• Este sitio usa cookies. Para continuar usando este sitio, se debe aceptar nuestro uso de cookies. Más información.

Ayuda con virus porfa

Estado
Cerrado para nuevas respuestas

CaLeB

Nuevo Miembro
Miembro
#1
Hola a todo el mundo. Vereis he tenido un problema en uno de mis pc´s y es que se me ha llenado de virus, sobre todo spywares, y troyanos. He conseguido eliminarlos todos o casi todos, gracias a ad-aware, y the cleaner, pero mi problema es el siguiente. Mi pagina habitual de inicio de explorer es www.google.es . Pues esta ultima, se sustituye automáticamente por http://greatsearch.biz/ y me es imposible dejar la de google. Si pongo la de google, ella sola se cambia y vuelve a greatsearch. Y es que esta ultima pagina web, está llena de virus, o scrip dañinos, porque cada vez que se habre me saltan todas las alarmas. he intentado desde el registro, y naa tampoco puedo.

Otra cosa es el archivo host de la carpeta C:\windows\system32\drivers\etc. Ese archivo se supone que debería tener una información de microsoft que mas o menos dice algo asi:

# Copyright © 1993-1999 Microsoft Corp.

#

# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.

y pesaria unos 7K. pues el mio pesa unos 500 y pico K y pone una de direcciones webs chungas que es algo asi:

127.0.0.1 ruworld.com

127.0.0.1 69.50.170.125

127.0.0.1 213.159.118.226

127.0.0.1 63.219.178.91

127.0.0.1 63.219.181.7

127.0.0.1 maxxxhosters.com

127.0.0.1 64.237.46.147

127.0.0.1 therealsearch.com

127.0.0.1 213.159.117.236

127.0.0.1 thumbest-traffic.com

127.0.0.1 600pics.com

127.0.0.1 tonser.4-counter.com

127.0.0.1 66.230.145.49

127.0.0.1 free.sinpussy.com

y eso no es mas que el principio del archivo porque en realidad hay un webo de webs mas. La cosa es que un amigo me ha pasado su archivo host pero no hay manera de sustituirlo. Lo sustituyo, pero al cabo de unos segundos se modifica y aparece el antiguo de 500K con todas las direcciones. He intentado modificar la información interna del archivo pero tampoco.

Conclucion: bueno después de todo este palique mi pregunta es. ¿puedo desaserme de la pagina de inicio del explorer y restablecer la de google con normalidad? ¿como puedo hacer para restaurar el archivo host?

Muchas gracias a todos y espero que lo solucione pronto :oops:
 

alnitak

Ex-Admin
Miembro
#2
Estás infectado por un adware, si el AD-Aware no lo remueve, por favor, bajate este programa:

HijackThis

Crea una carpeta en C:\ con el nombre HijackThis (o el que mas te guste, da igual) y salva allí el HijackThis.exe

Ejecutalo, y dale a Scan

Salva el log(dandole al boton Save Log) y postealo aquí para ver donde están los problemas.

Imagino que tendrás algo parecido a esto:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/

............................................................................................................

O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg33.exe

Si prefieres puedes intentar solucionar el problema directamente bajandote este programa:

CWShredder

Lo ejecutas, lo actualizas primero(es importante actualizar constantemente estos programas antes de usarlos ya que a diario salen docenas de bichos nuevos), le das fix(no a scan only) y dejas que te arregle los problemas
 

CaLeB

Nuevo Miembro
Miembro
#3
bueno use ese programa y ahi va el log

ogfile of HijackThis v1.97.7

Scan saved at 2:26:13, on 22/05/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\PopUp Killer\PopUpKiller.EXE

C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\mIRC\mirc.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\ARCHIV~1\PESTPA~1\ppcontrol.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\Descargas\Descargas Internet\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [PopUpKiller] C:\Archivos de programa\PopUp Killer\PopUpKiller.EXE

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\ARCHIV~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe

O4 - HKCU\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O15 - Trusted Zone: *.only-virgins.com

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{59B37C4F-AC1A-4D24-A4DE-FB68C9449FE9}: NameServer = 80.58.34.33 80.58.4.97
 

alnitak

Ex-Admin
Miembro
#4
Ok

Creo que el otro programa actualizado te lo remueve automáticamente.

También puedes intentar removerlo con el HijackThis mismo, para eso respalda antes el registro o crea un punto de restauración(o las 2 cosas)

Después corre el HijackThis.exe, dale a scan, entre las entradas que te salen revisa estas:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)

O15 - Trusted Zone: *.only-virgins.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{59B37C4F-AC1A-4D24-A4DE-FB68C9449FE9}: NameServer = 80.58.34.33 80.58.4.97

Después dale a fix checked, borra los archivos temporales y reinicia.

Cambia el Host antes de conectarte.

Vuelve a correr el HijackThis y ve que sale.

Es que no veo ninguna dll o ejecutable sospechoso en tu log pero en algúna parte debería estar, así que no estoy seguro que te resulte, pero bueno vamos a probar a ver que sucede
 

CaLeB

Nuevo Miembro
Miembro
#5
:( :( :( :( :(

Pos nada que he intentado de todo y nada. El CWShredder no me lo arregla, y el HijackThis tampoco. La gracia es que con internet desenchufao y todo, cuando lo intento con HijackThis los borra, pero vuelvo a escanear y ya están ahi. Y luego que el archivo Host no se deja sustituir ni pa atras. He intentado eliminarlo, reestructurarlo, cambiarle el nombre y nada siempre en menos de lo que canta un gallo se sustituye por uno igual y con la misma informacion. la verdad que ya no se que hacer aunque no me gustaría tener que formatearlo :(

gracias alnitak estoy abierto a todo tipo de sugerencias ;)
 

jbex

El que peca y reza empata
Administrador
#6
Hola CaLeB, léete esto Bloquear pagina inicio de Internet Explorer | Trucos de Internet

Pasa el limpiador CWShredder y el Ad-aware 6.0, pon google como tu pagina de inicio y sigue las instrucciones del post, a ver si así solucionas el problema.

El Internet Explorer no es un navegador aconsejable, su seguridad deja mucho que desear y pone en riesgo tu S.O, mi consejo es que uses Opera, mucho mas rápido, tiene el inconveniente que en algúnos sitios no se ve bien, pero para ese caso uso el NetCaptor.

Un saludo, jbex.
 

alnitak

Ex-Admin
Miembro
#7
Sip, es que no hemos incluido el ejecutable.

Creo que es este:

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

Pero bueno, dime tu si ese programa WinPoET te suena de algo, si no es así termina ese proceso WrOS.EXE, revisa promero antre en el panel control a ver si aparece el programa allí para poderlo desinstalar limpiamente, después repite los pasos anteriores y esta vez al entrar a pruebas de errores borra también este fichero o mejor aun la carpeta completa(despues de respaldarla) :(
 

jbex

El que peca y reza empata
Administrador
#8
Sip, es que no hemos incluido el ejecutable.

Creo que es este:

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE
Este es un controlador Point to Point Protocol over Ethernet (PPPoE) para la conexión a Internet, así que no tocarlo, sin el te quedas sin conexión.

Un saludo, jbex.
 
Estado
Cerrado para nuevas respuestas