Eliminando falso antivirus: Security Guard

Aquí tenémos otro falso antivírus para la colección, detallarémos por orden los pasos a seguir para su eliminación ya que éste tipo de malware suele ser muy fácil de eliminar.

Nombre: Security Guard
Tipo Malware: Rogue


Primero de todo, deberemos eliminar el proceso del falso antivírus, ya que si no hacémos éste paso previamente no lo podrémos eliminar y nos saldrá un mensaje que se está utilizando por el sistema. Así que presionamos cntrl+alt+supr para abrir el administrador de taréas y en la pestaña de prodesos seleccionámos el siguiente y lo cerramos:

• exec.exe
• SG345d.exe
• cb.exe
• energy.exe
• exec.exe
• kernel32.exe
• SICKBOY.exe

Una vez cerrado, ya podrémos acabar de eliminar todos los archívos y rutas del registro, para ello primero buscarémos los siguientes archivos y los irémos eliminando incluyendo los directorios:

• c:\Documents and Settings\All Users\Application Data\345d567\24.mof
• c:\Documents and Settings\All Users\Application Data\345d567\SG345d.exe
• c:\Documents and Settings\All Users\Application Data\345d567\SGD.ico
• c:\Documents and Settings\All Users\Application Data\345d567\SGDSys\vd952342.bd
• c:\Documents and Settings\All Users\Application Data\SGZIQYEXRD\SGWNLED.cfg
• %UserProfile%\Application Data\Security Guard\cookies.sqlite
• %UserProfile%\Application Data\Security Guard\Instructions.ini
• %UserProfile%\Desktop\Security Guard.lnk
• %UserProfile%\Recent\ANTIGEN.sys
• %UserProfile%\Recent\ANTIGEN.tmp
• %UserProfile%\Recent\cb.exe
• %UserProfile%\Recent\ddv.sys
• %UserProfile%\Recent\eb.drv
• %UserProfile%\Recent\energy.exe
• %UserProfile%\Recent\exec.exe
• %UserProfile%\Recent\exec.tmp
• %UserProfile%\Recent\fan.drv
• %UserProfile%\Recent\fix.tmp
• %UserProfile%\Recent\grid.exe
• %UserProfile%\Recent\kernel32.exe
• %UserProfile%\Recent\runddlkey.drv
• %UserProfile%\Recent\SICKBOY.exe
• %UserProfile%\Recent\tempdoc.tmp
• %UserProfile%\Start Menu\Security Guard.lnk
• %UserProfile%\Start Menu\Programs\Security Guard.lnk
• c:\Program Files\Mozilla Firefox\searchplugins\search.xml
• c:\Documents and Settings\All Users\Application Data\345d567\mozcrt19.dll
• c:\Documents and Settings\All Users\Application Data\345d567\sqlite3.dll
• %UserProfile%\Recent\cid.dll
• %UserProfile%\Recent\eb.dll

Una vez eliminado, solo faltará eliminar las claves del registro, para ello si tenemos windows XP vamos a inicio>ejecutar y escribímos "regedit", en caso de tener windows vista o windows 7, en el propio icono de inicio (derecha-abajo) en el recuadro de "Buscar programas y archivos" escribirémos "regedit" y presionarémos ENTER.

Se abrirá el registro de windows, es muy sencillo localizar las claves y eliminarlas, solamente se deberán ir siguiendo las rutas hasta encontrarlas. Las claves a eliminar serán las siguiente:

• HKEY_CURRENT_USER\Software\3
• HKEY_CLASSES_ROOT\SG345d.DocHostUIHandler
• HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://findgala.com/?&uid=1002&q={searchTerms}”
• HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://findgala.com/?&uid=1002&q={searchTerms}”
• HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer “PRS” = “http://127.0.0.1:27777/?inj=%ORIGINAL%”
• HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” = “1″
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform “layout/2.01002″
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Security Guard”
• HKEY_CLASSES_ROOT\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://findgala.com/?&uid=1002&q={searchTerms}”

Llegados a este punto, el malware debería haber desaparecido, recomiendo reiniciar el ordenador y comprovar que no exísta tanto los archívos como las rutas para estar seguros de su completa eliminación.

Posted in: Alertas de Malware