Blog Registrarse Manuales Programas Glosario

Regresar   Foro de Spyware » Documentación » Virus y Spywares mas comunes
 

Para evitar Virus, Spyware y otros Malwares, te recomendamos mantenerte informado en: InfoSpyware Blog


Virus y Spywares mas comunes Guías paso a paso con herramientas específicas para eliminar los Malwares mas peligrosos. Vundo, Rogues, Conficker, Zlob, Bagle, CiD, MSN.Worm.

 
 
Enviar a: Herramientas
  post #1  
Antiguo 15/02/08, 19:39:53
Avatar de GuillermoTell
Moderador Gral.
 
Registrado: abr 2006
Ubicación: Colombia
Mensajes: 7.781
Investigación Eliminar Adware Navipromo.

Nombre: NAVIPROMO / EGDACCESS
Tipo: Adware que abre pop-ups
Alias: Adware.Win32.NaviPromo.aw, ADSPY/NaviPromo.K.3, Adware.Navipromo.BYD, NaviPromo.AW, Adware.Navipromo.M, Slagent, NaviHelper, Simcss, Magicon, TROJ_MAGICON.A, Win32/Magicon.A, Win32/Magicon.B, MagicControl.MagicComponent, Magi,Trojan.Skintrim, NaviPromo


--------------------------------------------------------------------

SINTOMAS
  • Ventanas emergentes de publicidad que pueden aparecer aunque Internet Explorer (u otro explorador) no esté ejecutándose.



  • Aparecen multiples procesos con nombres aleatorios como "xvylkilmde.exe "

  • Al iniciar Windows aparece un mensaje que dice: "egdaccess.dll módulo encontrado"

  • Su Antivirus esta permanentemente informando sobre el archivo sospechoso "msclock32.dll" o "msplock32.dll"(ejemplo win32-agente-RE [trj] Avast), y falla la eliminación, pero cuando se logra eliminarlo, este archivo reaparece después de cada arranque.

DESCRIPCIÓN TÉCNICA y METODO DE INFECCIÓN

Navipromo es un adware que esconde sus procesos, archivos y registros usando tecnicas de rootkit para hacer mas dificil su detección y eliminación por metodos convencionales de desinfección.

El Adware Navipromo viene incluido en falsas aplicaciones o utilidades como:

  • MessengerSkinner
  • InternetGameBox
  • Spyware-Secure
  • Instant Access
  • HotTVPlayer
  • MailSkinner
  • GoRecord
  • Go-Astro
  • sudoku


Asi se ven los icono de estos programas:


Y asi sus respectivos instaladores:



Al ejecutar alguna de estas aplicaciones en nuestro computador, Navipromo crea un archivo ejecutable de nombre aleatorio dentro de la carpeta "%system%" el cual trabaja de forma oculta para no despertar sospechas, el Adware intenta establecer una conexión con un servidor remoto con el cual intercambia información sobre los sitiso web visitados y envia publicidad no deseada que se despliega en forma de ventanas emergentes - "pop ups" - adicionalmente crea otros archivos ocultos con las siguientes extensiones:

pahwya.exe <-----Ejecutable oculto
pahwya.dat <-----Archivo oculto
pahwya_nav.dat <-----Archivo oculto
pahwya_navps.dat <-----Archivo oculto
msclock32.dll <-----libreria dinamica oculta (se presenta en algunas variantes y puede cambiar su nombre)


Cita:
NOTA:
  • pahwya es un nombre aleatorio que cambia de acuerdo a la variante de la infección.
  • %System% es una variable que se refiere a la carpeta del sistema de Windows, normalmente C:\Windows\System para Windwos 98 y ME, C:\WINNT\System32 para Windows NT y 2000 o C:\Windows\System32 para Windows XP y 2003

Navipromo adiciona entradas en el registro de Windows para que los programas que lo instalan se carguen al inicio junto al ejecutable oculto:
  • En Hijackthis se pueden ver entradas de la siguiente forma:

Código HTML:
O4 - HKCU\..\Run: [pahwya] c:\windows\system32\pahwya.exe pahwya <----donde pahwya es un nombre aleatorio.
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1070.dll,InstantAccess

