d53a-4888-ab62-d69ffc6b9b11
  • %User Temp%\is{random}
  • %Program Files%\GPLGS
  • %Program Files%\PDF Creator
  • %Program Files%\PDFCreator

Step 7

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
  • C:\WINDOWS\system32\custmon32i.dll
  • C:\WINDOWS\system32\spool\drivers\w32x86\CUSTPDFW.PPD
  • C:\WINDOWS\system32\spool\drivers\w32x86\PS5UI.DLL
  • C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT.HLP
  • C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT.NTF
  • C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT5.DLL
  • C:\WINDOWS\system32\spool\drivers\w32x86\3\CUSTPDFW.BPD
  • C:\WINDOWS\system32\spool\drivers\w32x86\3\CUSTPDFW.PPD

Step 8

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como ADW_INSTALLCOR En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Did this description help? Tell us how we did.