 Re: Se abren paginas solas. Error UMonitor.
Hola
Las entradas:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
Muchas veces no se pueden reparar con el hijackthis, pero no es problema.
Con el explorador de archivos, ve a: C:\windows\system32\drivers\etc y localiza el archivo hosts, luego abrelo con el block de notas y deja solo la línea que dice:
127.0.0.1 localhost
Sobre el log, veamos que hay...
Aun hay algunos problemas:
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [cfqddtn] c:\windows\system32\cfqddtn.exe
Puedes marcar ambas entradas para reparar, pero deberemos hacer unas cuantas cosas más para limpiar el troyano que tienes por ahi.
Mediante el administrador de tareas, cierra estos procesos:
systemroot+\isrvs\desktop.exe
systemroot+\isrvs\edmond.exe
systemroot+\isrvs\ffisearch.exe
Luego ve a: Inicio > ejecutar y escribe regedit, esto lanzará el editor del registro, navega hasta llegar a:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
y elimina estas entradas si las encuentras:
KEY_LOCAL_MACHINE\software\microsoft\windows\curre ntversion\run\desktop search
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\ffis
Tras hacer eso, reinicia el sistema.
Una vez has reiniciado, deberás desregistrar estas librerías:
systemroot+\isrvs\mfiltis.dll
systemroot+\isrvs\msdbhk.dll
systemroot+\isrvs\sysupd.dll
Para hacer eso usa esta sintaxis, te pongo un ejemplo:
regsvr32 /u c:\windows\mfiltis.dll
La ruta que te pongo es solo un ejemplo, deberás buscar tú los archivos, deberían estar en c:\windows\system32, pero no es seguro, para localizarlos, deberás tener activada la opción de ver archivos ocultos y de sistema.
Vuelve a abrir el editor del registro y elimina esto si lo encuentras:
HKEY_CLASSES_ROOT\clsid\{5b4ab8e2-6dc5-477a-b637-bf3c1a2e5993}
HKEY_CLASSES_ROOT\clsid\{950238fb-c706-4791-8674-4d429f85897e}
HKEY_CLASSES_ROOT\mfiltis
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\ext\clsid\{5b4ab8e2-6dc5-477a-b637-bf3c1a2e5993}
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\desktop search
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\ffis
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_delprot
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\delprot
Borra estos archivos si los encuentras:
delprot.sys
escritorio\anal exploits.url
escritorio\big dick school for 2.95.url
escritorio\evidence eraser.lnk
escritorio\popup blocker stops popups.lnk
escritorio\spyware avenger.lnk
escritorio\virus hunter security.lnk
escritorio\your platinum visa.lnk
delprot.ini
delprot.log
isrvs\desktop.exe
isrvs\edmond.exe
isrvs\ffisearch.exe
isrvs\isearch.xpi
isrvs\mfiltis.dll
isrvs\msdbhk.dll
isrvs\sysupd.dll
Borra la carpeta isrvs
Reinicia y ya dberías tener el sistema limpio.
Todo esto dberías hacerlo estando en el modo seguro y teniendo la restauración del sistema deactivada.
Son bastantes pasos, pero efectivos.
Ya nos contarás.
Felicidad |