soporte tecnico l.i carlos alberto … · libere definitivamente de los troyanos, virus, gusanos,...

SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ

GUIA DE DESINFECCION PARA SPYWARES Y VIRUS MÁS COMUNES

SEGURIDAD INFORMATICA

A continuación una lista de métodos que le será útil para desinfectar su ordenador y para que se

libere definitivamente de los troyanos, virus, gusanos, spywares, publicidad intempestiva…En

primer lugar se le presentará el nombre de la infección, luego el método que le permitirá su

erradicación.

Spyaxe, SpySheriff, Antivirus Gold, modificación de escritorio (desktop hijack)

¿Archivo wininet infectado?

Trojan Vundo/Trojan Agent CS1/Virtualmonde

1er método de desinfección

2do método de desinfección: utilizando Vundofix

Infección EGDAccess-xxx

Nail.exe

Error de limpieza en Ewido

Wareout

System Volume Information

Infección en Recycler

Lop.com

Uso de LopXP

Pasos a seguir para eliminar la infección

Sitios web seguros inaccesibles

Los Fix para diferentes virus

Perdida del tema de XP

Infección en los archivos temporales o Temporary Internet Files

Look to me

Shop at home o Home Search Assistant


Pokapoka rebelde

Spybot "error de paridad"

Desinstalar Norton

Conocer la lista de programas en Agregar o quitar programas gracias a HijackThis

Spyaxe, SpySheriff, Antivirus Gold, modificación de escritorio (desktop hijack)

Descargar:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Ejecutarlo, luego hacer doble clic en Smitfraudfix.cmd

Seleccione la opción 1, éste generará un informe

Copiar y pegar este informe dentro de un mensaje en el foro Virus/seguridad

En imágenes:

http://siri.urz.free.fr/Fix/SmitfraudFix_En.php

----------------------------------------------------------------------------

Inicie en modo seguro:

Para esto, presione una y otra vez la tecla F8 desde que se ilumine la pantalla del PC

Se abrirá un ventana. Desplácese con las flechas del teclado a Inicio en modo seguro luego

presione Enter.

Una vez en el escritorio, si no hay color, ¡es normal!

(Si F8 no funciona, utilice la tecla F5)

-------------------------------------------------------------------------------

Vuelva a ejecutar el programa SmitfraudFix.

Esta vez, seleccione la opción 2, responda sí a todos:

Guardar el reporte, reinicie en modo normal, copie y pegue el informe en el foro.

¿Archivo wininet infectado?


Siga el método Smitfraudfix/Smitrem (según la versión de Windows). En el caso de que estos 2

programas no encuentren un archivo de reemplazo, actualice su sistema (= Actualización de

Windows)

Puede descargar Smitrem de aquí

==¿Cuando navega en Internet, le aparece el mensaje “Servicio de alerta”?=

A menudo, aparecen mensajes (invitándolo a llamar a un número de teléfono u otro) como:

“Servicio de alerta”. Para que ya no aparezcan:

• Inicio

• Panel de control

•Herramientas administrativas

• Servicios

• Buscar Servicio de alerta

• Hacer clic derecho encima y seleccionar Propiedades

• En el menú desplegable, poner “Deshabilitado”. Debajo poner “Detener”

• Aplicar

• Reiniciar el PC

----> Estos mensajes provienen de malas actualizaciones de su ordenador. Pasar a SP1 o SP2

solucionará su problema. A fin de navegar protegido, no dude en consultar este artículo.

----> Activar/Desactivar el servicio de alerta (el mismo método)

Trojan Vundo/Trojan Agent CS1/Virtualmonde


1er método de desinfección

Previamente: descargar y generar un informe con Hijackthis

1/ Descargar Process XP de aquí y Pocket Killbox de aquí

Si tiene el Tea Timer de Spybot:

Desactívelo, durante la manipulación

Ejecute Spybot > Modo avanzado > Herramientas >> Residente

Desmarque la casilla residente “Tea Timer” y cierre Spybot

2/ Desconéctese de Internet y cierre todos los programas activos (Windows Media Player, Internet

Explorer, etc.)

