ADW_INSTALLCOR
a variant of Win32/InstallCore.OG application (NOD32), ADWARE/InstallCore.Gen9 (Antivir), Trojan.Win32.Generic!BT (Sunbelt)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de malware
Adware
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Incluye un paquete de desinstalación que elimina completamente los archivos y registros infiltrados.
Detalles técnicos
Instalación
Agrega las carpetas siguientes:
- %All Users Profile%\Start Menu\Programs\PDF Creator
- %Application Data%\Microsoft\Protect\S-1-5-21-1614895754-436374069-682003330-1003\07d30d01-d53a-4888-ab62-d69ffc6b9b11
- %User Temp%\is{random}
- %Program Files%\GPLGS
- %Program Files%\PDF Creator
- %Program Files%\PDF Creator\Driver
- %Program Files%\PDF Creator\Driver\X64
- %Program Files%\PDFCreator
- %Program Files%\PDFCreator\Actual
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).)Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\CUSTPDF Writer
HKEY_LOCAL_MACHINE\SOFTWARE\CUSTPDF Writer\
CPWPV305:
HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript
HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript\
8.15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Forms
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Monitors\
CUSTPDF Writer Monitor x86
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Monitors\
CUSTPDF Writer Monitor x86\CPWPV305:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
PDF Creator
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Printers\DevModePerUser
PDF Creator = "{value}"
HKEY_LOCAL_MACHINE\SOFTWARE\CUSTPDF Writer\
CPWPV305:
Destination Folder = "%Program Files%\PDFCreator\Actual\"
HKEY_LOCAL_MACHINE\SOFTWARE\CUSTPDF Writer\
CPWPV305:
Converter = "%Program Files%\PDFCreator\Actual\GNUGS"
HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript\
8.15
GS_LIB = "C:\Program Files\GPLGS"
HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript\
8.15
GS_DLL = "C:\Program Files\GPLGS\gsdll32.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Name = "PDF Creator"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Share Name = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Print Processor = "WinPrint"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Datatype = "RAW"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Parameters = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Action = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
ObjectGUID = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
DsKeyUpdate = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
DsKeyUpdateForeground = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Printer Driver = "CUSTPDF Writer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Default DevMode = "{value}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Priority = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Default Priority = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
StartTime = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
UntilTime = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Attributes = "240"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
txTimeout = "afc8"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
dnsTimeout = "3a98"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Security = "{value}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Port = "CPWPV305:"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printBinNames = "{value}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printCollate = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printColor = "1"
printDuplexSupported
printDuplexSupported = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printStaplingSupported = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMaxXExtent = "00007fff"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMaxYExtent = "00007fff"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMinXExtent = "000000fe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMinYExtent = "000000fe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printNumberUp = "6"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMemory = "1000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printMaxResolutionSupported = "fa0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printRate = "00000190"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printRateUnit = "PagesPerMinute"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
printPagesPerMinute = "00000190"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsDriver
"00000401" = "00000401"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
driverName = "CUSTPDF Writer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printStartTime = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printEndTime = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printerName = "PDF Creator"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printKeepPrintedJobs = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
printSpooling = "PrintAfterSpooled"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
priority = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
uNCName = "\{username}\PDF Creator"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
versionNumber = "00000004"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
serverName = "{username}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
shortServerName = "{username}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\DsSpooler
flags = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
InitDriverVersion = "00000600"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
FreeMem = "00001000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
JobTimeOut = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
Protocol = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
PrinterDataSize = "00000230"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
FeatureKeywordSize = "00000018"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator\PrinterDriverData
Forms? = "04d0c2a5"
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Devices
PDF Creator = "winspool,Ne02:"
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\PrinterPorts
PDF Creator = "winspool,Ne02:,15,45"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Ports
Ne02: = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
ChangeID = "00c7bd6c"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\PDF Creator
Status = "00000080"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Configuration File = "PS5UI.DLL"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Data File = "CUSTPDFW.PPD"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Driver = "PSCRIPT5.DLL"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Help File = "PSCRIPT.HLP"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Datatype = "RAW"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Version = "00000003"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
