Registry Optimizer de Aido

Con una gran interfaz de usuario, donde hasta se puede ver un contrato de licencia (CLU) y una serie de premios que “ha recibido” el falso software, el Rogue Registry Optimizer de Aido que hacen que el usuario mas confiado “pique” y permita que el software se aloje en su equipo.

Como se propaga

Se propaga como casi todos los software maliciosos, o bien por unidades de red compartidas o por medio de dispositivos USB, haciendo una copia de si mismo en el directorio raíz del dispositivo, creando un fichero autorun.inf para reproducirse automáticamente en cuanto se enchufe el dispositivo.

Que es Registry Optimizer de Aido

Por su parte, Registry Optimizer es un nuevo ejemplar de los cada vez más comunes falsos antivirus. Recomendamos, una vez mas, que cada vez que se descargue algún antivirus se contraste la fuente con la lista de fabricantes de antivirus verdaderos, para evitar, en la medida de lo posible, errores en la descarga y que, en caso de ser un “antivirus de pago” (que existen) el creador del malware es capaz de robar los datos bancarios o tarjetas de crédito de los usuarios a la hora de realizar la transacción económica.

Registry Optimizer de Aido

En la imagen podeis ver que el Registry Optimizer, una vez instalado, lanza un supuesto análisis del PC, para mostrar una serie de amenazas (todas falsas, como no), crear un icono en el escritorio y abrirse cada vez que el ordenador se  reinicia, dando opción al usuario a registrar el producto a cambio del pago de la licencia, con lo que consigue, además, los datos bancarios como hemos dicho antes.

Como saber si se está infectado con el Registry Optimizer de Aido. ¿Como saber si tienes el Registry Optimizer?

En caso de que aparezcan en tu ordenador los siguientes ficheros:

• %Archivos de Programa%\Adio Registry Optimizer\DIORO.exe
• %Archivos de Programa%\Adio Registry Optimizer\UNINST.EXE

Y en el registro de Windows las siguientes claves

• Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Valor: Adio Registry Optimizer = C:\Archivos de programa\Adio Registry Optimizer\adioro.exe /s
  Mediante esta entrada, RegistryOptimizer consigue ejecutarse cada vez que Windows se inicia.
• Clave: : HKEY_CURRENT_USER\Software\Adio Registry Optimizer\adioro\UI
  Valor: Valor: Last Scan = %fecha y hora%
• Clave: HKEY_CURRENT_USER\Software\Adio Registry Optimizer\adioro\UI
  Valor: Last Scan Result = 4E, 00, 00, 00
• Clave: HKEY_CURRENT_USER\Software\Adio Registry Optimizer\adioro\UI
  Valor: Selected Modules = 01, 01, 01, 01, 01, 01, 01, 01, 01, 01, 01, 01, 01
• Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Adio Registry Optimizer
  aid = 5
• Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Adio Registry Optimizer
  Installdate = %fecha y hora%
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ App Paths\ adioro.exe
  (Default) = C:\Archivos de programa\Adio Registry Optimizer\adioro.exe
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: DisplayIcon = C:\Archivos de programa\Adio Registry Optimizer\adioro.exe
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: DisplayName = Adio Registry Optimizer 1.5
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: DisplayVersion = 1.5
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: NSIS:StartMenuDir = Adio Registry Optimizer
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: Publisher = AdioSoft Inc
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: UninstallString = C:\Archivos de programa\Adio Registry Optimizer\uninst.exe
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: URLInfoAbout = hxxp://www.adioro.com

Como eliminar y quitar el Registry Optimizer de Aido

Para eliminar el Registry Optimizer de Aido intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema, para quitar el Registry Optimizer de Aido pruebe lo siguiente:

1. Desactivar temporalmente la Restauración del Sistema.
2. Reiniciar el ordenador a Modo a Prueba de Fallos.
3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
4. Elimine los archivos explicados en ¿Como saber si está infectado?
5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
7. Eliminar archivos temporales
8. Reiniciar el ordenador

Como se propaga el Registry Optimizer de Aido

La propagación habitual de este tipo de aplicaciones fraudulentas se realiza a través de las redes para compartir archivos y los usuarios suelen descargarlos involuntariamente al estar bajo otro nombre o junto a contenidos deseados. Otra manera por la que puede propagarse es mediante páginas que anuncian las bondades del programa y permiten que el usuario lo descargue voluntariamente, pensando que es una muestra gratuita o de prueba y que va a resolver sus necesidades. En el caso de este programa fraudulento, la página mostraba incluso premios “otorgados” para mostrarse más creíble.