Descomprima (clic derecho > extraer) Process XP y haga doble clic en processxp.exe

En la ventana principal de Process XP, haga doble clic en winlogon.exe

En la ventana que se abre, haga clic en threads

Seleccione únicamente las líneas que contienen la .dll infectada luego haga clic en kill en cada una

de las líneas encontradas.

Una vez hecho esto, Pulse Aceptar (OK) para validar

Enseguida:

En la ventana principal de Process XP, haga doble clic en explorer.exe

En la ventana que se abre, haga clic en threads


Seleccione únicamente las líneas que contienen la .dll infectada luego haga clic en kill en cada una

de las líneas encontradas.

Una vez hecho esto, Pulse Aceptar para validar

3/ Ejecute HijackThis:

Haga clic en "Do a system scan only"

Marcar la casilla al inicio de estas líneas:

Fije la 02 y 020 (la 02 por lo general tiene como nombre MSevent. La dLL de la 020 y de la 02 son

similares)

Valide con [Fix Checked]

4/ Haga doble clic en killbox.exe (Pocket Killbox)

Marcar la casilla: Delete on reboot

En "Full Path of File to Delete", copie y pegue: Insertar la ruta complete de la infección (disponible

en 02 y 020)

Haga clic en la aspa roja

Aparecerá una ventana para confirmar, haga clic en YES

Una segunda ventana le preguntará para reiniciar el equipo, haga clic en YES

Deje reiniciar al PC

Si aparece este mensaje: "pending file rename operations registry data has been removed by

external process.", ignórelo, y reinicie el PC manualmente.

Vuelva a marcar la casilla para reactivar el Tea Timer de Spybot.

Luego, verifique nuevamente con un log HijackThis que todo ha desaparecido.


2do método de desinfección: utilizando Vundofix

Descargar VundoFix.exe (de Atribune) en su Escritorio.

Haga doble clic en VundoFix.exe para ejecutarlo.

Haga clic en el botón Scan for Vundo.

Cuando el scan haya terminado, pulse el botón Remove Vundo.

Se le preguntará si desea eliminar los archivos, haga clic en YES

Después de haber hecho clic en “YES”. El Escritorio desaparecerá por un momento durante la

eliminación de los archivos.

Aparecerá un mensaje anunciándole que el PC se apagará ("shutdown"). Haga clic en OK

Reinicie el PC.

Copie y pegue el contenido del informe situado en C:\vundofix.txt así como un nuevo informe

HijackThis! En su próxima respuesta en el foro.

Infección EGDAccess-xxx

Generar un informe HijackThis.

Reparar y fijar: las líneas que contienen el nombre de la infección + egdaccess, egauth, sysnetsvc

Ejemplo:

O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1069.dll,InstantAccess

O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} -

http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab


O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} -

http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_FR_XP.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} –

http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR_XP.cab

Otro método:

Descargar Brute Force Uninstaller

Descomprímalo en una carpeta creada para éste (C:\BFU)

Haga clic derecho AQUÍ y seleccione “Guardar como” (en IE es “Guardar el enlace como…”) para

descargar EGDACCESS Remover (de Metallica). Guárdelo en la carpeta creada (C:\BFU)

Inicie "Brute Force Uninstaller" haciendo doble clic en BFU.exe en scriptline to execute copiar y

pegar c:\bfu\EGDACCESS.bfu *Haga clic en execute y déjelo trabajar.

Espere a que aparezca complete script execution y haga clic en OK.

Haga de nuevo las mismas operaciones con ese archivo

Haga clic en Exit para cerrar el programa BFU.

Reinicie y publique un nuevo informe HijackThis.

