rss

[Spywares] Métodos para desinfectar el ordenador

Publicado por Carlos-vialfa, última actualización le martes, 5 de agosto de 2008, 22:48:51 por Carlos-vialfa
A continuación una lista de métodos que le será útil para desinfectar su ordenador y para que se libere definitivamente de los troyanos, virus, gusanos, spywares, publicidad intempestiva…En primer lugar se le presentará el nombre de la infección, luego el método que le permitirá su erradicación.

Spyaxe, SpySheriff, Antivirus Gold, modificación de escritorio (desktop hijack)


Descargar:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Ejecutarlo, luego hacer doble clic en Smitfraudfix.cmd
Seleccione la opción 1, éste generará un informe
Copiar y pegar este informe dentro de un mensaje en el foro Virus/seguridad
En imágenes:
http://siri.urz.free.fr/Fix/SmitfraudFix_En.php
----------------------------------------------------------------------------
Inicie en modo seguro:
Para esto, presione una y otra vez la tecla F8 desde que se ilumine la pantalla del PC
Se abrirá un ventana. Desplácese con las flechas del teclado a Inicio en modo seguro luego presione Enter.
Una vez en el escritorio, si no hay color, ¡es normal!
(Si F8 no funciona, utilice la tecla F5)
-------------------------------------------------------------------------------
Vuelva a ejecutar el programa SmitfraudFix.
Esta vez, seleccione la opción 2, responda sí a todos:
Guardar el reporte, reinicie en modo normal, copie y pegue el informe en el foro.

¿Archivo wininet infectado?


Siga el método Smitfraudfix/Smitrem (según la versión de Windows). En el caso de que estos 2 programas no encuentren un archivo de reemplazo, actualice su sistema (= Actualización de Windows)

Puede descargar Smitrem de aquí

==¿Cuando navega en Internet, le aparece el mensaje “Servicio de alerta”?=

A menudo, aparecen mensajes (invitándolo a llamar a un número de teléfono u otro) como: “Servicio de alerta”. Para que ya no aparezcan:
• Inicio
• Panel de control
•Herramientas administrativas
• Servicios
• Buscar Servicio de alerta
• Hacer clic derecho encima y seleccionar Propiedades
• En el menú desplegable, poner “Deshabilitado”. Debajo poner “Detener”
• Aplicar
• Reiniciar el PC

----> Estos mensajes provienen de malas actualizaciones de su ordenador. Pasar a SP1 o SP2 solucionará su problema. A fin de navegar protegido, no dude en consultar este artículo.

----> Activar/Desactivar el servicio de alerta (el mismo método)

Trojan Vundo/Trojan Agent CS1/Virtualmonde


1er método de desinfección


Previamente: descargar y generar un informe con Hijackthis

1/ Descargar Process XP de aquí y Pocket Killbox de aquí

Si tiene el Tea Timer de Spybot:
  • Desactívelo, durante la manipulación
  • Ejecute Spybot > Modo avanzado > Herramientas >> Residente
  • Desmarque la casilla residente “Tea Timer” y cierre Spybot



2/ Desconéctese de Internet y cierre todos los programas activos (Windows Media Player, Internet Explorer, etc.)
  • Descomprima (clic derecho > extraer) Process XP y haga doble clic en processxp.exe
  • En la ventana principal de Process XP, haga doble clic en winlogon.exe
  • En la ventana que se abre, haga clic en threads
  • Seleccione únicamente las líneas que contienen la .dll infectada luego haga clic en kill en cada una de las líneas encontradas.
  • Una vez hecho esto, Pulse Aceptar (OK) para validar


Enseguida:
  • En la ventana principal de Process XP, haga doble clic en explorer.exe
  • En la ventana que se abre, haga clic en threads
  • Seleccione únicamente las líneas que contienen la .dll infectada luego haga clic en kill en cada una de las líneas encontradas.
  • Una vez hecho esto, Pulse Aceptar para validar


