soporte tecnico l.i carlos alberto … · libere definitivamente de los troyanos, virus, gusanos,...
Post on 21-Sep-2018
218 Views
Preview:
TRANSCRIPT
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
GUIA DE DESINFECCION PARA SPYWARES Y VIRUS MÁS COMUNES
SEGURIDAD INFORMATICA
A continuación una lista de métodos que le será útil para desinfectar su ordenador y para que se
libere definitivamente de los troyanos, virus, gusanos, spywares, publicidad intempestiva…En
primer lugar se le presentará el nombre de la infección, luego el método que le permitirá su
erradicación.
Spyaxe, SpySheriff, Antivirus Gold, modificación de escritorio (desktop hijack)
¿Archivo wininet infectado?
Trojan Vundo/Trojan Agent CS1/Virtualmonde
1er método de desinfección
2do método de desinfección: utilizando Vundofix
Infección EGDAccess-xxx
Nail.exe
Error de limpieza en Ewido
Wareout
System Volume Information
Infección en Recycler
Lop.com
Uso de LopXP
Pasos a seguir para eliminar la infección
Sitios web seguros inaccesibles
Los Fix para diferentes virus
Perdida del tema de XP
Infección en los archivos temporales o Temporary Internet Files
Look to me
Shop at home o Home Search Assistant
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
Pokapoka rebelde
Spybot "error de paridad"
Desinstalar Norton
Conocer la lista de programas en Agregar o quitar programas gracias a HijackThis
Spyaxe, SpySheriff, Antivirus Gold, modificación de escritorio (desktop hijack)
Descargar:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Ejecutarlo, luego hacer doble clic en Smitfraudfix.cmd
Seleccione la opción 1, éste generará un informe
Copiar y pegar este informe dentro de un mensaje en el foro Virus/seguridad
En imágenes:
http://siri.urz.free.fr/Fix/SmitfraudFix_En.php
----------------------------------------------------------------------------
Inicie en modo seguro:
Para esto, presione una y otra vez la tecla F8 desde que se ilumine la pantalla del PC
Se abrirá un ventana. Desplácese con las flechas del teclado a Inicio en modo seguro luego
presione Enter.
Una vez en el escritorio, si no hay color, ¡es normal!
(Si F8 no funciona, utilice la tecla F5)
-------------------------------------------------------------------------------
Vuelva a ejecutar el programa SmitfraudFix.
Esta vez, seleccione la opción 2, responda sí a todos:
Guardar el reporte, reinicie en modo normal, copie y pegue el informe en el foro.
¿Archivo wininet infectado?
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
Siga el método Smitfraudfix/Smitrem (según la versión de Windows). En el caso de que estos 2
programas no encuentren un archivo de reemplazo, actualice su sistema (= Actualización de
Windows)
Puede descargar Smitrem de aquí
==¿Cuando navega en Internet, le aparece el mensaje “Servicio de alerta”?=
A menudo, aparecen mensajes (invitándolo a llamar a un número de teléfono u otro) como:
“Servicio de alerta”. Para que ya no aparezcan:
• Inicio
• Panel de control
•Herramientas administrativas
• Servicios
• Buscar Servicio de alerta
• Hacer clic derecho encima y seleccionar Propiedades
• En el menú desplegable, poner “Deshabilitado”. Debajo poner “Detener”
• Aplicar
• Reiniciar el PC
----> Estos mensajes provienen de malas actualizaciones de su ordenador. Pasar a SP1 o SP2
solucionará su problema. A fin de navegar protegido, no dude en consultar este artículo.
----> Activar/Desactivar el servicio de alerta (el mismo método)
Trojan Vundo/Trojan Agent CS1/Virtualmonde
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
1er método de desinfección
Previamente: descargar y generar un informe con Hijackthis
1/ Descargar Process XP de aquí y Pocket Killbox de aquí
Si tiene el Tea Timer de Spybot:
Desactívelo, durante la manipulación
Ejecute Spybot > Modo avanzado > Herramientas >> Residente
Desmarque la casilla residente “Tea Timer” y cierre Spybot
2/ Desconéctese de Internet y cierre todos los programas activos (Windows Media Player, Internet
Explorer, etc.)