Nail.exe

Esta infección se presenta de esta forma:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Se debe saber que está asociado a un 04

O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r


Esta 04, ¿Cómo repararla? Hay varios índices que están a nuestra disposición:

-Es una 04

-Esta se encuentra en la carpeta system32

-Al lado del .exe hay una “r”

Las letras entre *…+ y la xxx.exe son aleatorias, no significan nada, no especifican nada, y no se

encuentra ninguna información en ellas

Cómo liberarse de ellas:

Por lo que sigue, imprima esto ya que las operaciones son largar y se requiere bastante rigor.

1) IMPORTANTE:

No deje que el ordenador reinicie en modo normal entre cada operación. (con el riego de partir de

cero).

2) Descargar:

L2Mfix: http://www.downloads.subratam.org/l2mfix.exe

CleanUp!

-Tutorial

Pocket Killbox: http://www.downloads.subratam.org/KillBox.exe


3) Desactivar la restauración del sistema (únicamente si está en XP):

-Haga clic derecho en Mi PC/Propiedades

-Haga clic en la pestaña Restaurar sistema

-Marcar la casilla “Desactivar restaurar sistema” y aplicar.

Verifique esto:

Mostrar todos los archivos y carpetas ocultos:

Haga clic en Inicio/Panel de control/Opciones de carpeta/Ver:

Marcar “Mostrar todos los archivos y carpetas ocultos”

Desmarcar la casilla “Ocultar archivos protegidos del sistema operativo (recomendado)”

Desmarcar “Ocultar las extensiones de archivo para tipos de archivo conocido”

Luego haga clic en Aceptar para validar los cambios.

Y aplicar

4) Vaciar los archivos temporales y Temporary Internet Files de todos los usuarios:

Utilice Cleanup40: http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

5) Ejecute L2Mfix

Descomprímalo (clic derecho / Extraer todo). Haga doble clic en L2Mfix.bat


Presione cualquier tecla y luego seleccione la opción 2.

Al final, el programa debería reiniciar el sistema, en cuanto se lance el bios, presione varias veces

la tecla F8 para pasar al modo seguro (esto es </gras>importante</gras>)

5) Pocket Killbox:

1- Haga doble clic en KillBox.exe

2- Abra el bloc de notas y copie la lista en negrita de más abajo

3- seleccione "Delete on Reboot"

4- Vaya al bloc de notas y subraye toda la lista, luego haga clic derecho encima y haga clic en

copiar

5- Regrese a killbox, y en el menú de arriba, haga clic en File, luego en Paste from clipboard

5-Haga clic en el círculo rojo.

6- Aparecerá una ventana para confirmar. Haga clic en SI

7- Una segunda ventana le preguntara si desea reiniciar. Hacer clic en SI

Lista

C:\WINDOWS\Nail.exe

C:\WINDOWS\System32\ccgtvzq.exe <---- Poner aquí la ruta de la 04 que se encontró.

Ignorar este mensaje si aparece:

http://tinypic.com/jsj7kl.jpg

Cuando KillBox reinicie el PC, presione inmediatamente en F8, para pasar al modo seguro.


6) Ejecute HijackThis y fije:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r <------Es decir la 04 reparada

anteriormente

8) volver a pasar L2Mfix opción 2, deje que el ordenador reinicie normalmente y vuelva a hacer un

log HijackThis

Verifique que la infección haya sido erradicada.

Error de limpieza en Ewido

Si encuentra este tipo de problemas con Ewido:

[2660] VM_00890000 -> Downloader.Agent.uj : Error durante la limpieza

[2728] VM_00BA0000 -> Downloader.Agent.uj : Error durante la limpieza

[2984] VM_009A0000 -> Downloader.Agent.uj : Error durante la limpieza

[3048] VM_00950000 -> Downloader.Agent.uj : Error durante la limpieza

Descargar: http://downloads.subratam.org/Fixwareout.exe

Instálelo y siga el procedimiento

Vuelva a hacer un scan con Ewido en modo seguro; y nuevamente en modo normal.