3/ Ejecute HijackThis:
  • Haga clic en "Do a system scan only"
  • Marcar la casilla al inicio de estas líneas:
  • Fije la 02 y 020 (la 02 por lo general tiene como nombre MSevent. La dLL de la 020 y de la 02 son similares)
  • Valide con [Fix Checked]



4/ Haga doble clic en killbox.exe (Pocket Killbox)
  • Marcar la casilla: Delete on reboot
  • En "Full Path of File to Delete", copie y pegue: Insertar la ruta complete de la infección (disponible en 02 y 020)
  • Haga clic en la aspa roja
  • Aparecerá una ventana para confirmar, haga clic en YES
  • Una segunda ventana le preguntará para reiniciar el equipo, haga clic en YES
  • Deje reiniciar al PC
  • Si aparece este mensaje: "pending file rename operations registry data has been removed by external process.", ignórelo, y reinicie el PC manualmente.
  • Vuelva a marcar la casilla para reactivar el Tea Timer de Spybot.
  • Luego, verifique nuevamente con un log HijackThis que todo ha desaparecido.

2do método de desinfección: utilizando Vundofix


Descargar VundoFix.exe (de Atribune) en su Escritorio.
  • Haga doble clic en VundoFix.exe para ejecutarlo.
  • Haga clic en el botón Scan for Vundo.
  • Cuando el scan haya terminado, pulse el botón Remove Vundo.
  • Se le preguntará si desea eliminar los archivos, haga clic en YES
  • Después de haber hecho clic en “YES”. El Escritorio desaparecerá por un momento durante la eliminación de los archivos.
  • Aparecerá un mensaje anunciándole que el PC se apagará ("shutdown"). Haga clic en OK
  • Reinicie el PC.
  • Copie y pegue el contenido del informe situado en C:\vundofix.txt así como un nuevo informe HijackThis! En su próxima respuesta en el foro.

Infección EGDAccess-xxx

  • Generar un informe HijackThis.
  • Reparar y fijar: las líneas que contienen el nombre de la infección + egdaccess, egauth, sysnetsvc



Ejemplo:

O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1069.dll,InstantAccess

O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab

O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_FR_XP.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} –
http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR_XP.cab


Otro método:
  • Descargar Brute Force Uninstaller
  • Descomprímalo en una carpeta creada para éste (C:\BFU)
  • Haga clic derecho AQUÍ y seleccione “Guardar como” (en IE es “Guardar el enlace como…”) para descargar EGDACCESS Remover (de Metallica). Guárdelo en la carpeta creada (C:\BFU)
  • Inicie "Brute Force Uninstaller" haciendo doble clic en BFU.exe en scriptline to execute copiar y pegar c:\bfu\EGDACCESS.bfu *Haga clic en execute y déjelo trabajar.
  • Espere a que aparezca complete script execution y haga clic en OK.
  • Haga de nuevo las mismas operaciones con ese archivo
  • Haga clic en Exit para cerrar el programa BFU.
  • Reinicie y publique un nuevo informe HijackThis.

Nail.exe


Esta infección se presenta de esta forma:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Se debe saber que está asociado a un 04
O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r

Esta 04, ¿Cómo repararla? Hay varios índices que están a nuestra disposición:
-Es una 04
-Esta se encuentra en la carpeta system32
-Al lado del .exe hay una “r”
Las letras entre […] y la xxx.exe son aleatorias, no significan nada, no especifican nada, y no se encuentra ninguna información en ellas

Cómo liberarse de ellas:

Por lo que sigue, imprima esto ya que las operaciones son largar y se requiere bastante rigor.

1) IMPORTANTE:
No deje que el ordenador reinicie en modo normal entre cada operación. (con el riego de partir de cero).

2) Descargar:

-Tutorial


3) Desactivar la restauración del sistema (únicamente si está en XP):
-Haga clic derecho en Mi PC/Propiedades
-Haga clic en la pestaña Restaurar sistema
-Marcar la casilla “Desactivar restaurar sistema” y aplicar.