Descomprima (clic derecho > extraer) Process XP y haga doble clic en processxp.exe
En la ventana principal de Process XP, haga doble clic en winlogon.exe
En la ventana que se abre, haga clic en threads
Seleccione únicamente las líneas que contienen la .dll infectada luego haga clic en kill en cada una
de las líneas encontradas.
Una vez hecho esto, Pulse Aceptar (OK) para validar
Enseguida:
En la ventana principal de Process XP, haga doble clic en explorer.exe
En la ventana que se abre, haga clic en threads
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
Seleccione únicamente las líneas que contienen la .dll infectada luego haga clic en kill en cada una
de las líneas encontradas.
Una vez hecho esto, Pulse Aceptar para validar
3/ Ejecute HijackThis:
Haga clic en "Do a system scan only"
Marcar la casilla al inicio de estas líneas:
Fije la 02 y 020 (la 02 por lo general tiene como nombre MSevent. La dLL de la 020 y de la 02 son
similares)
Valide con [Fix Checked]
4/ Haga doble clic en killbox.exe (Pocket Killbox)
Marcar la casilla: Delete on reboot
En "Full Path of File to Delete", copie y pegue: Insertar la ruta complete de la infección (disponible
en 02 y 020)
Haga clic en la aspa roja
Aparecerá una ventana para confirmar, haga clic en YES
Una segunda ventana le preguntará para reiniciar el equipo, haga clic en YES
Deje reiniciar al PC
Si aparece este mensaje: "pending file rename operations registry data has been removed by
external process.", ignórelo, y reinicie el PC manualmente.
Vuelva a marcar la casilla para reactivar el Tea Timer de Spybot.
Luego, verifique nuevamente con un log HijackThis que todo ha desaparecido.
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
2do método de desinfección: utilizando Vundofix
Descargar VundoFix.exe (de Atribune) en su Escritorio.
Haga doble clic en VundoFix.exe para ejecutarlo.
Haga clic en el botón Scan for Vundo.
Cuando el scan haya terminado, pulse el botón Remove Vundo.
Se le preguntará si desea eliminar los archivos, haga clic en YES
Después de haber hecho clic en “YES”. El Escritorio desaparecerá por un momento durante la
eliminación de los archivos.
Aparecerá un mensaje anunciándole que el PC se apagará ("shutdown"). Haga clic en OK
Reinicie el PC.
Copie y pegue el contenido del informe situado en C:\vundofix.txt así como un nuevo informe
HijackThis! En su próxima respuesta en el foro.
Infección EGDAccess-xxx
Generar un informe HijackThis.
Reparar y fijar: las líneas que contienen el nombre de la infección + egdaccess, egauth, sysnetsvc
Ejemplo:
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1069.dll,InstantAccess
O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} -
http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} -
http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_FR_XP.cab
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} –
http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR_XP.cab
Otro método:
Descargar Brute Force Uninstaller
Descomprímalo en una carpeta creada para éste (C:\BFU)
Haga clic derecho AQUÍ y seleccione “Guardar como” (en IE es “Guardar el enlace como…”) para
descargar EGDACCESS Remover (de Metallica). Guárdelo en la carpeta creada (C:\BFU)
Inicie "Brute Force Uninstaller" haciendo doble clic en BFU.exe en scriptline to execute copiar y
pegar c:\bfu\EGDACCESS.bfu *Haga clic en execute y déjelo trabajar.
Espere a que aparezca complete script execution y haga clic en OK.
Haga de nuevo las mismas operaciones con ese archivo
Haga clic en Exit para cerrar el programa BFU.
Reinicie y publique un nuevo informe HijackThis.