Wareout


Este tipo de infección puede engendrar un desbarajuste en su ordenador (ejemplo: hacer que se

cuelguen todos los scan de desinfección, programas…) y propiciar la aparición de otros tipos de

infección, lo que a veces puede tener como resultado un sistema operativo casi inutilizable…

Felizmente esta infección se puede identificar fácilmente en un informe HijackThis, ésta se

manifiesta por una(s) dirección(es) IP dirigiendo a Ucrania:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85

==>Método de desinfección

Descargar en el escritorio FixWareout de uno de estos dos sitos:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

Ejecutar el fix, haga clic en Next, luego Install, verifique que "Run fixit" esté activado, luego haga

clic en Finish.

El fix comenzará, seguir los mensajes de la pantalla. Se le preguntará al final para reiniciar el

ordenador (si el sistema demora un poco más en arrancar, ¡es normal!)

Observación 1:


En caso de otros tipos de infección que se adicionen a Wareout, y que necesiten también la

utilización de un fix (ejemplo: las variantes de Smitfraud, Vundo ...), elimine en primer lugar a

Wareout ya que su presencia en el sistema puede volver inutilizables los otros fix…

Observación 2:

En ciertos casos puede que aún después del uso de FixWareout, y HijackThis, estos famosos 017

resistan, y reaparezcan en los informes HijackThis. A continuación un truco que permite

neutralizar definitivamente estas líneas de los informes:

Vaya a Inicio > Panel de control > Conexiones de red > Propiedades > Pestaña Administración de

red

Posiciónese sobre Protocolo Internet (TCP/IP) luego haga clic en el botón Propiedades.

En las opciones (servidor DNS preferido y Servidor DNS alternativo) encontraremos una de las

direcciones presentes en el informe hijackthis en la línea 17 ==>( 85.255.114.73 / 85.255.112.227

etc...)

Para eliminarlos, marque: “Obtener la dirección del servidor DNS automáticamente” luego haga

doble clic en Aceptar y reinicie el PC.

System Volume Information

Si luego del análisis, la infección se encuentra en:

C:\System Volume Information\_Restore....

Esto significa que un punto de restauración es el que está infectado (a saber que la infección esté

inactiva). Para resolver el problema:


¤Desactivar la restauración del sistema (únicamente si está en XP):

Haga clic derecho sobre Mi PC/Propiedades

Haga clic en la pestaña Restaurar sistema

Marcar la casilla “Desactivar Restaurar sistema” y aplique.

Luego,

Reactivar Restaurar sistema (únicamente si está en XP):

Hacer clic derecho en Mi PC/Propiedades

Haga clic en la pestaña Restaurar sistema

Desmarcar la casilla “Desactivar Restaurar sistema” y aplique.

Para Windows ME:

http://service1.symantec.com/...

Infección en Recycler

Esto significa que su papelera de reciclaje contiene elementos infectados, vacíela simplemente. En

el caso de que la papelera esté vacía, y el análisis haya detectado un problema al interior de ésta,

utilice el programa Chaos Shredder (Programas de desinfección) para eliminarla.

==Win32.Delf.pa, alias Trojan.Stwoyle ===

¿Cómo es este troyano y cómo reconocerlo?


Generar un informe HijackThis, si está en presencia de esto, entonces quiere decir que el troyano

está presente:

O2 - BHO: C:\WINDOWS\adsldpbc.dll

O20 - Winlogon Notify: style32

O20 - Winlogon Notify: style2

Elimínelo:

Descargar Win32delfkil de aquí

Guárdelo en el escritorio.

Hacer doble clic en win32delfki_Bl.exe y proceda a la instalación. La carpeta win32delfki_Bl.exe es

creada. Cerrar todas las ventanas, abra resta carpeta y haga doble clic sobre fix.bat.

