• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    Eliminar Wareout - Redirecciones en las búsquedas de Internet

    Resumen del tema: Eliminar Wareout - Redirecciones en las búsquedas de Internet - Nombre: Wareout Tipo: Troyano, Spyware, Hijacker Alias: Downloader.Agent.uj, Trojan.DNSChanger, Downloader.Zlob.aty, Win32:Small-gen2, Trojan.downloader.zlob.fwr, Troj_zlob.bkx, DNSChanger.HK, Downloader.Zlob.DEZ, MemScan:Trojan.Dnschanger.V, Puper.dr, TR/Drop.Zlob.acn, Troj/DNSChan-JR, Troj/Zlob-XU, Trojan.DNSChanger.hk, Trojan.DR.Zlob.Gen!Pac14, Trojan.Win32.DNSChanger.hk, W32/DNSChanger.HK!tr, W32/Trojan, Win32.DNSChanger.hk, Win32.Zlob.acn, Win32/DNSChanger.HK, TrojanDownloader.Zlob.ML, Trj/Downloader.HYT, Trojan.Downloader.Zlob.IP, Trojan.Popuper, TrojanDownloader.Win32.Zlob, Trojan-Downloader.Win32.Zlob.mk, W32/ZLOB.NM!tr, ...

      
    1. #1
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      23.116

      Investigación Eliminar Wareout - Redirecciones en las búsquedas de Internet

      Nombre: Wareout
      Tipo:Troyano, Spyware, Hijacker
      Alias: Downloader.Agent.uj, Trojan.DNSChanger, Downloader.Zlob.aty, Win32:Small-gen2, Trojan.downloader.zlob.fwr, Troj_zlob.bkx, DNSChanger.HK, Downloader.Zlob.DEZ, MemScan:Trojan.Dnschanger.V, Puper.dr, TR/Drop.Zlob.acn, Troj/DNSChan-JR, Troj/Zlob-XU, Trojan.DNSChanger.hk, Trojan.DR.Zlob.Gen!Pac14, Trojan.Win32.DNSChanger.hk, W32/DNSChanger.HK!tr, W32/Trojan, Win32.DNSChanger.hk, Win32.Zlob.acn, Win32/DNSChanger.HK, TrojanDownloader.Zlob.ML, Trj/Downloader.HYT, Trojan.Downloader.Zlob.IP, Trojan.Popuper, TrojanDownloader.Win32.Zlob, Trojan-Downloader.Win32.Zlob.mk, W32/ZLOB.NM!tr, Win32/TrojanDownloader.Zlob.ML, Win32/Zlob.2jl!Trojan, Downloader.Zlob.ATY

      Palabras clave:
      Redireccionamiento Google, Redireccionamiento Yahoo, Redireccionamiento buscadores, Redirección.

      ¿Qué es lo que puede hacer este malware?

      Wareout es un falso antispywares que tiene la particularidad de infectarnos con diversos tipos de malwares, de manera que pueden cambiar las DNS de nuestro sistema y redireccionar así nuestras búsquedas en internet a los sitios predeterminados por esta infección.

      • Abre ventanas publicitarias
      • Ralentiza el sistema
      • Secuestra los DNS de nuestro sistema de manera que redirecciona las búsquedas de internet a páginas similares a estas:

        • wordsea.com
        • oldhetaira.com
        • 10-top.com
        • robogold.biz
        • rpicamps.com
        • mov-x-archive.com
        • search.net
        • freewirelessworld.com
        • camouflageclothingonline.net
        • up-search.com
        • cosavista.net
        • weddingcamerasplace.com
        • casinocaesar.com
        • encyclopedia.thefreedictionary.com

    2. #2
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      23.116

      Pasos para eliminar Wareout

      Pasos para eliminar Wareout


      Herramientas necesarias para la limpieza:


      Pasos para la eliminación:


      1.- Apagar el "Restaurar Sistema"

      2.- Desinstalar, si los tuviera, estos programas:
      • WareOut
      • UnSpyPC
      • KillAndClean


      3.- Cerrar todos los programas, ejecutar HijackThis y aplicarle a entradas similares a estas, si las tuviera:


      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clicksearchclick.com/index.php?aff=19

      O1 - Hosts: localhost 127.0.0.1 <-- NO confundir con 127.0.0.1 localhost

      O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"

      Esta infección también crea archivos aleatorios como estos:

      O4 - HKLM\..\Run: [dmcup.exe] C:\WINDOWS\System32\dmcup.exe
      O4 - HKLM\..\Run: [pcbac.exe] pcbac.exe
      O4 - HKLM\..\Run: [exe.oqsmd] C:\WINDOWS\system32\dmsqo.exe

      Lo mas común en esta infección es el secuestro de las DNS como podemos ver a continuación:

      O17 - HKLM\System\CCS\Services\Tcpip\..\{ECFF8F98-69BE-40ED-A311-2965DB08F05D}: NameServer = 69.50.184.84,195.225.176.37

      O17 - HKLM\System\CCS\Services\Tcpip\..\{24945E12-5B0C-4B95-841C-56FBF0A6DAC0}: NameServer = 195.95.218.1,85.255.112.7

      O17 - HKLM\System\CS2\Services\Tcpip\..\{12DA6479-F89B-4B48-A2D6-1543A1959EDC}: NameServer = 85.255.113.139,85.255.112.24


      IMPORTANTE: (Ver TIPS al final de este manual)


      4.- Actualizar y ejecutar el programa:
      • Malwarebytes' Anti-Malware
        *Nota* Es importante que envíes a "Cuarentena" todo lo que este detecte antes de copiar y pegarnos su reporte.


      5.- Al reparar con Hijackthis las entradas 017, pertenecientes a las DNS, puede que se quede sin conexión a internet, para poder reparar este inconveniente ejecutar la herramienta WinsockFix, este programa pedirá el reinicio del sistema, es probable que al reinicio del sistema deba reconfigurar las propiedades de su conexión.

      6.- Descargar CCleaner y ejecútarlo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usar su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

      7.- Reiniciar y comprobar los resultados.



      ________________________________________________

      Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

      Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el
      Foro Oficial de HijackThis en español

    3. #3
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      23.116

      Tips

      TIP 1

      No instalar programas como UnSpyPC o KillAndClean ya que además de ser falsos antispywares, se han reportado casos de infección de Wareout al instalar estos programas


      TIP 2

      Para saber cuales son las DNS configuradas en nuestro sistema, podemos seguir estos pasos:
      • Clic derecho al ícono Mis Sitios de red y elegir la opción Propiedades
      • Clic derecho a su conexión y elegir la opción Propiedades
      • Seleccionar Protocolo Internet TCP/IP y presionar el botón Propiedades.
      • En esta sección se puede observar las DNS, tanto Preferido como Alternativo.

      Al saber nuestras DNS, podemos ingresarlas a la/s página/s que proporcionamos a continuación, para realizar un Whois y determinar si tenemos o no las DNS provistas por nuestro ISP.


      TIP 3

      Para determinar a que compañía pertenecen las DNS configuradas en nuestro sistema hay muchas páginas para dicho fin, en este caso usaremos la siguiente::

      El resultado que debería arrojar es el nombre del ISP que usted ha contratado y el país donde usted reside.

      Si el resultado del Whois apunta a servidores como Atrivotechnologies, EstHost hosting company, Tartu Peapostkontor, pk. 12, Estonia, InterCage, inhoster, Ukraine, debemos cambiarlas por las provistas por nuestro ISP.


      ________________________________________________

      Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

      Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el
      Foro Oficial de HijackThis en español