Verifique esto:

Mostrar todos los archivos y carpetas ocultos:
Haga clic en Inicio/Panel de control/Opciones de carpeta/Ver:

Marcar “Mostrar todos los archivos y carpetas ocultos”

Desmarcar la casilla “Ocultar archivos protegidos del sistema operativo (recomendado)”

Desmarcar “Ocultar las extensiones de archivo para tipos de archivo conocido”
Luego haga clic en Aceptar para validar los cambios.
Y aplicar


4) Vaciar los archivos temporales y Temporary Internet Files de todos los usuarios:
Utilice Cleanup40: http://pageperso.aol.fr/Balltrap34/CleanUp40.exe


5) Ejecute L2Mfix

Descomprímalo (clic derecho / Extraer todo). Haga doble clic en L2Mfix.bat
Presione cualquier tecla y luego seleccione la opción 2.
Al final, el programa debería reiniciar el sistema, en cuanto se lance el bios, presione varias veces la tecla F8 para pasar al modo seguro (esto es </gras>importante</gras>)

5) Pocket Killbox:

1- Haga doble clic en KillBox.exe
2- Abra el bloc de notas y copie la lista en negrita de más abajo
3- seleccione "Delete on Reboot"
4- Vaya al bloc de notas y subraye toda la lista, luego haga clic derecho encima y haga clic en copiar
5- Regrese a killbox, y en el menú de arriba, haga clic en File, luego en Paste from clipboard
5-Haga clic en el círculo rojo.
6- Aparecerá una ventana para confirmar. Haga clic en SI
7- Una segunda ventana le preguntara si desea reiniciar. Hacer clic en SI

Lista

C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\ccgtvzq.exe <---- Poner aquí la ruta de la 04 que se encontró.

Ignorar este mensaje si aparece:
http://tinypic.com/jsj7kl.jpg

Cuando KillBox reinicie el PC, presione inmediatamente en F8, para pasar al modo seguro.

6) Ejecute HijackThis y fije:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r <------Es decir la 04 reparada anteriormente

8) volver a pasar L2Mfix opción 2, deje que el ordenador reinicie normalmente y vuelva a hacer un log HijackThis

Verifique que la infección haya sido erradicada.

Error de limpieza en Ewido


Si encuentra este tipo de problemas con Ewido:

[2660] VM_00890000 -> Downloader.Agent.uj : Error durante la limpieza
[2728] VM_00BA0000 -> Downloader.Agent.uj : Error durante la limpieza
[2984] VM_009A0000 -> Downloader.Agent.uj : Error durante la limpieza
[3048] VM_00950000 -> Downloader.Agent.uj : Error durante la limpieza

Descargar: http://downloads.subratam.org/Fixwareout.exe
Instálelo y siga el procedimiento
Vuelva a hacer un scan con Ewido en modo seguro; y nuevamente en modo normal.

Wareout


Este tipo de infección puede engendrar un desbarajuste en su ordenador (ejemplo: hacer que se cuelguen todos los scan de desinfección, programas…) y propiciar la aparición de otros tipos de infección, lo que a veces puede tener como resultado un sistema operativo casi inutilizable…
Felizmente esta infección se puede identificar fácilmente en un informe HijackThis, ésta se manifiesta por una(s) dirección(es) IP dirigiendo a Ucrania:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85


==>Método de desinfección

Descargar en el escritorio FixWareout de uno de estos dos sitos:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe
  • Ejecutar el fix, haga clic en Next, luego Install, verifique que "Run fixit" esté activado, luego haga clic en Finish.


El fix comenzará, seguir los mensajes de la pantalla. Se le preguntará al final para reiniciar el ordenador (si el sistema demora un poco más en arrancar, ¡es normal!) 

