Eliminar Wareout - Redirecciones en las búsquedas de Internet

Buscar

		Foro de InfoSpyware » Documentación » Virus y Spywares mas comunes
Eliminar Wareout - Redirecciones en las búsquedas de Internet

Para evitar Virus, Spyware y otros Malwares, te recomendamos mantenerte informado en: InfoSpyware Blog
y seguirnos en nuestras vías de difusión: E-Mail - Facebook - Twitter.

Virus y Spywares mas comunes Guías paso a paso con herramientas específicas para eliminar los Malwares mas peligrosos. Vundo, Rogues, Conficker, Zlob, Bagle, CiD, MSN.Worm.

Enviar a:

Herramientas

post #1

23/01/07, 17:27:51

GPastor

Moderador Gral.

Registrado: mar 2005

Ubicación: Lima - Perú

Mensajes: 22.964

Eliminar Wareout - Redirecciones en las búsquedas de Internet

Nombre: Wareout
Tipo:Troyano, Spyware, Hijacker
Alias: Downloader.Agent.uj, Trojan.DNSChanger, Downloader.Zlob.aty, Win32:Small-gen2, Trojan.downloader.zlob.fwr, Troj_zlob.bkx, DNSChanger.HK, Downloader.Zlob.DEZ, MemScan:Trojan.Dnschanger.V, Puper.dr, TR/Drop.Zlob.acn, Troj/DNSChan-JR, Troj/Zlob-XU, Trojan.DNSChanger.hk, Trojan.DR.Zlob.Gen!Pac14, Trojan.Win32.DNSChanger.hk, W32/DNSChanger.HK!tr, W32/Trojan, Win32.DNSChanger.hk, Win32.Zlob.acn, Win32/DNSChanger.HK, TrojanDownloader.Zlob.ML, Trj/Downloader.HYT, Trojan.Downloader.Zlob.IP, Trojan.Popuper, TrojanDownloader.Win32.Zlob, Trojan-Downloader.Win32.Zlob.mk, W32/ZLOB.NM!tr, Win32/TrojanDownloader.Zlob.ML, Win32/Zlob.2jl!Trojan, Downloader.Zlob.ATY

Palabras clave:
Redireccionamiento Google, Redireccionamiento Yahoo, Redireccionamiento buscadores, Redirección.

¿Qué es lo que puede hacer este malware?

Wareout es un falso antispywares que tiene la particularidad de infectarnos con diversos tipos de malwares, de manera que pueden cambiar las DNS de nuestro sistema y redireccionar así nuestras búsquedas en internet a los sitios predeterminados por esta infección.

Abre ventanas publicitarias
Ralentiza el sistema
Secuestra los DNS de nuestro sistema de manera que redirecciona las búsquedas de internet a páginas similares a estas:
wordsea.com

oldhetaira.com

10-top.com

robogold.biz

rpicamps.com

mov-x-archive.com

search.net

freewirelessworld.com

camouflageclothingonline.net

up-search.com

cosavista.net

weddingcamerasplace.com

casinocaesar.com

encyclopedia.thefreedictionary.com

InfoSpyware

post #2

23/01/07, 17:30:19

GPastor

Moderador Gral.

Registrado: mar 2005

Ubicación: Lima - Perú

Mensajes: 22.964

Pasos para eliminar Wareout

Herramientas necesarias para la limpieza:

Cita:

Pasos para la eliminación:

1.- Apagar el "Restaurar Sistema"

2.- Desinstalar, si los tuviera, estos programas:

WareOut

UnSpyPC

KillAndClean

3.- Cerrar todos los programas, ejecutar HijackThis y aplicarle

a entradas similares a estas, si las tuviera:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clicksearchclick.com/index.php?aff=19

O1 - Hosts: localhost 127.0.0.1 <-- NO confundir con 127.0.0.1 localhost

O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"

Esta infección también crea archivos aleatorios como estos:

O4 - HKLM\..\Run: [dmcup.exe] C:\WINDOWS\System32\dmcup.exe
O4 - HKLM\..\Run: [pcbac.exe] pcbac.exe
O4 - HKLM\..\Run: [exe.oqsmd] C:\WINDOWS\system32\dmsqo.exe

