TROJ_DROPPER.XXTUA

Publish Date: 20 maggio 2015

Trojan.Gamaredon (Symantec); Trojan.Win32.Generic!BT (Sunbelt)

Piattaforma:

Windows

Valutazione del rischio complessivo:

Potenziale dannoso: :

Potenziale di distribuzione: :

Reported Infection:

Basso

Medio

Alto

Critico

Tipo di minaccia informatica:
Trojan
Distruttivo?:
No
Crittografato?:
In the wild::
Sì

Panoramica e descrizione

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Dettagli tecnici

Dimensione file: 7,164,614 bytes

Tipo di file: EXE

Residente in memoria: No

Data di ricezione campioni iniziali: 20 maggio 2015

Instalación

Crea las carpetas siguientes:

%System Root%\DOCUME~1
%System Root%\DOCUME~1\Wilbert
%User Profile%\LOCALS~1
%System Root%\MSI35ff4.tmp
%System Root%\Config.Msi
%System%\sysfiles
%Windows%\Installer\{AB7AA605-500F-4153-8207-FB5563419112}

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Otras modificaciones del sistema

Elimina los archivos siguientes:

%Windows%\Installer\MSIA.tmp
%System Root%\Config.Msi\MSI14.tmp

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

. %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Elimina las carpetas siguientes:

%Program Files%\Remote Manipulator System - Server
\Remote Manipulator System - Server
%Windows%\syswow64\sysfiles
%User Profile%\My Documents\My Pictures
%Start Menu%\Programs\Administrative Tools

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

. %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).

)

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\WinRAR SFX

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Installer\
InProgress

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Installer\
Rollback\Scripts

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Components\
F400EEAA9D3E45C4987CFE35BD77F4C5

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Components\
E5052F47A02BDEA469F8EAB572D83BA8

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Components\
6EDC4423414699340B5D245426472701

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Components\
E45BAE6295648E74689FC47BF4E730EB

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Components\
6364F69515D55F943B4B3F3C669ECD32

HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System\
v4\Server\Parameters

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Installer\
UpgradeCodes\509B38EF4554FFD4794F292971C81B17

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\Usage

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Features\506AA7BAF00535142870BF5536141921

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\Features

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\Patches

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\UpgradeCodes\509B38EF4554FFD4794F292971C81B17

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921\
SourceList

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921\
SourceList\Net

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921\
SourceList\Media

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\WinRAR SFX
C%%DOCUME~1%Wilbert%LOCALS~1%Temp = "%User Temp%"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
Rollback\Scripts
%System Root%\Config.Msi\35ff6.rbs = "46ae69fd"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Components\
F400EEAA9D3E45C4987CFE35BD77F4C5
506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Components\
E5052F47A02BDEA469F8EAB572D83BA8
506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Components\
6EDC4423414699340B5D245426472701
506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Components\
E45BAE6295648E74689FC47BF4E730EB
506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Components\
6364F69515D55F943B4B3F3C669ECD32
506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Components\
6364F69515D55F943B4B3F3C669ECD32
00000000000000000000000000000000 = "%System%\sysfiles"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
Folders
%System%\sysfiles = "1"

HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System\
v4\Server\Parameters
UserAccess = "{random values}"

HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System\
v4\Server\Parameters
Password = "{random values}"

HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System\
v4\Server\Parameters
notification = "{random values}"

HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System\
v4\Server\Parameters
Options = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
RegOwner = "Wilbert"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
ProductID = "none"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
LocalPackage = "%Windows%\Installer\35ff7.msi"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
DisplayVersion = "5.210.0000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
InstallDate = "20150514"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
InstallLocation = "%System%\sysfiles"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
InstallSource = "%User Temp%"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
ModifyPath = "MsiExec.exe /X{AB7AA605-500F-4153-8207-FB5563419112}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
NoModify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
NoRepair = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
Publisher = "Microsoft Corporation"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
EstimatedSize = "3aeb"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
UninstallString = "MsiExec.exe /X{AB7AA605-500F-4153-8207-FB5563419112}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
URLInfoAbout = "http://www.{BLOCKED}oft.com"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
URLUpdateInfo = "http://www.{BLOCKED}oft.com"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
VersionMajor = "5"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
VersionMinor = "d2"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
WindowsInstaller = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
Version = "5d2"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
Language = "419"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
DisplayVersion = "5.210.0000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
InstallDate = "20150514"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
InstallLocation = "%System%\sysfiles"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
InstallSource = "%User Temp%"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
ModifyPath = "MsiExec.exe /X{AB7AA605-500F-4153-8207-FB5563419112}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
NoModify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
NoRepair = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
Publisher = "Microsoft Corporation"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
EstimatedSize = "3aeb"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
UninstallString = "MsiExec.exe /X{AB7AA605-500F-4153-8207-FB5563419112}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
URLInfoAbout = "http://www.{BLOCKED}oft.com"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
URLUpdateInfo = "http://www.{BLOCKED}oft.com"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
VersionMajor = "5"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
VersionMinor = "d2"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
WindowsInstaller = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
Version = "5d2"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
Language = "419"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\InstallProperties
DisplayName = "Microsoft Visual C++ 2008 Redistributable - x86 10.0.743894.2047"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{AB7AA605-500F-4153-8207-FB5563419112}
DisplayName = "Microsoft Visual C++ 2008 Redistributable - x86 10.0.743894.2047"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
506AA7BAF00535142870BF5536141921\Features
Remote_Office_Manager = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921
ProductName = "Microsoft Visual C++ 2008 Redistributable - x86 10.0.743894.2047"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921
PackageCode = "558594499A0F7BE41A10BED2C55AA173"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921
Language = "419"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921
Version = "5d2"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921
Assignment = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921
AdvertiseFlags = "184"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921
ProductIcon = "%Windows%\Installer\{AB7AA605-500F-4153-8207-FB5563419112}\ARPPRODUCTICON.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921
InstanceType = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921
AuthorizedLUAApp = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921\
SourceList
PackageName = "rms5.2.1.msi"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921\
SourceList\Net
1 = "%User Temp%"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921\
SourceList\Media
DiskPrompt = "[1]"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921\
SourceList\Media
1 = "DISK1;1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Products\506AA7BAF00535142870BF5536141921\
SourceList
LastUsedSource = "n;1;%User Temp%"

Rutina de infiltración

Infiltra los archivos siguientes:

%User Temp%\123.cmd
%User Temp%\set.exe
__tmp_rar_sfx_access_check_96281
setting.exe
%User Temp%\install.cmd
%User Temp%\rms5.2.1.msi
%User Temp%\wget.exe
%Windows%\Installer\35ff3.msi
%Windows%\Installer\35ff5.ipi
%Windows%\Installer\MSI10.tmp
%System Root%\Config.Msi\35ff6.rbs
%System%\sysfiles\dsfvorbisdecoder.dll
%System%\sysfiles\dsfvorbisencoder.dll
%System%\sysfiles\gdiplus.dll
%System%\sysfiles\microsoft.vc90.crt.manifest
%System%\sysfiles\msimg32.dll
%System%\sysfiles\msvcp90.dll
%System%\sysfiles\msvcr90.dll
%System%\sysfiles\oledlg.dll
%System%\sysfiles\rasadhlp.dll
%System%\sysfiles\rfusclient.exe
%System%\sysfiles\ripcserver.dll
%System%\sysfiles\rutserv.exe
%System%\sysfiles\rwln.dll
%System%\sysfiles\vp8decoder.dll
%System%\sysfiles\vp8encoder.dll
%Windows%\Installer\35ff7.msi
%Windows%\Installer\{AB7AA605-500F-4153-8207-FB5563419112}\ARPPRODUCTICON.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

. %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Soluzioni

Motore di scansione minimo: 9.750

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_CURRENT_USER\Software
- WinRAR SFX

In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer
- InProgress

In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Rollback
- Scripts

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components
- F400EEAA9D3E45C4987CFE35BD77F4C5

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components
- E5052F47A02BDEA469F8EAB572D83BA8

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components
- 6EDC4423414699340B5D245426472701

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components
- E45BAE6295648E74689FC47BF4E730EB

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components
- 6364F69515D55F943B4B3F3C669ECD32

In HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System\v4\Server
- Parameters

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921
- InstallProperties

In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
- {AB7AA605-500F-4153-8207-FB5563419112}

In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes
- 509B38EF4554FFD4794F292971C81B17

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921
- Usage

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Features
- 506AA7BAF00535142870BF5536141921

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921
- Features

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921
- Patches

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products
- 506AA7BAF00535142870BF5536141921

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\UpgradeCodes
- 509B38EF4554FFD4794F292971C81B17

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921
- SourceList

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921\SourceList
- Net

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921\SourceList
- Media

Para eliminar la clave del Registro que este malware/grayware/spyware ha creado:

Abra el Editor del Registro. Haga clic en Inicio>Ejecutar, escriba REGEDIT y, a continuación, pulse Intro.
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software
También en el panel izquierdo, busque y elimine la clave:
WinRAR SFX
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Installer
También en el panel izquierdo, busque y elimine la clave:
InProgress
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Installer>Rollback
También en el panel izquierdo, busque y elimine la clave:
Scripts
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Installer>UserData>S-1-5-18>Components
También en el panel izquierdo, busque y elimine la clave:
F400EEAA9D3E45C4987CFE35BD77F4C5
También en el panel izquierdo, busque y elimine la clave:
E5052F47A02BDEA469F8EAB572D83BA8
También en el panel izquierdo, busque y elimine la clave:
6EDC4423414699340B5D245426472701
También en el panel izquierdo, busque y elimine la clave:
E45BAE6295648E74689FC47BF4E730EB
También en el panel izquierdo, busque y elimine la clave:
6364F69515D55F943B4B3F3C669ECD32
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>Remote Manipulator System>v4>Server
También en el panel izquierdo, busque y elimine la clave:
Parameters
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Installer>UserData>S-1-5-18>Products>506AA7BAF00535142870BF5536141921
También en el panel izquierdo, busque y elimine la clave:
InstallProperties
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Uninstall
También en el panel izquierdo, busque y elimine la clave:
{AB7AA605-500F-4153-8207-FB5563419112}
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Installer>UpgradeCodes
También en el panel izquierdo, busque y elimine la clave:
509B38EF4554FFD4794F292971C81B17
También en el panel izquierdo, busque y elimine la clave:
Usage
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>Installer>Features
También en el panel izquierdo, busque y elimine la clave:
506AA7BAF00535142870BF5536141921
También en el panel izquierdo, busque y elimine la clave:
Features
También en el panel izquierdo, busque y elimine la clave:
Patches
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>Installer>Products
También en el panel izquierdo, busque y elimine la clave:
506AA7BAF00535142870BF5536141921
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>Installer>UpgradeCodes
También en el panel izquierdo, busque y elimine la clave:
509B38EF4554FFD4794F292971C81B17
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>Installer>Products>506AA7BAF00535142870BF5536141921
También en el panel izquierdo, busque y elimine la clave:
SourceList
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>Installer>Products>506AA7BAF00535142870BF5536141921>SourceList
También en el panel izquierdo, busque y elimine la clave:
Net
También en el panel izquierdo, busque y elimine la clave:
Media
Cierre el Editor del Registro.

Step 3

Eliminar este valor del Registro

[ learnMore ]

In HKEY_CURRENT_USER\Software\WinRAR SFX
- C%%DOCUME~1%Wilbert%LOCALS~1%Temp = "%User Temp%"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Rollback\Scripts
- %System Root%\Config.Msi\35ff6.rbs = "46ae69fd"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F400EEAA9D3E45C4987CFE35BD77F4C5
- 506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E5052F47A02BDEA469F8EAB572D83BA8
- 506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6EDC4423414699340B5D245426472701
- 506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E45BAE6295648E74689FC47BF4E730EB
- 506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6364F69515D55F943B4B3F3C669ECD32
- 506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6364F69515D55F943B4B3F3C669ECD32
- 00000000000000000000000000000000 = "%System%\sysfiles"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
- %System%\sysfiles = "1"

In HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System\v4\Server\Parameters
- UserAccess = "{random values}"

In HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System\v4\Server\Parameters
- Password = "{random values}"

In HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System\v4\Server\Parameters
- notification = "{random values}"

In HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System\v4\Server\Parameters
- Options = "{random values}"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- RegOwner = "Wilbert"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- ProductID = "none"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- LocalPackage = "%Windows%\Installer\35ff7.msi"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- DisplayVersion = "5.210.0000"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- InstallDate = "20150514"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- InstallLocation = "%System%\sysfiles"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- InstallSource = "%User Temp%"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- ModifyPath = "MsiExec.exe /X{AB7AA605-500F-4153-8207-FB5563419112}"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- NoModify = "1"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- NoRepair = "1"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- Publisher = "Microsoft Corporation"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- EstimatedSize = "3aeb"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- UninstallString = "MsiExec.exe /X{AB7AA605-500F-4153-8207-FB5563419112}"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- URLInfoAbout = "http://www.{BLOCKED}oft.com"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- URLUpdateInfo = "http://www.{BLOCKED}oft.com"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- VersionMajor = "5"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- VersionMinor = "d2"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- WindowsInstaller = "1"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- Version = "5d2"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- Language = "419"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- DisplayVersion = "5.210.0000"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- InstallDate = "20150514"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- InstallLocation = "%System%\sysfiles"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- InstallSource = "%User Temp%"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- ModifyPath = "MsiExec.exe /X{AB7AA605-500F-4153-8207-FB5563419112}"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- NoModify = "1"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- NoRepair = "1"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- Publisher = "Microsoft Corporation"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- EstimatedSize = "3aeb"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- UninstallString = "MsiExec.exe /X{AB7AA605-500F-4153-8207-FB5563419112}"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- URLInfoAbout = "http://www.{BLOCKED}oft.com"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- URLUpdateInfo = "http://www.{BLOCKED}oft.com"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- VersionMajor = "5"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- VersionMinor = "d2"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- WindowsInstaller = "1"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- Version = "5d2"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- Language = "419"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\InstallProperties
- DisplayName = "Microsoft Visual C++ 2008 Redistributable - x86 10.0.743894.2047"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AB7AA605-500F-4153-8207-FB5563419112}
- DisplayName = "Microsoft Visual C++ 2008 Redistributable - x86 10.0.743894.2047"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\506AA7BAF00535142870BF5536141921\Features
- Remote_Office_Manager = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921
- ProductName = "Microsoft Visual C++ 2008 Redistributable - x86 10.0.743894.2047"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921
- PackageCode = "558594499A0F7BE41A10BED2C55AA173"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921
- Language = "419"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921
- Version = "5d2"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921
- Assignment = "1"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921
- AdvertiseFlags = "184"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921
- ProductIcon = "%Windows%\Installer\{AB7AA605-500F-4153-8207-FB5563419112}\ARPPRODUCTICON.exe"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921
- InstanceType = "0"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921
- AuthorizedLUAApp = "0"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921\SourceList
- PackageName = "rms5.2.1.msi"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921\SourceList\Net
- 1 = "%User Temp%"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921\SourceList\Media
- DiskPrompt = "[1]"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921\SourceList\Media
- 1 = "DISK1;1"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\506AA7BAF00535142870BF5536141921\SourceList
- LastUsedSource = "n;1;%User Temp%"

Para eliminar el valor del Registro que este malware/grayware/spyware ha creado:

Abra el Editor del Registro. Haga clic en Inicio>Ejecutar, escriba REGEDIT y, a continuación, pulse Intro.
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software>WinRAR SFX
En el panel derecho, busque y elimine la entrada:
C%%DOCUME~1%Wilbert%LOCALS~1%Temp = "%User Temp%"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Installer>Rollback>Scripts
En el panel derecho, busque y elimine la entrada:
%System Root%\Config.Msi\35ff6.rbs = "46ae69fd"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Installer>UserData>S-1-5-18>Components>F400EEAA9D3E45C4987CFE35BD77F4C5
En el panel derecho, busque y elimine la entrada:
506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Installer>UserData>S-1-5-18>Components>E5052F47A02BDEA469F8EAB572D83BA8
En el panel derecho, busque y elimine la entrada:
506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Installer>UserData>S-1-5-18>Components>6EDC4423414699340B5D245426472701
En el panel derecho, busque y elimine la entrada:
506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Installer>UserData>S-1-5-18>Components>E45BAE6295648E74689FC47BF4E730EB
En el panel derecho, busque y elimine la entrada:
506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Installer>UserData>S-1-5-18>Components>6364F69515D55F943B4B3F3C669ECD32
En el panel derecho, busque y elimine la entrada:
506AA7BAF00535142870BF5536141921 = "%System%\sysfiles"
En el panel derecho, busque y elimine la entrada:
00000000000000000000000000000000 = "%System%\sysfiles"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Installer>Folders
En el panel derecho, busque y elimine la entrada:
%System%\sysfiles = "1"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>Remote Manipulator System>v4>Server>Parameters
En el panel derecho, busque y elimine la entrada:
UserAccess = "{random values}"
En el panel derecho, busque y elimine la entrada:
Password = "{random values}"
En el panel derecho, busque y elimine la entrada:
notification = "{random values}"
En el panel derecho, busque y elimine la entrada:
Options = "{random values}"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Installer>UserData>S-1-5-18>Products>506AA7BAF00535142870BF5536141921>InstallProperties
En el panel derecho, busque y elimine la entrada:
RegOwner = "Wilbert"
En el panel derecho, busque y elimine la entrada:
ProductID = "none"
En el panel derecho, busque y elimine la entrada:
LocalPackage = "%Windows%\Installer\35ff7.msi"
En el panel derecho, busque y elimine la entrada:
DisplayVersion = "5.210.0000"
En el panel derecho, busque y elimine la entrada:
InstallDate = "20150514"
En el panel derecho, busque y elimine la entrada:
InstallLocation = "%System%\sysfiles"
En el panel derecho, busque y elimine la entrada:
InstallSource = "%User Temp%"
En el panel derecho, busque y elimine la entrada:
ModifyPath = "MsiExec.exe /X{AB7AA605-500F-4153-8207-FB5563419112}"
En el panel derecho, busque y elimine la entrada:
NoModify = "1"
En el panel derecho, busque y elimine la entrada:
NoRepair = "1"
En el panel derecho, busque y elimine la entrada:
Publisher = "Microsoft Corporation"
En el panel derecho, busque y elimine la entrada:
EstimatedSize = "3aeb"
En el panel derecho, busque y elimine la entrada:
UninstallString = "MsiExec.exe /X{AB7AA605-500F-4153-8207-FB5563419112}"
En el panel derecho, busque y elimine la entrada:
URLInfoAbout = "http://www.{BLOCKED}oft.com"
En el panel derecho, busque y elimine la entrada:
URLUpdateInfo = "http://www.{BLOCKED}oft.com"
En el panel derecho, busque y elimine la entrada:
VersionMajor = "5"
En el panel derecho, busque y elimine la entrada:
VersionMinor = "d2"
En el panel derecho, busque y elimine la entrada:
WindowsInstaller = "1"
En el panel derecho, busque y elimine la entrada:
Version = "5d2"
En el panel derecho, busque y elimine la entrada:
Language = "419"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Uninstall>{AB7AA605-500F-4153-8207-FB5563419112}
En el panel derecho, busque y elimine la entrada:
DisplayVersion = "5.210.0000"
En el panel derecho, busque y elimine la entrada:
InstallDate = "20150514"
En el panel derecho, busque y elimine la entrada:
InstallLocation = "%System%\sysfiles"
En el panel derecho, busque y elimine la entrada:
InstallSource = "%User Temp%"
En el panel derecho, busque y elimine la entrada:
ModifyPath = "MsiExec.exe /X{AB7AA605-500F-4153-8207-FB5563419112}"
En el panel derecho, busque y elimine la entrada:
NoModify = "1"
En el panel derecho, busque y elimine la entrada:
NoRepair = "1"
En el panel derecho, busque y elimine la entrada:
Publisher = "Microsoft Corporation"
En el panel derecho, busque y elimine la entrada:
EstimatedSize = "3aeb"
En el panel derecho, busque y elimine la entrada:
UninstallString = "MsiExec.exe /X{AB7AA605-500F-4153-8207-FB5563419112}"
En el panel derecho, busque y elimine la entrada:
URLInfoAbout = "http://www.{BLOCKED}oft.com"
En el panel derecho, busque y elimine la entrada:
URLUpdateInfo = "http://www.{BLOCKED}oft.com"
En el panel derecho, busque y elimine la entrada:
VersionMajor = "5"
En el panel derecho, busque y elimine la entrada:
VersionMinor = "d2"
En el panel derecho, busque y elimine la entrada:
WindowsInstaller = "1"
En el panel derecho, busque y elimine la entrada:
Version = "5d2"
En el panel derecho, busque y elimine la entrada:
Language = "419"
En el panel derecho, busque y elimine la entrada:
DisplayName = "Microsoft Visual C++ 2008 Redistributable - x86 10.0.743894.2047"
En el panel derecho, busque y elimine la entrada:
DisplayName = "Microsoft Visual C++ 2008 Redistributable - x86 10.0.743894.2047"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Installer>UserData>S-1-5-18>Products>506AA7BAF00535142870BF5536141921>Features
En el panel derecho, busque y elimine la entrada:
Remote_Office_Manager = "{random characters}"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>Installer>Products>506AA7BAF00535142870BF5536141921
En el panel derecho, busque y elimine la entrada:
ProductName = "Microsoft Visual C++ 2008 Redistributable - x86 10.0.743894.2047"
En el panel derecho, busque y elimine la entrada:
PackageCode = "558594499A0F7BE41A10BED2C55AA173"
En el panel derecho, busque y elimine la entrada:
Language = "419"
En el panel derecho, busque y elimine la entrada:
Version = "5d2"
En el panel derecho, busque y elimine la entrada:
Assignment = "1"
En el panel derecho, busque y elimine la entrada:
AdvertiseFlags = "184"
En el panel derecho, busque y elimine la entrada:
ProductIcon = "%Windows%\Installer\{AB7AA605-500F-4153-8207-FB5563419112}\ARPPRODUCTICON.exe"
En el panel derecho, busque y elimine la entrada:
InstanceType = "0"
En el panel derecho, busque y elimine la entrada:
AuthorizedLUAApp = "0"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>Installer>Products>506AA7BAF00535142870BF5536141921>SourceList
En el panel derecho, busque y elimine la entrada:
PackageName = "rms5.2.1.msi"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>Installer>Products>506AA7BAF00535142870BF5536141921>SourceList>Net
En el panel derecho, busque y elimine la entrada:
1 = "%User Temp%"
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>Installer>Products>506AA7BAF00535142870BF5536141921>SourceList>Media
En el panel derecho, busque y elimine la entrada:
DiskPrompt = "[1]"
En el panel derecho, busque y elimine la entrada:
1 = "DISK1;1"
En el panel derecho, busque y elimine la entrada:
LastUsedSource = "n;1;%User Temp%"
Cierre el Editor del Registro.

