• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Eliminar Adware Navipromo.

    Resumen del tema: Eliminar Adware Navipromo. - Nombre: NAVIPROMO / EGDACCESS Tipo: Adware que abre pop-ups Alias: Adware.Win32.NaviPromo.aw, ADSPY/NaviPromo.K.3, Adware.Navipromo.BYD, NaviPromo.AW, Adware.Navipromo.M, Slagent, NaviHelper, Simcss, Magicon, TROJ_MAGICON.A, Win32/Magicon.A, Win32/Magicon.B, MagicControl.MagicComponent, Magi,Trojan.Skintrim, NaviPromo -------------------------------------------------------------------- SINTOMAS Ventanas emergentes de publicidad que pueden aparecer aunque ...

      
    1. #1
      Ex-Colaborador Avatar de GuillermoTell
      Registrado
      abr 2006
      Ubicación
      Colombia
      Mensajes
      8.168

      Investigación Eliminar Adware Navipromo.

      Nombre: NAVIPROMO / EGDACCESS
      Tipo: Adware que abre pop-ups
      Alias: Adware.Win32.NaviPromo.aw, ADSPY/NaviPromo.K.3, Adware.Navipromo.BYD, NaviPromo.AW, Adware.Navipromo.M, Slagent, NaviHelper, Simcss, Magicon, TROJ_MAGICON.A, Win32/Magicon.A, Win32/Magicon.B, MagicControl.MagicComponent, Magi,Trojan.Skintrim, NaviPromo


      --------------------------------------------------------------------

      SINTOMAS
      • Ventanas emergentes de publicidad que pueden aparecer aunque Internet Explorer (u otro explorador) no esté ejecutándose.



      • Aparecen multiples procesos con nombres aleatorios como "xvylkilmde.exe "

      • Al iniciar Windows aparece un mensaje que dice: "egdaccess.dll módulo encontrado"

      • Su Antivirus esta permanentemente informando sobre el archivo sospechoso "msclock32.dll" o "msplock32.dll"(ejemplo win32-agente-RE [trj] Avast), y falla la eliminación, pero cuando se logra eliminarlo, este archivo reaparece después de cada arranque.


      DESCRIPCIÓN TÉCNICA y METODO DE INFECCIÓN

      Navipromo es un adware que esconde sus procesos, archivos y registros usando tecnicas de rootkit para hacer mas dificil su detección y eliminación por metodos convencionales de desinfección.

      El Adware Navipromo viene incluido en falsas aplicaciones o utilidades como:

      • MessengerSkinner
      • InternetGameBox
      • Spyware-Secure
      • Instant Access
      • HotTVPlayer
      • MailSkinner
      • GoRecord
      • Go-Astro
      • sudoku


      Asi se ven los icono de estos programas:


      Y asi sus respectivos instaladores:



      Al ejecutar alguna de estas aplicaciones en nuestro computador, Navipromo crea un archivo ejecutable de nombre aleatorio dentro de la carpeta "%system%" el cual trabaja de forma oculta para no despertar sospechas, el Adware intenta establecer una conexión con un servidor remoto con el cual intercambia información sobre los sitiso web visitados y envia publicidad no deseada que se despliega en forma de ventanas emergentes - "pop ups" - adicionalmente crea otros archivos ocultos con las siguientes extensiones:

      pahwya.exe <-----Ejecutable oculto
      pahwya.dat <-----Archivo oculto
      pahwya_nav.dat <-----Archivo oculto
      pahwya_navps.dat <-----Archivo oculto
      msclock32.dll <-----libreria dinamica oculta (se presenta en algunas variantes y puede cambiar su nombre)


      NOTA:
      • pahwya es un nombre aleatorio que cambia de acuerdo a la variante de la infección.
      • %System% es una variable que se refiere a la carpeta del sistema de Windows, normalmente C:\Windows\System para Windwos 98 y ME, C:\WINNT\System32 para Windows NT y 2000 o C:\Windows\System32 para Windows XP y 2003

      Navipromo adiciona entradas en el registro de Windows para que los programas que lo instalan se carguen al inicio junto al ejecutable oculto:

      • En Hijackthis se pueden ver entradas de la siguiente forma:


      Código HTML:
      O4 - HKCU\..\Run: [pahwya] c:\windows\system32\pahwya.exe pahwya <----donde pahwya es un nombre aleatorio.
      O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
      O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1070.dll,InstantAccess
      
      O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab 
      O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab
      O16 - DPF: {3616F4B5-F6AD-4E67-966A-C218673648A0} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1070_ASPIV4_XP.cab 
      O16 - DPF: {624321F1-0581-49D8-99BD-2E952C2DF31B} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_ASPIV4_XP.cab 
      O16 - DPF: {95460ABD-946A-46FF-9F56-268718323EEE} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1068_XP.cab

      Navipromo tambien agrega Certificados en el contenido de la opciones de Internet.

      • -Inicio > Panel de Control > Opciones de Internet
        Clic en la pestaña "Contenido", después clic en la pestaña "Certificados" y alli escojes "Editores aprobados" y apareceran los siguientes editores :


        • electronic-group
        • egroup
        • Montorgueil
        • VIP
        • "Sunny Day Design Ltd"




      **NOTA**
      Si necesita asistencia para encontrar cual es exactamente su archivo aleatorio a eliminar puede pegar su log en el Foro Oficial de HijackThis

    2. #2
      Ex-Colaborador Avatar de GuillermoTell
      Registrado
      abr 2006
      Ubicación
      Colombia
      Mensajes
      8.168

      Re: (Abierto) Eliminar Adware Navipromo

      PASOS PARA SU ELIMINACIÓN


      NOTA
      Antes de proceder con los pasos para la desinfección desinstale estos programas si los tuviera instalados:


      MessengerSkinner
      InternetGameBox
      Spyware-Secure
      Instant Access
      HotTVPlayer
      MailSkinner
      GoRecord
      Go-Astro
      sudoku



      -Descargue, instale y/o actualice los siguientes programas (pero no los ejecute aun).

      SuperAntiSpyware.

      NAVILOG1 (por IL-MAFIOSO).


      -Reinicia en Modo Seguro(a prueba de fallos) y activa ver archivos ocultos.


      -Ejecutar estos programas (de a uno).


      * NAVILOG1 <----- Siga las instrucciones de ejecución de su Manual.


      * Superantispyware. <-----Eliminar las infecciones que este encuentre.


      -Reinicia en modo normal y usa el CCleaner para limpiar el sistema.
      Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
      Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


      -Realiza un escaneo completo del PC con el Panda active Scan en modo normal y guarda el reporte que te genero para revisarlo junto al reporte generado por NAVILOG1 que se encuentra en C:\Cleannavi.txt.


      NOTA:
      • Para mayor comodidad imprime los pasos.
      • Al terminar los pasos esconde los archivos ocultos.
      • Al terminar el proceso de desinfección desinstala NAVILOG1.


      RECOMENDACIÓN:
      Mantén actualizado tu Antivirus y escanea el PC periódicamente, para prevenir futuras infecciones instala Spybot y Spywareblaster, Manual de SpywareBlaster en Español y Manual de SpyBot S&D en español y navega con Firefox.



      ________________________________________________

      Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

      Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el
      Foro Oficial de HijackThis en español


      Última edición por GuillermoTell fecha: 15/02/08 a las 18:43:51

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.