pagina de inicio, buscadores, notepad...

Estado
Cerrado para nuevas respuestas

hsm

Nuevo Miembro
Miembro
#1
Hola, me parece que tengo el mismo problema que tiene otra mucha gente por aquí. la pagina de inicio se me cambia cada vez que reinicio el Explorer, además se me abre un buscador llamado search-to-find cada vez que busco algo en google, y los archivos que tengo por defecto para abrir con el Notepad tienen un icono extraño y al abrir sobre ellos me lanza el Explorer en lugar del Notepad (por lo demás el Notepad me funciona bien, y su acceso directo en el menú inicio también).
he ejecutado ya en el ordenador el Adware, el spybot, el cwshredder, ... y ninguno de ellos me ha solucionado el problema.
al ejecutar el HijackThis obtengo lo siguiente:
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.2
Scan saved at 1:12:22, on 30/08/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\rundll32.exe
C:\ARCHIV~1\Lexmark\PHOTOC~1\LXBLKsk.exe
C:\WINDOWS\system32\sysls32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\etthyu.dat
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\mdm.exe
D:\hernan\multimedia\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\vpfxr.dll/index.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\vpfxr.dll/index.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\vpfxr.dll/index.html#27758
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {766D2566-60FD-10F1-92DB-18BB4F8AF267} - C:\WINDOWS\system32\crkv32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [LXBLKsk] C:\ARCHIV~1\Lexmark\PHOTOC~1\LXBLKsk.exe
O4 - HKLM\..\Run: [MemoryCardManager] C:\Archivos de programa\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
O4 - HKLM\..\Run: [sysls32.exe] C:\WINDOWS\system32\sysls32.exe
O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1093819555183
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC2D5EA2-621E-4E27-8F1C-D6F9220A9764}: NameServer = 62.81.0.33 62.81.16.129
ya he probado a eliminar las primeras lineas (las que hacen referencia a vpfrx, ya que esa es la pagina que se me pone como pagina de inicio en el Explorer), pero lo único que consigo es que el Explorer inicie con la pagina que yo quiero una sola vez, luego vuelve a iniciar con lo de vpfrx y al volver a ejecutar el HijackThis esas líneas vuelven a estar ahí.
el resto del logfile resulta para mi del todo indescifrable, así que estaré muy agradecido a cualquiera que este dispuesto a ayudarme con este problema.
muchas gracias y hasta luego.
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Crea para el HijackThis su propia carpeta y sálvalo en ella.
Entra al panel control>agregar/quitar programas y desinstala el new.net si se te ofrece la opcion.
Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos: Como mostrar archivos ocultos
Desactiva la opción de restaurar el sistema:Como activar/desactivar restaurar el sistema
Reinicia el sistema en modo seguro:Como reiniciar a prueba de fallos
Abre el administrador de tareas y asegúrate que estos procesos no estén, si están termínalos:
Insertar CODE, HTML o PHP:
C:\WINDOWS\system32\sysls32.exe
C:\WINDOWS\etthyu.dat  no se que es esto
Abre el editor de registro, para hacerlo Inicio>ejecutar>escribes regedit y aceptas.
Respaldalo.
Ahora navega hasta seleccionar esta rama en el lado izquierdo: HKEY_CLASSES_ROOT\txtfile\shell\open\command
En el lado derecho en el campo Datos debe salir esto: %SystemRoot%\system32\NOTEPAD.EXE %1
Si sale cualquier otra cosa modifícalo y coloca eso.

Ahora cierra el editor de registro y dale a: Inicio>todos los programas>accesorios>clic derecho sobre el bloc de notas>propiedades.

En destino te debe salir esto: %SystemRoot%\system32\notepad.exe

Si no sale eso colócalo así.

