Forma de Infección de el ARDAMAX y el TURKOJAN y como Eliminarlo

Forma de Infección de el ARDAMAX y el TURKOJAN y como Eliminarlo

Forma de infección del TURKOJAN y como Eliminarlo

Troj/Backdoor.AntiLam.G1. Troyano de acceso remoto

Nombre: Troj/Backdoor.AntiLam.G1
Tipo: Caballo de Troya de acceso remoto
Alias: W32/Turkojan, Backdoor.Turkojan, BackDoor.Turkojan.10, BackDoor-ARL, Backdoor.Antilam.g1
Tamaño: 593,920 bytes
Plataforma: Windows 32-bit
Puerto: TCP/31693 (configurable)

Este troyano permite el acceso a las computadoras infectadas por medio de una “puerta trasera” (backdoor), con lo que un atacante puede tomar el control total de la misma.

Es capaz de robar información confidencial mediante la captura de todo lo tecleado por la víctima. Esta información es guardada y enviada al atacante. También intenta obtener las contraseñas almacenadas en la memoria caché.

Por defecto utiliza para esa comunicación el puerto TCP/31693.

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Cuando el troyano se ejecuta, se copia a sí mismo con el nombre que le haya asignado el atacante, en la carpeta Windows o Windows\System.

Luego modifica el registro para autoejecutarse en los siguientes reinicios del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre] = [ubicación y nombre]

Si se ejecuta en Windows 95, 98 o Me, el troyano se ejecuta como un servicio, disponible para todos los usuario en las diferentes sesiones y oculto en la lista de tareas (CTRL+ALT+SUPR).

Una vez en memoria, intenta avisar al atacante a través del ICQ o mediante solicitud CGI, quedando a la espera de las ordenes remotas.

Estas pueden permitir:

• Enviar información de la computadora y de la red
• Finalizar procesos
• Abrir repetidamente un puerto TCP
• Mostrar un mensaje de error falso para encubrirse
• Control total sobre el sistema de archivos
• Carga y descarga de archivos
• Ejecución remota de cualquier programa
• Mostrar mensajes
• Mostrar al atacante lo que exhibe el monitor de la víctima
• Capturar y enviar todo lo tecleado por la víctima
• Manipular el teclado y el ratón
• Abrir y cerrar la bandeja de la lectora de CD-ROM
• Apagar o prender el monitor (si permite ahorro de energía)

También puede obtener y enviar esta información del usuario infectado:

• Dirección IP de la víctima
• Nombre del usuario logeado en Windows y en Internet
• Versión del sistema operativo
• Nombre de la computadora
• Lista de contraseñas guardadas en el caché

Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x

http://www.vsantivirus.com/za.htm

Antivirus

Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados.

IMPORTANTE: Apunte el nombre del ejecutable del troyano

Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo “+” hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta “Run” y en el panel de la derecha, bajo la columna “Nombre”, busque y borre la entrada correspondiente al nombre del ejecutable obtenido en los pasos anteriores (ver “Antivirus”).

4. Use “Registro”, “Salir” para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de “Oculto”, proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú ‘Ver’ (Windows 95/98/NT) o el menú ‘Herramientas’ (Windows Me/2000/XP), y pinche en ‘Opciones’ u ‘Opciones de carpetas’.

3. Seleccione la lengüeta ‘Ver’.

4. DESMARQUE la opción “Ocultar extensiones para los tipos de archivos conocidos” o similar.

5. En Windows 95/NT, MARQUE la opción “Mostrar todos los archivos y carpetas ocultos” o similar.

En Windows 98, bajo ‘Archivos ocultos’, MARQUE ‘Mostrar todos los archivos’.

En Windows Me/2000/XP, en ‘Archivos y carpetas ocultos’, MARQUE ‘Mostrar todos los archivos y carpetas ocultos’ y DESMARQUE ‘Ocultar archivos protegidos del sistema operativo’.