Observación 1:


En caso de otros tipos de infección que se adicionen a Wareout, y que necesiten también la utilización de un fix (ejemplo: las variantes de Smitfraud, Vundo ...), elimine en primer lugar a Wareout ya que su presencia en el sistema puede volver inutilizables los otros fix… 


Observación 2:


En ciertos casos puede que aún después del uso de FixWareout, y HijackThis, estos famosos 017 resistan, y reaparezcan en los informes HijackThis. A continuación un truco que permite neutralizar definitivamente estas líneas de los informes:

Vaya a Inicio > Panel de control > Conexiones de red > Propiedades > Pestaña Administración de red
Posiciónese sobre Protocolo Internet (TCP/IP) luego haga clic en el botón Propiedades.
En las opciones (servidor DNS preferido y Servidor DNS alternativo) encontraremos una de las direcciones presentes en el informe hijackthis en la línea 17 ==>( 85.255.114.73 / 85.255.112.227 etc...)

Para eliminarlos, marque: “Obtener la dirección del servidor DNS automáticamente” luego haga doble clic en Aceptar y reinicie el PC.

System Volume Information


Si luego del análisis, la infección se encuentra en:

C:\System Volume Information\_Restore....

Esto significa que un punto de restauración es el que está infectado (a saber que la infección esté inactiva). Para resolver el problema:

¤Desactivar la restauración del sistema (únicamente si está en XP):
Haga clic derecho sobre Mi PC/Propiedades
Haga clic en la pestaña Restaurar sistema
Marcar la casilla “Desactivar Restaurar sistema” y aplique.

Luego,

Reactivar Restaurar sistema (únicamente si está en XP):
Hacer clic derecho en Mi PC/Propiedades
Haga clic en la pestaña Restaurar sistema
Desmarcar la casilla “Desactivar Restaurar sistema” y aplique.


Para Windows ME:
http://service1.symantec.com/...

Infección en Recycler


Esto significa que su papelera de reciclaje contiene elementos infectados, vacíela simplemente. En el caso de que la papelera esté vacía, y el análisis haya detectado un problema al interior de ésta, utilice el programa Chaos Shredder (Programas de desinfección) para eliminarla.

==Win32.Delf.pa, alias Trojan.Stwoyle ===

¿Cómo es este troyano y cómo reconocerlo?

Generar un informe HijackThis, si está en presencia de esto, entonces quiere decir que el troyano está presente:

O2 - BHO: C:\WINDOWS\adsldpbc.dll
O20 - Winlogon Notify: style32
O20 - Winlogon Notify: style2

Elimínelo:

Descargar Win32delfkil de aquí
Guárdelo en el escritorio.


Hacer doble clic en win32delfki_Bl.exe y proceda a la instalación. La carpeta win32delfki_Bl.exe es creada. Cerrar todas las ventanas, abra resta carpeta y haga doble clic sobre fix.bat.

Lop.com


Cuando se instala MSN+, quizás no se preste atención a esto:

Y sin embargo, aceptándolos, se hereda la infección lop.com (trojan swizzor)
¿Cómo se manifiesta?
http://theroot.chez-alice.fr/imgs/tuto/msgplus.jpg
-Nueva barra de tareas
-Publicidad
-Favoritos que no se pueden eliminar (casino, travel…)

¿Cómo eliminarlos?

Generar un informe HijackThis y la infección se manifestará de esta manera:

Logfile of HijackThis v1.99.1
Scan saved at 22:55:38, on 2005-12-23
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\lexpps.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Annie\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [http://www.orkabsjvmoaybw[...].com/K5kkeYXoTLXcI5kK7[...]9IzROOKlIgNIxBYi.html

Viendo esta línea, usted sabrá a partir de ahora que ¡los patrocinadores de MSN han sido instalados! Esta se presentan con letras a continuación de otras, bastante largas y que no significan nada.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.ca/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: Pop-Up Blocker BHO - {3C060EA2-E6A9-4E49-A530-D4657B8C449A} - C:\Program Files\Zero Knowledge\Freedom\pkR.dll
O2 - BHO: COMMUNICATOR - {4E7BD74F-2B8D-469E-8DBC-A42EB79CB428} - C:\WINDOWS\system32\communicator.dll
O2 - BHO: Form Filler BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Program Files\Zero Knowledge\Freedom\FreeBHOR.dll

