Foro de Spyware - Ver Mensaje Individual - fondo de escritorio que dice que el pc esta infectado (solucionado)

Tema: fondo de escritorio que dice que el pc esta infectado (solucionado)

Ver Mensaje Individual

post #2 (permalink)

04/08/05, 23:02:20

blawe

Usuario

Registrado: ago 2005

Ubicación: Mexico

Mensajes: 3

Re: fondo de escritorio que dice que el pc esta infectado

Eliminar familia PSGuard, AntiVirGear, VirusProtectPro, Antivirus 2009, SpyLocked

Aqui ya se hace mencion sobre este problema, el metodo de quitarlo es un poco mas complicado pero mas profesional, te dejo este otro metodo mas simple de todos modos:

Desktophijack (Peligrosidad: 1 - Mínima)

Troyano que puede llegar a través de multiples servicios de Internet en un archivo de nombre Intell32.exe, se copia a las carpetas %System% y directorio %Windir%, liberando otros archivos. Una vez instalado permanece residente en memoria.

Modifica la configuración del Escritorio de MS Windows y muestra un papel tapiz con un falso mensaje de advertencia.

Infecta el archivo wininet.dll deshabilitando determinadas funciones del sistema relacionadas al funcionamiento de aplicaciones de MS Windows.

Intenta descargar un software de seguridad desde su propio portal

Solución
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Repare o borre Manualmente el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

%System%\intell32.exe
%System%\oleext.dll
%System%\oleext32.dll
%System%\wppp.html
%Windir%\uninstIU.exe

En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Restaure las siguientes entradas del registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
"intell32.exe" = "%System%\intell32.exe"

[HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Uninstall\Internet Update]

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background" = "0 0 0"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Policies\Explorer]
"NoActiveDesktopChanges" = "1"

"WallpaperStyle" = "0"
"Wallpaper" = "%SystemRoot%\%System%\wppp.html"
[HKEY_CURRENT_USER\Control Panel\Desktop]

"NoDispBackgroundPage" = "1"
"NoDispAppearancePage" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Policies\System]

Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

MODUS OPERANDI:

Cuando se ejecuta, se copia a la carpeta %System% y directorio %Windir% con los nombres:

%System%\intell32.exe (componente del troyano)
%System%\oleext.dll (componente del troyano)
%System%\oleext32.dll (una copia de wininet.dll infectada con el troyano)
%System%\wppp.html (componente del troyano)
%Windir%\uninstIU.exe (troyano Desktophijack.B)
Introduce los siguienes valores en las claves indicadas para facilitar su propia ejecución en cada reinicio de Windows:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
"intell32.exe" = "%System%\intell32.exe"

crea además las subclaves:
[HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Uninstall\Internet Update]

para cambiar el color de fondo del Escritorio crea la clave::
[HKEY_CURRENT_USER\Control Panel\Colors]
"Background" = "0 0 0"

para impedir la modificación de la configuración del Escritorio agrega la clave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Policies\Explorer]
"NoActiveDesktopChanges" = "1"

y para modificar la apariencia del Tapiz del Escritorio agrega los valores en la subclave indicada:
"WallpaperStyle" = "0"
"Wallpaper" = "%SystemRoot%\%System%\wppp.html"
[HKEY_CURRENT_USER\Control Panel\Desktop]

para impedir la modificación de los colores de fondo del Escritorio agrega los valores siguientes en las claves indicadas:
"NoDispBackgroundPage" = "1"
"NoDispAppearancePage" = "1"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Policies\System]

Notas
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del sistema el troyano reescribe el archivo wininet.dll con la copia infectada oleext32.dll deshabilitando determinadas funciones del sistema relacionadas al funcionamiento de aplicaciones de Windows.

Muestra una imágen como tapiz de escritorio con un texto en inglés que traducido sería:

Peligro!
Su computadora podría estar infectada con Spyware
o adware !!!

Página web extraña, popups, pérdida de importante data e inestable
funcionamiento son los signos seguros de que Ud. está infectado.

Click aquí para obtener el
último software removedor de
spyware.

instala un icono en la bandeja del sistema y cuando el puntero del mouse pasa sobre el mismo muestra el siguiente mensaje:

Your computer is infected.

Si se hace click en este icono el troyano intenta descargar desde su portal el software de seguridad PSGuard, actualmente deshabilitada.