Únete
a la comunidad
Inscríbete
Haz una pregunta »

Páginas web redireccionadas

Páginas web redireccionadasESHow to fix Google search results redirecting?USPage internet/google redirigéeFR
Abril 2013



¿Al hacer clic en un enlace de Google eres redireccionado a otra página y no a la que esperas? ¿Te es imposible acceder a algunas páginas Web, como a las de antivirus en línea?
Entonces, no cabe duda que eres victima de algún malware que está redireccionando las páginas web.

Esto se puede traducir de dos maneras en un reporte hijackthis:

1er caso: Redireccionamiento del archivo host


Ver la parte en negrita en este reporte:
Logfile of HijackThis v1.99.1
Scan saved at 12:22:35, on 03/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Star-Phénix\Bureau\Racc Bureau\gunz-mrb-1.18\SetPoint.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Dupond\Bureau\JKA\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gunz.ijji.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.microsoft.com/8SEFRFR020600WDS/FRWCompleteAddIns
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 148.233.159.57:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 207.210.93.28 patch01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 patch01.psobb.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.psobb.segaonline.jp
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

Métodos de desinfección

1er método: HostsXpert (solo para XP)

  • Descarga HostsXpert
  • Descomprímelo en el escritorio.
  • Ejecuta Hoster y haz clic en Restore Microsoft's Hosts File
  • Luego pasa nuevamente Hijackthis para asegurarte de que las líneas en negrita hayan desaparecido.

2do método: MyHosts

  • Descarga MyHosts en el Escritorio
  • Ejecuta MyHosts: dale doble clic (En Vista y 7: haz clic derecho sobre MyHosts y selecciona "Ejecutar como administrador)
  • Postea el informe en el foro Virus y seguridad
  • El informe es guardado por defecto en C:MyHosts.txt

3er método: RHosts (solo para XP)


Restaurar el archivo Host a su estado de origen con RHost

4to método: Zeb-Restore (solo para XP)

  • Descarga Zeb-Restore
  • Descomprimelo y ejecutalo
  • Marca la opción: "Restaurar archivo Host"
  • Luego haz clic en Restaurar

2do caso: Infección Wareout

Identificar la infección


Este spyware se manifiesta en un reporte hijackthis por una o más de una dirección IP de Ucrania, por ejemplo:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85

En algunos casos además aparece este servicio:

O23 - Service: Windows Tribute Service - Unknown owner - C:Windowssystem32kd???.exe
(en el que los " ? " son letras)

Hay casos en que un PC puede presentar los mismos síntomas que los de una infección por WareOut, mientras que el informe hijackthis no muestra ninguna de las líneas O17 con el IP de Ucrania. Para hacer aparecer esta infección:
  • Descarga Smitfraudfix
  • Desconéctate de Internet, cierra todas las aplicaciones abiertas y desactiva el sistema de protección!
  • Ejecuta Smitfraudfix (En Windows Vista y 7: dale clic derecho y selecciona "Ejecutar como administrador"
  • Presiona cualquier tecla para continuar
  • En la ventana que aparece, selecciona la opción 1: "Search"


Ejemplo de un informe Smitfraudfix indicando la presencia de una infección por WareOut: 

SmitFraudFix v2.221       

Informe hecho a las 21:33:34,46, 09/09/2007       
Ejecutado desde C:Documents and SettingsjpimpyBureauSmitfraudFix       
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT       
El tipo del sistema de archivos es NTFS       
Fix ejecutado en modo normal       

»»»»»»»»»»»»»»»»»»»»»»»» Process       
.........      
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs       
¡¡¡Atención, las claves que siguen no necesariamente están infectadas!!!       

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]       
"AppInit_DLLs"="C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL"       
"LoadAppInit_DLLs"=dword:00000001       

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System       
¡¡¡Atención, las claves que siguen no necesariamente están infectadas!!!       

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]       
"System"="kdruc.exe"       

kdruc.exe detectado!       

»»»»»»»»»»»»»»»»»»»»»»»» Rustock       

»»»»»»»»»»»»»»»»»»»»»»»» DNS       

Descrïption: Broadcom 440x 10/100 Integrated Controller - Minipuerto de programación de paquetes       
DNS Server Search Order: 212.27.54.252       
DNS Server Search Order: 212.27.53.252       
      
HKLMSYSTEMCCSServicesTcpip..{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122       
HKLMSYSTEMCCSServicesTcpip..{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122       
HKLMSYSTEMCCSServicesTcpip..{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122       
HKLMSYSTEMCCSServicesTcpip..{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122       
HKLMSYSTEMCCSServicesTcpip..{F7D0A233-9673-4C53-924F-C676560D8E4E}: DhcpNameServer=212.27.54.252 212.27.53.252       
HKLMSYSTEMCS1ServicesTcpip..{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122       
HKLMSYSTEMCS1ServicesTcpip..{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122       
HKLMSYSTEMCS1ServicesTcpip..{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122       
HKLMSYSTEMCS1ServicesTcpip..{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122       

