TROJ_DROPPR.BECI

Publish Date: 24 de января de 2013

Author: Anthony Joe Melgarejo

Trojan.Dropper (Symantec)

PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

OVER ALL RISK RATING:

DAMAGE POTENTIAL::

DISTRIBUTION POTENTIAL::

REPORTED INFECTION:

Low

Medium

High

Critical

Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes

OVERVIEW

TECHNICAL DETAILS

File size: 6,128,128 bytes

File type: EXE

Memory resident: Yes

INITIAL SAMPLES RECEIVED DATE: 22 de января de 2013

Instalación

Infiltra los archivos siguientes:

%Desktop%\Free PDF Unlocker.lnk
%Start Menu%\Programs\Free PDF Unlocker\Free PDF Unlocker.lnk
%Start Menu%\Programs\Free PDF Unlocker\Uninstall Free PDF Unlocker.lnk
%Application Data%\MCommon\config.dat
%Application Data%\MCommon\sites.dat
%Application Data%\MCommon\uid.dat
%Application Data%\MCommon\uinfo.dat
%Application Data%\MCommon\vinfo.dat
%Application Data%\MCommon\WindowsLiveUpdate.exe
%Application Data%\WinLive\Interop.SHDocVw.dll
%Application Data%\WinLive\MSHTMLSubset.dll
%Application Data%\WinLive\WinLive.dll
%Application Data%\Mozilla\Firefox\Extensions
%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix
%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix\chrome
%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix\chrome\content
%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix\chrome\content\addlist.js
%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix\chrome\content\em.xul
%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix\chrome\content\hashtable.js
%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix\chrome\content\overlay.xul
%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix\chrome\content\update.js
%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix\chrome\skin
%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix\chrome\skin\mozilla-logo.png
%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix\chrome.manifest
%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix\install.rdf
%User Temp%\MTemp\chrome
%User Temp%\MTemp\chrome\content
%User Temp%\MTemp\chrome\content\addlist.js
%User Temp%\MTemp\chrome\content\em.xul
%User Temp%\MTemp\chrome\content\hashtable.js
%User Temp%\MTemp\chrome\content\overlay.xul
%User Temp%\MTemp\chrome\content\update.js
%User Temp%\MTemp\chrome\skin
%User Temp%\MTemp\chrome\skin\mozilla-logo.png
%User Temp%\MTemp\chrome.manifest
%User Temp%\MTemp\install.rdf
%Program Files%\Free PDF Unlocker\AxInterop.XtremeCommandBars.dll
%Program Files%\Free PDF Unlocker\AxInterop.XtremeSkinFramework.dll
%Program Files%\Free PDF Unlocker\Codejock.CommandBars.v12.1.1.lic
%Program Files%\Free PDF Unlocker\Codejock.CommandBars.v12.1.1.ocx
%Program Files%\Free PDF Unlocker\Codejock.SkinFramework.v12.1.1.lic
%Program Files%\Free PDF Unlocker\Codejock.SkinFramework.v12.1.1.ocx
%Program Files%\Free PDF Unlocker\Dictionary.txt
%Program Files%\Free PDF Unlocker\dotnetfx35setup.exe
%Program Files%\Free PDF Unlocker\Free PDF Unlocker.application
%Program Files%\Free PDF Unlocker\Free PDF Unlocker.exe.config
%Program Files%\Free PDF Unlocker\Free PDF Unlocker.exe.manifest
%Program Files%\Free PDF Unlocker\Interop.XtremeCommandBars.dll
%Program Files%\Free PDF Unlocker\Interop.XtremeSkinFramework.dll
%Program Files%\Free PDF Unlocker\itextsharp.dll
%Program Files%\Free PDF Unlocker\styles
%Program Files%\Free PDF Unlocker\styles\Office2007Silver.dll
%Program Files%\Free PDF Unlocker\styles\Vista.cjstyles
%Program Files%\Free PDF Unlocker\unins000.dat
%Program Files%\Free PDF Unlocker\unins000.exe

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

. %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Infiltra y ejecuta los archivos siguientes:

%Program Files%\Free PDF Unlocker\Free PDF Unlocker.exe

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Crea las carpetas siguientes:

