|
VSantivirus No. 1603 Año 8, viernes 26 de noviembre de 2004
W32/StartPage.FG. Cambia página de inicio y búsqueda
http://www.vsantivirus.com/startpage-fg.htm
Nombre: W32/StartPage.FG
Nombre NOD32: Win32/StartPage.FG
Tipo: Caballo de Troya
Alias: Startpage.FG, Win32/StartPage.FG, Trojan.Favadd, Trojan.Win32.Favadd.d, Trojan.Win32.Favadd.d, Trojan.Favadd, Troj/Favadd-D, Trojan:Win32/StartPage.FG, TROJ_FAVADD.D, TR/Spy.CrkSpider, Win32:Favadd-B, Favadd.A, Trojan.Favadd.D, Trojan.Startpage-135
Fecha: 25/nov/04
Plataforma: Windows 32-bit
Tamaño: 67,136 bytes
Este troyano, modifica las páginas de inicio y de búsqueda del usuario infectado en el Internet Explorer. También crea accesos directos en la carpeta Favoritos a determinados sitios. Puede ser instalado por otro troyano o al visitar algunas páginas de Internet.
Cuando se ejecuta, muestra una ventana con el siguiente mensaje de error falso:
Program Error
fav.exe has generated errors and will be closed by Windows.
You will need to restart the program.
An error log is being created.
[ Aceptar ]
Al mismo tiempo, crea el siguiente archivo en la carpeta de Windows:
c:\windows\crcspider.ico
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
Crea o modifica las siguientes entradas en el registro:
HKCU\Software\Microsoft\Internet Explorer
\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)
ButtonText = Search cracks at CrackSpider.NET
MenuText = Search cracks at CrackSpider.NET
MenuStatusBar = Search cracks at CrackSpider.NET
ClSid = (1FBA04EE-3024-11d2-8F1F-0000F87ABD16)
Default Visible = Yes
Exec = www .crackspider .com
HotIcon = c:\windows\crcspider.ico
Icon = c:\windows\crcspider.ico
HKCU\Software
\Microsoft\Internet Explorer\Extensions\CmdMapping
{10954C80-4F0F-11d3-B17C-00C0DFE39736} = 8193
HKCU\Software\Microsoft\Internet Explorer\Main
Search Bar = http:/ /crackspider .net
HKCU\Software\Microsoft\Internet Explorer\Search
SearchAssistant = http:/ /crackspider .net
Con esos cambios, el gusano agrega un botón con un enlace al sitio "www .crackspider .com" en la barra de herramientas del Internet Explorer.
Además, agrega un enlace al sitio dentro del menú Favoritos y modifica la pagina de inicio para que apunte al mismo.
Dentro de Favoritos, crea una carpeta llamada "cracks", conteniendo enlaces con los siguientes títulos:
! TheBUGS.ws - Security Related Portal
!! CrackSpider.NET - Cracks search engine
allseek.info - The Underground portal
anyCracks.com - Keygens, patches, crack
Astalavista - Cracks search engine
bestserials.com - Best serials
CrackPortal.com - Cracks, serial number
CrackSpider.DE - Cracks search engine
CrackSpider.US - Cracks search engine
CrackWay.com - Since 2001 cracks arhive
iCracks.net - Keygens, patches, crackz.
KeyGen.US - Keygens, patches, crackz...
mscrack.com - Cracks, serial numbers...
Reparación manual
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Cómo borrar archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet pinche en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Pinche en Aceptar, etc.
Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Pinche en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Pinche en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.
7. Pinche en "Aceptar".
Seleccionar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o pinche en "Página en blanco"). O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".
Restaurar las páginas de búsqueda del Internet Explorer
1. Inicie el Internet Explorer.
2. Pinche en el botón "Búsqueda" de la barra de herramientas.
3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).
5. Pinche en el botón "Reiniciar" (Reset).
6. Pinche en el botón "Configuración de Autosearch" (Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Extensions
\(10954C80-4F0F-11d3-B17C-00C0DFE39736)
3. Haga clic en la carpeta "(10954C80-4F0F-11d3-B17C-00C0DFE39736)" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Extensions
\CmdMapping
5. Haga clic en la carpeta "CmdMapping" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
{10954C80-4F0F-11d3-B17C-00C0DFE39736}
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main
7. Haga clic en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Search Bar
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Search
9. Haga clic en la carpeta "Search" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
SearchAssistant
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar los archivos creados por el gusano.
1. En el Internet Explorer, abra el menú "Favoritos" y busque y borre la carpeta "cracks", y el enlace a "crackspider .com"
2. Con el Explorador de Windows, busque y borre el siguiente archivo:
c:\windows\crcspider.ico
3. En el escritorio, haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje", y seleccione "Vaciar la papelera de reciclaje".
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|