Nail.exe
Esta infección se presenta de esta forma:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
Se debe saber que está asociado a un 04
O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
Esta 04, ¿Cómo repararla? Hay varios índices que están a nuestra disposición:
-Es una 04
-Esta se encuentra en la carpeta system32
-Al lado del .exe hay una “r”
Las letras entre *…+ y la xxx.exe son aleatorias, no significan nada, no especifican nada, y no se
encuentra ninguna información en ellas
Cómo liberarse de ellas:
Por lo que sigue, imprima esto ya que las operaciones son largar y se requiere bastante rigor.
1) IMPORTANTE:
No deje que el ordenador reinicie en modo normal entre cada operación. (con el riego de partir de
cero).
2) Descargar:
L2Mfix: http://www.downloads.subratam.org/l2mfix.exe
CleanUp!
-Tutorial
Pocket Killbox: http://www.downloads.subratam.org/KillBox.exe
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
3) Desactivar la restauración del sistema (únicamente si está en XP):
-Haga clic derecho en Mi PC/Propiedades
-Haga clic en la pestaña Restaurar sistema
-Marcar la casilla “Desactivar restaurar sistema” y aplicar.
Verifique esto:
Mostrar todos los archivos y carpetas ocultos:
Haga clic en Inicio/Panel de control/Opciones de carpeta/Ver:
Marcar “Mostrar todos los archivos y carpetas ocultos”
Desmarcar la casilla “Ocultar archivos protegidos del sistema operativo (recomendado)”
Desmarcar “Ocultar las extensiones de archivo para tipos de archivo conocido”
Luego haga clic en Aceptar para validar los cambios.
Y aplicar
4) Vaciar los archivos temporales y Temporary Internet Files de todos los usuarios:
Utilice Cleanup40: http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
5) Ejecute L2Mfix
Descomprímalo (clic derecho / Extraer todo). Haga doble clic en L2Mfix.bat
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
Presione cualquier tecla y luego seleccione la opción 2.
Al final, el programa debería reiniciar el sistema, en cuanto se lance el bios, presione varias veces
la tecla F8 para pasar al modo seguro (esto es </gras>importante</gras>)
5) Pocket Killbox:
1- Haga doble clic en KillBox.exe
2- Abra el bloc de notas y copie la lista en negrita de más abajo
3- seleccione "Delete on Reboot"
4- Vaya al bloc de notas y subraye toda la lista, luego haga clic derecho encima y haga clic en
copiar
5- Regrese a killbox, y en el menú de arriba, haga clic en File, luego en Paste from clipboard
5-Haga clic en el círculo rojo.
6- Aparecerá una ventana para confirmar. Haga clic en SI
7- Una segunda ventana le preguntara si desea reiniciar. Hacer clic en SI
Lista
C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\ccgtvzq.exe <---- Poner aquí la ruta de la 04 que se encontró.
Ignorar este mensaje si aparece:
http://tinypic.com/jsj7kl.jpg
Cuando KillBox reinicie el PC, presione inmediatamente en F8, para pasar al modo seguro.
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
6) Ejecute HijackThis y fije:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r <------Es decir la 04 reparada
anteriormente
8) volver a pasar L2Mfix opción 2, deje que el ordenador reinicie normalmente y vuelva a hacer un
log HijackThis
Verifique que la infección haya sido erradicada.
Error de limpieza en Ewido
Si encuentra este tipo de problemas con Ewido:
[2660] VM_00890000 -> Downloader.Agent.uj : Error durante la limpieza
[2728] VM_00BA0000 -> Downloader.Agent.uj : Error durante la limpieza
[2984] VM_009A0000 -> Downloader.Agent.uj : Error durante la limpieza
[3048] VM_00950000 -> Downloader.Agent.uj : Error durante la limpieza
Descargar: http://downloads.subratam.org/Fixwareout.exe
Instálelo y siga el procedimiento
Vuelva a hacer un scan con Ewido en modo seguro; y nuevamente en modo normal.