%Start Menu%\Programs\Free PDF Unlocker
%Application Data%\MCommon
%Application Data%\WinLive
%User Temp%\MTemp
%Program Files%\Free PDF Unlocker

(Nota: %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Técnica de inicio automático

Agrega las siguientes claves de registro para permitir su propia instalación como objeto de ayuda del explorador (BHO):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{2adefb8e-b923-35e6-86e2-2b7841f5d2a2}

Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
WindowsLiveUpdate = "%Application Data%\MCommon\WindowsLiveUpdate.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\IE.PerformancePack

HKEY_CLASSES_ROOT\Component Categories\{62C8FE65-4EBB-45e7-B440-6E39B2CDBF29}

HKEY_CURRENT_USER\Software\Free PDF Unlocker

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Ext\
Stats\{2ADEFB8E-B923-35E6-86E2-2B7841F5D2A2}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\BAP

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\PPP

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\RASBACP

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\RASCCP

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\RASEAP

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\RASIPCP

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\RASIPHLP

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\RASMAN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\RASPAP

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\RASQEC

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\RASSPAP

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\RASTAPI

HKEY_CLASSES_ROOT\IE.PerformancePack\CLSID

HKEY_CLASSES_ROOT\CLSID\{2ADEFB8E-B923-35E6-86E2-2B7841F5D2A2}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{2ADEFB8E-B923-35E6-86E2-2B7841F5D2A2}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Free PDF Unlocker_is1

Agrega las siguientes entradas de registro:

HKEY_CLASSES_ROOT\Component Categories\{62C8FE65-4EBB-45e7-B440-6E39B2CDBF29}
0 = ".NET Category"

HKEY_CURRENT_USER\Software\Mozilla\
Firefox\Extensions
hotfix@mozilla.org = "%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Approved Extensions
{2ADEFB8E-B923-35e6-86E2-2B7841F5D2A2} = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\
Firefox\Extensions
hotfix@mozilla.org = "%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0002
EnableForRas = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0002
EnableForRouting = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0002
EnableForOutboundRouting = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0003
EnableForRas = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0003
EnableForRouting = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0003
EnableForOutboundRouting = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0004
EnableForRas = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0004
EnableForRouting = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0004
EnableForOutboundRouting = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0005
EnableForRas = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0005
EnableForRouting = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0005
EnableForOutboundRouting = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{2ADEFB8E-B923-35E6-86E2-2B7841F5D2A2}
(Default) = "Blog This in Windows Live"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RasMan\Parameters
IpOutLowWatermark = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RasMan\Parameters
IpOutHighWatermark = "5"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RasMan\Parameters
NbfOutLowWatermark = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RasMan\Parameters
NbfOutHighWatermark = "5"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RasMan\Parameters
NbfInLowWatermark = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RasMan\Parameters
NbfInHighWatermark = "5"

HKEY_CLASSES_ROOT\IE.PerformancePack
(Default) = "IE.PerformancePack"

HKEY_CLASSES_ROOT\IE.PerformancePack\CLSID
(Default) = "{2ADEFB8E-B923-35E6-86E2-2B7841F5D2A2}"

HKEY_CLASSES_ROOT\CLSID\{2ADEFB8E-B923-35E6-86E2-2B7841F5D2A2}
(Default) = "Blog This in Windows Live"

SOLUTION

Minimum scan engine: 9.300

First VSAPI Pattern File: 9.674.02

First VSAPI Pattern Release Date: 22 de января de 2013

VSAPI OPR PATTERN-VERSION: 9.675.00

VSAPI OPR PATTERN DATE: 23 de января de 2013

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Terminar este proceso

[ learnMore ]

Para los usuarios de Windows 98 y ME, puede que el Administrador de tareas de Windows no muestre todos los procesos en ejecución. En tal caso, utilice un visor de procesos de una tercera parte (preferiblemente, el Explorador de procesos) para terminar el archivo de malware/grayware/spyware. Puede descargar la herramienta en cuestión aquí.
Si el archivo detectado aparece en el Administrador de tareas o en el Explorador de procesos, pero no puede eliminarlo, reinicie el equipo en modo seguro. Para ello, consulte este enlace para obtener todos los pasos necesarios.
Si el archivo detectado no se muestra en el Administrador de tareas o el Explorador de procesos, prosiga con los pasos que se indican a continuación.