»»»»»»»»»»»»»»»»»»»»»»»» Búsqueda de infección wininet.dll       

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Métodos de desinfección

1er método: WORT


(Para los que utilizan Vista ó 7: desactivar el UAC antes de usar esta herramienta)
  • Descarga WORT en el Escritorio
  • Reinicia el PC en modo seguro (¿Nunca reinicies en modo seguro a través de MSCONFIG!)
  • Inicia sesión con tu cuenta habitual (no como Administrador)
    • En modo seguro no hay conexión a Internet, por tanto, copia o imprime estos pasos para que no cometas errores.
  • Haz doble clic sobre el archivo WORT.exe para instalar el programa (Bajo Vista y 7, haz clic derecho sobre el archivo y selecciona "Ejecutar como Administrador") y sigue las instrucciones
  • Haz doble clic en el archivo WareOut_Removal_Tool.bat (Bajo Vista y 7, haz clic derecho sobre el archivo y selecciona "Ejecutar como Administrador") que ha sido creado en el Escritorio para ejecutar la herramienta...
  • Selecciona la opción 1 (Buscar/Eliminar) y presiona Enter.
  • No toques nada y espera mientras trabaja la herramienta
  • Al final del análisis aparece el informe "WORT_report.txt". Este contiene todo lo necesario para saber si se ha encontrado una infección y si ha sido eliminada. Guarda el informe.
  • Al cerrar el block de notas, el programa se cerrará.


Ahora reinicia el PC en modo normal.

2do método: Malwarebytes' Anti-Malware

  • Descarga MalwareBytes' Anti-Malware en el Escritorio.
  • Instala MalwareBytes' Anti-Malware
    • Si falta el fichero COMCTL32.OCX, lo puedes descargar de aquí
  • Actualiza el programa: entra al menú "Actualizar" y haz clic en "Buscar Actualizaciones"
  • Inicia en modo seguro
  • Abre MalwareBytes' Anti-Malware, haz clic en la pestaña Escáner, marca la casilla Realizar un examen completo y haz clic en Examinar. En la ventana que aparece selecciona todos los discos duros y haz clic en Examinar
  • Una vez terminado el análisis, haz clic en Eliminar (reinicia el ordenador si te lo pide el programa)


El informe del examen lo puedes encontrar en la pestaña "Rapport/log"de Malwarebytes .

Nota: A veces será necesario utilizar los dos métodos para eliminar la infección.


Verificar si la infección ha sido eliminada
  • Vuelve a ejecutar Hijackthis, ya no deberían aparecer las líneas 017, en caso contrario, selecciona do a scan only, luego marca la casilla delante de las líneas de abajo y haz clic en fix checked:
    • O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
    • O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
    • O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
  • Vuelva a ejecutar hijackthis, y asegúrate de que las lineas 017 con IP de Ucrania han desaparecido.
  • Si después de haber pasado varias veces WORT, Malwarebytes y eliminado las líneas con hijackthis éstas se resisten, entonces veamos como eliminarlas definitivamente:
  • Bajo XP:
    • Ve al menú Inicio > Panel de control > Conexiones > haz clic sobre la conexión > Propiedades > pestaña Administración de red
    • Resalta Protocolo de Internet (tcp/ip) luego pulsa el botón Propiedades.
    • En las opciones (servidor DNS preferido y servidor DNS auxiliar) encontraras una de estas direcciones presentes en la línea 017 del reporte hijackthis (ejemplo: 85.255.116.37 85.255.112.85)
    • Para eliminarlas, marcar: Obtener las direcciones de los servidores DNS automáticamente luego haz clic 2 veces en OK y reinicia el PC.
  • Bajo Vista
    • Ve a Inicio > Panel de control > Centro de redes y recursos compartidos
    • Haz clic en Ver el Estado > Propiedades
    • En Protocolo TCP/IPv4 > Propiedades > marcar: Obtener las direcciones de los servidores DNS automáticamente luego haz doble clic en Aceptar y reinicia el PC.

Verificar si la infección ha sido neutralizada


(Bajo Vista y 7 descativar el UAC previamente)
  • Descarga Smitfraudfix en el Escritorio
  • Desconéctate de Internet, cierra todas las aplicaciones abiertas y desactiva el sistema de protección!
  • Ejecuta Smitfraudfix (Bajo Vista y 7: haz clic derecho sobre el programa y selecciona "Ejecutar como administrador"
  • Presiona cualquier tecla para continuar
  • En la ventana que aparece, selecciona la opción 5: "Search and clean DNS Hijack"
  • Espera mientras trabaja la herramienta
  • Una vez terminado, será generado un informe en C:Rapport.txt

En resumen

  • Para deshacerse de esta infección, es necesario utilizar un antispyware, como Malwarebytes' Anti-Malware, luego habrá que verificar que la infección wareout haya sido neutralizada con la opción 5 de Smitfraudfix (Search and clean DNS Hijack")
  • Luego haz una limpieza para eliminar los malwares que aun quedan, e instala un cortafuegos si aun no tienes instalado uno.
  • Si tienes problemas no dudes a pedir ayuda en el foro de Virus y seguridad y pegar los diversos informes obtenidos.


Véase también

Comunidad de asistencia y consejos.

How to fix Google search results redirecting?
How to fix Google search results redirecting?
Por aakai1056 el 1 de marzo de 2010
Page internet/google redirigée
Page internet/google redirigée
Por green day el 11 de abril de 2007
El artículo original fue escrito por green day. Traducido por Carlos-vialfa.
Este documento intitulado « Páginas web redireccionadas » de Kioskea (es.kioskea.net) esta puesto a diposición bajo la licencia Creative Commons. Puede copiar, modificar bajo las condiciones puestas por la licencia, siempre que esta nota sea visible.
Eliminar las barras de herramientas no deseadas Cómo analizar un reporte HijackThis
Entrevista exclusiva para Kioskea
Kevin Turner
Recibe nuestro newsletter

salud.kioskea.net

Eliminar las barras de herramientas no deseadas
Cómo analizar un reporte HijackThis