Академический Документы
Профессиональный Документы
Культура Документы
'spyware'
A continuacin, una lista de mtodos que te ser til para desinfectar tu ordenador (PC) y eliminar
definitivamente troyanos, virus, gusanos, spywares, publicidad intempestiva, etc. En cada caso,
vers primero el nombre de la infeccin, luego el mtodo para eliminarla.
Vundofix
Descarga VundoFix.exe (de Atribune) en tu Escritorio. Haz doble clic en VundoFix.exe para
ejecutarlo. Da clic en el botn Scan for Vundo. Cuando el scan haya terminado, pulsa el
botn Remove Vundo. Se te preguntar si deseas eliminar los archivos, haz clic en YES. Tras
haber hecho clic en YES, el Escritoriodesaparecer por un momento durante la eliminacin de los
archivos.
Aparecer un mensaje anuncindote que el PC se apagar (shutdown). Haz clic en OK. Reinicia
tu PC. Copia y pega en tu prxima respuesta en el foro el contenido del informe que se encuentra
enC:\vundofix.txt , as como un nuevo informe HijackThis.
Infeccin EGDAccess-xxx
Genera un informe HijackThis. Repara y fija las lneas que llevan el nombre de la infeccin +
egdaccess, egauth, sysnetsvc.
Por ejemplo:
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1069.dll,InstantAccess
O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787}
-http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab
O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F}
-http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_FR_XP.cab
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR_XP.cab
Otro mtodo consiste en descargar Brute Force Uninstaller y descomprimirlo en una carpeta
creada (C:\BFU). Luego, debers seleccionar Guardar como (en IE es Guardar el enlace
como...) para descargar EGDACCESS Remover (de Metallica). Gurdalo en la carpeta creada
(C:\BFU).
Inicia Brute Force Uninstaller haciendo doble clic en BFU.exe. En scriptline to execute, copia y
pegac:\bfu\EGDACCESS.bfu. Haz clic en execute.
Espera a que aparezca complete script execution y haz clic en OK. Repite las mismas
operaciones con ese archivo. Haz clic en Exit para cerrar el programa BFU. Reinicia y publica un
nuevo informe HijackThis.
Nail.exe
Esta infeccin se presenta de esta forma: F2 - REG:system.ini: Shell=Explorer.exe
C:\WINDOWS\Nail.exe
Se debe saber que est asociada a un 04:
04 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r
Cmo reparar esta 04? Hay varias pistas que estn a nuestra disposicin: es una 04, se
encuentra en la carpeta system32. Al lado del .exe hay una "r". Las letras entre [...] y la xxx.exe
son aleatorias, no significan nada, no especifican nada y no se encuentra ninguna informacin en
ellas.
Para librarte de ella, te recomendamos imprimir esto, ya que son operaciones largas y que
requieren bastante rigor.
Importante: no dejes que el ordenador reinicie en modo normal entre cada operacin (corres el
riego de partir de cero).
El procedimiento es el siguiente: debes descargar L2Mfix. Descarga CleanUp y el
siguiente tutorial. Tambin descarga Pocket Killbox.
Desactiva la restauracin del sistema (nicamente si ests en XP). Haz clic derecho en Mi
PC >Propiedades. Haz clic en la pestaa Restaurar sistema y marca la casilla Desactivar
restaurar sistema. Aplica los cambios.
Verifica la opcin Mostrar todos los archivos y carpetas ocultos. Para hacerlo, da clic
en Inicio > Panel de control > Opciones de carpeta > Ver. Marca Mostrar todos los archivos y
carpetas ocultos. No selecciones la casilla Ocultar archivos protegidos del sistema operativo
(recomendado). Quita la seleccin tambin en Ocultar las extensiones de archivo para tipos de
archivo conocido. Luego, haz clic en Aceptar para validar y aplicar los cambios.
Vaca inmediatamente despus los archivos temporales y los Temporary Internet Files de todos
los usuarios. Puedes utilizar Cleanup40. Ejecuta L2Mfix. Descomprmelo (clic derecho > Extraer
todo). Haz doble clic en L2Mfix.bat. Presiona cualquier tecla y luego selecciona la opcin 2. Al
final, el programa debera reiniciar el sistema, en cuanto se lance el BIOS, presiona varias veces la
tecla F8 para pasar al modo seguro (esto es importante).
Pocket Killbox
Haz doble clic en KillBox.exe. Abre el bloc de notas y copia la lista que est aqu abajo (al final de
este prrafo). Selecciona Delete on Reboot. Ve al bloc de notas y subraya toda la lista, luego haz
clic derecho encima y haz clic en copiar. Regresa a KillBox y en el men de arriba, haz clic en File,
luego en Paste from clipboard. Haz clic en el crculo rojo. Aparecer una ventana para confirmar.
Haz clic en S. Una segunda ventana te preguntar si deseas reiniciar. Haz clic en S.
Lista:
C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\ccgtvzq.exe <---- Poner aqu la ruta de la 04 que se encontr.
Ignora este mensaje si aparece. Cuando KillBox reinicie el PC, presiona inmediatamente F8 para
pasar al modo seguro. Ejecuta HijackThis y fija:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r (es decir, la 04 reparada
anteriormente)
Vuelve a pasar L2Mfix a la opcin 2, deja que el ordenador reinicie normalmente y vuelve a hacer
un logHijackThis. Verifica que la infeccin haya sido erradicada.
Wareout
Este tipo de infeccin puede engendrar un desbarajuste en tu ordenador (ejemplo: hacer que se
cuelguen todos los scans de desinfeccin, programas,etc.) y propiciar la aparicin de otros tipos de
infeccin, lo que a veces puede tener como resultado un sistema operativo casi inutilizable.
Afortunadamente, esta infeccin se puede identificar fcilmente en un informe HijackThis. La
infeccin se manifiesta por una(s) direccin(es) IP dirigiendo a Ucrania:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37
85.255.112.85
Para desinfectar tu PC, descarga en el Escritorio FixWareout . Ejecuta el fix, haz clic en Next,
luego enInstall, verifica que Run fixit est activado, luego haz clic en Finish.
El fix comenzar, sigue los mensajes de la pantalla. Se te preguntar al final si deseas reiniciar el
ordenador (si el sistema demora un poco ms en arrancar, es normal)
En caso de otros tipos de infeccin que se adicionen a Wareout y que necesiten tambin la
utilizacin de un fix (ejemplo: las variantes de Smitfraud, Vundo, etc.), elimina en primer lugar
Wareout ya que su presencia en el sistema puede volver inutilizables los otros fix.
En ciertos casos puede que, an despus del uso de FixWareout y HijackThis, estos famosos 017
resistan y reaparezcan en los informes HijackThis. A continuacin, un truco que permite neutralizar
definitivamente estas lneas de los informes:
Ve a Inicio > Panel de control > Conexiones de red > Propiedades > pestaa Administracin
de red. Colcate sobre Protocolo Internet (TCP/IP), haz clic en el botn Propiedades. Al dirigirte
a las opciones (servidor DNS preferido y Servidor DNS alternativo) encontrars una de las
direcciones presentes en el informe HijacktThis en la lnea 17: ( 85.255.114.73/85.255.112.227,
etc.).
Para eliminarlas, marca Obtener la direccin del servidor DNS automticamente, luego haz
Infeccin en Recycler
Esto significa que tu papelera de reciclaje contiene elementos infectados, vacala simplemente. En
caso de que la papelera est vaca y el anlisis haya detectado un problema en ella, utiliza el
programa Chaos Shredder (programa de desinfeccin) para eliminarlo.
Uso de LopXP
A continuacin, una vez reconocido, genera un informe de LopXP. Haz doble clic
en Lopxpsetup.exe para lanzar la instalacin. En el men, selecciona la opcin 1. Espera hasta
que se te pida presionar alguna tecla. Luego, ser creado un informe, cpialo en el foro.
Aqu un informe de LopXP:
Eliminar 'rogues'
Los rogues son productos desconocidos, cuestionables o de dudosa proteccin antispyware.
Algunos de estos productos simplemente no garantizan una proteccin fiable. Otros pueden
emplear tcticas desleales, engaosas o de presin para conseguir vender algo fcilmente. Son
conocidos tambin por instalar spyware y adware.
Look to me
Esta infeccin es responsable de la publicidad no deseada cuando uno navega, aqu un mtodo
para tratar de eliminarla. Genera primero un informe HijackThis, concretamente, la infeccin se
presenta de esta manera:
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\t08u0al9edq.dll
Para eliminar la infeccin, descarga L2Mfix, haz doble clic en L2Mfix.exe para lanzar la extraccin.
En la carpeta l2mfix, haz doble clic en l2mfix.bat y selecciona la opcin #1. Presiona Enter para
validar. Se abrir el bloc de notas con el resultado del scan. Copia y pega el resultado en el foro.
Vuelve a ejecutarL2Mfix y selecciona la opcin 2. Acepta el reinicio del PC. Verifica que
la 020 haya desaparecido (si todava est presente, realiza la opcin 2 en modo seguro, si esto no
funciona entonces puede utilizar KillBox).
Pokapoka rebelde
Para Pokapoka, existe un bat que lo elimina, as como otros archivos que no son visibles con
HijackThis.En muy raros casos, la carpeta ETB solo es visible en Dos.