Inicia el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas(las que todavía estén presentes) y dale a fix:
Insertar CODE, HTML o PHP:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\vpfxr.dll/index.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\vpfxr.dll/index.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\vpfxr.dll/index.html#27758
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vpfxr.dll/sp.html#27758
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {766D2566-60FD-10F1-92DB-18BB4F8AF267} - C:\WINDOWS\system32\crkv32.dll
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [sysls32.exe] C:\WINDOWS\system32\sysls32.exe
O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner: Disk Cleaner

Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos:
Insertar CODE, HTML o PHP:
C:\WINDOWS\vpfxr.dll
C:\WINDOWS\system32\crkv32.dll
C:\Program Files\Common Files\Java\breg
C:\WINDOWS\system32\sysls32.exe
Elimina completamente este directorio :
C:\Program Files\BTV\
Mas información sobre el BTV Dialer aquí: http://www.pestpatrol.com/PestInfo/b/btv_dialer.asp
Reinicia normalmente, reactiva la opción de restaurar el sistema y postea otro log
 

hsm

Nuevo Miembro
Miembro
#3
gracias por la ayuda. aquí posteo el siguiente log después de haber seguido al pie de la letra las instrucciones:
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.2
Scan saved at 11:07:02, on 30/08/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Mixer.exe
C:\ARCHIV~1\Lexmark\PHOTOC~1\LXBLKsk.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\etthyu.dat
C:\WINDOWS\system32\cruy.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\mdm.exe
D:\hernan\multimedia\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\egbbj.dll/index.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\system32\egbbj.dll/index.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\egbbj.dll/index.html#27758
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BD92CC3A-4BEF-458F-032B-36461F9B36B1} - C:\WINDOWS\syswq.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LXBLKsk] C:\ARCHIV~1\Lexmark\PHOTOC~1\LXBLKsk.exe
O4 - HKLM\..\Run: [MemoryCardManager] C:\Archivos de programa\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
O4 - HKLM\..\Run: [cruy.exe] C:\WINDOWS\system32\cruy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1093819555183
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC2D5EA2-621E-4E27-8F1C-D6F9220A9764}: NameServer = 62.81.0.33 62.81.16.129
como se puede ver algúnas de las lineas que elimine han vuelto a aparecer.
ademas, de entre los archivos que se me dijo que eliminara los siguientes no los he encontrado:
Insertar CODE, HTML o PHP:
C:\WINDOWS\vpfxr.dll
C:\WINDOWS\system32\crkv32.dll
(si que tengo puesto para ver archivos ocultos, así que no es por eso. ¿que mas se me puede estar escapando para no ver estos archivos?)
muchas gracias por todo, hasta luego.
 

alnitak

Ex-Admin
Miembro
#4
Hola. Fijate en como ahora estás infectado por el mismo bicho pero con otro nombre, ósea lo hemos removido y después te has vuelto a infectar.
Esto me hace pensar que en alguna parte de tu sistema está el instalador y que este se está ejecutando al repicar otro archivo.
Normalmente los malwares que emplean este sistema lo hacen a través del bloc de notas o de los archivos exe en general, entonces si has seguido mis instrucciones y has arreglado las entradas del bloc de notas antes de hacer limpieza necesito ver las entradas de los exe y demás.
Si en la entrada del bloc de notas salía el nombre de otro ejecutable por favor dime cual era.

Por favor, ejecuta el mismo hijackThis, dale a Config>Misc Tools>marca la casilla de List Empty Sections (complete) t dale a generate Startuplist.
Después colocame aquí ese log.
Mientras haz lo siguiente:

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:Mostrar archivos ocultos
Desactiva la opción de restaurar el sistema:Como activar/desactivar restaurar el sistema
Reinicia el sistema en modo seguro:Como reiniciar a prueba de fallos
Inicia el HijackThis.
Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)
Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:
Insertar CODE, HTML o PHP:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\egbbj.dll/index.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\system32\egbbj.dll/index.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\egbbj.dll/index.html#27758
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\egbbj.dll/sp.html#27758
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {BD92CC3A-4BEF-458F-032B-36461F9B36B1} - C:\WINDOWS\syswq.dll
O4 - HKLM\..\Run: [cruy.exe] C:\WINDOWS\system32\cruy.exe
Cierra el HijackThis, elimina los archivos temporales y cookies
Elimina estos archivos si existen:
Insertar CODE, HTML o PHP:
C:\WINDOWS\system32\cruy.exe
C:\WINDOWS\syswq.dll
C:\WINDOWS\system32\egbbj.dll
Reinicia normalmente y posteame otro log, además del log del startuplist.
 

hsm

Nuevo Miembro
Miembro
#5
muchas gracias por la ayuda, pero me temo que la situacion ha ido a peor ultimamente, el ordenador ahora esta muy ralentizado, se traba, en ocasiones reinicia, ademas de los problemas que ya tenia antes, de modo que creo que he sobrepasado con creces el punto en el que me resulta mas comodo formatear que seguir peleandome con esto.

si tengo sin embargo un par de preguntas antes de hacer el formateo:

1. tengo dos particiones en el disco duro (sin contar las de linux). en c tengo el sistema operativo y los programas y en de la información que realmente me resulta importante. si formateo exclusivamente c para eliminar todos estos problemas y programas intrusos ¿cabe la posibilidad de que permanezcan en de y desde ahi puedan volver a atacar a los programas en c? si es así ¿como los detecto y elimino?