Free PDF Unlocker.exe

Step 3

Quitar TROJ_DROPPR.BECI por medio de su propia opción de desinstalación

[ learnMore ]

Para desinstalar el proceso de grayware

Step 4

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- WindowsLiveUpdate = "%Application Data%\MCommon\WindowsLiveUpdate.exe"
In HKEY_CLASSES_ROOT\Component Categories\{62C8FE65-4EBB-45e7-B440-6E39B2CDBF29}
- 0 = ".NET Category"
In HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions
- hotfix@mozilla.org = "%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix"
In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
- {2ADEFB8E-B923-35e6-86E2-2B7841F5D2A2} = "{random values}"
In HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions
- hotfix@mozilla.org = "%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0002
- EnableForRas = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0002
- EnableForRouting = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0002
- EnableForOutboundRouting = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0003
- EnableForRas = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0003
- EnableForRouting = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0003
- EnableForOutboundRouting = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0004
- EnableForRas = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0004
- EnableForRouting = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0004
- EnableForOutboundRouting = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0005
- EnableForRas = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0005
- EnableForRouting = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0005
- EnableForOutboundRouting = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
- IpOutLowWatermark = "1"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
- IpOutHighWatermark = "5"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
- NbfOutLowWatermark = "1"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
- NbfOutHighWatermark = "5"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
- NbfInLowWatermark = "1"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
- NbfInHighWatermark = "5"

Para eliminar el valor del Registro que este malware ha creado:

Abra el Editor del Registro. Para ello, haga clic en Inicio>Ejecutar, escriba regedit en el cuadro de texto y pulse Intro.
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunOnce
En el panel derecho, busque y elimine la entrada:
WindowsLiveUpdate = "%Application Data%\MCommon\WindowsLiveUpdate.exe"
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CLASSES_ROOT>Component Categories>{62C8FE65-4EBB-45e7-B440-6E39B2CDBF29}
En el panel derecho, busque y elimine la entrada:
0 = ".NET Category"
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software>Mozilla>Firefox>Extensions
En el panel derecho, busque y elimine la entrada:
hotfix@mozilla.org = "%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix"
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Approved Extensions
En el panel derecho, busque y elimine la entrada:
{2ADEFB8E-B923-35e6-86E2-2B7841F5D2A2} = "{random values}"
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Mozilla>Firefox>Extensions
En el panel derecho, busque y elimine la entrada:
hotfix@mozilla.org = "%Application Data%\Mozilla\Firefox\Extensions\MozillaHotfix"
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Class>{4D36E972-E325-11CE-BFC1-08002bE10318}>0002
En el panel derecho, busque y elimine la entrada:
EnableForRas = "0"
En el panel derecho, busque y elimine la entrada:
EnableForRouting = "0"
En el panel derecho, busque y elimine la entrada:
EnableForOutboundRouting = "0"
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Class>{4D36E972-E325-11CE-BFC1-08002bE10318}>0003
En el panel derecho, busque y elimine la entrada:
EnableForRas = "0"
En el panel derecho, busque y elimine la entrada:
EnableForRouting = "0"
En el panel derecho, busque y elimine la entrada:
EnableForOutboundRouting = "0"
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Class>{4D36E972-E325-11CE-BFC1-08002bE10318}>0004
En el panel derecho, busque y elimine la entrada:
EnableForRas = "0"
En el panel derecho, busque y elimine la entrada:
EnableForRouting = "0"
En el panel derecho, busque y elimine la entrada:
EnableForOutboundRouting = "0"
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Class>{4D36E972-E325-11CE-BFC1-08002bE10318}>0005
En el panel derecho, busque y elimine la entrada:
EnableForRas = "0"
En el panel derecho, busque y elimine la entrada:
EnableForRouting = "0"
En el panel derecho, busque y elimine la entrada:
EnableForOutboundRouting = "0"
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>RasMan>Parameters
En el panel derecho, busque y elimine la entrada:
IpOutLowWatermark = "1"
En el panel derecho, busque y elimine la entrada:
IpOutHighWatermark = "5"
En el panel derecho, busque y elimine la entrada:
NbfOutLowWatermark = "1"
En el panel derecho, busque y elimine la entrada:
NbfOutHighWatermark = "5"
En el panel derecho, busque y elimine la entrada:
NbfInLowWatermark = "1"
En el panel derecho, busque y elimine la entrada:
NbfInHighWatermark = "5"
Cierre el Editor del Registro.