Lop.com

Cuando se instala MSN+, quizás no se preste atención a esto:

Y sin embargo, aceptándolos, se hereda la infección lop.com (trojan swizzor)

¿Cómo se manifiesta?

http://theroot.chez-alice.fr/imgs/tuto/msgplus.jpg

-Nueva barra de tareas

-Publicidad

-Favoritos que no se pueden eliminar (casino, travel…)


¿Cómo eliminarlos?

Generar un informe HijackThis y la infección se manifestará de esta manera:

Logfile of HijackThis v1.99.1

Scan saved at 22:55:38, on 2005-12-23

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Command Software\dvpapi.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Zero Knowledge\Freedom\Freedom.exe


C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\lexpps.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Annie\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

[http://www.orkabsjvmoaybw[...].com/K5kkeYXoTLXcI5kK7[...]9IzROOKlIgNIxBYi.html

Viendo esta línea, usted sabrá a partir de ahora que ¡los patrocinadores de MSN han sido

instalados! Esta se presentan con letras a continuación de otras, bastante largas y que no

significan nada.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.ca/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://sympatico.msn.ca/?lang=fr-ca

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program

Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program

Files\SpyCatcher 2006\SCActiveBlock.dll

O2 - BHO: Pop-Up Blocker BHO - {3C060EA2-E6A9-4E49-A530-D4657B8C449A} - C:\Program

Files\Zero Knowledge\Freedom\pkR.dll

O2 - BHO: COMMUNICATOR - {4E7BD74F-2B8D-469E-8DBC-A42EB79CB428} -

C:\WINDOWS\system32\communicator.dll


O2 - BHO: Form Filler BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Program Files\Zero

Knowledge\Freedom\FreeBHOR.dll

O2 - BHO: (no name) - {576EE1AB-B9EF-2A88-2792-036638EFAADC} -

C:\DOCUME~1\Annie\APPLIC~1\STYLEG~1\BODYMEMO.exe

Siempre hay un BHO ligada a la infección, la puede ubicar fácilmente porque la ruta de acceso es:

Document and Settings +nombre de sesión (como el de arriba) + Application Data

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN

Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program

Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN

Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll

O4 - HKLM\..\Run: [Freedom] C:\Program Files\Zero Knowledge\Freedom\Freedom.exe

O4 - HKLM\..\Run: [gplprogramnew64] C:\Documents and Settings\All

Users.WINDOWS\Application Data\AmokFirstGplProgram\AXIS BAT.exe

Aquí igual, vemos claramente la ruta.

A veces hay un R1, un 02 (BHO), y a veces dos líneas en 04, pero esto puede variar.

O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe"

reminder

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000


O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -

%windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-

0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -

http://www.bitdefender.fr/scan8/oscan8.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{74438457-6A87-4786-944D-40DCD6E9D58B}:

NameServer = 206.47.244.79 206.47.244.138

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: interceptor.dll,msgplusloader.dll

O23 - Service: DvpApi (dvpapi) - Command Software Systems, Inc. - C:\Program Files\Fichiers

communs\Command Software\dvpapi.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program

Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -

C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program

Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Uso de LopXP

1) A continuación, una vez reconocido, generar un informe de LopXP, lo puede descargar aquí

2) Haga doble clic en Lopxpsetup.exe para lanzar la instalación

En el menú, seleccione la opción 1

Espere hasta que se le pida presionar alguna tecla

Luego será creado un informe, copie y péguelo completo en el foro.


¿Para que sirve? Explicación:

Según lo que haya identificado en HijackThis, lo buscará aquí: (como la ruta está indicada en el log,

lo buscará ¡para tener el nombre completo!)

El informe de LopXP se parece a esto:

Informe hecho a las 21:33:31, 29 el 2005-12-25

El volumen en la unidad C no tiene nombre.

El número de serie del volumen es 4017-0FF2

Directorio de C:\Documents and Settings\Default User\Application Data

2004-07-22 10:09 <REP> Microsoft

2004-07-22 09:55 <REP> ..

2004-07-22 09:55 <REP> .

