Eliminar PWS:Win32/Lmir.UA

PWS:Win32/Lmir.UA es un tipo de detección genérica que indica que estamos infectados con un virus con características de troyano, clasificado como potencialmente malicioso.
Nos va a capturar las credenciales de inicio de sesión para algunos juegos On Line (QQ Fantasy Online, Dream Journey To The West Online y Lineage 2) y enviará los datos capturados a un servidor remoto.

¿Cómo podemos infectarnos con PWS:Win32/Lmir.UA?
Debido a la naturaleza genérica de la detección puede infectarnos de distintas maneras. Puede llegar a infectar nuestro ordenador porque otro virus malicioso lo descargue. Este tipo de infecciones muchas veces pueden instalarse copiando el ejecutable en Windows o las carpetas del sistema de Windows y, a continuación, modificar el registro para ejecutar este archivo en cada inicio del sistema. PWS:Win32/Lmir.UA a menudo modificar la siguiente subclave con el fin de lograr esto :

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

También es habitual que al navegar por sitios web maliciosos o sitios web infectados, el usuario descargue al virus sin saberlo. La amenaza también puede ser descargada manualmente para engañar al usuario haciéndole creer que instalen software de utilidad, por ejemplo, una actualización falsa de Adobe Flash Player. Podemos descargarlo también al ser usuarios de programas P2P de compartición de archivos. Utilizará también vulnerabilidades en nuestro ordenador, a través de exploits kits, para infectarnos. También puede llegar a nosotros por la recepción de emails spam o de emails con remitente desconocido, donde nos propongan cualquier tipo de asunto y nos descarguemos el virus.

Una vez infectados con PWS:Win32/Lmir.UA va a robarnos información privada de distintos juegos On Line, para que usuarios maliciosos accedan a la cuenta del jugador infectado. De esta manera tendrá acceso a abrir una sesión y robar bienes virtuales de los jugadores mediante transferencia entre cuentas, que posteriormente se venderán. Puede comunicarse con un servidor remoto www.cu109.com utilizando el puerto 80 . Puede comunicarse con un servidor remoto para los siguientes fines :

• Para informar de una nueva infección a su autor.
• Para recibir los datos de configuración o de otro tipo.
• Para descargar y ejecutar archivos arbitrarios ( incluyendo actualizaciones o programas maliciosos ).
• Para recibir instrucciones de un atacante remoto.
• Para cargar los datos extraídos del ordenador afectado.

Puede llegar a infectar nuestro ordenador porque otro virus malicioso lo descargue. También es habitual que al navegar por sitios web maliciosos o sitios web infectados, el usuario descargue al virus sin saberlo. Podemos descargarlo también al ser usuarios de programas P2P de compartición de archivos. Utilizará también vulnerabilidades en nuestro ordenador, a través de exploits kits, para infectarnos. También puede llegar a nosotros por la recepción de emails spam o de emails con remitente desconocido, donde nos propongan cualquier tipo de asunto y nos descarguemos el virus.

¿Cómo podemos eliminar PWS:Win32/Lmir.UA?

• Descargaremos TDSKiller y lo guardaremos en el escritorio, (lo podemos descargar desde mi sección Anti-Rootkit). > Ejecutaremos el programa e iremos a la opción Change Parmetres y los modificaremos como en la imagen > Posteriormente pulsaremos Start Scan para analizar el sistema > al finalizar eliminaremos las amenazas detectadas. (Ver vídeo TDSKiller)

• Malwarebytes Anti-Malware (analiza el sistema para eliminar malware) . Lo podéis descargar desde mi sección de AntiMalware. Instalaremos el programa y lo actualizaremos > Realizaremos un Análisis Rápido > Cuando haya terminado, seguiremos con el asistente y eliminaremos los malwares detectados. Si no podemos ejecutarlo porque está bloqueado, seguiremos con el siguiente paso. (Ver vídeo Malwarebytes)

• Usaremos Chamaleon, un software que nos va a permitir ejecutar Malwarebytes antimalware cuando el programa esté bloqueado por algún tipo de virus. Lo podemos descargar desde mi sección AntiMalware. > lo descomprimiremos en una carpeta e iremos ejecutando uno a uno los archivos hasta que se ejecute el programa y nos permita analizar el sistema con Malwarebytes. (Ver vídeo Chamaleon)

• Realiza un análisis completo con Eset Nod32 online -> Versión Descargable E Instalable: En mi sección Antivirus OnLine podemos descargarla con el nombre Esetsmartinstaller_esn> marcaremos la opción Eliminar las amenazas detectadas y analizar archivos > realizamos clic en Configuración adicional y marcamos las casillas: Analizar en busca de aplicaciones potencialmente indeseables, Analizar en busca de aplicaciones potencialmente peligrosas y Activar la tecnolgía Anti-Stealth. > Clicamos Iniciar para que empiece a descargar  la base firmas de virus y posteriormente empiece a analizar tu sistema. (Ver vídeo Eset OnLine Escaner)

 

• Eliminaremos entradas de registro maliciosas con RogueKiller, lo descargaremos de mi sección Herramientas. > una vez descargado lo ejecutaremos y esperaremos que haga un preescaneo > cuando termine clicaremos en el botón de Scan y realizaremos un escaneo del sistema > cuando termine clicaremos el botón Delete para eliminar lo detectado. (Ver vídeo RogueKiller)

• Glary Utilities nos permitirá realizar un mantenimiento general del ordenador y optimizarlo en profundidad. Lo podemos descargar desde mi sección de Herramientas. Si ya lo teníamos instalado, pulsaremos Buscar Actualizaciones y el programa actualizará su base de datos y de ser necesario te avisará si hay una nueva versión > después vamos a la opción Mantenimiento un clic > Clicamos la opción Buscar problemas > y cuando termine Repararemos los problemas detectados.  (Ver vídeo Glary Utilities)

Estos pasos deberían ser suficientes en la mayoría de los casos para eliminar este troyano. En el caso contrario pueden abrir un nuevo tema en el Foro Solucionavirus para realizar un análisis del sistema de manera personalizada.