Wareout
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
Este tipo de infección puede engendrar un desbarajuste en su ordenador (ejemplo: hacer que se
cuelguen todos los scan de desinfección, programas…) y propiciar la aparición de otros tipos de
infección, lo que a veces puede tener como resultado un sistema operativo casi inutilizable…
Felizmente esta infección se puede identificar fácilmente en un informe HijackThis, ésta se
manifiesta por una(s) dirección(es) IP dirigiendo a Ucrania:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
==>Método de desinfección
Descargar en el escritorio FixWareout de uno de estos dos sitos:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe
Ejecutar el fix, haga clic en Next, luego Install, verifique que "Run fixit" esté activado, luego haga
clic en Finish.
El fix comenzará, seguir los mensajes de la pantalla. Se le preguntará al final para reiniciar el
ordenador (si el sistema demora un poco más en arrancar, ¡es normal!)
Observación 1:
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
En caso de otros tipos de infección que se adicionen a Wareout, y que necesiten también la
utilización de un fix (ejemplo: las variantes de Smitfraud, Vundo ...), elimine en primer lugar a
Wareout ya que su presencia en el sistema puede volver inutilizables los otros fix…
Observación 2:
En ciertos casos puede que aún después del uso de FixWareout, y HijackThis, estos famosos 017
resistan, y reaparezcan en los informes HijackThis. A continuación un truco que permite
neutralizar definitivamente estas líneas de los informes:
Vaya a Inicio > Panel de control > Conexiones de red > Propiedades > Pestaña Administración de
red
Posiciónese sobre Protocolo Internet (TCP/IP) luego haga clic en el botón Propiedades.
En las opciones (servidor DNS preferido y Servidor DNS alternativo) encontraremos una de las
direcciones presentes en el informe hijackthis en la línea 17 ==>( 85.255.114.73 / 85.255.112.227
etc...)
Para eliminarlos, marque: “Obtener la dirección del servidor DNS automáticamente” luego haga
doble clic en Aceptar y reinicie el PC.
System Volume Information
Si luego del análisis, la infección se encuentra en:
C:\System Volume Information\_Restore....
Esto significa que un punto de restauración es el que está infectado (a saber que la infección esté
inactiva). Para resolver el problema:
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
¤Desactivar la restauración del sistema (únicamente si está en XP):
Haga clic derecho sobre Mi PC/Propiedades
Haga clic en la pestaña Restaurar sistema
Marcar la casilla “Desactivar Restaurar sistema” y aplique.
Luego,
Reactivar Restaurar sistema (únicamente si está en XP):
Hacer clic derecho en Mi PC/Propiedades
Haga clic en la pestaña Restaurar sistema
Desmarcar la casilla “Desactivar Restaurar sistema” y aplique.
Para Windows ME:
http://service1.symantec.com/...
Infección en Recycler
Esto significa que su papelera de reciclaje contiene elementos infectados, vacíela simplemente. En
el caso de que la papelera esté vacía, y el análisis haya detectado un problema al interior de ésta,
utilice el programa Chaos Shredder (Programas de desinfección) para eliminarla.
==Win32.Delf.pa, alias Trojan.Stwoyle ===
¿Cómo es este troyano y cómo reconocerlo?
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
Generar un informe HijackThis, si está en presencia de esto, entonces quiere decir que el troyano
está presente:
O2 - BHO: C:\WINDOWS\adsldpbc.dll
O20 - Winlogon Notify: style32
O20 - Winlogon Notify: style2
Elimínelo:
Descargar Win32delfkil de aquí
Guárdelo en el escritorio.
Hacer doble clic en win32delfki_Bl.exe y proceda a la instalación. La carpeta win32delfki_Bl.exe es
creada. Cerrar todas las ventanas, abra resta carpeta y haga doble clic sobre fix.bat.
Lop.com
Cuando se instala MSN+, quizás no se preste atención a esto:
Y sin embargo, aceptándolos, se hereda la infección lop.com (trojan swizzor)
¿Cómo se manifiesta?
http://theroot.chez-alice.fr/imgs/tuto/msgplus.jpg
-Nueva barra de tareas
-Publicidad
-Favoritos que no se pueden eliminar (casino, travel…)
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
¿Cómo eliminarlos?