Fuente: Enciclopedia de Panda Security +

Posts relacionados

• Gusano Rekwoj: Como eliminarlo (0)
• Como evitar el phishing: 10 claves para impedir el phishing (2)

El Personal Antivirus también es conocido como: FraudTool.W32/FakeAlert.PersonalAV  y se presenta en ejecutables (.exe, .scr, .dll) para el sistema operativo Windows  en todas sus versiones.

Personal Antivirus captura

Personal Antivirus captura

Como sabemos si se está infectado por el Personal Antivirus

El Personal Antivirus crea las siguientes carpetas o archivos:

• Carpetas de usuarios \ Start Menu \ PAV
• Archivos de programas (o en su defecto Program Files) \ Common Files \ Uninstall
• Archivos de programas (o en su defecto Program Files) \ PAV
• En la Carpeta de Sistema (es decir, C:\Windows\System, C:\Windows\System32 o C:\Winnt\System32) crea el siguiente archivo de dll: winexplorer.dll
• En el escritorio, un acceso directo al falso antivirus: Escritorio \ Personal Antivirus .lnk

Además, crea las siguientes entradas en el registro:

• Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2E59498D-7E44-4452-9044-0973B080B9E8}

• Clave: HKEY_LOCAL_MACHINE\SOFTWARE\19ADC30210AE29A7A6FB25B9B0367195

Dando a la primer clave el siguiente valor:

• Valor: PAV: "C:\Program Files\PAV\pav.exe"

Además, el troyano intentará conectar remotamente tu equipo a los siguientes sitios:

• securedliveuploads.com
• protectionupdatecenter.com

Como eliminar, como quitar el Personal Antivirus

Intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema:

1. Desactivar temporalmente la Restauración del Sistema.
2. Reiniciar el ordenador a Modo a Prueba de Fallos.
3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
4. Elimine los archivos explicados en ¿Como saber si está infectado?
5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
7. Eliminar archivos temporales
8. Reiniciar el ordenador

Fuente: McAfee (+)

Posts relacionados

• Peerfrag.FM (0)
• Eliminar Redlofs, Quitar el gusano Redlofs (0)
• Troyano Wow.VM o Trojan.W32: Como eliminarlo (1)
• Eliminar Exploit.TR, quitar Exploit.TR (0)
• Win32/Gimmiv.A (0)
• Gusano Conficker.A (24)
• Como hacer el Windows Vista mas seguro en 10 pasos (0)
• Hackear facebook, un negocio muy rentable (0)

Recopilación de falsos antivirus

• PAntispyware09
• AntiVirus’09
• Antivirus Lab 2009
• Virus Sweeper
• Smart Antivirus 2009
• Antivirus 360 (AV360)
• IE AntiVirus 3.2
• Antivirus XP Pro 2009
• AntiVirProtect
• WinSpywareProtect

Ibamos a hacer una recopilación sobre estos antivirus, pero, como la gente de InfoSpyware lleva recopilando información sobre estos falsos antivirus bastante tiempo.

Fuente: infoSpyware

• PAntispyware 09 : Falso Antispyware
• AntiVirus’09 : Falso Antivirus
• PAntispyware 09 : Falso Antispyware
• Antivirus Lab 2009 : Falso Antivirus
• Virus Sweeper : Falso Antivirus
• Smart Antivirus 2009 : Falso Antivirus
• Antivirus 360 : Falso Antivirus
• IE AntiVirus : Rogue AntiSpyware
• WinSpywareProtect : Rogue AntiSpyware
• PrivacyWatcher : Rogue AntiSpyware
• Malware Bell : Rogue AntiSpyware
• Antivirus XP Pro 2009 + Vundo : Google secuestrado
• Antivirus 2009 : Rogue que secuestra la pagina de Google

Posts relacionados

• No Related Post