O2 - BHO: (no name) - {576EE1AB-B9EF-2A88-2792-036638EFAADC} - C:\DOCUME~1\Annie\APPLIC~1\STYLEG~1\BODYMEMO.exe

Siempre hay un BHO ligada a la infección, la puede ubicar fácilmente porque la ruta de acceso es:
Document and Settings +nombre de sesión (como el de arriba) + Application Data

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O4 - HKLM\..\Run: [Freedom] C:\Program Files\Zero Knowledge\Freedom\Freedom.exe

O4 - HKLM\..\Run: [gplprogramnew64] C:\Documents and Settings\All Users.WINDOWS\Application Data\AmokFirstGplProgram\AXIS BAT.exe

Aquí igual, vemos claramente la ruta.
A veces hay un R1, un 02 (BHO), y a veces dos líneas en 04, pero esto puede variar.

O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74438457-6A87-4786-944D-40DCD6E9D58B}: NameServer = 206.47.244.79 206.47.244.138
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: interceptor.dll,msgplusloader.dll
O23 - Service: DvpApi (dvpapi) - Command Software Systems, Inc. - C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Uso de LopXP


1) A continuación, una vez reconocido, generar un informe de LopXP, lo puede descargar aquí
2) Haga doble clic en Lopxpsetup.exe para lanzar la instalación
En el menú, seleccione la opción 1
Espere hasta que se le pida presionar alguna tecla
Luego será creado un informe, copie y péguelo completo en el foro.

¿Para que sirve? Explicación:


Según lo que haya identificado en HijackThis, lo buscará aquí: (como la ruta está indicada en el log, lo buscará ¡para tener el nombre completo!)

El informe de LopXP se parece a esto:

Informe hecho a las 21:33:31, 29 el 2005-12-25

El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2

Directorio de C:\Documents and Settings\Default User\Application Data

2004-07-22 10:09 <REP> Microsoft
2004-07-22 09:55 <REP> ..
2004-07-22 09:55 <REP> .
0 fichier(s) 0 octetos
3 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2

Repertorio de C:\Documents and Settings\All Users\Application Data

2005-12-23 08:51 <REP> Tenebril
2004-07-22 10:06 <REP> Microsoft
2004-07-22 09:55 <REP> ..
2004-07-22 09:55 <REP> .
0 archivo(s) 0 octetos
4 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2

Directorio de C:\Documents and Settings\user\Application Data

2005-01-21 20:34 <REP> Motive
2004-08-30 10:23 <REP> Identities
2004-08-30 10:23 <REP> Microsoft
2004-08-30 10:23 <REP> ..
2004-08-30 10:23 <REP> .
0 archivo(s) 0 octetos
5 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2

Directorio de C:\Documents and Settings\ctrl\Application Data

2004-07-22 10:25 <REP> Identities
2004-07-22 10:24 <REP> Microsoft
2004-07-22 10:24 <REP> ..
2004-07-22 10:24 <REP> .
0 archivo(s) 0 octetos
4 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2

Directorio de C:\Documents and Settings\Default User.WINDOWS\Application Data

2005-01-22 12:15 62 desktop.ini
2005-01-22 12:15 <REP> Microsoft
2005-01-22 12:15 <REP> ..
2005-01-22 12:15 <REP> .
1 archivo(s) 62 octetos
3 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2