Step 4

Buscar y eliminar estos archivos

[ learnMore ]

Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción "Más opciones avanzadas" para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.

%User Temp%\123.cmd
%User Temp%\set.exe
__tmp_rar_sfx_access_check_96281
setting.exe
%User Temp%\install.cmd
%User Temp%\rms5.2.1.msi
%User Temp%\wget.exe
%Windows%\Installer\35ff3.msi
%Windows%\Installer\35ff5.ipi
%Windows%\Installer\MSI10.tmp
%System Root%\Config.Msi\35ff6.rbs
%System%\sysfiles\dsfvorbisdecoder.dll
%System%\sysfiles\dsfvorbisencoder.dll
%System%\sysfiles\gdiplus.dll
%System%\sysfiles\microsoft.vc90.crt.manifest
%System%\sysfiles\msimg32.dll
%System%\sysfiles\msvcp90.dll
%System%\sysfiles\msvcr90.dll
%System%\sysfiles\oledlg.dll
%System%\sysfiles\rasadhlp.dll
%System%\sysfiles\rfusclient.exe
%System%\sysfiles\ripcserver.dll
%System%\sysfiles\rutserv.exe
%System%\sysfiles\rwln.dll
%System%\sysfiles\vp8decoder.dll
%System%\sysfiles\vp8encoder.dll
%Windows%\Installer\35ff7.msi
%Windows%\Installer\{AB7AA605-500F-4153-8207-FB5563419112}\ARPPRODUCTICON.exe

Para eliminar los archivos del componente de malware/grayware/spyware:

Haga clic con el botón derecho en Inicio y haga clic en Buscar....
En el cuadro de entrada Nombre, escriba:

%User Temp%\123.cmd
%User Temp%\set.exe
__tmp_rar_sfx_access_check_96281
setting.exe
%User Temp%\install.cmd
%User Temp%\rms5.2.1.msi
%User Temp%\wget.exe
%Windows%\Installer\35ff3.msi
%Windows%\Installer\35ff5.ipi
%Windows%\Installer\MSI10.tmp
%System Root%\Config.Msi\35ff6.rbs
%System%\sysfiles\dsfvorbisdecoder.dll
%System%\sysfiles\dsfvorbisencoder.dll
%System%\sysfiles\gdiplus.dll
%System%\sysfiles\microsoft.vc90.crt.manifest
%System%\sysfiles\msimg32.dll
%System%\sysfiles\msvcp90.dll
%System%\sysfiles\msvcr90.dll
%System%\sysfiles\oledlg.dll
%System%\sysfiles\rasadhlp.dll
%System%\sysfiles\rfusclient.exe
%System%\sysfiles\ripcserver.dll
%System%\sysfiles\rutserv.exe
%System%\sysfiles\rwln.dll
%System%\sysfiles\vp8decoder.dll
%System%\sysfiles\vp8encoder.dll
%Windows%\Installer\35ff7.msi
%Windows%\Installer\{AB7AA605-500F-4153-8207-FB5563419112}\ARPPRODUCTICON.exe
En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAYÚS+SUPR para eliminarlo definitivamente.
Repita los pasos 2 a 4 con el resto de archivos: %User Temp%\123.cmd
%User Temp%\set.exe
__tmp_rar_sfx_access_check_96281
setting.exe
%User Temp%\install.cmd
%User Temp%\rms5.2.1.msi
%User Temp%\wget.exe
%Windows%\Installer\35ff3.msi
%Windows%\Installer\35ff5.ipi
%Windows%\Installer\MSI10.tmp
%System Root%\Config.Msi\35ff6.rbs
%System%\sysfiles\dsfvorbisdecoder.dll
%System%\sysfiles\dsfvorbisencoder.dll
%System%\sysfiles\gdiplus.dll
%System%\sysfiles\microsoft.vc90.crt.manifest
%System%\sysfiles\msimg32.dll
%System%\sysfiles\msvcp90.dll
%System%\sysfiles\msvcr90.dll
%System%\sysfiles\oledlg.dll
%System%\sysfiles\rasadhlp.dll
%System%\sysfiles\rfusclient.exe
%System%\sysfiles\ripcserver.dll
%System%\sysfiles\rutserv.exe
%System%\sysfiles\rwln.dll
%System%\sysfiles\vp8decoder.dll
%System%\sysfiles\vp8encoder.dll
%Windows%\Installer\35ff7.msi
%Windows%\Installer\{AB7AA605-500F-4153-8207-FB5563419112}\ARPPRODUCTICON.exe

Step 5

Buscar y eliminar estas carpetas

[ learnMore ]

Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todas las carpetas ocultas.

%System Root%\DOCUME~1
%System Root%\DOCUME~1\Wilbert
%User Profile%\LOCALS~1
%System Root%\MSI35ff4.tmp
%System Root%\Config.Msi
%System%\sysfiles
%Windows%\Installer\{AB7AA605-500F-4153-8207-FB5563419112}

Step 6

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como TROJ_DROPPER.XXTUA En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Sondaggio

TROJ_DROPPER.XXTUA

Panoramica e descrizione

Dettagli tecnici

Soluzioni

Risorse

Assistenza

Informazioni su Trend

TROJ_DROPPER.XXTUA

Panoramica e descrizione

Dettagli tecnici

Soluzioni

Risorse

Assistenza

Informazioni su Trend

America

Medio Oriente e Africa

Europa

Asia e Pacifico