El aplicativo TeamViewer es una herramienta que sirve para hacer soporte técnico a distancia. En su versión TeamViewer Quick support el muy desgraciado queda instalado como un servicio, en modo arranque automático en windows, así que vamos a explicarte como eliminar todo rastro del programa una vez que nos desconectamos de la persona a la que estamos haciendo soporte.
TeamViewer
Esta es la versión full, se instala en el PC como cualquier programa, se carga como un servicio, queda activo siempre en memoria como un servicio y aparece en desinstalar programas. Si no deseas que TeamViewer esté activo todo el tiempo en la memoria del PC, para solucionarlo puedes hacer cualquiera de las dos opciones:
- Inicio > Servicios > Teamviewer > Detener > Deshabilitar
- Inicio > Panel de control > Agregar y quitar programas > Desinstalar > Teamviewer
TeamViewer Quick Support
No se instala, es un simple ejecutable que se carga en la memoria del PC como un proceso, no aparece en desinstalar programas. Lo práctico de ello es que al reiniciar el PC ya no debería estar cargado en memoria pero esto no es así..
Hackeando a Teamviewer
Investigando su comportamiento me he encontrado con una sorpresa si seleccionas reiniciar el pc y mantenerme conectado.
1. Queda como un proceso en memoria.
2. Se agregar en el registro de Windows
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\TeamViewer
HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer
HKEY_CURRENT_USER\Software\TeamViewer
3. Se descomprime en la carpeta «Temp» del usuario y crea varias carpetas.
C:\Users\%username%\AppData\Local\Temp\TeamViewer
C:\Users\%username%\AppData\Roaming\TeamViewer
4. Se agrega como un servicio con arranque automático.
Esto sucede cuando seleccionamos la opción mantenerme conectado, para los que nos dedicamos a seguridad y entendemos sobre troyanos sabemos que esto es tener persistencia en el sistema. Ahora si nos desconectamos TeamViewer estará cargado en memoria siempre en la PC de nuestro cliente.
Algunas preguntas que suenan en mi cabeza
¿porque TeamViewer que no provee un desinstalador?
¿acaso nos espía?
¿Tendrán una llave maestra que podrían conectarse a cualquier PC en el mundo?
¿Como solucionarlo?
Para ello decidí hacer un script al que llamé TeamviewerCleaner_v2.0.bat para windows, el cual comparto con la comunidad. Este script lo deberás ejecutar como administrador antes de salir del PC que estés conectado remotamente.
A continuación las tareas que ejecuta el script.
- Detiene el servicio TeamViewer.
- Mata los procesos en memoria de TeamViewer.
- Elimina servicio TeamViewer12 en el registro de windows.
- Elimina los archivos temporales del usuario,
- Elimina los archivos temporales de windows.
- Elimina los archivos temporales de Internet Explorer.
- Elimina los archivos de telemetría de Firefox.
Copia el siguiente texto en un bloc de notas y guárdalo con extensión archivo.bat
Para ejecutarlo haz clic con botón derecho selecciona «Ejecutar como administrador».