Step 5

Eliminar esta clave del Registro

[ learnMore ]

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
- {2adefb8e-b923-35e6-86e2-2b7841f5d2a2}
In HKEY_CLASSES_ROOT
- IE.PerformancePack
In HKEY_CLASSES_ROOT\Component Categories
- {62C8FE65-4EBB-45e7-B440-6E39B2CDBF29}
In HKEY_CURRENT_USER\Software
- Free PDF Unlocker
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
- {2ADEFB8E-B923-35E6-86E2-2B7841F5D2A2}
In HKEY_CLASSES_ROOT\CLSID
- {2ADEFB8E-B923-35E6-86E2-2B7841F5D2A2}
In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
- {2ADEFB8E-B923-35E6-86E2-2B7841F5D2A2}
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- BAP
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- PPP
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- RASBACP
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- RASCCP
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- RASEAP
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- RASIPCP
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- RASIPHLP
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- RASMAN
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- RASPAP
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- RASQEC
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- RASSPAP
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- RASTAPI

Para eliminar las claves del Registro que este malware/grayware/spyware ha creado:

Abra el Editor del Registro. Para ello, haga clic en Inicio>Ejecutar, escriba regedit en el cuadro de texto y pulse Intro.
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Browser Helper Objects
También en el panel izquierdo, busque y elimine la clave:
{2adefb8e-b923-35e6-86e2-2b7841f5d2a2}
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CLASSES_ROOT
También en el panel izquierdo, busque y elimine la clave:
IE.PerformancePack
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CLASSES_ROOT>Component Categories
También en el panel izquierdo, busque y elimine la clave:
{62C8FE65-4EBB-45e7-B440-6E39B2CDBF29}
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software
También en el panel izquierdo, busque y elimine la clave:
Free PDF Unlocker
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Ext>Stats
También en el panel izquierdo, busque y elimine la clave:
{2ADEFB8E-B923-35E6-86E2-2B7841F5D2A2}
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CLASSES_ROOT>CLSID
También en el panel izquierdo, busque y elimine la clave:
{2ADEFB8E-B923-35E6-86E2-2B7841F5D2A2}
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>CLSID
También en el panel izquierdo, busque y elimine la clave:
{2ADEFB8E-B923-35E6-86E2-2B7841F5D2A2}
En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Tracing
También en el panel izquierdo, busque y elimine la clave:
BAP
También en el panel izquierdo, busque y elimine la clave:
PPP
También en el panel izquierdo, busque y elimine la clave:
RASBACP
También en el panel izquierdo, busque y elimine la clave:
RASCCP
También en el panel izquierdo, busque y elimine la clave:
RASEAP
También en el panel izquierdo, busque y elimine la clave:
RASIPCP
También en el panel izquierdo, busque y elimine la clave:
RASIPHLP
También en el panel izquierdo, busque y elimine la clave:
RASMAN
También en el panel izquierdo, busque y elimine la clave:
RASPAP
También en el panel izquierdo, busque y elimine la clave:
RASQEC
También en el panel izquierdo, busque y elimine la clave:
RASSPAP
También en el panel izquierdo, busque y elimine la clave:
RASTAPI
Cierre el Editor del Registro.

Step 6

Buscar y eliminar estas carpetas

[ learnMore ]

Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todas las carpetas ocultas.

%Application Data%\MCommon
%Application Data%\WinLive
%User Temp%\MTemp

Step 7

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como TROJ_DROPPR.BECI En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Did this description help? Tell us how we did.

TROJ_DROPPR.BECI

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Ресурсы

Поддержка

О компании Trend

TROJ_DROPPR.BECI

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Ресурсы

Поддержка

О компании Trend

Северная и Южная Америка

Ближний Восток и Африка

Европа

Азиатско-Тихоокеанский регион