TempDir = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Environments\
Windows NT x86\Drivers\Version-3\
CUSTPDF Writer
Attributes = "00000002"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Monitors\
CUSTPDF Writer Monitor x86 Driver
{Default} = "custmon32i.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Monitors\
CUSTPDF Writer Monitor x86\CPWPV305:
{Default} = "PDF Creator"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
ChangeID = "00c7bd6c"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Status = "00000080"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Name = "PDF Creator"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Print Processor = "WinPrint"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Datatype = "RAW"
Action
Action = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
DsKeyUpdate = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
DsKeyUpdateForeground = "00000003
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Printer Driver = "CUSTPDF Writer"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Priority = "00000001"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Default Priority = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
StartTime = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
UntilTime = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
"00000240" = "00000240"
txTimeout
"0000afc8" = "0000afc8"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
dnsTimeout = "00003a98"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator
Port = "CPWPV305:"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMaxXExtent = "00007fff"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMaxYExtent = "00007fff"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMinXExtent = "000000fe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMinYExtent = "000000fe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printNumberUp = "00000006"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMemory = "00001000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printMaxResolutionSupported = "00000fa0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printRate = "00000190"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printRateUnit = "PagesPerMinute"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
printPagesPerMinute = "00000190"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsDriver
driverVersion = "00000401"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
driverName = "CUSTPDF Writer"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
printStartTime = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
printEndTime = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
printerName = "PDF Creator"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
printSpooling = "PrintAfterSpooled"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
priority = "00000001"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
uNCName = "\{username}\PDF Creator"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
versionNumber = "00000004"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
serverName = "{username}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
shortServerName = "{username}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\DsSpooler
flags = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
InitDriverVersion = "00000600"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
FreeMem = "00001000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
JobTimeOut = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
Protocol = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
PDF Creator\PrinterDriverData
PrinterDataSize = "00000230"
Rutina de infiltración
Infiltra los archivos siguientes:
- %All Users Profile%\Start Menu\Programs\PDF Creator\Preferences.lnk
- %All Users Profile%\Start Menu\Programs\PDF Creator\Readme.lnk
- %All Users Profile%\Start Menu\Programs\PDF Creator\Uninstall PDF Creator.lnk
- %User Temp%\is{random}\12726241_stp.EXE
- %User Temp%\is{random}\12726241_stp.EXE.part
- %Program Files%\PDF Creator\Converter.exe
- %Program Files%\PDF Creator\CPWriter2.exe
- %Program Files%\PDF Creator\custmon32i.dll
- %Program Files%\PDF Creator\custmon64i.dll
- %Program Files%\PDF Creator\custmoni.dll
- %Program Files%\PDF Creator\Driver\CUSTPDFW.PPD
- %Program Files%\PDF Creator\Driver\CUSTPDFW.SPD
- %Program Files%\PDF Creator\Driver\FONTS.MFM
- %Program Files%\PDF Creator\Driver\ICONLIB.DLL
- %Program Files%\PDF Creator\Driver\PS5UI.DLL
- %Program Files%\PDF Creator\Driver\PSCRIPT.DRV
- %Program Files%\PDF Creator\Driver\PSCRIPT.HLP
- %Program Files%\PDF Creator\Driver\PSCRIPT.INI
- %Program Files%\PDF Creator\Driver\PSCRIPT.NTF
- %Program Files%\PDF Creator\Driver\PSCRIPT5.DLL
- %Program Files%\PDF Creator\Driver\PSMON.DLL
- %Program Files%\PDF Creator\Driver\TESTPS.TXT
- %Program Files%\PDF Creator\Driver\X64\PS5UI.DLL
- %Program Files%\PDF Creator\Driver\X64\PSCRIPT.HLP
- %Program Files%\PDF Creator\Driver\X64\PSCRIPT.NTF
- %Program Files%\PDF Creator\Driver\X64\PSCRIPT5.DLL
- %Program Files%\PDF Creator\message.exe
- %Program Files%\PDF Creator\PDFWrite.rsp
- %Program Files%\PDF Creator\pdfwriter.exe
- %Program Files%\PDF Creator\pdfwriter32.exe
- %Program Files%\PDF Creator\pdfwriter64.exe
- %Program Files%\PDF Creator\Preferences.exe
- %Program Files%\PDF Creator\Readme.htm
- %Program Files%\PDF Creator\Setup.exe
- %Program Files%\PDF Creator\Setup.inf
- %Program Files%\PDF Creator\unInstpw.exe
- %Program Files%\PDF Creator\unInstpw64.exe
- %Program Files%\PDFCreator\Actual\CPWriter2.exe
- %Program Files%\PDFCreator\Actual\PDFWrite.rsp
- %Program Files%\PDFCreator\Actual\pdfwriter.exe
- %Program Files%\PDFCreator\Actual\Preferences.exe
- %Program Files%\PDFCreator\Actual\README.HTM
- %Program Files%\PDFCreator\Actual\setup.inf
- %Program Files%\PDFCreator\Actual\uninstpw.exe
- C:\WINDOWS\system32\custmon32i.dll
- C:\WINDOWS\system32\spool\drivers\w32x86\CUSTPDFW.PPD
- C:\WINDOWS\system32\spool\drivers\w32x86\PS5UI.DLL
- C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT.HLP
- C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT.NTF
- C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT5.DLL
- C:\WINDOWS\system32\spool\drivers\w32x86\3\CUSTPDFW.BPD
- C:\WINDOWS\system32\spool\drivers\w32x86\3\CUSTPDFW.PPD
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).)Otros detalles
Agrega las siguientes entradas de registro para añadir una opción de desinstalación al Panel de control:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
PDF Creator
DisplayName = "PDF Creator"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
PDF Creator
UninstallString = "%Program Files%\PDFCreator\Actual\uninstpw.exe %Program Files%\PDFCreator\Actual\"
Incluye un paquete de desinstalación que elimina completamente los archivos infiltrados y registros agregados.