Generar un informe HijackThis y la infección se manifestará de esta manera:
Logfile of HijackThis v1.99.1
Scan saved at 22:55:38, on 2005-12-23
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\lexpps.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Annie\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
[http://www.orkabsjvmoaybw[...].com/K5kkeYXoTLXcI5kK7[...]9IzROOKlIgNIxBYi.html
Viendo esta línea, usted sabrá a partir de ahora que ¡los patrocinadores de MSN han sido
instalados! Esta se presentan con letras a continuación de otras, bastante largas y que no
significan nada.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.ca/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://sympatico.msn.ca/?lang=fr-ca
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program
Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program
Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: Pop-Up Blocker BHO - {3C060EA2-E6A9-4E49-A530-D4657B8C449A} - C:\Program
Files\Zero Knowledge\Freedom\pkR.dll
O2 - BHO: COMMUNICATOR - {4E7BD74F-2B8D-469E-8DBC-A42EB79CB428} -
C:\WINDOWS\system32\communicator.dll
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
O2 - BHO: Form Filler BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Program Files\Zero
Knowledge\Freedom\FreeBHOR.dll
O2 - BHO: (no name) - {576EE1AB-B9EF-2A88-2792-036638EFAADC} -
C:\DOCUME~1\Annie\APPLIC~1\STYLEG~1\BODYMEMO.exe
Siempre hay un BHO ligada a la infección, la puede ubicar fácilmente porque la ruta de acceso es:
Document and Settings +nombre de sesión (como el de arriba) + Application Data
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN
Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program
Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN
Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O4 - HKLM\..\Run: [Freedom] C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
O4 - HKLM\..\Run: [gplprogramnew64] C:\Documents and Settings\All
Users.WINDOWS\Application Data\AmokFirstGplProgram\AXIS BAT.exe
Aquí igual, vemos claramente la ruta.
A veces hay un R1, un 02 (BHO), y a veces dos líneas en 04, pero esto puede variar.
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe"
reminder
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -
%windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-
0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74438457-6A87-4786-944D-40DCD6E9D58B}:
NameServer = 206.47.244.79 206.47.244.138
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: interceptor.dll,msgplusloader.dll
O23 - Service: DvpApi (dvpapi) - Command Software Systems, Inc. - C:\Program Files\Fichiers
communs\Command Software\dvpapi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program
Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -
C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program
Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
Uso de LopXP
1) A continuación, una vez reconocido, generar un informe de LopXP, lo puede descargar aquí
2) Haga doble clic en Lopxpsetup.exe para lanzar la instalación
En el menú, seleccione la opción 1
Espere hasta que se le pida presionar alguna tecla
Luego será creado un informe, copie y péguelo completo en el foro.
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
¿Para que sirve? Explicación:
Según lo que haya identificado en HijackThis, lo buscará aquí: (como la ruta está indicada en el log,
lo buscará ¡para tener el nombre completo!)
El informe de LopXP se parece a esto:
Informe hecho a las 21:33:31, 29 el 2005-12-25
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\Documents and Settings\Default User\Application Data
2004-07-22 10:09 <REP> Microsoft
2004-07-22 09:55 <REP> ..
2004-07-22 09:55 <REP> .
0 fichier(s) 0 octetos
3 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Repertorio de C:\Documents and Settings\All Users\Application Data
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
2005-12-23 08:51 <REP> Tenebril
2004-07-22 10:06 <REP> Microsoft
2004-07-22 09:55 <REP> ..
2004-07-22 09:55 <REP> .
0 archivo(s) 0 octetos
4 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\Documents and Settings\user\Application Data
2005-01-21 20:34 <REP> Motive
2004-08-30 10:23 <REP> Identities
2004-08-30 10:23 <REP> Microsoft
2004-08-30 10:23 <REP> ..
