Adware.Savenow

Página de impresión

Actualizado: February 13, 2007 11:32:37 AM
Tipo: Adware
Versión: 2.1
Creador: WhenU
Impacto del riesgo: Low
Nombres de archivos: Save.exe VVSN.exe xplus.exe savenow.exe WUInst.dll
Sistemas afectados: Windows

Comportamiento


Adware.Savenow es un programa adware que descarga y muestra publicidad.

Nota : Las detecciones anteriores al 7 de abril de 2005, pueden detectar componentes de este adware como Adware.PurityScan.

Síntomas


Los archivos son detectados como Adware.Savenow.

Transmisión


Este adware debe instalarse manualmente. También debe instalarse como un componente de otro programa. Cual sea el caso, el hecho es que Adware.Savenow será claro en presentar el Acuerdo de licencia al usuario (End-User License Agreement, EULA).

Fechas de protección antivirus

  • Versión inicial de Rapid Release October 02, 2014 revisión 022
  • Última versión de Rapid Release April 18, 2018 revisión 003
  • Versión inicial de Daily Certified August 18, 2003 revisión 003
  • Última versión de Daily Certified April 18, 2018 revisión 005
  • Fecha de lanzamiento inicial de Weekly Certified August 18, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Actualizado: February 13, 2007 11:32:37 AM
Tipo: Adware
Versión: 2.1
Creador: WhenU
Impacto del riesgo: Low
Nombres de archivos: Save.exe VVSN.exe xplus.exe savenow.exe WUInst.dll
Sistemas afectados: Windows


Cuando Adware.Savenow se ejecuta realiza lo siguiente:

  1. Crea los siguientes archivos:

    • %ProgramFiles%\Save\Save.exe
    • %ProgramFiles%\Save\Save.html
    • %ProgramFiles%\Save\Readme.txt
    • %ProgramFiles%\Save\SaveUninst.exe
    • %ProgramFiles%\VVSN\VVSN.exe
    • %ProgramFiles%\SaveNow\Readme.txt
    • %ProgramFiles%\SaveNow\SaveNow.exe
    • %ProgramFiles%\SaveNow\SaveNow.htm
    • %ProgramFiles%\SaveNow\Uninst.exe
    • %ProgramFiles%\Xtractor Plus\hh.html
    • %ProgramFiles%\Xtractor Plus\readme.txt
    • %ProgramFiles%\Xtractor Plus\unins000.dat
    • %ProgramFiles%\Xtractor Plus\unins000.exe
    • %ProgramFiles%\Xtractor Plus\xp.exe
    • %ProgramFiles%\Xtractor Plus\Xplus.CNT
    • %ProgramFiles%\Xtractor Plus\XPLUS.HLP
    • %System%\CCRPFTV6.OCX
    • %System%\SSubTmr.dll
    • %System%\TABCTL32.OCX
    • %System%\UNACE.DLL
    • %System%\UNRAR.dll
    • %System%\Unzip32.dll
    • %Windir%\hh.ico
    • %Windir%\hhs.url
    • %Windir%\Downloaded Program Files\WUInst.dll
    • %UserProfile%\Start Menu\Programs\WhenU\Learn More About Save!.url
    • %UserProfile%\Start Menu\Programs\WhenU\Learn More About SaveNow.url
    • %UserProfile%\Start Menu\Programs\WhenU\WhenU.com Website.url

      Nota:
    • %Archivos de programa% es una variable para hacer referencia a la carpeta Archivos de programa. Por defecto, se trata de C:\Program Files.
    • %System% es una variable para hacer referencia a la carpeta System. De forma predeterminada esta carpeta se encuentra en C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) o en C:\Windows\System32 (Windows XP).
    • %Windir% es una variable para hacer referencia a la carpeta de instalación de Windows. (En forma predefinida es C:\Windows o C:\Winnt).

  2. Añade los valores:

    " VVSN"   = "%ProgramFiles%\VVSN\VVSN.exe"
    "SaveNow" = "%ProgramFiles%\SaveNow\SaveNow.exe"
    "WhenUSave" = "%ProgramFiles%\Save\Save.exe"

    a una o más de las siguientes sub-claves de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    con lo que el adware se ejecuta cada vez que inicia Windows.

  3. Crea las siguientes sub-claves de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveNow
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ WhenUSaveMsg
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Xtractor Plus_is1
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free Software
    HKEY_CLASSES_ROOT\WUSN.1
    HKEY_CLASSES_ROOT\CLSID\{E2F2B9D0-96B9-4B25-B90C-636ECB207D18}

  4. Contacta un servidor en el dominio whenu.com, para descargar y mostrar publicidad.

  5. Registra los hábitos de navegación en Internet. Sin embargo, la información recopilada no se envía al servidor. Se almacena en el equipo local y se utiliza para determinar que publicidad debería de aparecer.


Actualizado: February 13, 2007 11:32:37 AM
Tipo: Adware
Versión: 2.1
Creador: WhenU
Impacto del riesgo: Low
Nombres de archivos: Save.exe VVSN.exe xplus.exe savenow.exe WUInst.dll
Sistemas afectados: Windows


Las instrucciones siguientes pertenecen a todos los productos antivirus de Symantec que ofrezcan soporte la detección de riesgo a la seguridad.

  1. Actualice las definiciones de virus.
  2. Desinstale el adware.
  3. Ejecute un análisis completo del sistema.
  4. Elimina cualquier valor agregado al registro de Windows.
  5. Eliminar los archivos utilizados por este Adware
Si necesita información sobre cómo llevar a cabo estos pasos, lea las instrucciones a continuación.

1. Para actualizar las definiciones de virus
Para obtener las definiciones más recientes, abra su programa de Symantec y ejecute LiveUpdate.

2. Para desinstalar el Riesgo a la seguridad
  1. Realice una de estas acciones:
    1. En la barra de tareas de Windows 98:
      1. Haga clic en Inicio > Configuración > Panel de control.
      2. En el Panel de control de Windows, haga dos veces clic en Agregar/Quitar programas.

    2. En la barra de tareas de Windows Me:
      1. Haga clic en Inicio > Configuración > Panel de control.
      2. En el Panel de control de Windows, haga dos veces clic en Agregar/Quitar programas.
        Si no ve el icono Agregar/Quitar programas, haga clic en "...ver todas las opciones del Panel de control".

    3. En la barra de tareas de Windows 2000:
      Predefinidamente, Windows 2000 está configurado de la misma manera que Windows 98, por lo que puede seguir las instrucciones para Windows 98. En caso contrario, haga clic en Inicio, vaya a Configuración > Panel de control, y después en Agregar/Quitar programas.

    4. En la barra de tareas de Windows XP:
      1. Haga clic en Inicio > Panel de control.
      2. En el Panel de control de Windows, haga dos veces clic en Agregar o Quitar programas.

  2. Haga clic en SaveUninst.exe.


    Nota:
    Puede que tenga que recorrer la barra para ver la lista completa.

  3. Haga clic en Agregar/Quitar, Cambiar/Quitar, o Eliminar (esto varia con el sistema operativo). Siga las instrucciones.

    Nota: Después de ejecutar Agregar/Quitar programas, todos los archivos habrán sido eliminados. Deberá hacer una análisis completo del sistema en busca de virus, para asegurarse de la eliminación. Es posible que aún encuentre infecciones después de hacer ejecutar Agregar/Quitar programas.

3. Para ejecutar un análisis en busca de virus
  1. Abra su programa antivirus de Symantec, y después ejecute una análisis completo del sistema.
  2. Si se detectan archivos infectados, dependiendo de la versión de su programa, puede ver una o más de las opciones siguientes:

    Nota: Esto aplica solamente a las versiones del Norton AntiVirus que ofrecen soporte la detección de riesgos a la seguridad. Si usted cuenta con una versión de Symantec AntiVirus Corporate Edition que ofrezca soporte la detección de riesgos a la seguridad, y la detección de riesgos a la seguridad se ha activado, usted verá solamente un cuadro de mensaje que reportará los resultados del análisis. Si usted no está seguro, póngase en contacto con su administrador de red.
    • Excluya (no recomendado): Si usted hace clic en este botón, hará que el riesgo ya no sea perceptible. Es decir, el programa antivirus mantendrá el riesgo a la seguridad en su equipo y no lo detectará más en posteriores análisis de su equipo.

    • Ignorar u omitir: Esta opción pide al explorador no hacer caso del riesgo sólo para este análisis. Será detectado la próxima vez que usted ejecute un análisis en busca de virus.

    • Cancelar: Esta opción es nueva en Norton Antivirus 2005. Se utiliza cuando Norton Antivirus 2005 ha determinado que no puede suprimir un riesgo a la seguridad. Esta opción de cancelar le pide al análisis no hacer caso del riesgo sólo para este análisis, y así, el riesgo será detectado la próxima vez que usted ejecute un análisis.

      Para suprimir realmente el riesgo a la seguridad:
      • Haga clic sobre el nombre del archivo (debajo de la columna del nombre de archivo).
      • En el cuadro información del elemento que aparece, anote la ruta completa del archivo y el nombre del archivo.
      • Después con el Explorador de Windows busque y elimine el archivo.

        Si Windows reporta que no puede ser eliminado el archivo, quiere decir que está en uso. En este caso, siga las instrucciones de la página, reinicie el equipo en Modo seguro, y elimine los archivos utilizando el Explorador de Windows. Reinicie el equipo en Modo normal.

    • Eliminar: Esta opción tratará de eliminar los archivos detectados. En algunos casos, no podrá llevarse a acabo esta acción.
      • Si usted ve un mensaje, la "Eliminación falló" (o un mensaje similar), elimine manualmente el archivo.
      • Haga clic sobre el nombre del archivo del riesgo que está debajo de la columna del nombre del archivo.
      • En el cuadro información del elemento que aparece, anote la ruta completa del archivo y el nombre del archivo.
      • Después con el Explorador de Windows busque y elimine el archivo.

        Si Windows reporta que no puede ser eliminado el archivo, quiere decir que está en uso. En este caso, siga las instrucciones de la página, reinicie el equipo en Modo seguro, y elimine los archivos utilizando el Explorador de Windows. Reinicie el equipo en Modo normal.
Importante: Si su antivirus Symantec le indica que no puede eliminar algún archivo infectado, puede que Windows lo esté utilizando. Para corregir esta situación, reinicie el equipo en Modo seguro. Si desea instrucciones sobre cómo hacer esto, consulte el documento Cómo iniciar su equipo en Modo seguro . Una vez que haya iniciado el equipo en Modo seguro, ejecute de nuevo un análisis en busca de virus.

Una vez que haya eliminado los archivos, reinicie el equipo en modo Normal y continúe con la siguiente sección.

Puede que se presenten mensajes de advertencia al momento de que reinicie el equipo, dado que el riesgo ha quedado eliminado en este momento. Por favor ignore esos mensajes y haga clic en Aceptar. Estos mensajes de error no volverán a presentarse posteriormente, una vez que haya completado las instrucciones de eliminación de este gusano. Los mensaje de error pueden ser similares a los siguientes:

Asunto: [Ruta de acceso al archivo]
Cuerpo del mensaje: Windows no puede encontrar [nombre de archivo]. Asegúrese de haber escrito el nombre correctamente e inténtelo de nuevo. Para buscar un archivo, haga clic en el botón Inicio y después en buscar.

4. Para eliminar los valores del Registro de Windows
Importante: Symantec recomienda insistentemente realizar una copia de respaldo del registro antes de efectuar cualquier cambio. Los cambios incorrectos en el registro pueden provocar pérdidas permanentes de datos o archivos dañados. Modifique sólo las claves que se indiquen. Por favor consulte el documento: Cómo hacer una copia de respaldo del Registro de Windows .
  1. Haga clic en Inicio > Ejecutar.
  2. Escriba  regedit

    A continuación, haga clic en Aceptar.

    Nota: Si el Editor del registro no se puede abrir, puede ser que el riesgo haya modificado en registro para evitar que sea accedido por medio del Editor. Security Response ha desarrollado una herramienta para resolver este problema. Descargue y ejecute esta herramienta, y prosiga con este proceso.

  3. Busque y elimine las sub-claves:

    HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveNow
  4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Xtractor Plus_is1
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free Software
    HKEY_CLASSES_ROOT\WUSN.1
    HKEY_CLASSES_ROOT\CLSID\{E2F2B9D0-96B9-4B25-B90C-636ECB207D18}

  5. Desplácese hasta las siguientes sub-claves:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  6. En el panel derecho, elimine los valores:

    "VVSN" = "%ProgramFiles%\VVSN\VVSN.exe"
    "SaveNow" = "%ProgramFiles%\SaveNow\SaveNow.exe"
    "WhenUSave" = "%ProgramFiles%\Save\Save.exe"

  7. Salga del Editor del Registro.
    5. Eliminación de los archivos utilizados por el adware
    1. Abra el Explorador de Windows
    2. Busque y elimine la carpeta %ProgramFiles%\Save
    3. Busque y elimine la carpeta %ProgramFiles%\VVSN
    4. Busque y elimine la carpeta %ProgramFiles%\SaveNow
    5. Busque y elimine la carpeta %ProgramFiles%\Xtractor Plus
    6. Busque y elimine el archivo %UserProfile%\Start Menu\Programs\WhenU\Learn More About Save!.url
    7. Busque y elimine el archivo %UserProfile%\Start Menu\Programs\WhenU\Learn More About SaveNow.url
    8. Busque y elimine el archivo %UserProfile%\Start Menu\Programs\WhenU\WhenU.com Website.url
    9. Cierre el Explorador de Windows