Directorio de C:\Documents and Settings\All Users.WINDOWS\Application Data

2005-12-23 08:51 <REP> Tenebril
2005-12-15 17:34 <REP> Adobe
2005-10-14 22:46 <REP> Apple Computer
2005-08-31 14:04 <REP> Spybot - Search & Destroy
2005-08-29 13:29 <REP> vidctrl
2005-08-23 21:53 <REP> InstallShield
2005-04-14 16:41 <REP> AmokFirstGplProgram <<<identificado en 04
2005-04-08 13:44 <REP> Messenger Plus!
2005-02-27 12:41 <REP> Zylom
2005-01-23 18:48 <REP> Zero Knowledge
2005-01-22 15:34 <REP> MSN6
2005-01-22 12:15 62 desktop.ini
2005-01-22 12:15 <REP> Microsoft
2005-01-22 12:15 <REP> .
2005-01-22 12:15 <REP> ..
1 archivo(s) 62 octetos
14 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2

Directorio de C:\Documents and Settings\Annie\Application Data

2005-12-23 09:00 <REP> Tenebril
2005-12-22 20:49 21920 GDIPFONTCACHEV1.DAT
2005-12-21 18:35 <REP> Lavasoft
2005-10-06 17:49 <REP> Real
2005-09-09 03:44 <REP> Style gpl title << identificado en 02
2005-08-25 18:57 <REP> Jasc
2005-07-02 14:24 <REP> Sun
2005-04-07 16:29 <REP> proc platform
2005-04-07 16:21 <REP> AdobeUM
2005-03-28 13:38 <REP> Mozilla
2005-03-24 20:22 <REP> Adobe
2005-03-12 23:04 <REP> Registry Cleaner
2005-02-16 22:07 <REP> Zylom
2005-01-26 22:13 <REP> Help
2005-01-23 18:51 <REP> Zero Knowledge
2005-01-22 16:30 <REP> Macromedia
2005-01-22 15:34 <REP> MSN6
2005-01-22 13:43 <REP> Identities
2005-01-22 13:43 62 desktop.ini
2005-01-22 13:43 <REP> ..
2005-01-22 13:43 <REP> .
2005-01-22 13:43 <REP> Microsoft
2 archivo(s) 21982 octetos
20 R‚p(s) 3637395456 octetos libres
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-

Búsqueda de tareas planificadas en C:\WINDOWS\Tasks

Para eliminar la infección, se debe eliminar la tarea planificada de otro modo ésta regresará sistemáticamente; está se identifica así:

El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2

Directorio de C:\WINDOWS\Tasks

2005-12-21 15:59 264 ABF3A22291945C8E.job (Une serie de letras y de números acabando en .job)
2005-02-24 17:00 188 setup.job
2005-01-22 13:31 6 SA.DAT
2005-01-22 13:27 65 desktop.ini
2005-01-22 13:27 <REP> ..
2005-01-22 13:27 <REP> .
4 archivo(s) 523 octetos
2 R‚p(s) 3ÿ637ÿ395ÿ456 octetos libres

-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-

Búsqueda en Program files

La carpeta C:\Program Files\C2Media no existe <--- si C2media existe aquí, ¡hay que eliminarlo!

-.-.-.-.-.-.-.-.-.-.-.- Fin del informe.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-

Pasos a seguir para eliminar la infección


Imprimir, o guardar las acciones en el bloc de notas para estar seguro que no olvida nada y hacerlo todo en orden.

1/ Descargar CleanUp 40

Desconectarse de internet y cerrar todos los programas activos.

Reiniciar en modo seguro
Reiniciar el PC, deje pasar la pantalla del Bios, luego presione seguidamente la tecla F8 antes de que aparezca la pantalla de carga de Windows.
Elija el modo seguro de las opciones disponibles y valide con Enter.
(Si F8 no funciona, intente con F5)

Haga visibles los archivos ocultos y de sistema
Panel de control > Opciones de carpeta > Pestaña Ver
Marcar la casilla “Mostrar todos los archivos y carpetas ocultos”
Desmarcar la casilla “Ocultar las extensiones de archivo para tipos de archivo conocido”
Desmarcar la casilla “Ocultar archivos protegidos del sistema operativo (recomendado)”
Hacer clic en [Aplicar] luego en [Aceptar] para validar

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ejecutar HijackThis y hacer clic en [Do a system scan only]
Marcar la casilla al inicio de las líneas siguientes:

AQUÍ, las líneas de HijackThis a fijar

Hacer clic en el botón [Fix Checked] para validar

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_


Buscar y eliminar estas carpetas:

Elimine los archivos, si es posible, siguiendo la ruta de los archivos infectados, en vez de utilizar la función “Buscar”

Si están presentes, elimine:

Los archivos a eliminar con las rutas exactas que se ha podido extraer fácilmente de LopXP +C2Media si es que existe

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Luego, Vaya a Inicio > Ejecutar. Ingrese cmd luego Aceptar.
En la ventana que aparece, copie y pegue esto:

del /a C:\WINDOWS\tasks\A0AFC843918446AF.job

Aquí, la eliminación de la tarea planificada. Basta con reemplazar la serie en negrita por la encontrada en LogXP (puede que haya +1)

Y presione Enter para validar

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Luego, muy importante:

::Eliminar los archivos temporales::

Ejecute Cleanup40.


-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Reinicie de manera normal y publique un Hijackthis…

Sitios web seguros inaccesibles


Si le es imposible acceder a sitios web seguros, y obtiene siempre un mensaje de Internet Explorer que le dice que es imposible mostrar la página, entonces existen varias soluciones para corregir el problema. De una parte, debe verificar que las funciones SSL estén activas en Internet Explorer y de otra parte, debe reinscribir el archivo Softpub.dll en el Registro.

En Internet Explorer, haga clic en el menú Herramientas luego Opciones de Internet. Luego haga clic en la pestaña Opciones avanzadas. En Configuración, ubique la sección Seguridad. Verifique que las casillas SSL 2.0 y SSL 3.0 estén marcadas. Si no lo están, márquelas. Haga clic en Aceptar para validar.

Los Fix para diferentes virus


La mayoría de virus más comunes, más devastadores, tienen un fix (pequeño programa de desinfección) para erradicarlos.

Perdida del tema de XP


Producto de una infección, puede perder el tema de XP y serle imposible ponerlo entre las opciones debido a que ya no aparece. No hay por que alarmarse…


Descargue y descomprima: http://pageperso.aol.fr/Balltrap34/luna.zip
Enseguida, póngalo en C:\WINDOWS\Resources\Themes\Luna y haga doble clic encima
Luego, intente poner el estilo XP

Infección en los archivos temporales o Temporary Internet Files


No se alarme, se trata de una infección menor, puede que producto de una descarga, su antivirus detecte una infección en:

¤ C:\Documents and Settings\su cuenta\Local Settings\Temporary Internet Files\Content.IE5...
¤ C:\Documents and Settings\su cuenta\Local Settings\Temp...
¤ C:\Documents and Settings\todas las demás cuentas\Local Settings\Temp...
¤ C:\Windows\Temp...

A continuación 2 soluciones, bien sencillas:
  • 1) Mostrar los archivos ocultos:

Haga clic en Inicio/Panel de control/Herramientas/Opciones de carpeta/Ver

Marcar “Mostrar los archivos y carpetas ocultos”
Desmarcar la casilla “Ocultar archivos protegidos del sistema operativo (recomendado)”
Desmarcar “Ocultar las extensiones de archivos para tipos de archivo conocidos”
Luego haga clic en Aceptar para validar los cambios.

¡Y aplicar!
----------------------------------------------------------------------------
¤Vacíe el contenido de los archives temporales y Temporary Internet Files:
  • C:\Documents and Settings\su cuenta\Local Settings\Temp
  • C:\Documents and Settings\todas las demás cuentas\Local Settings\Temp
  • C:\Windows\Temp



::El contenido de la carpeta prefetch::
  • C:\WINDOWS\Prefetch <= excepto el archivo layout.ini
  • ¡No olvide de vaciar la papelera de reciclaje!



2) Utilice Cleanup 40 para que los elimine automáticamente:

CleauUp 40

==Malos anti-spywares ==rogues==
http://www.spywarewarrior.com/rogue_anti-spyware.htm

Rogue significa que estos productos son desconocidos, cuestionables, o de dudoso valor como protección anti-spywares.
Algunos de los productos enumerados en esta página simplemente no garantizan una probada y fiable protección de anti-spyware o pueden ser inclinados a falsos resultados. Otros pueden emplear tácticas desleales, engañosas, de presión en la venta para conseguir fácilmente vender a crédulos y confusos usuarios. Algunos de estos son conocidos por instalar ellos mismo spyware/adware.

Look to me


Esta infección es responsable de la publicidad cuando navega, les voy a proponer un único método entre varios que existen, si éste no funciona, diríjase al foro virus/seguridad.

Generar un informe HijackThis, concretamente, la infección se presenta de esta manera:

O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\t08u0al9edq.dll

¿Cómo desinfectarlo?

Descargar L2Mfix de aquí
Haga doble clic en L2Mfix.exe para lanzar la extracción.
En la carpeta l2mfix, hacer doble clic en l2mfix.bat y seleccione la opción #1 y presione Enter para validar.
Se abrirá el bloc de notas con el resultado del scan.
Copie y pegue el resultado en el foro.

Vuelva a ejecutar L2Mfix y seleccione la opción 2
Acepte el reinicio del PC.

Verificar que la 020 haya desaparecido (si todavía está presente, haga la opción 2 en modo seguro, si esto no funciona entonces puede utilizar KillBox…)

Shop at home o Home Search Assistant


Descargar Cws-hsa.reg de aquí
Instálelo en el escritorio y haga clic dos veces encima.

O

Descargar Hsremove de aquí

Pokapoka rebelde


Para Pokapoka, existe un bat que lo elimina así como otros archivos que no son visibles con HijackThis.
En muy raros casos, la carpeta ETB sólo es visible en Dos.
http://users.telenet.be/bluepatchy/miekiemoes/tools/LQfix.zip
(Descomprima y ejecute lqfix.bat en modo seguro, si es posible)

Spybot "error de paridad"


Cambiar de servidor de la lista propuesta por Spybot (botón al lado de “Buscar actualizaciones”).
Si es su caso, elija uno con (europa) escrito al lado del nombre

Desinstalar Norton


http://service1.symantec.com/...

Conocer la lista de programas en Agregar o quitar programas gracias a HijackThis


HijackThis >Open the misc tools sections -> open Uninstall manager -> hacer clic en “Save list” -> Guardar el archivo -> cópielo y péguelo aquí.

PD: El artículo original fue escrito por regis59 contribuidor de CommentCaMarche

Otro Trucos en la categoría Spywares

Programas pertinentes en las descargas
Descargar AVG 8.0AVG - Este programa está preparado para detectar los programas maliciosos antes de que sean un peligro para tus datos.Cuenta con...Categoría: Antivirus
Licencia: Freeware/gratuit
Descargar Ad-aware 2007 free 7.0.2.6Ad-aware 2007 free - Ad-Aware de Lavasoft detecta y elimina spywares, dialers, troyanos, parásitos etc de su Ordenador de forma rápida y segura. ...Categoría: Anti-Spyware
Licencia: Freeware/gratuit
Descargar LimeWire 4.16.6LimeWire - LimeWire permite compartir cualquier tipo de archivo, pero se caracteriza y ha ganado su popularidad debido a su alta...Categoría: Descargas
Licencia: Open Source
Descargar Everest 2.20Everest - Everest 2.20 realiza un análisis del sistema, mostrando prácticamente todos los aspectos del sistema referentes a hardware,...Categoría: Diagnosticos
Licencia: Freeware/gratuit
Mas programas gratuitos en « Métodos para desinfectar el ordenador »