6. Pinche en ‘Aplicar’ y en ‘Aceptar’.

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta “Restaurar sistema” como se indica en estos artículos:

Limpieza de virus en Windows Me

http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

http://www.vsantivirus.com/faq-winxp.htm

Forma de infección del ARDMAX y como Eliminarlo

¿Cómo se infectó con Ardamax Keylogger 2.71?

¿Le preocupa saber cómo Ardamax Keylogger 2.71 terminó dentro de su PC? Si usted está infectado con Ardamax Keylogger 2.71 o con otro badware, quizás usted está utilizando…

• Freeware o shareware: ¿Descargó o instaló shareware o freeware? Estas aplicaciones de software de bajo costo o gratuitas pueden incluir spyware, adware, o programas como Ardamax Keylogger 2.71.A veces el adware viene adjunto al software gratuito con el fin de “pagar” a los desarrolladores por el costo de crear el software, pero lo más frecuente es que el spyware venga adjunto al software gratuito, con el fin de da�ar su computadora y robarle su información personal y financiera.
• Software P2P o punto a punto (peer-to-peer): ¿Utiliza programas peer-to-peer (P2P) u otra aplicación en una red compartida? Cuando utiliza estas aplicaciones, pone en riesgo su sistema porque sin saberlo puede estar descargando un archivo infectado, incluyendo aplicaciones como Ardamax Keylogger 2.71.
• Sitios web dudosos: ¿Visitó un sitio web de naturaleza dudosa? Cuando usted visita sitios maliciosos que parecen ofrecer cosas maravillosas, el badware puede descargarse en forma automática e instalarse en su computadora, a veces incluyendo aplicaciones como Ardamax Keylogger 2.71. Si aún no lo está utilizando, le recomiendo el navegador web Firefox.

Para deshacerse de Ardamax Keylogger 2.71

• Eliminación manual de Ardamax Keylogger 2.71 con instrucciones paso a paso
• Descargue Spyware Doctor para eliminar automáticamente Ardamax Keylogger 2.71.

Puede descargar el premiado software anti-badware Spyware Doctor para eliminar Ardamax Keylogger 2.71 de forma sencilla.

¿Usted tiene Ardamax Keylogger 2.71?

Cuando usted está infectado con badware -esto es Ardamax Keylogger 2.71,spyware, adware, un troyano o un virus- hay algunos síntomas claves. Usted ha percibido…

• Una performance más lenta de su computadora: Es suficiente con tener un parásito como Ardamax Keylogger 2.71 para que su computadora se vuelva más lenta de forma notoria. Si su PC demora más en iniciarse, o su conexión a Internet está más lenta que lo normal, usted puede estar infectado con Ardamax Keylogger 2.71.
• Nuevos accesos directos en su escritorio o cambios en la página de inicio de su navegador: El badware como Ardamax Keylogger 2.71 puede cambiar la configuración de su página de inicio a otro sitio web. El badware también puede agregar accesos directos en el escritorio de su PC.
• Molestos anuncios desplegables: El badware puede bombardear su computadora con ventanas desplegables con anuncios, incluso cuando usted no está conectado a Internet. Por medio de estos anuncios desplegables usted puede ser enga�ado para que descargue más spyware.

Cómo eliminar Ardamax Keylogger 2.71 de forma manual

Antes de comenzar, debe hacer un respaldo (backup) de su sistema y de su registro, de modo tal que resulte sencillo restaurar la situación anterior de su computadora en caso de que algo salga mal.

Para eliminar Ardamax Keylogger 2.71 de forma manual, lo que debe hacer es borrar los archivos de Ardamax Keylogger 2.71. Le mostraré cómo hacerlo.