2004-08-30 10:23 <REP> .
0 archivo(s) 0 octetos
5 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\Documents and Settings\ctrl\Application Data
2004-07-22 10:25 <REP> Identities
2004-07-22 10:24 <REP> Microsoft
2004-07-22 10:24 <REP> ..
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
2004-07-22 10:24 <REP> .
0 archivo(s) 0 octetos
4 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\Documents and Settings\Default User.WINDOWS\Application Data
2005-01-22 12:15 62 desktop.ini
2005-01-22 12:15 <REP> Microsoft
2005-01-22 12:15 <REP> ..
2005-01-22 12:15 <REP> .
1 archivo(s) 62 octetos
3 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\Documents and Settings\All Users.WINDOWS\Application Data
2005-12-23 08:51 <REP> Tenebril
2005-12-15 17:34 <REP> Adobe
2005-10-14 22:46 <REP> Apple Computer
2005-08-31 14:04 <REP> Spybot - Search & Destroy
2005-08-29 13:29 <REP> vidctrl
2005-08-23 21:53 <REP> InstallShield
2005-04-14 16:41 <REP> AmokFirstGplProgram <<<identificado en 04
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
2005-04-08 13:44 <REP> Messenger Plus!
2005-02-27 12:41 <REP> Zylom
2005-01-23 18:48 <REP> Zero Knowledge
2005-01-22 15:34 <REP> MSN6
2005-01-22 12:15 62 desktop.ini
2005-01-22 12:15 <REP> Microsoft
2005-01-22 12:15 <REP> .
2005-01-22 12:15 <REP> ..
1 archivo(s) 62 octetos
14 R‚p(s) 3637395456 octetos libres
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\Documents and Settings\Annie\Application Data
2005-12-23 09:00 <REP> Tenebril
2005-12-22 20:49 21920 GDIPFONTCACHEV1.DAT
2005-12-21 18:35 <REP> Lavasoft
2005-10-06 17:49 <REP> Real
2005-09-09 03:44 <REP> Style gpl title << identificado en 02
2005-08-25 18:57 <REP> Jasc
2005-07-02 14:24 <REP> Sun
2005-04-07 16:29 <REP> proc platform
2005-04-07 16:21 <REP> AdobeUM
2005-03-28 13:38 <REP> Mozilla
2005-03-24 20:22 <REP> Adobe
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
2005-03-12 23:04 <REP> Registry Cleaner
2005-02-16 22:07 <REP> Zylom
2005-01-26 22:13 <REP> Help
2005-01-23 18:51 <REP> Zero Knowledge
2005-01-22 16:30 <REP> Macromedia
2005-01-22 15:34 <REP> MSN6
2005-01-22 13:43 <REP> Identities
2005-01-22 13:43 62 desktop.ini
2005-01-22 13:43 <REP> ..
2005-01-22 13:43 <REP> .
2005-01-22 13:43 <REP> Microsoft
2 archivo(s) 21982 octetos
20 R‚p(s) 3637395456 octetos libres
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
Búsqueda de tareas planificadas en C:\WINDOWS\Tasks
Para eliminar la infección, se debe eliminar la tarea planificada de otro modo ésta regresará
sistemáticamente; está se identifica así:
El volumen en la unidad C no tiene nombre.
El número de serie del volumen es 4017-0FF2
Directorio de C:\WINDOWS\Tasks
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
2005-12-21 15:59 264 ABF3A22291945C8E.job (Une serie de letras y de números acabando en
.job)
2005-02-24 17:00 188 setup.job
2005-01-22 13:31 6 SA.DAT
2005-01-22 13:27 65 desktop.ini
2005-01-22 13:27 <REP> ..
2005-01-22 13:27 <REP> .
4 archivo(s) 523 octetos
2 R‚p(s) 3ÿ637ÿ395ÿ456 octetos libres
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
Búsqueda en Program files
La carpeta C:\Program Files\C2Media no existe <--- si C2media existe aquí, ¡hay que eliminarlo!