0 fichier(s) 0 octetos

3 R‚p(s) 3637395456 octetos libres



Repertorio de C:\Documents and Settings\All Users\Application Data


2005-12-23 08:51 <REP> Tenebril

2004-07-22 10:06 <REP> Microsoft

2004-07-22 09:55 <REP> ..

2004-07-22 09:55 <REP> .

0 archivo(s) 0 octetos




Directorio de C:\Documents and Settings\user\Application Data

2005-01-21 20:34 <REP> Motive

2004-08-30 10:23 <REP> Identities

2004-08-30 10:23 <REP> Microsoft

2004-08-30 10:23 <REP> ..

2004-08-30 10:23 <REP> .





Directorio de C:\Documents and Settings\ctrl\Application Data

2004-07-22 10:25 <REP> Identities

2004-07-22 10:24 <REP> Microsoft

2004-07-22 10:24 <REP> ..


2004-07-22 10:24 <REP> .





Directorio de C:\Documents and Settings\Default User.WINDOWS\Application Data

2005-01-22 12:15 62 desktop.ini

2005-01-22 12:15 <REP> Microsoft

2005-01-22 12:15 <REP> ..

2005-01-22 12:15 <REP> .





Directorio de C:\Documents and Settings\All Users.WINDOWS\Application Data

2005-12-23 08:51 <REP> Tenebril

2005-12-15 17:34 <REP> Adobe

2005-10-14 22:46 <REP> Apple Computer

2005-08-31 14:04 <REP> Spybot - Search & Destroy

2005-08-29 13:29 <REP> vidctrl

2005-08-23 21:53 <REP> InstallShield

2005-04-14 16:41 <REP> AmokFirstGplProgram <<<identificado en 04


2005-04-08 13:44 <REP> Messenger Plus!

2005-02-27 12:41 <REP> Zylom

2005-01-23 18:48 <REP> Zero Knowledge

2005-01-22 15:34 <REP> MSN6

2005-01-22 12:15 62 desktop.ini

2005-01-22 12:15 <REP> Microsoft

2005-01-22 12:15 <REP> .

2005-01-22 12:15 <REP> ..





Directorio de C:\Documents and Settings\Annie\Application Data

2005-12-23 09:00 <REP> Tenebril

2005-12-22 20:49 21920 GDIPFONTCACHEV1.DAT

2005-12-21 18:35 <REP> Lavasoft

2005-10-06 17:49 <REP> Real

2005-09-09 03:44 <REP> Style gpl title << identificado en 02

2005-08-25 18:57 <REP> Jasc

2005-07-02 14:24 <REP> Sun

2005-04-07 16:29 <REP> proc platform

2005-04-07 16:21 <REP> AdobeUM

2005-03-28 13:38 <REP> Mozilla

2005-03-24 20:22 <REP> Adobe


2005-03-12 23:04 <REP> Registry Cleaner

2005-02-16 22:07 <REP> Zylom

2005-01-26 22:13 <REP> Help

2005-01-23 18:51 <REP> Zero Knowledge

2005-01-22 16:30 <REP> Macromedia

2005-01-22 15:34 <REP> MSN6

2005-01-22 13:43 <REP> Identities

2005-01-22 13:43 62 desktop.ini

2005-01-22 13:43 <REP> ..

2005-01-22 13:43 <REP> .

2005-01-22 13:43 <REP> Microsoft



-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-

Búsqueda de tareas planificadas en C:\WINDOWS\Tasks

Para eliminar la infección, se debe eliminar la tarea planificada de otro modo ésta regresará

sistemáticamente; está se identifica así:



Directorio de C:\WINDOWS\Tasks


2005-12-21 15:59 264 ABF3A22291945C8E.job (Une serie de letras y de números acabando en

.job)

2005-02-24 17:00 188 setup.job

2005-01-22 13:31 6 SA.DAT

2005-01-22 13:27 65 desktop.ini

2005-01-22 13:27 <REP> ..

2005-01-22 13:27 <REP> .


2 R‚p(s) 3ÿ637ÿ395ÿ456 octetos libres

-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-

Búsqueda en Program files

La carpeta C:\Program Files\C2Media no existe <--- si C2media existe aquí, ¡hay que eliminarlo!

-.-.-.-.-.-.-.-.-.-.-.- Fin del informe.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-

Pasos a seguir para eliminar la infección

Imprimir, o guardar las acciones en el bloc de notas para estar seguro que no olvida nada y hacerlo

todo en orden.

1/ Descargar CleanUp 40

Desconectarse de internet y cerrar todos los programas activos.


• Reiniciar en modo seguro

Reiniciar el PC, deje pasar la pantalla del Bios, luego presione seguidamente la tecla F8 antes de

que aparezca la pantalla de carga de Windows.

Elija el modo seguro de las opciones disponibles y valide con Enter.

(Si F8 no funciona, intente con F5)

•Haga visibles los archivos ocultos y de sistema

Panel de control > Opciones de carpeta > Pestaña Ver

Marcar la casilla “Mostrar todos los archivos y carpetas ocultos”

Desmarcar la casilla “Ocultar las extensiones de archivo para tipos de archivo conocido”


Hacer clic en [Aplicar] luego en [Aceptar] para validar

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

•Ejecutar HijackThis y hacer clic en [Do a system scan only]

Marcar la casilla al inicio de las líneas siguientes:

AQUÍ, las líneas de HijackThis a fijar

Hacer clic en el botón [Fix Checked] para validar

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

•Buscar y eliminar estas carpetas:


Elimine los archivos, si es posible, siguiendo la ruta de los archivos infectados, en vez de utilizar la

función “Buscar”

Si están presentes, elimine:

Los archivos a eliminar con las rutas exactas que se ha podido extraer fácilmente de LopXP

+C2Media si es que existe

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Luego, Vaya a Inicio > Ejecutar. Ingrese cmd luego Aceptar.

En la ventana que aparece, copie y pegue esto:

del /a C:\WINDOWS\tasks\A0AFC843918446AF.job

Aquí, la eliminación de la tarea planificada. Basta con reemplazar la serie en negrita por la

encontrada en LogXP (puede que haya +1)

Y presione Enter para validar

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Luego, muy importante:

::Eliminar los archivos temporales::


Ejecute Cleanup40.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Reinicie de manera normal y publique un Hijackthis…

Sitios web seguros inaccesibles

Si le es imposible acceder a sitios web seguros, y obtiene siempre un mensaje de Internet Explorer

que le dice que es imposible mostrar la página, entonces existen varias soluciones para corregir el

problema. De una parte, debe verificar que las funciones SSL estén activas en Internet Explorer y

de otra parte, debe reinscribir el archivo Softpub.dll en el Registro.

En Internet Explorer, haga clic en el menú Herramientas luego Opciones de Internet. Luego haga

clic en la pestaña Opciones avanzadas. En Configuración, ubique la sección Seguridad. Verifique

que las casillas SSL 2.0 y SSL 3.0 estén marcadas. Si no lo están, márquelas. Haga clic en Aceptar

para validar.

Los Fix para diferentes virus

La mayoría de virus más comunes, más devastadores, tienen un fix (pequeño programa de

desinfección) para erradicarlos.

Perdida del tema de XP

Producto de una infección, puede perder el tema de XP y serle imposible ponerlo entre las

opciones debido a que ya no aparece. No hay por que alarmarse…

Descargue y descomprima: http://pageperso.aol.fr/Balltrap34/luna.zip

Enseguida, póngalo en C:\WINDOWS\Resources\Themes\Luna y haga doble clic encima


Luego, intente poner el estilo XP

Infección en los archivos temporales o Temporary Internet Files

No se alarme, se trata de una infección menor, puede que producto de una descarga, su antivirus

detecte una infección en:

¤ C:\Documents and Settings\su cuenta\Local Settings\Temporary Internet Files\Content.IE5...

