jueves, abril 22, 2010

Eliminando XP Smart Security 2010

Nombre: XP Smart Security 2010
Tipo Malware: Rogue

Aquí tenémos otro falso antivirus que simula ser un programa de seguridad para hacer que el usuario compre versiónes completas y así estafar una cantidad de dinero. El falso antivírus alertará de que el sistema está lleno de malware para convencer al usuario a comprar la versión original y eliminar cualquier archívo perjudicial.

Para eliminar XP Smart Security del ordenador seguiremos los siguientes pasos:

Primero cerraremos los procesos que tiene asociados, para ello presionamos cntrl+alt+supr y vamos a la ventana de procesos. Para cerrarlos pulsamos encima y ponemos "Finalizar proceso".

  • av.exe
  • ave.exe

Seguidamente, buscaremos por el ordenador los siguientes archívos y los eliminarémos manualmente:

  • %UserProfile%\Local Settings\Application Data\av.exe
  • %UserProfile%\Local Settings\Application Data\ave.exe
  • %UserProfile%\Local Settings\Application Data\WRblt8464P

Una vez eliminado, solo faltará eliminar las claves del registro, para ello si tenemos windows XP vamos a inicio>ejecutar y escribimos "regedit", en caso de tener windows vista o windows 7, en el propio icono de inicio (derecha-abajo) en el recuadro de "Buscar programas y archivos" escribiremos "regedit" y presionaremos ENTER.

Se abrirá el registro de windows, es muy sencillo localizar las claves y eliminarlas, solamente se deberán ir siguiendo las rutas hasta encontrarlas. Las claves a eliminar serán las siguiente:

  • HKEY_CURRENT_USERSoftwareClasses.exe
  • HKEY_CURRENT_USERSoftwareClasses.exeDefaultIcon
  • HKEY_CURRENT_USERSoftwareClasses.exeshell
  • HKEY_CURRENT_USERSoftwareClasses.exeshellopen
  • HKEY_CURRENT_USERSoftwareClasses.exeshellopencommand
  • HKEY_CURRENT_USERSoftwareClasses.exeshellrunas
  • HKEY_CURRENT_USERSoftwareClasses.exeshellrunascommand
  • HKEY_CURRENT_USERSoftwareClasses.exeshellstart
  • HKEY_CURRENT_USERSoftwareClasses.exeshellstartcommand
  • HKEY_CURRENT_USERSoftwareClassessecfile
  • HKEY_CURRENT_USERSoftwareClassessecfileDefaultIcon
  • HKEY_CURRENT_USERSoftwareClassessecfileshell
  • HKEY_CURRENT_USERSoftwareClassessecfileshellopen
  • HKEY_CURRENT_USERSoftwareClassessecfileshellopencommand
  • HKEY_CURRENT_USERSoftwareClassessecfileshellrunas
  • HKEY_CURRENT_USERSoftwareClassessecfileshellrunascommand
  • HKEY_CURRENT_USERSoftwareClassessecfileshellstart
  • HKEY_CURRENT_USERSoftwareClassessecfileshellstartcommand
  • HKEY_CURRENT_USERSoftwareClasses.exeshellopencommand | @ = “”%AppData%av.exe” /START “%1″ %*”
  • HKEY_CURRENT_USERSoftwareClasses.exeshellopencommand | IsolatedCommand = “”%1″ %*”
  • HKEY_CURRENT_USERSoftwareClasses.exe | @ = “secfile
  • HKEY_CURRENT_USERSoftwareClasses.exe | Content Type = “application/x-msdownload
  • HKEY_CURRENT_USERSoftwareClassessecfileshellopencommand | @ = “”%AppData%av.exe” /START “%1″ %*”
  • HKEY_CURRENT_USERSoftwareClassessecfileshellopencommand | IsolatedCommand = “”%1″ %*”

Aquí dejo un video sobre el funcionamiento del falso antivirus.

http://www.youtube.com/watch?v=WDutmwEmyfU&feature

0 comentarios:

 
Contacto: albert_lopb@killtrojan.net