Lo mas común en esta infección es el secuestro de las DNS como podemos ver a continuación:

O17 - HKLM\System\CCS\Services\Tcpip\..\{ECFF8F98-69BE-40ED-A311-2965DB08F05D}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{24945E12-5B0C-4B95-841C-56FBF0A6DAC0}: NameServer = 195.95.218.1,85.255.112.7

O17 - HKLM\System\CS2\Services\Tcpip\..\{12DA6479-F89B-4B48-A2D6-1543A1959EDC}: NameServer = 85.255.113.139,85.255.112.24

IMPORTANTE: (Ver TIPS al final de este manual)

4.- Actualizar y ejecutar el programa:

Malwarebytes' Anti-Malware
*Nota* Es importante que envíes a "Cuarentena" todo lo que este detecte antes de copiar y pegarnos su reporte.

5.- Al reparar con Hijackthis las entradas 017, pertenecientes a las DNS, puede que se quede sin conexión a internet, para poder reparar este inconveniente ejecutar la herramienta WinsockFix, este programa pedirá el reinicio del sistema, es probable que al reinicio del sistema deba reconfigurar las propiedades de su conexión.

6.- Descargar CCleaner y ejecútarlo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usar su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

7.- Reiniciar y comprobar los resultados.

________________________________________________

Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el Foro Oficial de HijackThis en español

post #3

23/01/07, 17:36:05

GPastor

Moderador Gral.

Registrado: mar 2005

Ubicación: Lima - Perú

Mensajes: 22.964

Tips

TIP 1

No instalar programas como UnSpyPC o KillAndClean ya que además de ser falsos antispywares, se han reportado casos de infección de Wareout al instalar estos programas

TIP 2

Para saber cuales son las DNS configuradas en nuestro sistema, podemos seguir estos pasos:

Clic derecho al ícono Mis Sitios de red y elegir la opción Propiedades
Clic derecho a su conexión y elegir la opción Propiedades
Seleccionar Protocolo Internet TCP/IP y presionar el botón Propiedades.
En esta sección se puede observar las DNS, tanto Preferido como Alternativo.

Al saber nuestras DNS, podemos ingresarlas a la/s página/s que proporcionamos a continuación, para realizar un Whois y determinar si tenemos o no las DNS provistas por nuestro ISP.

TIP 3

Para determinar a que compañía pertenecen las DNS configuradas en nuestro sistema hay muchas páginas para dicho fin, en este caso usaremos la siguiente::

All Net Tools - Tool Box - Network

El resultado que debería arrojar es el nombre del ISP que usted ha contratado y el país donde usted reside.

Si el resultado del Whois apunta a servidores como Atrivotechnologies, EstHost hosting company, Tartu Peapostkontor, pk. 12, Estonia, InterCage, inhoster, Ukraine, debemos cambiarlas por las provistas por nuestro ISP.

Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis

* Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
* Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

« Tema Anterior | Próximo Tema »

Herramientas
Mostrar Versión Imprimible Enviar por Correo

Reglas del foro
No puedes crear nuevos temas No puedes responder temas No puedes subir adjuntos No puedes editar tus mensajes BB code is activado Las caritas están activado Código [IMG] está activado Código HTML está activado Trackbacks are desactivado Pingbacks are activado Refbacks are activado Políticas del foro

Temas Similares

Tema	Autor	Foro	Respuestas	Último mensaje
VirusBrust y pqki1.exe..	reduan	Foro Oficial de HijackThis en español	14	18/12/06 13:20:02
Problemazo con la LG	Atrapada	Foro de Hardware	27	27/11/06 03:01:01
Muy Buenas tardes. Trojan DomCom ayuda ¿Podrían revisar mi log?. Gracias.	faeton	Foro de Software	12	29/09/06 10:20:37
ayuda windows 98	arr04	Foro de Windows	9	10/06/06 08:53:32
Gane dinero enviando dinero. La estafa de la pirámide	InfoSpyware	Últimas Noticias	2	10/04/05 13:21:34

Todas las horas son GMT -4. La hora es 03:29:48.

InfoSpyware es miembro de ASAP - Alliance of Security Analysis Professionals

Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus