Nombre: Wareout
Tipo:Troyano, Spyware, Hijacker
Alias: Downloader.Agent.uj, Trojan.DNSChanger, Downloader.Zlob.aty, Win32:Small-gen2, Trojan.downloader.zlob.fwr, Troj_zlob.bkx, DNSChanger.HK, Downloader.Zlob.DEZ, MemScan:Trojan.Dnschanger.V, Puper.dr, TR/Drop.Zlob.acn, Troj/DNSChan-JR, Troj/Zlob-XU, Trojan.DNSChanger.hk, Trojan.DR.Zlob.Gen!Pac14, Trojan.Win32.DNSChanger.hk, W32/DNSChanger.HK!tr, W32/Trojan, Win32.DNSChanger.hk, Win32.Zlob.acn, Win32/DNSChanger.HK, TrojanDownloader.Zlob.ML, Trj/Downloader.HYT, Trojan.Downloader.Zlob.IP, Trojan.Popuper, TrojanDownloader.Win32.Zlob, Trojan-Downloader.Win32.Zlob.mk, W32/ZLOB.NM!tr, Win32/TrojanDownloader.Zlob.ML, Win32/Zlob.2jl!Trojan, Downloader.Zlob.ATY

Palabras clave:
Redireccionamiento Google, Redireccionamiento Yahoo, Redireccionamiento buscadores, Redirección.

¿Qué es lo que puede hacer este malware?

Wareout es un falso antispywares (http://www.forospyware.com/t5.html) que tiene la particularidad de infectarnos con diversos tipos de malwares, de manera que pueden cambiar las DNS de nuestro sistema y redireccionar así nuestras búsquedas en internet a los sitios predeterminados por esta infección.

Abre ventanas publicitarias
Ralentiza el sistema
Secuestra los DNS de nuestro sistema de manera que redirecciona las búsquedas de internet a páginas similares a estas:


wordsea.com
oldhetaira.com
10-top.com
robogold.biz
rpicamps.com
mov-x-archive.com
search.net
freewirelessworld.com
camouflageclothingonline.net
up-search.com
cosavista.net
weddingcamerasplace.com
casinocaesar.com
encyclopedia.thefreedictionary.com

Pasos para eliminar Wareout

Herramientas necesarias para la limpieza:
FixWareout (http://www.infospyware.com/Anti-Malwares.htm)
Hijackthis (http://www.forospyware.com/292279-post1.html)
SUPERAntiSpyware (http://www.infospyware.com/Anti-Spywares.htm)
WinsockFix (http://www.infospyware.com/Herramientas.htm)

Pasos para la eliminación:

1.- Descargue e instale Hijackthis pero no lo ejecute aún.

2.- Descargue la herramienta Fixwareout y guárdelo en una carpeta de fácil acceso.

3.- Apagar el "Restaurar Sistema" (http://www.forospyware.com/showpost.php?p=45&postcount=2)

4.- Desinstalar, si los tuviera, estos programas:
WareOut
UnSpyPC
KillAndClean

5.- Cerrar todos los programas, ejecutar HijackThis y aplicarle "Fix Cheked" a entradas similares a estas, si las tuviera:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clicksearchclick.com/index.php?aff=19

O1 - Hosts: localhost 127.0.0.1 <-- NO confundir con 127.0.0.1 localhost

O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"

Esta infección también crea archivos aleatorios como estos:

O4 - HKLM\..\Run: [dmcup.exe] C:\WINDOWS\System32\dmcup.exe
O4 - HKLM\..\Run: [pcbac.exe] pcbac.exe
O4 - HKLM\..\Run: [exe.oqsmd] C:\WINDOWS\system32\dmsqo.exe

Lo mas común en esta infección es el secuestro de las DNS como podemos ver a continuación:

O17 - HKLM\System\CCS\Services\Tcpip\..\{ECFF8F98-69BE-40ED-A311-2965DB08F05D}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{24945E12-5B0C-4B95-841C-56FBF0A6DAC0}: NameServer = 195.95.218.1,85.255.112.7

O17 - HKLM\System\CS2\Services\Tcpip\..\{12DA6479-F89B-4B48-A2D6-1543A1959EDC}: NameServer = 85.255.113.139,85.255.112.24

IMPORTANTE: (Ver TIPS al final de este manual)

6.- Ejecute la herramienta FixWareout siguiendo los pasos de su Manual (http://www.forospyware.com/t70006.html).

7.- Al reparar con Hijackthis las entradas 017, pertenecientes a las DNS, puede que se quede sin conexión a internet, para poder reparar este inconveniente ejecutar la herramienta WinsockFix, este programa pedirá el reinicio del sistema, es probable que al reinicio del sistema deba reconfigurar las propiedades de su conexión.

8.- Descargar CCleaner (http://www.forospyware.com/t39511.html) y ejecútarlo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usar su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

9.- Realizar un escaneo completo con SUPERAntiSpyware.

10.- Pegar un log de Hijackthis y también uno de Fixwareout que se encuentra en C:\fixwareout\report.txt, en el Foro Oficial de Hijackthis (http://www.forospyware.com/foro-oficial-de-hijackthis-1-99-1/) donde el Equipo de InfoSpyware (http://www.forospyware.com/showgroups.php) podremos asesorarlos.


________________________________________________

Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el Foro Oficial de HijackThis en español (http://www.forospyware.com/foro-oficial-de-hijackthis-en-espanol/)

.::FG::. (http://www.forospyware.com/Firefox/Firefox.htm)

TIP 1

No instalar programas como UnSpyPC o KillAndClean ya que además de ser falsos antispywares (http://www.forospyware.com/t5.html), se han reportado casos de infección de Wareout al instalar estos programas


TIP 2

Para saber cuales son las DNS configuradas en nuestro sistema, podemos seguir estos pasos:
Clic derecho al ícono Mis Sitios de red y elegir la opción Propiedades
Clic derecho a su conexión y elegir la opción Propiedades
Seleccionar Protocolo Internet TCP/IP y presionar el botón Propiedades.
En esta sección se puede observar las DNS, tanto Preferido como Alternativo.
Al saber nuestras DNS, podemos ingresarlas a la/s página/s que proporcionamos a continuación, para realizar un Whois y determinar si tenemos o no las DNS provistas por nuestro ISP.


TIP 3

Para determinar a que compañía pertenecen las DNS configuradas en nuestro sistema hay muchas páginas para dicho fin, en este caso usaremos la siguiente::
All Net Tools - Tool Box - Network (http://www.all-nettools.com/toolbox)
El resultado que debería arrojar es el nombre del ISP que usted ha contratado y el país donde usted reside.

Si el resultado del Whois apunta a servidores como Atrivotechnologies, EstHost hosting company, Tartu Peapostkontor, pk. 12, Estonia, InterCage, inhoster, Ukraine, debemos cambiarlas por las provistas por nuestro ISP.


________________________________________________

Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el Foro Oficial de HijackThis en español (http://www.forospyware.com/foro-oficial-de-hijackthis-en-espanol/)

.::FG::. (http://www.forospyware.com/Firefox/Firefox.htm)