Si se le ha hecho imposible navegar debido a la gran cantidad de ventanas publicitarias de todo tipo (Crazy Girls, SpywareSecure, publicidad de Casinos, compra de software de protección, publicidad pornográfica, ... ) que llenan su pantalla, y a pesar de todos sus esfuerzos por eliminarlos, el problema persiste. Entonces probablemente sea una victima de spywares que han infectado su ordenador utilizando el servicio de alerta de Windows para mostrar mensajes bajo la forma de pop-ups conteniendo generalmente un CiD en el título:

• Primera etapa: Neutralizar las ventanas publicitarias
  • Primer método: utilizar navilog (de Il Mafioso) (en XP)
    • Utilizar navilog.bat (en Vista)
  • Segundo método: utilizar la herramienta Catchme
  • Otras infecciones que generan ventanas publicitarias
• Segunda etapa: Limpieza complementaria
• Tercera etapa: Instalación de un cortafuegos (firewall)

Aquí un procedimiento de desinfección que podrá ayudarlo a deshacerse de estas ventanas:

Primera etapa: Neutralizar las ventanas publicitarias

El primer método (navilog) funciona ¡únicamente bajo Windows 2000, XP y Vista!

Primer método: utilizar navilog (de Il Mafioso) (en XP)

• Haga clic en este enlace
• Descárguelo en el escritorio
• Haga clic-derecho en navilog1.zip y seleccione "extraer todo"
• Doble-clic en navilog1.exe
• En el menú principal, seleccione la opción 1 y acepte.
• Espere hasta que aparezca el mensaje: Análisis Terminado el ...
• El informe será guardado en la raíz del disco (fixnavi.txt)

Ejemplo de un informe que contiene archivos infectados:

Search Navipromo version 3.2.1 iniciado el 13/10/2007 a 16:23:53,25

!!! Atención, este informe puede contener archivos/programas propios!!!
!!! Envíe este informe al foro para analizarlo!!!
!!! No lance la parte desinfección sin la opinión de un especialista!!!

Fix lanzado desde C:\Program Files\navilog1
Actualizado el 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11

*** Búsqueda de programas instalados ***
 Búsqueda de carpetas en C:\WINDOWS ***
 Búsqueda de carpetas en C:\Program Files ***
 Búsqueda de carpetas en C:\Documents and Settings\All Users\Application Data ***
 Búsqueda de carpetas en C:\Documents and Settings\Propri‚taire\Application Data ***
 Búsqueda de carpetas en C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
 Búsqueda con Catchme-rootkit/stealth malware detector by gmer ***
Para más información: http://www.gmer.net

Archivo(s) oculto(s):

C:\WINDOWS\system32\abqkfbtobc.dat
C:\WINDOWS\system32\abqkfbtobc.exe
C:\WINDOWS\system32\abqkfbtobc_nav.dat
C:\WINDOWS\system32\abqkfbtobc_navps.dat

Procesos oculto(s):

C:\WINDOWS\system32\abqkfbtobc.exe

*** Búsqueda con GenericNaviSearch ***
¡¡¡ Todos estos resultados pueden revelar archivos legítimos!!!
¡¡¡ Deben verificarse imperativamente antes de toda eliminación manual !!!

* Scan C:\WINDOWS\system32 *
* Scan C:\DOCUME~1\PROPRI~1\LOCALS~1\APPLIC~1 *
*** Busca archivos ***


C:\WINDOWS\tmlpcert2007 encontrado!
C:\WINDOWS\system32\nvs2.inf encontrado!

*** Busca claves de registro ***

HKEY_CURRENT_USER\Software\Lanconfig encontrado!

*** Modulo de búsqueda complementaria ***
(Busca archivos especificos)

1)Busca archivos conocidos:

2)Busca Heuristica:

* 
 C:\WINDOWS\system32\rhdtus.dat encontrado!

**  
 C:\WINDOWS\system32\rhdtus.dat encontrado!

***  
*  
*  
 C:\WINDOWS\system32\prodsrvs.exe encontrado!

********  
 C:\WINDOWS\system32\mwsrvacc.exe encontrado!
 C:\WINDOWS\system32\prodsrvs.exe encontrado!
 C:\WINDOWS\system32\rhdtus.exe encontrado!

3)Busca Certificados :

Certificat Egroup encontrado!