TeamviewerCleaner v2.0 – Profesional Edition
rem # TeamViewerCleaner v2.0 rem # @Version Profesional Edition rem # @Deployer Windows vista,7/8/10 rem # @Date 08/07/2017 rem # @License http://www.gnu.org/licenses/gpl.txt GNU GPL 3.0 rem # @Author Eduardo Natali rem # @Link https://www.rootsolutions.com.ar/hackeando-a-teamviewer-el-dice-si-yo-digo-no/ rem # @Twitter http://twitter.com/enatali_ rem # @Contact https://www.rootsolutions.com.ar cls @echo off color A echo ##################################################################### echo ### ### echo ### Root Solutions - Argentina ### echo ### ### echo ### Soluciones IT y Ciberseguridad ### echo ### ### echo ### "Limpiador de TeamViewer Quick Support y Temporales" ### echo ### ### echo ### TeamViewerCleaner v2.0 ### echo ### Version Profesional Edition ### echo ### Author Eduardo Natali ### echo ### http://twitter.com/enatali_ ### echo ### www.rootsolutions.com.ar contacto@rootsolutions.com.ar ### echo ### ### echo ##################################################################### echo. rem ### Detiene el servicio de teamviewer net stop teamviewer echo. echo. echo. TIMEOUT 8 rem ### Mata los procesos en memoria de teamviewer TASKKILL /F /IM TeamViewer.exe & TeamViewer_Desktop.exe TIMEOUT 5 rem ### Elimina del registro de windows el servicio teamviewer reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\TeamViewer /f reg delete HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer /f reg delete HKEY_CURRENT_USER\Software\TeamViewer /f TIMEOUT 5 rem ### Borra la carpeta de logs de teamviewer rmdir /S/Q C:\Users\%username%\AppData\Roaming\TeamViewer rem ### Borra archivos temporales en todas las carpetas temp del usuario y windows cd C:\Users\%username%\AppData\Local\Temp\ rmdir /S /Q . cd C:\Users\%username%\AppData\LocalLow\Temp\ rmdir /S/Q . cd C:\Users\%username%\AppData\Local\Microsoft\Windows\Temporary Internet Files\ rmdir /S/Q . rem ### Borra archivos de reportes de telemetria de firefox cd C:\Users\%username%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\saved-telemetry-pings rmdir /S/Q . cd C:\Users\%username%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\datareporting\archived rmdir /S/Q . rem ### Muestra la siguiente pantalla para la version Profesional Edition cls echo. echo. echo. echo. echo. echo. Tareas finalizadas con exito! echo. echo. echo. echo. Que tenga un buen dia! echo. echo. echo. echo. visite www.rootsolutions.com.ar echo. echo. echo. echo. echo. echo. TIMEOUT 10
TeamviewerCleaner v2.0 – Hacker Edition
rem # TeamViewerCleaner v2.0 rem # @Version Hacker Edition rem # @Deployer Windows vista,7/8/10 rem # @Date 08/07/2017 rem # @License http://www.gnu.org/licenses/gpl.txt GNU GPL 3.0 rem # @Author Eduardo Natali <contacto@rootsolutions.com.ar> rem # @Link https://www.rootsolutions.com.ar/hackeando-a-teamviewer-el-dice-si-yo-digo-no/ rem # @Twitter http://twitter.com/enatali_ rem # @Contact https://www.rootsolutions.com.ar cls @echo off color A echo ##################################################################### echo ### ### echo ### Root Solutions - Argentina ### echo ### ### echo ### Soluciones IT y Ciberseguridad ### echo ### ### echo ### "Limpiador de TeamViewer Quick Support y Temporales" ### echo ### ### echo ### TeamViewerCleaner v2.0 ### echo ### Version Hacker Edition ### echo ### Author Eduardo Natali ### echo ### License GNU GPL 3.0 ### echo ### Date 08/07/2017 ### echo ### http://twitter.com/enatali_ ### echo ### www.rootsolutions.com.ar contacto@rootsolutions.com.ar ### echo ### ### echo ##################################################################### echo. rem ### Detiene el servicio de teamviewer net stop teamviewer echo. TIMEOUT 8 rem ### Mata los procesos en memoria de teamviewer TASKKILL /F /IM TeamViewer.exe & TeamViewer_Desktop.exe TIMEOUT 5 rem ### Elimina del registro de windows el servicio teamviewer reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\TeamViewer /f reg delete HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer /f reg delete HKEY_CURRENT_USER\Software\TeamViewer /f TIMEOUT 5 rem ### Borra la carpeta de logs de teamviewer rmdir /S/Q C:\Users\%username%\AppData\Roaming\TeamViewer rem ### Borra archivos temporales en todas las carpetas temp del usuario y windows cd C:\Users\%username%\AppData\Local\Temp\ rmdir /S /Q . cd C:\Users\%username%\AppData\LocalLow\Temp\ rmdir /S/Q . cd C:\Users\%username%\AppData\Local\Microsoft\Windows\Temporary Internet Files\ rmdir /S/Q . rem ### Borra archivos de reportes de telemetria de firefox cd C:\Users\%username%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\saved-telemetry-pings rmdir /S/Q . cd C:\Users\%username%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\datareporting\archived rmdir /S/Q . rem ### Muestra la siguiente pantalla para la version Hacker Edition cls echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ######################## Hack The Planet! ########################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo ##################################################################### echo. TIMEOUT 10
Visitas: 291