¤ C:\Documents and Settings\su cuenta\Local Settings\Temp...

¤ C:\Documents and Settings\todas las demás cuentas\Local Settings\Temp...

¤ C:\Windows\Temp...

A continuación 2 soluciones, bien sencillas:

1) Mostrar los archivos ocultos:

Haga clic en Inicio/Panel de control/Herramientas/Opciones de carpeta/Ver

Marcar “Mostrar los archivos y carpetas ocultos”


Desmarcar “Ocultar las extensiones de archivos para tipos de archivo conocidos”

Luego haga clic en Aceptar para validar los cambios.

¡Y aplicar!

----------------------------------------------------------------------------

¤Vacíe el contenido de los archives temporales y Temporary Internet Files:

C:\Documents and Settings\su cuenta\Local Settings\Temp

C:\Documents and Settings\todas las demás cuentas\Local Settings\Temp


C:\Windows\Temp

::El contenido de la carpeta prefetch::

C:\WINDOWS\Prefetch <= excepto el archivo layout.ini

¡No olvide de vaciar la papelera de reciclaje!

2) Utilice Cleanup 40 para que los elimine automáticamente:

CleauUp 40

==Malos anti-spywares ==rogues==

http://www.spywarewarrior.com/rogue_anti-spyware.htm

Rogue significa que estos productos son desconocidos, cuestionables, o de dudoso valor como

protección anti-spywares.

Algunos de los productos enumerados en esta página simplemente no garantizan una probada y

fiable protección de anti-spyware o pueden ser inclinados a falsos resultados. Otros pueden

emplear tácticas desleales, engañosas, de presión en la venta para conseguir fácilmente vender a

crédulos y confusos usuarios. Algunos de estos son conocidos por instalar ellos mismo

spyware/adware.

Look to me

Esta infección es responsable de la publicidad cuando navega, les voy a proponer un único método

entre varios que existen, si éste no funciona, diríjase al foro virus/seguridad.


Generar un informe HijackThis, concretamente, la infección se presenta de esta manera:

O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\t08u0al9edq.dll

¿Cómo desinfectarlo?

Descargar L2Mfix de aquí

Haga doble clic en L2Mfix.exe para lanzar la extracción.

En la carpeta l2mfix, hacer doble clic en l2mfix.bat y seleccione la opción #1 y presione Enter para

validar.

Se abrirá el bloc de notas con el resultado del scan.

Copie y pegue el resultado en el foro.

Vuelva a ejecutar L2Mfix y seleccione la opción 2

Acepte el reinicio del PC.

Verificar que la 020 haya desaparecido (si todavía está presente, haga la opción 2 en modo seguro,

si esto no funciona entonces puede utilizar KillBox…)

Shop at home o Home Search Assistant

Descargar Cws-hsa.reg de aquí

Instálelo en el escritorio y haga clic dos veces encima.

O


Descargar Hsremove de aquí

Pokapoka rebelde

Para Pokapoka, existe un bat que lo elimina así como otros archivos que no son visibles con

HijackThis.

En muy raros casos, la carpeta ETB sólo es visible en Dos.

http://users.telenet.be/bluepatchy/miekiemoes/tools/LQfix.zip

(Descomprima y ejecute lqfix.bat en modo seguro, si es posible)

Spybot "error de paridad"

Cambiar de servidor de la lista propuesta por Spybot (botón al lado de “Buscar actualizaciones”).

Si es su caso, elija uno con (europa) escrito al lado del nombre

Desinstalar Norton

http://service1.symantec.com/...

Conocer la lista de programas en Agregar o quitar programas gracias a HijackThis

HijackThis >Open the misc tools sections -> open Uninstall manager -> hacer clic en “Save list” ->

Guardar el archivo -> cópielo y péguelo aquí.

FUENTE:

http://www.commentcamarche.net/faq/2500-spywares-methodes-de-desinfection

http://www.commentcamarche.net/faq/2500-spywares-methodes-de-desinfection