Eliminar los procesos de Ardamax Keylogger 2.71

akl.exe
nsk.exe
akv.exe

Eliminar las DLLs de Ardamax Keylogger 2.71

kh.dll
il.dll

Detectar y eliminar los archivos de Ardamax Keylogger 2.71

akv.ini
settings.ini

Eliminar valores de registro de Ardamax Keylogger 2.71

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ardamax Keylogger
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NSK
HKEY_CURRENT_USER\Software\Ardamax Keylogger Lite
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\App Paths\akl.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ardamax Keylogger

Borrar los directorios de Ardamax Keylogger 2.71

C:\Program Files\Ardamax Keylogger
C:\Program Files\NSK

Bloquear los siguientes sitios web de Ardamax Keylogger 2.71

http://www.ardamax.com

Nota: En todos los archivos deArdamax Keylogger 2.71 que menciono más arriba, “%System%” es una variable que refiere a la carpeta del sistema de su PC.Quizás usted le cambió el nombre, pero por defecto la carpeta de su sistema es “C:\Windows\System32″ on Windows XP, “C:\Winnt\System32″ en Windows NT/2000,” o “C:\Windows\System” en Windows 95/98/Me.

“%Program_Files%”, “%ProgramFiles%”, o “%Profile%” es una variable que refiere a una carpeta en su PC donde las aplicaciones que no forman parte del sistema operativo de su PC son instaladas por defecto. Puede haberle cambiado el nombre a esta carpeta o puede haberla movido, pero si no la tocó, búsquela como “C:\Program Files”. Si tiene problemas para encontrar esta carpeta, la puede ubicar buscando el valor de registro “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir”.

Además, “%UserProfile%” es una variable que refiere a su actual carpeta de perfil de usuario. Si está utilizando Windows NT/2000/XP, por defecto es “C:\Documents and Settings\[CURRENT USER]” (por ejemplo, “C:\Documents and Settings\JoeSmith”). Si usted tiene preguntas sobre la eliminación manual de Ardamax Keylogger 2.71, escríbanos un comentario.

¿Cómo eliminar los archivos de Ardamax Keylogger 2.71?

¿Necesita ayuda para eliminar los archivos de Ardamax Keylogger 2.71? Existe un cierto riesgo y por esa razón usted sólo deberá hacerlo si se siente cómodo editando su sistema; descubrirá que es fácil borrar archivos en Windows.

Cómo borrar archivos de Ardamax Keylogger 2.71 en Windows XP y Vista:

1. Haga clic en el menú Inicio (Start) de Windows, y haga clic en “Buscar (Search)“
2. Aparecerá un menú de diálogo que le preguntará, “¿Qué desea buscar?” Haga clic en “Todas los archivos y carpetas.”
3. Escriba el nombre del archivo en la caja de búsqueda y seleccione “Discos duros locales.”
4. Haga clic en “Buscar.” Una vez que el archivo es encontrado, elimínelo.

Cómo detener procesos de Ardamax Keylogger 2.71:

1. Haga clic en el menú Inicio, seleccione Ejecutar.
2. Escriba taskmgr.exe en la caja de comando de Ejecutar , y haga clic en “Aceptar.” También puede ejecutar el Administrador de Tareas de Windows presionado las teclas ALT + CTRL + DELETE o CTRL + May + ESC.
3. Haga clic en la pesta�a (tab) Procesos y busque los procesos de Ardamax Keylogger 2.71.
4. Una vez que encuentre los procesos deArdamax Keylogger 2.71, haga clic con el botón derecho sobre ellos y seleccione “Terminar Proceso (End Process)” para matar a Ardamax Keylogger 2.71.

Cómo eliminar valores de registro de Ardamax Keylogger 2.71 :

Debido a que su registro es una pieza muy importante del sistema Windows, siempre debe hacer un respaldo de su registro antes de editarlo. Editar el registro puede intimidar a quienes no son expertos en computación; cuando usted cambia o borra un valor de registro crítico, existe la posibilidad de que necesite reinstalar todo su sistema operativo.Asegúrese de hacer un respaldo de su registro antes de hacer cualquier cambio.