*** Analisis Terminado el 13/10/2007 a 16:25:08,18 ***

• Advertencia! Puede que los archivos legítimos sean encontrados en esta parte del informe fixnavi.txt :

*** Búsqueda con Catchme-rootkit/stealth malware detector by gmer ***
Para mayor información: http://www.gmer.net

Archivo(s) oculto(s):

C:\WINDOWS\system32\abqkfbtobc.dat
C:\WINDOWS\system32\abqkfbtobc.exe
C:\WINDOWS\system32\abqkfbtobc_nav.dat
C:\WINDOWS\system32\abqkfbtobc_navps.dat

Procesos oculto(s):

C:\WINDOWS\system32\abqkfbtobc.exe

• Así como en esta parte:

2) Búsqueda Heurística:

*  
    C:\WINDOWS\system32\rhdtus.dat encontrado!

**  
    C:\WINDOWS\system32\rhdtus.dat encontrado!

***  
*  
*  
    C:\WINDOWS\system32\prodsrvs.exe encontrado!

********  
    C:\WINDOWS\system32\mwsrvacc.exe encontrado!
    C:\WINDOWS\system32\prodsrvs.exe encontrado!
    C:\WINDOWS\system32\rhdtus.exe encontrado!

• ¡Prudencia! Antes de pasar a la opción 2, ya que todos lo procesos y archivos encontrados no son necesariamente problemáticos!!! Hay que verificar previamente la legitimidad de estos archivos haciendo una búsqueda en google o pidiendo un consejo en el foro Virus-seguridad, a fin de no correr ¡el riesgo de eliminar archivos del sistema! Incluso si navilog prevé una carpeta backup con los archivos eliminados.
  • Una vez que todas las precauciones han sido tomadas:
  • Haga doble-clic en navilog1.exe
  • En el menú principal, seleccione la opción 2 y acepte.
  • Indique el modo de limpieza "automática"
  • Responda a las preguntas si hubiesen, el escritorio desaparecerá, es normal!
  • Espere hasta que aparezca el mensaje: Limpieza Terminada el ...
  • Guarde el informe del tal forma que pueda encontrarla rápidamente, luego cierre el bloc de notas, el escritorio reaparecerá
  • El informe será además guardado en la raíz del disco (cleannavi.txt)

PD: Si el escritorio no reapareciera, haga CTRL+ALT+SUPR para abrir el administrador de tareas.
Seleccione la pestaña procesos. Haga clic en la parte superior izquierda en Archivo y seleccione ejecutar,
Ingrese explorar y acepte.

Utilizar navilog.bat (en Vista)

• Desactive el control de cuentas de usuario (reactivarla al final de la desinfección) :
• Vaya a inicio luego panel de control
• Doble Clic en el icono "Cuentas de usuarios"
• Haga clic en desactivar y aceptar.
• Vaya a este enlace
  • Descárguelo en el escritorio
  • Doble-clic en navilog1.exe para lanzar la instalación
  • Una vez terminada la instalación, Haga clic-derecho en el acceso directo navilog1 que se encuentra en el escritorio y seleccione Ejecutar como administrador
  • En el menú principal, seleccione la opción 1 y acepte.
  • Espere hasta que aparezca el mensaje: Limpieza Terminada el ...
  • Presione alguna tecla, el bloc de notas se abrirá, guarde el informe del tal forma que pueda encontrarlo rápidamente
  • El informe fixnavi.txt es además guardado en %systemdrive%. (Vea: Ejemplo de un informe que contiene archivos infectados líneas arriba).
• Igual que para XP, una vez tomadas todas las precauciones:
  • Haga clic-derecho en el acceso directo Navilog1 que se encuentra en el escritorio "Ejecutar como administrador".
  • En el menú principal, seleccione la opción 2 y acepte.
  • Fix pedirá en seguida reiniciar al PC, cierre todas las ventanas abiertas, guarde los documentos personales abiertos, y presione la tecla indicada (si el PC no reinicia automáticamente, hágalo manualmente)
  • Durante el inicio del PC, si fuera necesario escoja la sesión habitual
  • Espere hasta que aparezca el mensaje: Limpieza Terminada el ...
  • Guarde el informe del tal forma que pueda encontrarlo rápidamente, luego cierre el bloc de notas, el escritorio reaparecerá
  • Reactivar el control de las cuentas de usuarios (UAC)

Segundo método: utilizar la herramienta Catchme

• Descargar Catchme de Gmer en el escritorio:
  • Doble-clic en el archivo catchme.exe para lanzar el utilitario.
  • Clic en Scan, Una ventana DOS se abrirá para comenzar el análisis.
  • Espere hasta que el mensaje « scan completed successfully » aparezca, luego cierre la ventana.
  • Un archivo catchme.log se crea entonces en el escritorio conteniendo el resultado del análisis.

Ejemplo de un informe que contiene archivos infectados:

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 
http://www.gmer.net 

scanning hidden processes ... 

scanning hidden services ... 

scanning hidden autostart entries ... 

scanning hidden files ... 

