Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Nombre: Win32.Spywad.b
Tipo: Cambia el fondo del escritorio por DANGER:SPYWARE
Alias: Troj/Spywad-B, Win32.Slimad.C,Trojan-Clicker.

En un intento de embaucar al usuario a visitar ciertos sitios Web, Troj/Spywad-B muestra un archivo HTML que afirma que el sistema está plagado de programas espía. El troyano se instala de manera que consume considerables recursos del sistema.

Los archivos HTML que descarga el troyano contienen el siguiente mensaje:

DANGER: SPYWARE
Full system scan results:
3 Spyware infections
27 Spyware tracks
95 Adult-oriented websites tracks
3 Programs with probable keylogging activity
Windows recommends you the following software products to keep your PC safe

El troyano abrirá páginas Web que afirman vender productos para proteger contra programas espía.

Troj/Spywad-B se copia varias veces en la carpeta de Windows y en la carpeta del sistema de Windows usando nombres de tres letras y la extensión EXE. Estas copias pueden sobrescribir archivos de sistema con nombres con tres letras. El troyano creará la siguiente entrada en el registro para activarse al inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
<"tres letras aleatorias">
<"troyano">

El troyano descarga tres archivos HTML en la carpeta de Windows, dos como DESKTOP.HTML y POPUP.HTML y uno con un nombre de tres letras y extensión HTML. El troyano intentará colocar el archivo DESKTOP.HTML como el fondo de pantalla de Windows y hará cambios de en el registro en las siguientes ubicaciones.

**Nota** Para su eliminación automática pueden probar ejecutando la herramienta de SaTinfo llamada EliStarA.exe

Pasos para su eliminación:

Paso A- Apagar el "Restaurar Sistema" (Solo en Win Me y XP)

Paso B- Prender la opción de "Ver archivos ocultos y del sistema"

Paso C- Ejecuta un análisis con "Trend Antivirus Online"

Paso D- Ejecutar la herramienta de SaTinfo ElistarA.

Paso E-Ir a Inicio>Ejecutar> y poner REGEDIT, y darle Enter.

1- En el panel de la izquierda navegar hasta esta llave:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

2- En el panel derecho, localice y suprima la entrada:
[B]<"tres letras al azar"> = %Windows%\<"tres letras al azar"> .exe

3- Busque el mismo archivo aleatoro de tres letras tambien en esta entrada:
HKEY_CURRENT_USER>Software>Microsoft >
Windows>CurrentVersion>Run

Paso F- Quitar las entradas de Malware del registro

1- En el panel izquierdo, doble-click a la siguiente entrada:
HKEY_CURRENT_USER>Control Panel>Desktop
2- En el panel derecho, localice y suprima la entrada:
ConvertedWallpaper

3- En el panel izquierdo, doble-click a la siguiente entrada:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>User Shell Folders
4- En el panel derecho, localice y suprima la entrada:
Custom Desktop = "hex(2):43,3a,5c,44,65,73,6b,74,6f,70,00,"

5- En el panel izquierdo, localice y suprima la entrada:
HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>Policies> ActiveDesktop

6- En el panel izquierdo, doble-click a la siguiente entrada:
HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>Policies>System
7- En el panel derecho, localice y suprima la entrada:
Wallpaper = "%Windows%\desktop.html"

8- En el panel izquierdo, localice y suprima lo siguiente:
HKEY_LOCAL_MACHINE>Software>Microsoft>Internet Explorer>Desktop>General

9- En el panel izquierdo, localice y suprima el siguiente:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>policies>ActiveDesktop

10- En el panel izquierdo, doble-click a la siguiente entrada:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>policies>Explorer
En el panel derecho, localice y suprima la entrada:
NoViewContextMenu = "dword:00000002"

Paso G- Reiniciar eh iniciar en "Modo a prueba de fallos" (modo seguro) Pero con conexión a la red.

Paso H- Buscar y eliminar estos archivos:

DESKTOP.HTML y POPUP.HTML

Paso I- Pasarle nuevamente el "Trend Antivirus Online" pero esta vez en el modo seguro con conexión a la red.

Paso J- Reiniciar el sistema en modo normal.

**Nota:** El %Windows% es la carpeta de Windows por defecto, generalmente es C:\Windows o C:\WINNT.

**Nota:** Antes de hacer modificaciones en el registro de Windows recomendamos se haga una copia de seguridad del mismo y para un manejo mas cómodo puede usar herramientas como "RegSeeker 1.3"

Restauración del Escritorio de Windows

Dado que este parásito elimina claves en el registro del usuario, por lo general una vez eliminado este el escritorio o todo en color negro o en azul pero si ninguna leyenda.

Para solucionar esto en Win XP podemos "Crear una nueva cuenta de usuario" con funciones de Administrador y decirle que nos copie el mismo contenido que la cuenta anterior, para una vez verificado que con este nuevo usuario el problema no esta y nuestras carpetas y archivos si podemos eliminar la cuenta de usuario infectada.