O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab 
O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab
O16 - DPF: {3616F4B5-F6AD-4E67-966A-C218673648A0} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1070_ASPIV4_XP.cab 
O16 - DPF: {624321F1-0581-49D8-99BD-2E952C2DF31B} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_ASPIV4_XP.cab 
O16 - DPF: {95460ABD-946A-46FF-9F56-268718323EEE} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1068_XP.cab

Navipromo tambien agrega Certificados en el contenido de la opciones de Internet.
  • -Inicio > Panel de Control > Opciones de Internet
    Clic en la pestaña "Contenido", después clic en la pestaña "Certificados" y alli escojes "Editores aprobados" y apareceran los siguientes editores :

    • electronic-group
    • egroup
    • Montorgueil
    • VIP
    • "Sunny Day Design Ltd"



Cita:
**NOTA**
Si necesita asistencia para encontrar cual es exactamente su archivo aleatorio a eliminar puede pegar su log en el Foro Oficial de HijackThis
InfoSpyware

  post #2  
Antiguo 15/02/08, 19:40:53
Avatar de GuillermoTell
Moderador Gral.
 
Registrado: abr 2006
Ubicación: Colombia
Mensajes: 7.781
Re: (Abierto) Eliminar Adware Navipromo

PASOS PARA SU ELIMINACIÓN


NOTA
Antes de proceder con los pasos para la desinfección desinstale estos programas si los tuviera instalados:


MessengerSkinner
InternetGameBox
Spyware-Secure
Instant Access
HotTVPlayer
MailSkinner
GoRecord
Go-Astro
sudoku



-Descargue, instale y/o actualice los siguientes programas (pero no los ejecute aun).

SuperAntiSpyware.

NAVILOG1 (por IL-MAFIOSO).


-Reinicia en Modo Seguro(a prueba de fallos) y activa ver archivos ocultos.


-Ejecutar estos programas (de a uno).


* NAVILOG1 <----- Siga las instrucciones de ejecución de su Manual.


* Superantispyware. <-----Eliminar las infecciones que este encuentre.


-Reinicia en modo normal y usa el CCleaner para limpiar el sistema.
Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


-Realiza un escaneo completo del PC con el Panda active Scan en modo normal y guarda el reporte que te genero para revisarlo junto al reporte generado por NAVILOG1 que se encuentra en C:\Cleannavi.txt.


NOTA:
  • Para mayor comodidad imprime los pasos.
  • Al terminar los pasos esconde los archivos ocultos.
  • Al terminar el proceso de desinfección desinstala NAVILOG1.

Cita:
RECOMENDACIÓN:
Mantén actualizado tu Antivirus y escanea el PC periódicamente, para prevenir futuras infecciones instala Spybot y Spywareblaster, Manual de SpywareBlaster en Español y Manual de SpyBot S&D en español y navega con Firefox.



________________________________________________

Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el
Foro Oficial de HijackThis en español



ForoSpyware lo mantenemos voluntarios que tenemos nuestros trabajos y obligaciones fuera, por lo que no estamos 24/7, a lo que te pedimos paciencia en el análisis y respuesta de tu caso.


Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

Última edición por GuillermoTell fecha: 15/02/08 a las 19:43:51.
 

Herramientas

Reglas del foro
No puedes crear nuevos temas
No puedes responder temas
No puedes subir adjuntos
No puedes editar tus mensajes

BB code is activado
Las caritas están activado
Código [IMG] está activado
Código HTML está activado
Trackbacks are desactivado
Pingbacks are activado
Refbacks are activado


Temas Similares
Tema Autor Foro Respuestas Último mensaje
Ayuda para eliminar un adware (Solucionado) AGÜERO Temas Solucionados 2 28/05/07 07:35:13
Ayuda Eliminar Archivos Detectados Adware Se Personal murko Foro de Virus y Spywares 6 19/03/07 18:57:37
pido ayuda con spyware adware navipromo ZAILIN Foro de Virus y Spywares 3 03/02/06 09:08:52
Posible troyano o adware que no se eliminar (solucionado) Vorkosigan Temas Solucionados 11 30/01/06 12:38:58
he seguido todos los pasos que tiene en la seccion eliminar spyware, spybot, adware, gabmaster Foro Oficial de HijackThis en español 7 19/01/06 01:27:05




Todas las horas son GMT -4. La hora es 18:50:20.


 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31