-.-.-.-.-.-.-.-.-.-.-.- Fin del informe.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
Pasos a seguir para eliminar la infección
Imprimir, o guardar las acciones en el bloc de notas para estar seguro que no olvida nada y hacerlo
todo en orden.
1/ Descargar CleanUp 40
Desconectarse de internet y cerrar todos los programas activos.
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
• Reiniciar en modo seguro
Reiniciar el PC, deje pasar la pantalla del Bios, luego presione seguidamente la tecla F8 antes de
que aparezca la pantalla de carga de Windows.
Elija el modo seguro de las opciones disponibles y valide con Enter.
(Si F8 no funciona, intente con F5)
•Haga visibles los archivos ocultos y de sistema
Panel de control > Opciones de carpeta > Pestaña Ver
Marcar la casilla “Mostrar todos los archivos y carpetas ocultos”
Desmarcar la casilla “Ocultar las extensiones de archivo para tipos de archivo conocido”
Desmarcar la casilla “Ocultar archivos protegidos del sistema operativo (recomendado)”
Hacer clic en [Aplicar] luego en [Aceptar] para validar
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
•Ejecutar HijackThis y hacer clic en [Do a system scan only]
Marcar la casilla al inicio de las líneas siguientes:
AQUÍ, las líneas de HijackThis a fijar
Hacer clic en el botón [Fix Checked] para validar
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
•Buscar y eliminar estas carpetas:
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
Elimine los archivos, si es posible, siguiendo la ruta de los archivos infectados, en vez de utilizar la
función “Buscar”
Si están presentes, elimine:
Los archivos a eliminar con las rutas exactas que se ha podido extraer fácilmente de LopXP
+C2Media si es que existe
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Luego, Vaya a Inicio > Ejecutar. Ingrese cmd luego Aceptar.
En la ventana que aparece, copie y pegue esto:
del /a C:\WINDOWS\tasks\A0AFC843918446AF.job
Aquí, la eliminación de la tarea planificada. Basta con reemplazar la serie en negrita por la
encontrada en LogXP (puede que haya +1)
Y presione Enter para validar
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Luego, muy importante:
::Eliminar los archivos temporales::
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
Ejecute Cleanup40.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Reinicie de manera normal y publique un Hijackthis…
Sitios web seguros inaccesibles
Si le es imposible acceder a sitios web seguros, y obtiene siempre un mensaje de Internet Explorer
que le dice que es imposible mostrar la página, entonces existen varias soluciones para corregir el
problema. De una parte, debe verificar que las funciones SSL estén activas en Internet Explorer y
de otra parte, debe reinscribir el archivo Softpub.dll en el Registro.
En Internet Explorer, haga clic en el menú Herramientas luego Opciones de Internet. Luego haga
clic en la pestaña Opciones avanzadas. En Configuración, ubique la sección Seguridad. Verifique
que las casillas SSL 2.0 y SSL 3.0 estén marcadas. Si no lo están, márquelas. Haga clic en Aceptar
para validar.
Los Fix para diferentes virus
La mayoría de virus más comunes, más devastadores, tienen un fix (pequeño programa de
desinfección) para erradicarlos.
Perdida del tema de XP
Producto de una infección, puede perder el tema de XP y serle imposible ponerlo entre las
opciones debido a que ya no aparece. No hay por que alarmarse…
Descargue y descomprima: http://pageperso.aol.fr/Balltrap34/luna.zip
Enseguida, póngalo en C:\WINDOWS\Resources\Themes\Luna y haga doble clic encima
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
Luego, intente poner el estilo XP
Infección en los archivos temporales o Temporary Internet Files
No se alarme, se trata de una infección menor, puede que producto de una descarga, su antivirus
detecte una infección en:
¤ C:\Documents and Settings\su cuenta\Local Settings\Temporary Internet Files\Content.IE5...
¤ C:\Documents and Settings\su cuenta\Local Settings\Temp...