C:\Users\Dupond\AppData\Local\Microsoft\ycmmjs.dat 24576 bytes 
C:\Users\Dupond\AppData\Local\Microsoft\ycmmjs.exe 331776 bytes 
C:\Users\Dupond\AppData\Local\Microsoft\ycmmjs_nav.dat 270336 bytes 
C:\Users\Dupond\AppData\Local\Microsoft\ycmmjs_navps.dat 4096 bytes 

scan completed successfully 
hidden processes: 0 

Ejemplo de un informe sin archivos infectados:

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net 
Rootkit scan 2007-07-17 16:18:34 
Windows 5.1.2600 Service Pack 2 FAT NTAPI 

scanning hidden services ... 

scanning hidden autostart entries ... 

scanning hidden files ... 

scan completed successfully 
hidden services: 0 
hidden files: 0 

Si obtiene un informe infectado, aquí un procedimiento de desinfección:

• 1. Desactivar la Restauración del sistema
  • Haga clic en el botón Inicio.
  • Haga clic-derecho en Mi PC luego clic en Propiedades.
  • En la pestaña Restaurar sistema: seleccionar la opción Desactivar Restaurar Sistema o Desactivar la restauración del sistema en todos los lectores. (No olvide reactivarla al finalizar)
• 2. Mostrar las carpetas del sistema y los archivos ocultos:
  • Abrir Mi PC:
  • Menú : Herramientas => Opciones de carpetas
  • Ver => zona Configuración avanzada
  • Seleccione: Mostrar el contenido de las carpetas de sistema
  • Seleccione: Mostrar todos los archivos y carpetas ocultas
  • Deseleccione: Ocultar las extensiones de archivo para tipos de archivo conocidos
  • Deseleccione: Ocultar archivos protegidos del sistema operativo (recomendado)
  • Responda Si al mensaje de alerta
  • Haga clic en Aplicar a todas las carpetas
  • Haga clic en Aceptar
• 3. Luego de reiniciada la PC, descargue Killbox en el Escritorio.
  • Doble-clic en KillBox.exe.
  • Copie la lista de archivos infectados encontrados por Catchme (seleccionar todos con el ratón, haga clic-derecho y "Copiar").
  • Seleccione delete on reboot
  • Haga clic en el menú File luego Past from clip board
  • Haga clic en All Files
  • Haga clic en la cruz roja y blanca
  • Responda yes y deje reiniciar la PC.
  • Haga un nuevo informe con Catchme para asegurarse de que la infección ha sido completamente neutralizada.

Otras infecciones que generan ventanas publicitarias

• Si obtiene un informe sin archivos infectados, tal vez sea victima de ventanas publicitarias Cid generadas por el adware lop.com. Este puede instalarse sin que lo sepa al momento de instalar uno de los software siguientes:
  • Patrocinadores MSN plus !
  • BitDownload
  • BitGrabber
  • NetPumper
  • BitRoll
  • TorrentQ
  • Torrent101 ...
  • Es este caso: Para el MSN bastará con desinstalar MSN+ y sus patrocinadores en modo seguro vía el modulo agregar o quitar programas (panel de control).
  • Luego de reiniciada la PC, bastará con reinstalar MSN+ sin aceptar al patrocinador.

• • Para los otros software, seria inútil desinstalar y reinstalar, hay que buscar y eliminar un software llamado "CiDHelp" (o bien CiD-algomás en ciertos casos).

• Otra infección que puede generar la apertura de ventanas publicitarias intempestivas : trojan Vundo

Segunda etapa: Limpieza complementaria

Descargue y ejecute estos programas para eliminar las « basuras » que quedan:

• AVG anti spyware (método de desinfección)
• ccleaner (tutorial en inglés)
• clean.zip (de Malekal_morte)
  • Descomprima el archivo en el escritorio (clic-derecho / extraer todo), a fin de obtener una carpeta llamada clean.
  • Abra la carpeta Clean que se encuentra en el escritorio y haga doble-clic en clean.cmd.
  • Una ventana negra aparecerá, seleccione la opción 1, se creará un informe en la raíz: C:\informe_clean.txt, si los archivos infectados han sido detectados, puede pasar a la opción 2 en modo seguro.
• Scanée en línea con BitDefender (únicamente en Internet Explorer) :
  • http://www.bitdefender.com/scan8/ie.html

Tercera etapa: Instalación de un cortafuegos (firewall)

• Instale un firewall personal del tipo ZoneAlarm para cerrar la puerta a los intrusos en su ordenador si ¡ya no tiene uno!

Consulte: utilizar un firewall