¿Qué es Yoog Search?

Yoog Search es una infección que se instala en los navegadores Internet Explorer y Mozilla Firefox. Esta infección es instalada por el adware Adrotator que lo encontramos en las redes P2P.
Esta infección modifica los SearchCops en el registro para redirigir la búsqueda hacia el motor de búsqueda Yoog Search. En Mozilla Firefox, se instala en los plugins de Firefox. Este adware muestra también publicidad emergente.

Cómo identificar la infección

Yoog Search puede no aparecer en un informe Hijackthis.

Es posible identificarlo gracias a los BHO´s de Internet Explorer:

O2 - BHO: dcads - {35037362-2d31-daf8-a81a-0072e6e17a1d} - C:\WINDOWS\system32\nsy24E.dll
O2 - BHO: dcads - {733716E1-76D2-4003-AC39-845281C0EF85} - C:\WINDOWS\system32\nsp9B.dll
O2 - BHO: blueskyadagency - {80f478d5-4ffe-c41c-1b9d-5be267e11b5f} - C:\WINDOWS\system32\nse11.dll
O2 - BHO: addestination browser enhancer - {3E956688-6D36-55D6-E1C4-FC559DAE5A85} - C:\WINDOWS\system32\yjnhkdifnpcyj.dll

También modifica las preferencias de Firefox para redirigir la búsqueda de los usuarios hacia el motor de búsqueda Yoog Search.

Las modificaciones ocurren en estos archivos:

%APPDATA%\Mozilla\Firefox\Profiles\%aléatoire%.default\prefs.js
%APPDATA%\Mozilla\Firefox\Profiles\%aléatoire%.default\user.js

Métodos para detectarlo

Bajo Vista: desactivar el UAC

La herramienta Hijackthis no detecta la infección.

Es necesario utilizar una herramienta de diagnostico como Random's System Information Tool (RSIT)

• Descarga Random's System Information Tool (RSIT) en tu Escritorio.
• Haz doble clic en RSIT.exe para ejecutar el programa (bajo Vista, hacer clic derecho sobre RSIT.exe y seleccionar “Ejecutar como administrador”).
• En la ventana que aparece, haz clic en Continue
• Si HijackThis (versión actualizada) no se encuentra o no es detectado en el PC, RSIT lo descargará (autorizar el acceso en el cortafuegos, si te lo solicita). Deberás aceptar la licencia.
• Cuando el análisis termine, se abrirán dos archivos de texto. Postea el contenido de log.txt (es el que aparece en pantalla) y de info.txt (que aparecerá en la barra de tareas) en el foro de Virus y Seguridad de Kioskea.

Métodos de desinfección

No ejecutes la opción 2 sin antes consultar a una persona entendida.

Ningún antivirus, ni antispyware logra eliminar esta infección.
Sin embargo, existe una herramienta que elimina esta infección. Esta herramienta es Yoog_fix de (Batch_Man).

• Descarga Yoog_Fix (de Batch_Man, en francés pero fácil de usar) en tu escritorio
• Haz doble clic encima y selecciona la opción 1 (Buscar) Bajo Vista haz clic derecho sobre yoog_Fix.exe y selecciona “Ejecutar como administrador”.
• Espera que termine el proceso, al final se abrirá un informe
• Postea el informe en el foro de Virus y seguridad

Nota: el informe se encuentra en C:\Yoog_Fix.txt

Recomendación

Te recomiendo postear los dos informes (RSIT , Yoog_Fix opción 1) en el foro de Virus y Seguridad de Kioskea para que un especialista te recomiende pasar la opción 2 de yoog_Fix y proceder a otras verificaciones.

PD: El artículo original fue escrito por V-X, contribuidor de CommentCaMarche