Soluciones
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Identificar y terminar los archivos detectados como ADW_INSTALLCOR
- Para los usuarios de Windows 98 y ME, puede que el Administrador de tareas de Windows no muestre todos los procesos en ejecución. En tal caso, utilice un visor de procesos de una tercera parte (preferiblemente, el Explorador de procesos) para terminar el archivo de malware/grayware/spyware. Puede descargar la herramienta en cuestión aquí.
- Si el archivo detectado aparece en el Administrador de tareas o en el Explorador de procesos, pero no puede eliminarlo, reinicie el equipo en modo seguro. Para ello, consulte este enlace para obtener todos los pasos necesarios.
- Si el archivo detectado no se muestra en el Administrador de tareas o el Explorador de procesos, prosiga con los pasos que se indican a continuación.
Step 3
Quitar ADW_INSTALLCOR por medio de su propia opción de desinstalación
Step 4
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SOFTWARE
- CUSTPDF Writer
- CUSTPDF Writer
- In HKEY_LOCAL_MACHINE\SOFTWARE
- GPL Ghostscript
- GPL Ghostscript
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers
- PDF Creator
- PDF Creator
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
- Forms
- Forms
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows NT x86\Drivers\Version-3
- CUSTPDF Writer
- CUSTPDF Writer
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors
- CUSTPDF Writer Monitor x86
- CUSTPDF Writer Monitor x86
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers
- PDF Creator
- PDF Creator
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
- PDF Creator
- PDF Creator
Step 5
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Printers\DevModePerUser
- PDF Creator = "{value}"
- PDF Creator = "{value}"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices
- PDF Creator = "winspool,Ne02:"
- PDF Creator = "winspool,Ne02:"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts
- PDF Creator = "winspool,Ne02:,15,45"
- PDF Creator = "winspool,Ne02:,15,45"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports
- Ne02: = ""
- Ne02: = ""
Step 6
Buscar y eliminar esta carpeta
- %All Users Profile%\Start Menu\Programs\PDF Creator
- %Application Data%\Microsoft\Protect\S-1-5-21-1614895754-436374069-682003330-1003\07d30d01-d53a-4888-ab62-d69ffc6b9b11
- %User Temp%\is{random}
- %Program Files%\GPLGS
- %Program Files%\PDF Creator
- %Program Files%\PDFCreator
Step 7
Buscar y eliminar estos archivos
- C:\WINDOWS\system32\custmon32i.dll
- C:\WINDOWS\system32\spool\drivers\w32x86\CUSTPDFW.PPD
- C:\WINDOWS\system32\spool\drivers\w32x86\PS5UI.DLL
- C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT.HLP
- C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT.NTF
- C:\WINDOWS\system32\spool\drivers\w32x86\PSCRIPT5.DLL
- C:\WINDOWS\system32\spool\drivers\w32x86\3\CUSTPDFW.BPD
- C:\WINDOWS\system32\spool\drivers\w32x86\3\CUSTPDFW.PPD
Step 8
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como ADW_INSTALLCOR En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Rellene nuestra encuesta!