Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
2?_CHAR(0x12)_?_CHAR(0x12)_ = "%User Temp%\qumnbtg.exe"
Rutina de infiltración
Infiltra los archivos siguientes:
- %User Temp%\qumnbtg.exe
- %Windows%\Tasks\hdmomih.job
- %User Profile%\Microsoft\anhshef
- %User Profile%\Adobe\anhshef
- %System%\config\systemprofile\My Documents\Decrypt-All-Files-xahrpre.txt
- %System%\config\systemprofile\My Documents\Decrypt-All-Files-xahrpre.bmp
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
.
%Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT)..
%User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario})..
%System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Reiniciar en modo seguro
[ learnMore ]
[ back ]
Para reiniciar en modo seguro:
• Para usuarios de Windows 98 y ME
- Reinicie el equipo.
- Pulse la tecla CTRL hasta que aparezca el menú de inicio.
- Seleccione la opción Modo seguro y pulse Intro.
• Para usuarios de Windows NT (modo VGA)
- Haga clic en Inicio>Configuración>Panel de control.
- Haga doble clic en el icono Sistema.
- Haga clic en la pesta?a Inicio o Apagado.
- Establezca 10 segundos en el campo Mostrar lista y haga clic en Aceptar para guardar el cambio.
- Apague el equipo y reinícielo.
- Seleccione el modo VGA en el menú de inicio.
• Para usuarios de Windows 2000
- Reinicie el equipo.
- Pulse la tecla F8 cuando vea la barra Iniciando Windows en la parte inferior de la pantalla.
- Seleccione la opción Modo seguro en el menú de opciones avanzadas de Windows y pulse Intro.
• Para usuarios de Windows XP
- Reinicie el equipo.
- Pulse la tecla F8 cuando haya finalizado la autoprueba de encendido (POST). Si no aparecen las opciones avanzadas de Windows, intente reiniciar y pulse F8 varias veces después de que aparezca de la pantalla de la autoprueba de encendido (POST).
- Seleccione la opción Modo seguro en el menú de opciones avanzadas de Windows y pulse Intro.
• Para usuarios de Windows Server 2003
- Reinicie el equipo.
- Pulse la tecla F8 cuando se haya iniciado Windows. Si no aparecen las opciones avanzadas de Windows, intente reiniciar y, a continuación, pulse F8 varias veces tras el inicio.
- En el menú de opciones avanzadas de Windows, utilice las teclas de flecha para seleccionar la opción Modo seguro y pulse Intro.
Step 3
Eliminar este valor del Registro
[ learnMore ]
[ back ]
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 2?_CHAR(0x12)_?_CHAR(0x12)_ = "%User Temp%\qumnbtg.exe"
Para eliminar el valor del Registro que este malware/grayware/spyware ha creado:
- Abra el Editor del Registro. Haga clic en Inicio>Ejecutar, escriba REGEDIT y, a continuación, pulse Intro.
- En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run - En el panel derecho, busque y elimine la entrada:
2?_CHAR(0x12)_?_CHAR(0x12)_ = "%User Temp%\qumnbtg.exe" - Cierre el Editor del Registro.
Step 4
Buscar y eliminar estos archivos
[ learnMore ]
[ back ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla
Buscar archivos y carpetas ocultos en la opción "Más opciones avanzadas" para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
- %User Temp%\qumnbtg.exe
- %Windows%\Tasks\hdmomih.job
- %User Profile%\Microsoft\anhshef
- %User Profile%\Adobe\anhshef
- %System%\config\systemprofile\My Documents\Decrypt-All-Files-xahrpre.txt
- %System%\config\systemprofile\My Documents\Decrypt-All-Files-xahrpre.bmp
Para eliminar los archivos del componente de malware/grayware/spyware:
- Haga clic con el botón derecho en Inicio y haga clic en Buscar....
- En el cuadro de entrada Nombre, escriba:
- %User Temp%\qumnbtg.exe
- %Windows%\Tasks\hdmomih.job
- %User Profile%\Microsoft\anhshef
- %User Profile%\Adobe\anhshef
- %System%\config\systemprofile\My Documents\Decrypt-All-Files-xahrpre.txt
- %System%\config\systemprofile\My Documents\Decrypt-All-Files-xahrpre.bmp
- En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
- Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAY?S+SUPR para eliminarlo definitivamente.
- Repita los pasos 2 a 4 con el resto de archivos:
- %User Temp%\qumnbtg.exe
- %Windows%\Tasks\hdmomih.job
- %User Profile%\Microsoft\anhshef
- %User Profile%\Adobe\anhshef
- %System%\config\systemprofile\My Documents\Decrypt-All-Files-xahrpre.txt
- %System%\config\systemprofile\My Documents\Decrypt-All-Files-xahrpre.bmp
Step 5
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como TROJ_CRYPCTB.ED En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener más información.
