Eliminar virus familia PSGuard, AntiVirGear, VirusProtectPro, Antivirus 2011, SpyLocked

PsGuard y todas sus variantes, son una familia de falsos antivirus o rogues que aumentan continuamente no solo sus miembros sino también diferentes variantes de estos para hacer mas difícil su detección y posterior eliminación.

Los programas mas populares que componen esta familia de malwares:

• AntiVirGear
• AdwareSheriff
• Antispyware Soldier
• Antivirus-Golden
• AntiVermins
• MalwareWiper
• Perfect Codec
• PestTrap
• PSGuard
• P.S.Guard
• QualityCodec
• Silver Codec
• SpyAxe
• SpyFalcon
• Spy-Heal
• SpyLocked
• SpyTrooper
• SpySheriff
• SpywareQuake
• SpywareSheriff
• SpywareStrike
• SpywareHeal
• SystemDoctor 2006 Free
• Spyware Soft Stop
• Super Codec
• VirusBlast
• Virus-Burst
• VirusBurster
• Video ActiveX Object
• WinAntiVirus Pro 2006 - 2007
• VirusProtectPro 3.x
• Listado completo de programas de la familia Malware.PSguard
• Listado de Codecs falsos (Actualizado al 25/6/08)
• Ver listado de archivos que detecta y elimina DelPSGuard.

Que es lo que pueden hacer:

• Cambia y bloquear la imagen del escritorio de Windows.
• Cambia y bloquear la pagina de inicio del IE.
• Instala un molesto "icono" en la barra de tareas con mensajes de alerta.
• Abre pop-ups publicitarios y enlentece el sistema.
• Instala una barra de herramientas spyware.

Cual es la finalidad del malware.

La finalidad es directamente engañarnos con mensajes en nuestra PC, para que compremos sus falsos productos.

Esto obviamente es un engaño ya que los mensajes son puestos por ellos mismos y la única infección real que tiene el equipo al mostrar estos, es la de ellos mismos.

Y por si fuera poco una vez que el usuario fue engañado y compro el falso producto empezaran las ventanas publicitarias "pop-ups" por los Adwares que estos tiene dentro.

Eliminar virus PSGuard y variantes

• Apagamos la opción de Restaurar el Sistema > iremos al Panel de control > luego vamos a Sistema > Desactivar Sistema > Apagar restaurar el sistema
• Desinstalaremos manualmente PSGuard o cualquier programa de la familia de este falso antivirus.
• Reiniciaremos el ordenador a Modo de prueba de Fallos.
• HijackThis. Lo instalamos y lo ejecutamos con el resto de aplicaciones apagadas > Buscar cualquiera de las siguientes entradas, aplicarle la opción de "Fix Checked":

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe

O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt0.dll 

O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\System32\hp[numero de cuatro cifras].tmp

O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - C:\Archivos de programa\[Nombre de "Codec"\isamonitor.exe

O4 - HKLM\..\Run: [SpyAxe] C:\Archivos de programa\SpyAxe\spyaxe.exe 

O4 - HKLM\..\Run: [PSGuard] C:\Archivos de programa\PSGuard\PSGuard.exe 

O4 - HKLM\..\Run: [SpyFalcon] C:\Archivos de programa\[Nombre del falso Antispyware]\Archivo.exe

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O20 - AppInit_DLLs: hadjajr.ini

O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll

O21 - SSODL: archenteric - {d7bdd42a-7e69-4bb8-aac3-d76ff65a3aa3} - C:\WINDOWS\system32\ [nombre aleatorio] .dll

O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - C:\Archivos de programa\[Nombre de "Codec"\isamonitor.exe

O4 - HKLM\..\Run: [SpyAxe] C:\Archivos de programa\SpyAxe\spyaxe.exe 

O4 - HKLM\..\Run: [PSGuard] C:\Archivos de programa\PSGuard\PSGuard.exe 

O4 - HKLM\..\Run: [SpyFalcon] C:\Archivos de programa\[Nombre del falso Antispyware]\Archivo.exe

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O20 - AppInit_DLLs: hadjajr.ini

O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll

O21 - SSODL: archenteric - {d7bdd42a-7e69-4bb8-aac3-d76ff65a3aa3} - C:\WINDOWS\system32\ [nombre aleatorio] .dll

• DelPSGuard.exe. Ejecutar la herramienta DelPSGuard siguiendo los pasos de su Manual. Esto es muy importante ya que la herramienta detectará y eliminará todo archivo y entrada del registro de Windows relacionada con la variante que este tenga. (Pegue su reporte en el mensaje del foro donde están tratando su tema.) 
• CCleaner (limpiador de archivos). Realizaremos una limpieza del registro de Windows, cookies, temporales y archivos innecesarios del sistema. Lo podéis descargar desde mi sección Herramientas.Malwarebytes Anti-Malware (analiza el sistema para eliminar malware) . Antes de analizar el sistema lo actualizaremos. Lo podéis descargar desde mi sección de AntiMalware. 

Fuente: InfoSpyware