2. ¿que sistemas hay para evitar que esto me vuelva a ocurrir en el futuro?

muchas gracias de nuevo.

hasta luego.
 

alnitak

Ex-Admin
Miembro
#6
Si el malware ha guardado copias de si mismo en la otra partición, evidentemente esos archivos quedarán ahí pero no estarán activos a no ser que los repiques, por ejemplo algúnos malwares guardan copias de si mismos en Mis Documentos o en las carpetas compartidas de los clientes P2P, si usas kazaa o algún otro cliente P2P y tienes la carpeta compartida en la partición de los datos revísala con lupa, así mismo revisa la carpeta Mis Documentos.

Por otro lado es improbable que en tu caso existan copias del malware en la partición de datos porque estamos hablando de un adware y estos bichos acostumbran colocar sus ejecutables en la carpeta de sistema, en algún otro subdirectorio de la carpeta de instalación de Windows o en esta misma carpeta, entre los archivos temporales, en algún subdirectorio de Documents and Settings o en su propia carpeta en Archivos de Programa, por lo tanto siempre en la partición del sistema operativo.

Al formatear la partición del sistema operativo tus discos deberían quedar totalmente limpios.

Para prevenir estas infecciones hay que seguir algúnas pocas normas:

*- Mantener el sistema operativo actualizado.

*- No navegar desde el Internet Explorer.

*- No aceptar si en algúna pagina extraña se nos pregunta para instalar cualquier cosa por ejemplo para podernos descargar algo en una pagina Warez, Porno o de juegos de azar on line.

Siguiendo estas 3 normas reducirás tus probabilidades de infectarte con un adware en un buen 99 %

Algunos adwares vienen incluidos en programas freeware, incluso muchos de los programas freeware que prometen limpiar tu sistema de adwares o bloquear ventanas pop ups te instalan a cambio su propio adware o spyware, por lo tanto otra buena norma es:

*- No instalar todo programa que se nos antoje, antes de instalar un programa freeware que nos promete milagros hay que buscar información sobre el en la red. Por ejemplo jamás instales kazaa ni Imesh, con solo buscar un poco en la red se encuentran clones de estos clientes P2P que hacen lo mismo pero vienen libres de sorpresas desagradables.

Si queremos un mejor nivel de protección, podemos instalar algún programa antispyware que incluya un modulo residente. El mejor en mi opinión es Ad Aware con su modulo residente Ad Watch que previene los cambios en el registro sin previa autorización.

Disponer de un firewall es otra buena medida, ya que muchos de los adwares de hoy día vienen con funciones adicionales de troyanos.

Si ya pasamos a hablar de gusanos, entonces el firewall es indispensable puesto que muchos gusanos explotan bugs de Windows para infectarte automáticamente con tan solo conectarte (los ejemplos mas conocidos son el blaster y el sasser) y aunque dispongamos de un sistema actualizado no sabemos cuando se descubrirá otro bug y cuando saldrá un nuevo gusano que lo explote.

Para protegerse de los gusanos es además indispensable no abrir archivos ejecutables que nos lleguen como adjuntos en los correos sin que los hayamos solicitados, ni que lleguen desde la cuenta de nuestro mejor amigo puesto que los gusanos roban las direcciones de los contactos del Messenger y de Outlook en un sistema infectado y se envían automáticamente a esas direcciones desde la dirección del dueño de la cuenta del sistema infectado.

Disponer de un buen antivirus actualizado y mantener activo su modulo residente es otra buena medida de seguridad.

Borrar todos los puntos de restauración anteriores y crear un nuevo punto de restauración del sistema después de cada instalación exitosa es otra muy buena idea, en caso de emergencia lo más practico y rápido será siempre restaurar el sistema a este punto.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie