Adware.WebDir

Página de impresión

Actualizado: February 13, 2007 11:44:44 AM
Tipo: Adware
Versión: n/a
Creador: n/a
Impacto del riesgo: High
Nombres de archivos: pxwma.dll
Sistemas afectados: Windows

Comportamiento


Adware.WebDir es un objeto de ayuda del navegador Internet Explorer que modificará URLs específicas para incluir una identificación del afiliación.

Síntomas


Unos o más archivos detectados como Adware.WebDir.

Transmisión


Este riesgo puede venir empaquetado con varios programas.

Fechas de protección antivirus

  • Versión inicial de Rapid Release October 02, 2014 revisión 022
  • Última versión de Rapid Release April 15, 2017 revisión 020
  • Versión inicial de Daily Certified October 21, 2005
  • Última versión de Daily Certified April 16, 2017 revisión 001
  • Fecha de lanzamiento inicial de Weekly Certified October 26, 2005

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Actualizado: February 13, 2007 11:44:44 AM
Tipo: Adware
Versión: n/a
Creador: n/a
Impacto del riesgo: High
Nombres de archivos: pxwma.dll
Sistemas afectados: Windows


Cuando Adware.WebDir se ejecuta, realiza las siguientes acciones:

  1. Crea las siguientes sub-claves de registro:

    HKEY_CLASSES_ROOT\AppID\pxwma.DLL
    HKEY_CLASSES_ROOT\CLSID\{58F07DD3-924D-4141-BC74-299F523A95F1}
    HKEY_CLASSES_ROOT\Interface\{B1317C08-617A-435D-A24F-A930F4540696}
    HKEY_CLASSES_ROOT\TypeLib\{FAC55B9F-8F6A-4A41-AE16-36845D4679B2}
    HKEY_CLASSES_ROOT\interface.InterfaceOBJ
    HKEY_CLASSES_ROOT\interface.InterfaceOBJ.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Explorer\Browser Helper Objects\ {58F07DD3-924D-4141-BC74-299F523A95F1}

  2. Descarga el siguiente archivo desde un servidor remoto cuando se abre Internet Explorer:

    whoiscache.dat

    Éste es un archivo encriptado que contiene una lista de direcciones URL.

  3. Cuando una URL contenida en el archivo descargado en el paso 2 se visita, el riesgo añadirá una identificación del afiliado sobre esa URL, y vuelve a dirigir a Internet Explorer a una dirección URL nueva.

    Nota: El usuario muy probablemente no notará este cambio, dado que las páginas Web que solicitó originalmente se presentarán normalmente. Sin embargo, el autor del riesgo ganará financieramente cuando el usuario visite ciertos sitios Web.


Actualizado: February 13, 2007 11:44:44 AM
Tipo: Adware
Versión: n/a
Creador: n/a
Impacto del riesgo: High
Nombres de archivos: pxwma.dll
Sistemas afectados: Windows


Las instrucciones siguientes pertenecen a todos los productos antivirus de Symantec que ofrezcan soporte la detección de riesgo a la seguridad.

  1. Actualice las definiciones de virus.
  2. Cierre todas las ventanas abiertas de Internet Explorer.
  3. Ejecute un análisis completo del sistema.
  4. Elimina cualquier valor agregado al registro de Windows.
Si necesita información sobre cómo llevar a cabo estos pasos, lea las instrucciones a continuación.

1. Para actualizar las definiciones de virus
Para obtener las definiciones más recientes, abra su programa de Symantec y ejecute LiveUpdate.


2. Cierre todas las ventanas abiertas de Internet Explorer
Debido a que este riesgo funciona como un componente de Microsoft Internet Explorer, es necesario cerrar todas las ventanas de Internet Explorer, para poderlo eliminar. Si está leyendo este documento por medio de Internet Explorer, imprímalo por medio de nuestra opción "imprimir documento", o anote las siguientes instrucciones y cierre todas las ventanas de Internet Explorer.


3. Para ejecutar un análisis en busca de virus
  1. Abra su programa antivirus de Symantec, y después ejecute una análisis completo del sistema.
  2. Si se detectan archivos infectados, dependiendo de la versión de su programa, puede ver una o más de las opciones siguientes:

    Nota: Esto aplica solamente a las versiones del Norton AntiVirus que ofrecen soporte la detección de riesgos a la seguridad. Si usted cuenta con una versión de Symantec AntiVirus Corporate Edition que ofrezca soporte la detección de riesgos a la seguridad, y la detección de riesgos a la seguridad se ha activado, usted verá solamente un cuadro de mensaje que reportará los resultados del análisis. Si usted no está seguro, póngase en contacto con su administrador de red.
    • Excluya (no recomendado): Si usted hace clic en este botón, hará que el riesgo ya no sea perceptible. Es decir, el programa antivirus mantendrá el riesgo a la seguridad en su equipo y no lo detectará más en posteriores análisis de su equipo.

    • Ignorar u omitir: Esta opción pide al explorador no hacer caso del riesgo sólo para este análisis. Será detectado la próxima vez que usted ejecute un análisis en busca de virus.

    • Cancelar: Esta opción es nueva en Norton Antivirus 2005. Se utiliza cuando Norton Antivirus 2005 ha determinado que no puede suprimir un riesgo a la seguridad. Esta opción de cancelar le pide al análisis no hacer caso del riesgo sólo para este análisis, y así, el riesgo será detectado la próxima vez que usted ejecute un análisis.

      Para suprimir realmente el riesgo a la seguridad:
      • Haga clic sobre el nombre del archivo (debajo de la columna del nombre de archivo).
      • En el cuadro información del elemento que aparece, anote la ruta completa del archivo y el nombre del archivo.
      • Después con el Explorador de Windows busque y elimine el archivo.

    • Eliminar: Esta opción tratará de eliminar los archivos detectados. En algunos casos, no podrá llevarse a acabo esta acción.
      • Si usted ve un mensaje, la "Eliminación falló" (o un mensaje similar), elimine manualmente el archivo.
      • Haga clic sobre el nombre del archivo del riesgo que está debajo de la columna del nombre del archivo.
      • En el cuadro información del elemento que aparece, anote la ruta completa del archivo y el nombre del archivo.
      • Después con el Explorador de Windows busque y elimine el archivo.

  3. Con el Explorador de Windows, navegue a y elimine el archivo
    • %Temp%\whoiscache.dat

      Nota: %Temp% es una variable para hacer referencia a la carpeta de temporal de Windows. Predefinidamente, esta es C:\Windows\TEMP (Windows 95/98/Me/XP) o C:\Winnt\TEMP (Windows NT/2000).

Importante: Si no puede iniciar su producto antivirus Symantec o el producto reporta que no puede eliminar el archivo infectado, tendrá que detener los servicios del gusano para poderlo eliminar. Para hacer esto, realice un análisis de virus del equipo en Modo seguro. Si desea instrucciones detalladas, consulte el documento Cómo iniciar su equipo en Modo seguro . Una vez que haya iniciado el equipo en Modo seguro, ejecute de nuevo un análisis en busca de virus.

Una vez que haya eliminado los archivos, reinicie el equipo en modo Normal y continúe con la siguiente sección.

Puede que se presenten mensajes de advertencia al momento de que reinicie el equipo, dado que el riesgo ha quedado eliminado en este momento. Por favor ignore esos mensajes y haga clic en Aceptar. Estos mensajes de error no volverán a presentarse posteriormente, una vez que haya completado las instrucciones de eliminación de este gusano. Los mensaje de error pueden ser similares a los siguientes:

Asunto: [FILE PATH]
Cuerpo del mensaje: Windows cannot find [FILE NAME]. Asegúrese de haber escrito el nombre correctamente e inténtelo de nuevo. Para buscar un archivo, haga clic en el botón Inicio y después en buscar.

4. Para eliminar los valores del Registro de Windows
Importante: Symantec recomienda insistentemente realizar una copia de respaldo del registro antes de efectuar cualquier cambio. Los cambios incorrectos en el registro pueden provocar pérdidas permanentes de datos o archivos dañados. Modifique sólo las claves que se indiquen. Por favor consulte el documento: Cómo hacer una copia de respaldo del Registro de Windows .
  1. Haga clic en Inicio > Ejecutar.
  2. Escriba  regedit

    A continuación, haga clic en Aceptar.

    Nota: Si el Editor del registro no se puede abrir, puede ser que el riesgo haya modificado en registro para evitar que sea accedido por medio del Editor. Security Response ha desarrollado una herramienta para resolver este problema. Descargue y ejecute esta herramienta, y prosiga con este proceso.

  3. Busque y elimine las sub-claves:

    HKEY_CLASSES_ROOT\AppID\pxwma.DLL
    HKEY_CLASSES_ROOT\CLSID\{58F07DD3-924D-4141-BC74-299F523A95F1}
    HKEY_CLASSES_ROOT\Interface\{B1317C08-617A-435D-A24F-A930F4540696}
    HKEY_CLASSES_ROOT\TypeLib\{FAC55B9F-8F6A-4A41-AE16-36845D4679B2}
    HKEY_CLASSES_ROOT\interface.InterfaceOBJ
    HKEY_CLASSES_ROOT\interface.InterfaceOBJ.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Explorer\Browser Helper Objects\{58F07DD3-924D-4141-BC74-299F523A95F1}

  4. Salga del Editor del Registro.