Adware.MySearch.E( MWS,MyWebSearch )
SINTOMAS: Presencia de una barra de herramientas en Internet Explorer con nombre MyWebSearch.Presencia de un proceso con el nombre "mwsoemon.exe" en el Administrador de Tareas, lista de "Procesos". DESCRIPCIÓN TÉCNICA: La barra de herramientas es una utilidad para realizar búsquedas en la web. Utiliza otros motores de búsqueda conocidos redirigidos a su propia página http:\\www.mywebsearch.com. Almacena la información sobre las palabras buscadas.Cuando este adware está instalado, realiza las siguientes acciones: a) Crea uno o más de los siguientes archivos y carpetas: %programfiles% \ MyWebSearch (contiene más archivos) %system32%\f3PSSavr.scr %programfiles% \ MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL %programfiles% \ MyWebSearch\bar\1.bin\MWSBAR.DLL b) Añade una barra de herramientas llamada "MyWebSearch" en Internet Explorer  c) Crea la siguientes claves del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.DataControl.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.DataControlHKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HistoryKillerScheduler.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HistoryKillerSchedulerHKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HistorySwatterControlBar.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HistorySwatterControlBarHKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HTMLMenu.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HTMLMenu.2HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HTMLMenuHKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.IECookiesManager.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.IECookiesManagerHKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.KillerObjManager.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.KillerObjManagerHKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.PopSwatterBarButton.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.PopSwatterBarButtonHKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.PopSwatterSettingsControl.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.PopSwatterSettingsControlHKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.ShellViewControl.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.ShellViewControlHKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyWebSearch.HTMLPanel.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyWebSearch.HTMLPanelHKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyWebSearch.OutlookAddin.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyWebSearch.OutlookAddinHKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyWebSearch.PseudoTransparentPlugin.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyWebSearch.PseudoTransparentPluginHKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractiveHKEY_LOCAL_MACHINE\SOFTWARE\Fun Web ProductsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\MyWebSearch.OutlookAddinHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Word\Addins\MyWebSearch.OutlookAddinHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00A6FAF1-072E-44cf-8957-5838F569A31D}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07B18EA1-A523-4961-B6BB-170DE4475CCA}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyWebSearch bar UninstallHKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearchHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyWebSearchServiced) Inicia el siguiente archivo: %programfiles% \ MyWebSearch\bar\1.bin\mwsoemon.exe e) Añade el siguiente valor a la clave del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [MyWebSearch Email Plugin = "%programfiles%"\MYWEBS~1\bar\1.bin\mwsoemon.exe"]De este modo "mwsoemon.exe" se ejecutará cuando inicie Windows. INSTRUCCIONES DE LIMPIEZA: Analice sus archivos con BitDefender para desinfectarlos.ANALIZADO POR: Daniel Chipiristeanu, investigador de virus. |