ElPiedra
26/09/05, 18:21:03
Nombre: Trojan.Elitebar
Tipo: Troyano - Adware/Spyware Toolbar
Alias: Trojan.Elitebar, AdWare.ToolBar.EliteBar.z, Adware-EliteBar.dll, Adware/EliteBar, ADW_ELITEBAR.N, EliteBar.NAA, AdClicker-BA.dll, ADW_ELITEBAR.E, Adware/EliteBar, not-a-virus:AdWare.ToolBar.EliteBar.v, TR/StartPage.NK.1, Win32/Adware.EliteBar.NAA, searchmiracle .com
Este Malware puede llegar al sistema al ser descargado por otros troyanos o al visitar algunos sitios maliciosos, sin el conocimiento del usuario, si no se tienen instaladas las últimas actualizaciones o parches.
Cambia la pagina de inicio y búsqueda del IE al igual que abre numerosas ventanas emergentes (pop-ups)
Pasos para su eliminación.
:1: - Apague el "Restaurar Sistema" (http://www.forospyware.com/showpost.php?p=45&postcount=2) (solo en Win Me y XP)
:2: - Descargue la herramienta llamada DelEliteB.zip y descomprímalo en el escritorio de Win pero aun no lo ejecute, si aun no lo tiene también descargue la ultima versión de HijackThis (http://www.forospyware.com/t42-.html)
:3: - Reinicie eh inicie en "Modo a prueba de fallos" (modo seguro) (http://www.forospyware.com/showpost.php?p=47&postcount=4)
:4: - Con todos los programas cerrados ejecutar el archivo DelEliteB.exe, este va a abrir una ventana verde con la informacion del programa donde tienes que apretar cualquier tecla para que este continué y elimine el parásito.
**Nota ** Esta herramienta aparte de eliminar las entradas en el registro de Windows pertenecientes a este parásito, libera la pagina de inicio del IE de su secuestro, dejando la de nuestro foro Foro de Spywares, Adwares, Malwares - InfoSpyware (http://www.forospyware.com) momentáneamente la cual puede ser cambiada por el usuario en cualquier momento.
:5: - Con todos los programas cerrados ejecute HijackThis y déle "FIX Cheked" a alguna de estas entradas si las encuentra en sus sistema:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchtheworld4you.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchmiracle.com
O4 - HKLM\..\Run: [lsass] C:\windows\system32\elitelvt32.exe <- Este archivo puede variar con la particularidad de que cambia las ultimas tres letras antes del 32.exe
O4 - HKLM\..\Run: [System service61] C:\WINDOWS\etb\pokapoka61.exe
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - HKLM\..\Run: [System service64] C:\WINDOWS\etb\pokapoka64.exe
O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe
O4 - HKLM\..\Run: [System service66] C:\WINDOWS\etb\pokapoka66.exe
O4 - HKLM\..\Run: [System service67] C:\WINDOWS\etb\pokapoka67.exe
O4 - HKLM\..\Run: [System service68] C:\WINDOWS\etb\pokapoka68.exe
O4 - HKLM\..\Run: [System service69] C:\WINDOWS\etb\pokapoka69.exe
O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe
O4 - HKLM\..\Run: [System service71] C:\WINDOWS\etb\pokapoka71.exe
O4 - HKLM\..\Run: [System service72] C:\WINDOWS\etb\pokapoka72.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka73.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka74.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka75.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka76.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka77.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka78.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka79.exe
:6: - Sin reiniciar con el programa "KillBox" (http://www.forospyware.com/showpost.php?p=49&postcount=6) elimina estos archivos:
C:\windows\system32\elitelvt32.exe
C:\WINDOWS\etb\pokapoka61.exe
C:\WINDOWS\etb\pokapoka62.exe
C:\WINDOWS\etb\pokapoka63.exe
C:\WINDOWS\etb\pokapoka64.exe
C:\WINDOWS\etb\pokapoka65.exe
C:\WINDOWS\etb\pokapoka66.exe
C:\WINDOWS\etb\pokapoka67.exe
C:\WINDOWS\etb\pokapoka68.exe
C:\WINDOWS\etb\pokapoka69.exe
C:\WINDOWS\etb\pokapoka70.exe
C:\WINDOWS\etb\pokapoka71.exe
C:\WINDOWS\etb\pokapoka72.exe
C:\WINDOWS\etb\pokapoka74.exe
C:\WINDOWS\etb\pokapoka75.exe
C:\WINDOWS\etb\pokapoka76.exe
C:\WINDOWS\etb\pokapoka77.exe
C:\WINDOWS\etb\pokapoka78.exe
C:\WINDOWS\etb\pokapoka79.exe
**NOTA:** El directorio del sistema de Windows puede variar de acuerdo al sistema operativo instalado ("c:\windows\system32" en Windows XP y Windows Server 2003, "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). La unidad de disco "C:" es solo un ejemplo, ya aunque por defecto se instala en esa unidad, la misma puede ser cambiada por el usuario.
:7: - Usar el Disk Cleaner (http://www.forospyware.com/showthread.php?p=48#post48) para limpiar cookies y temporales.
:8: - Reiniciar en modo normal y pasarle Panda Antivirus Online (http://www.forospyware.com/announcement.php?f=12)
________________________________________________
Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.
Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el Foro Oficial de HijackThis en español (http://www.forospyware.com/foro-oficial-de-hijackthis-en-espanol/)
.::FG::. (http://www.forospyware.com/Firefox/Firefox.htm)
:flecha: Descargar DelEliteB.zip :flecha: Actualizado al 05 de Noviembre del 2005
Tipo: Troyano - Adware/Spyware Toolbar
Alias: Trojan.Elitebar, AdWare.ToolBar.EliteBar.z, Adware-EliteBar.dll, Adware/EliteBar, ADW_ELITEBAR.N, EliteBar.NAA, AdClicker-BA.dll, ADW_ELITEBAR.E, Adware/EliteBar, not-a-virus:AdWare.ToolBar.EliteBar.v, TR/StartPage.NK.1, Win32/Adware.EliteBar.NAA, searchmiracle .com
Este Malware puede llegar al sistema al ser descargado por otros troyanos o al visitar algunos sitios maliciosos, sin el conocimiento del usuario, si no se tienen instaladas las últimas actualizaciones o parches.
Cambia la pagina de inicio y búsqueda del IE al igual que abre numerosas ventanas emergentes (pop-ups)
Pasos para su eliminación.
:1: - Apague el "Restaurar Sistema" (http://www.forospyware.com/showpost.php?p=45&postcount=2) (solo en Win Me y XP)
:2: - Descargue la herramienta llamada DelEliteB.zip y descomprímalo en el escritorio de Win pero aun no lo ejecute, si aun no lo tiene también descargue la ultima versión de HijackThis (http://www.forospyware.com/t42-.html)
:3: - Reinicie eh inicie en "Modo a prueba de fallos" (modo seguro) (http://www.forospyware.com/showpost.php?p=47&postcount=4)
:4: - Con todos los programas cerrados ejecutar el archivo DelEliteB.exe, este va a abrir una ventana verde con la informacion del programa donde tienes que apretar cualquier tecla para que este continué y elimine el parásito.
**Nota ** Esta herramienta aparte de eliminar las entradas en el registro de Windows pertenecientes a este parásito, libera la pagina de inicio del IE de su secuestro, dejando la de nuestro foro Foro de Spywares, Adwares, Malwares - InfoSpyware (http://www.forospyware.com) momentáneamente la cual puede ser cambiada por el usuario en cualquier momento.
:5: - Con todos los programas cerrados ejecute HijackThis y déle "FIX Cheked" a alguna de estas entradas si las encuentra en sus sistema:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchtheworld4you.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchmiracle.com
O4 - HKLM\..\Run: [lsass] C:\windows\system32\elitelvt32.exe <- Este archivo puede variar con la particularidad de que cambia las ultimas tres letras antes del 32.exe
O4 - HKLM\..\Run: [System service61] C:\WINDOWS\etb\pokapoka61.exe
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - HKLM\..\Run: [System service64] C:\WINDOWS\etb\pokapoka64.exe
O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe
O4 - HKLM\..\Run: [System service66] C:\WINDOWS\etb\pokapoka66.exe
O4 - HKLM\..\Run: [System service67] C:\WINDOWS\etb\pokapoka67.exe
O4 - HKLM\..\Run: [System service68] C:\WINDOWS\etb\pokapoka68.exe
O4 - HKLM\..\Run: [System service69] C:\WINDOWS\etb\pokapoka69.exe
O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe
O4 - HKLM\..\Run: [System service71] C:\WINDOWS\etb\pokapoka71.exe
O4 - HKLM\..\Run: [System service72] C:\WINDOWS\etb\pokapoka72.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka73.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka74.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka75.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka76.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka77.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka78.exe
O4 - HKLM\..\Run: [System service73] C:\WINDOWS\etb\pokapoka79.exe
:6: - Sin reiniciar con el programa "KillBox" (http://www.forospyware.com/showpost.php?p=49&postcount=6) elimina estos archivos:
C:\windows\system32\elitelvt32.exe
C:\WINDOWS\etb\pokapoka61.exe
C:\WINDOWS\etb\pokapoka62.exe
C:\WINDOWS\etb\pokapoka63.exe
C:\WINDOWS\etb\pokapoka64.exe
C:\WINDOWS\etb\pokapoka65.exe
C:\WINDOWS\etb\pokapoka66.exe
C:\WINDOWS\etb\pokapoka67.exe
C:\WINDOWS\etb\pokapoka68.exe
C:\WINDOWS\etb\pokapoka69.exe
C:\WINDOWS\etb\pokapoka70.exe
C:\WINDOWS\etb\pokapoka71.exe
C:\WINDOWS\etb\pokapoka72.exe
C:\WINDOWS\etb\pokapoka74.exe
C:\WINDOWS\etb\pokapoka75.exe
C:\WINDOWS\etb\pokapoka76.exe
C:\WINDOWS\etb\pokapoka77.exe
C:\WINDOWS\etb\pokapoka78.exe
C:\WINDOWS\etb\pokapoka79.exe
**NOTA:** El directorio del sistema de Windows puede variar de acuerdo al sistema operativo instalado ("c:\windows\system32" en Windows XP y Windows Server 2003, "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). La unidad de disco "C:" es solo un ejemplo, ya aunque por defecto se instala en esa unidad, la misma puede ser cambiada por el usuario.
:7: - Usar el Disk Cleaner (http://www.forospyware.com/showthread.php?p=48#post48) para limpiar cookies y temporales.
:8: - Reiniciar en modo normal y pasarle Panda Antivirus Online (http://www.forospyware.com/announcement.php?f=12)
________________________________________________
Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.
Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el Foro Oficial de HijackThis en español (http://www.forospyware.com/foro-oficial-de-hijackthis-en-espanol/)
.::FG::. (http://www.forospyware.com/Firefox/Firefox.htm)
:flecha: Descargar DelEliteB.zip :flecha: Actualizado al 05 de Noviembre del 2005