¤ C:\Documents and Settings\todas las demás cuentas\Local Settings\Temp...
¤ C:\Windows\Temp...
A continuación 2 soluciones, bien sencillas:
1) Mostrar los archivos ocultos:
Haga clic en Inicio/Panel de control/Herramientas/Opciones de carpeta/Ver
Marcar “Mostrar los archivos y carpetas ocultos”
Desmarcar la casilla “Ocultar archivos protegidos del sistema operativo (recomendado)”
Desmarcar “Ocultar las extensiones de archivos para tipos de archivo conocidos”
Luego haga clic en Aceptar para validar los cambios.
¡Y aplicar!
----------------------------------------------------------------------------
¤Vacíe el contenido de los archives temporales y Temporary Internet Files:
C:\Documents and Settings\su cuenta\Local Settings\Temp
C:\Documents and Settings\todas las demás cuentas\Local Settings\Temp
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
C:\Windows\Temp
::El contenido de la carpeta prefetch::
C:\WINDOWS\Prefetch <= excepto el archivo layout.ini
¡No olvide de vaciar la papelera de reciclaje!
2) Utilice Cleanup 40 para que los elimine automáticamente:
CleauUp 40
==Malos anti-spywares ==rogues==
http://www.spywarewarrior.com/rogue_anti-spyware.htm
Rogue significa que estos productos son desconocidos, cuestionables, o de dudoso valor como
protección anti-spywares.
Algunos de los productos enumerados en esta página simplemente no garantizan una probada y
fiable protección de anti-spyware o pueden ser inclinados a falsos resultados. Otros pueden
emplear tácticas desleales, engañosas, de presión en la venta para conseguir fácilmente vender a
crédulos y confusos usuarios. Algunos de estos son conocidos por instalar ellos mismo
spyware/adware.
Look to me
Esta infección es responsable de la publicidad cuando navega, les voy a proponer un único método
entre varios que existen, si éste no funciona, diríjase al foro virus/seguridad.
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
Generar un informe HijackThis, concretamente, la infección se presenta de esta manera:
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\t08u0al9edq.dll
¿Cómo desinfectarlo?
Descargar L2Mfix de aquí
Haga doble clic en L2Mfix.exe para lanzar la extracción.
En la carpeta l2mfix, hacer doble clic en l2mfix.bat y seleccione la opción #1 y presione Enter para
validar.
Se abrirá el bloc de notas con el resultado del scan.
Copie y pegue el resultado en el foro.
Vuelva a ejecutar L2Mfix y seleccione la opción 2
Acepte el reinicio del PC.
Verificar que la 020 haya desaparecido (si todavía está presente, haga la opción 2 en modo seguro,
si esto no funciona entonces puede utilizar KillBox…)
Shop at home o Home Search Assistant
Descargar Cws-hsa.reg de aquí
Instálelo en el escritorio y haga clic dos veces encima.
O
SOPORTE TECNICO L.I CARLOS ALBERTO GONZALEZ GONZALEZ
Descargar Hsremove de aquí
Pokapoka rebelde
Para Pokapoka, existe un bat que lo elimina así como otros archivos que no son visibles con
HijackThis.
En muy raros casos, la carpeta ETB sólo es visible en Dos.
http://users.telenet.be/bluepatchy/miekiemoes/tools/LQfix.zip
(Descomprima y ejecute lqfix.bat en modo seguro, si es posible)
Spybot "error de paridad"
Cambiar de servidor de la lista propuesta por Spybot (botón al lado de “Buscar actualizaciones”).
Si es su caso, elija uno con (europa) escrito al lado del nombre
Desinstalar Norton
http://service1.symantec.com/...
Conocer la lista de programas en Agregar o quitar programas gracias a HijackThis
HijackThis >Open the misc tools sections -> open Uninstall manager -> hacer clic en “Save list” ->
Guardar el archivo -> cópielo y péguelo aquí.
FUENTE:
http://www.commentcamarche.net/faq/2500-spywares-methodes-de-desinfection
top related