1. Seleccione el menú “Inicio ,” de Windows y haga clic en “Ejecutar.”Le aparecerá un campo “Abrir“. Escriba “regedit” y haga clic en “Aceptar” para abrir el Editor del Registro.
2. El Editor de Registro abrirá una ventana con dos partes. El lado izquierdo del Editor del Registro le permitirá seleccionar varios valores de registro, y el lado derecho muestra los valores de registro del valor de registro que usted seleccionó.
3. Para encontrar un valor de registro de Ardamax Keylogger 2.71 , como cualquier otro valor de registro, seleccione “Editar,” y luego “Buscar,” y en la barra de búsqueda de escriba los valores de registro de Ardamax Keylogger 2.71.
4. Una vez que el valor de registro de Ardamax Keylogger 2.71 aparece, usted puede borrar el valor de registro de Ardamax Keylogger 2.71, seleccionando “Modificar,” y luego haciendo clic en “Eliminar.”

Cómo eliminar archivos Ardamax Keylogger 2.71:

1. Primero localice los archivos DLL de Ardamax Keylogger 2.71 que desea eliminar. Abra el menú Inicio de Windows, luego haga clic en “Ejecutar.” escriba “cmd” y luego haga clic en “Aceptar.”
2. Para cambiar su directorio actual, escriba “cd” en la línea de comando, presione la barra espaciadora una vez y luego escriba el directorio completo en el que está ubicado el archivo DLL de “Ardamax Keylogger 2.71. Si usted no está seguro si el archivo DLL de Ardamax Keylogger 2.71 está ubicado en un directorio en particular, escriba “dir” en la línea de comando para mostrar el contenido del directorio. Para retroceder un directorio hacia atrás, escriba “cd ..” en la línea de comando y presione “Intro (Enter).”
3. 3.Una vez localizado el archivo de Ardamax Keylogger 2.71 que desea eliminar, escriba “regsvr32 /u SampleDLLName.dll” (por ejemplo., “regsvr32 /u jl27script.dll”) y presione la tecla “Intro (Enter)“.

Eso es todo. Si quiere restaurar cualquier archivo DLL de Ardamax Keylogger 2.71 que eliminó, escriba “regsvr32 DLLJustDeleted.dll” (por ejemplo, “regsvr32 jl27script.dll”) en la línea de comando y presione la tecla “Intro”.

¿ Ardamax Keylogger 2.71 cambió su página de inicio?

1. Haga clic en el menú Inicio > Panel de Control > Opciones de Internet.
2. En Página de Inicio, seleccione General > Predeterminada.
3. Escriba la Dirección que usted prefiere como su página de inicio (por ejemplo, “http://www.homepage.com”).
4. Seleccione Aplicar > Aceptar.
5. Deberá abrir una nueva página web para asegurarse que la nueva página de inicio por defecto está activa..

Consejo para eliminar Ardamax Keylogger 2.71

¿Su computadora está actuando de manera atípica después que eliminó alguno de los archivos de Ardamax Keylogger 2.71 ? Le recomiendo utilizar un programa como File Recover de PC Tools. File Recover guarda los archivos eliminados que, en caso de no hacerlo, no pueden ser recuperados por sistema operativo Windows.

¿Quiere ahorrarse tiempo buscando los archivos de Ardamax Keylogger 2.71? Descargue el escáner de spyware gratuito de Spyware Doctor, deje que el software busque los archivos de Ardamax Keylogger 2.71 por usted, y luego elimine los archivos de Ardamax Keylogger 2.71 de forma manual.

Comprendiendo Ardamax Keylogger 2.71

Si usted está infectado con Ardamax Keylogger 2.71, debe saber contra lo que está combatiendo. Le pasaré a explicar algunas definiciones vinculadas a Ardamax Keylogger 2.71.

Ardamax Keylogger 2.71 Quizás es un keylogger

Los capturadores de pulsaciones del teclado (“key loggers” o “keyloggers” o “keystroke loggers”) � son software o spyware que registran cada tecla que usted presiona en su PC. Algunos keyloggers se instalan con el objetivo de capturar nombres de usuarios y contraseñas, sus números de cuentas bancarias, sus números de tarjetas de crédito, etc. Algunos keyloggers pueden capturar imágenes de su pantalla y de su actividad, mirar mails o chats, y más. A veces los keyloggers son instalados en forma legítima con el fin de monitorear la actividad de un empleado o de un niño. Aun cuando los keyloggers son instalados sin propósitos maliciosos, estos trabajan en forma secreta, sin que usted lo sepa.

Debido a los métodos de ocultamiento utilizados por los keyloggers, aún cuando son instalados sin propósitos maliciosos, pueden poner en riesgo su información personal y financiera. Es una buena idea eliminar Ardamax Keylogger 2.71 y otros keyloggers.

Algunos keyloggers también caen en la categoría de spyware. Spyware es todo software o malware (“software malicioso”) utilizado para espiar o rastrear la actividad de su computadora. Aunque en algunas ocasiones el spyware puede ser instalado en forma legítima e intencional por padres o empleadores para monitorear la actividad en Internet de una computadora, también puede ser instalado con fines maliciosos. Con frecuencia el spyware viene junto a descargas de software gratuito o como cookie de un sitio web. Este spyware puede rastrear su actividad en Internet o robar nombres y contraseñas de cuentas secretas, números de tarjetas de crédito, y otra información personal o financiera.

Prevención contra los keyloggers

Los caminos para prevenir la captura de pulsaciones de teclas (keylogging) de su computadora no son sencillos. La mejor manera de evitar esta forma de ser espiado es utilizar el sentido común y aplicar algunos métodos de prevención contra keyloggers que mencionaremos a continuación.

• Utilice Software Anti-Spyware: La mayoría del software anti-spyware detecta y elimina keyloggers, tanto si son comerciales o no. Es siempre recomendable utilizar regularmente software anti-spyware para monitorear su sistema por la eventual presencia de keyloggers y otros spyware.
• Utilice Cortafuegos (firewall): Utilizar un firewall puede ayudarlo a proteger su computadora y protegerse usted de los keyloggers que se diseminan maliciosamente por medio de gusanos (worms), virus y troyanos.
• Monitoree los Programas que Ejecuta su Computadora: Más allá de la motivación de prevenir los keyloggers, siempre mire cuáles qué programas están instalados en su PC y cuáles se ejecutan regularmente. Si su computadora está localizada en un área de fácil acceso para otras personas, mire los dispositivos conectados a sus puertos USB. Los keyloggers se instalan fácilmente por esta vía.
• Utilice un Monitor de Red: Un monitor de red le avisará cada vez que una aplicación en su PC intente conectarse a Internet. De esta manera puede evitar el contacto entre el keylogger y el agresor anónimo y que el keylogger le envíe al agresor su información personal.
• Formularios AutoCompletar: Los Formularios Autocompletar (Automatic Form fillers), entre ellos los que integran su navegador web, pueden ayudarlo a prevenir los daños del keylogging, ya que los programas le permitirán tener acceso a cuentas sensibles sin necesidad de tipear la información de usuario. Para que esto funcione, usted creará contraseñas que sean invisibles a la captura las pulsaciones de teclas y de imágenes en pantalla.
• Teclados basados en web o en pantalla: Los teclados en pantalla, que mayormente son utilizados por sitios financieros, pueden ayudarlo a protegerse de que los capturadores de teclas le roben su nombre de usuario y contraseñas. En los teclados basados en web usted utiliza el mouse para hacer clic y “tipear” una contraseña en un teclado en pantalla. Aún así, un keylogger con una función de fotografiado de pantalla muy rápida, puede capturar esta información.

Si utiliza los métodos anteriormente descriptos podrá protegerse contra los keyloggers, pero los keyloggers con casi imposibles de detectar. Seguramente usted quiera escanear regularmente keyloggers en su PC, en especial si comparte la computadora o si se encuentra en un lugar al que acceden otras personas.