Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Me parece increible que un spyware tan potente como el hotoffers no merezca una mayor atencion de los antivirus como Norton o Nod32. Estuve en la pagina de Symantec y ni lo mencionan
No sera un virus pero es igual de malo, a mi me dejo la maquina lenta y con mensajes porno cada 5 minutos que me hacian imposible trabajar normalmente. Me intentaba conectar a internet constantemente, me cambio la pagina de inicio y me lleno de iconos no deseados en el escritorio.
Ejecute todos los recursos que tuve, Norton, Nod32, geeksuperhero, ad-aware, Hijackthis, regseeker y S&Destroy.
Nada funciono, siempre volvia, a pesar de que lo detectaban. estaba a punto de formatear el Pc pero me resistia porque eso no es una solucion sino una derrota. Si formateo la maquina puede ser que el mismo dia me vuelva a contagiar y estoy de nuevo en la misma.
De todas las paginas que consulte la de ustedes fue la que me parecio mas util y seria por eso me registre. Al principio segui las instrucciones que daban para eliminar el virus pero no me funciono. Note que habia una cantidad de pasos tecnicos y llaves de registro a borrar que no siempre eran iguales, etc.
Ademas las instrucciones estan por lo general para windows xp. Yo tengo win2000sp4.
Me parecio muy complicado sin embargo lei un mensaje de otro usuario en el foro (no pude quitar esta page www.hotoffers.info/a0002) (Norberto, gracias), que tuvo el mismo problema y encontro una solucion que de tan simple no parecia que funcionaria. Me parecia como en la pelicula Dia de Independencia, que introducen un virus en los alienigenas para destruir las naves, una idea tan ingenua que funciono (en la ficcion).
Bueno aqui la solucion era buscar el string "hotoffers", dentro de las dlls de windows.
En windows 2000 no existe systr.dll, por eso no me funciono la solucion del Killbox que dan ustedes. Sin embargo encontre el archivo c:\winnt\system32\param32.dll.
Lo revise y resulta que dentro estan todos los malditos textos e iconos y ventanas que me atormentaron. No se si esa dll sirve para algo en un sistema normal pero como no tenia nada para perder decidi eliminarla.
En ese punto use el Killbox colocando el archivo y la opcion delete on reboot , lo borre y reinicie el pc.
Se termino el problema. no lo podia creer. Por las dudas corri el Hijackthis, que no encontro ninguna referencia, corri el Regseekers que si me encontro referencia al archivo que habia borrado, y por ultimo el Ad-aware que no encontro nada. Muerto el perro se acabo la rabia.
Ya hace varias horas que mi sistema esta funcionando bien y ya conecte a internet sin ningun problema de paginas no deseadas. Cada vez que miro el escritorio me parece que ya van a aparecer los malditos iconos pero por ahora ........
Mi temor es que ya que no existe al momento ninguna herramienta automatica que detecte y elimine sin misterios el "hotoffers", que pasara cuando el genio que lo invento lo modifique, encriptando la dll para que no sea tan facil buscar los strings responsables.
Espero que la gente de los antivirus y anti spyware se pongan las pilas y desarrollen una herramienta mas eficaz para borrar este desgraciado.
Espero que con esto pueda ayudar un poquito a eliminar el bicho. nuevamente gracias a Norberto por su ocurrencia inspiradora.

Hola te doy la bienvenida al Foro de Spyware.

Nos alegramos que hayas podido solucionar este molesto parásito y lo único que lamentamos es que no tuvimos tiempo de pedirte el archivo dll para poder analizarlo.

Pero bueno de todas maneras lo tomamos como referencia ya que desde hace unas semanas apareció un nueva variante del hotoffers la cual no instala mas la librería "systr.dll" sino que instalaba otra que hasta el momento no la habíamos podido encontrar y la cual aparentemente es la que vos pudiste eliminar "param32.dll"

Esperamos que no haya mas que estas dos variantes del este parásito y la incluimos en nuestro articulo de referencia de los pasos para Eliminar Hotoffers.info

Gracias por el tips

Salu2

He visto que han puesto la opcion de borrar "param32.dll" , pero tengan en
cuenta que en windows 2000 el path correcto no es
c:\windows\system32 sino..

c:\winnt\system32\param32.dll

Hola, el archivo de la nueva variante no aplica unicamente al Win 2000, sino que a todos los windows y si miras mas abajo en el articulo se hace esta referencia.

**NOTA:** El directorio del sistema de Windows puede variar de acuerdo al sistema operativo instalado ("c:\windows\system32" en Windows XP y Windows Server 2003, "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). La unidad de disco "C:" es solo un ejemplo, ya aunque por defecto se instala en esa unidad, la misma puede ser cambiada por el usuario.

Salu2

Muchas gracias por las instrucciones, voy a probar con el killbox.
Aunque tengo una duda.
En mi caso este spyware del Hotoffers me hace aparecer un icono en la parte inferior derecha del mi pantalla (donde esta el reloj) que es igual al del killbox (un circulo rojo con una cruz blanca dentro).
No es demasiada casualidad que el icono del spyware sea el mismo que el del killbox?.
Esto es simplemente una observacion, pero me gustaria saber si a alguno de ustedes le pasa lo mismo.
De todas formas voy a usar el killbox, no me queda otra...
Gracias de nuevo.
Bye.

Hola Fede lina, antes que nada te doy la bienvenida al foro de spyware, te comento que el programa "KillBox" es 100% seguro (siempre y cuando no borres nada que no es) ya que el programa ni siquiera se instala en tu PC.

Por otro lado no recomendaríamos un programa que perjudicara tu pc para poder solucionar algo.

Si te das una vuelta por el foro y ves los cientos de mensajes que ya solucionaron este problema u otros con KillBox veras lo que te digo.

La cruz de la que hablas es sencillamente del malware que tenes en tu equipo ya que si no borras bien todo queda ese residuo.

Bueno seguí bien todos los pasos y si necesitas mas ayuda abrí un nuevo post para que no se entreveren las preguntas y respuestas.

Salu2

Hola, probé con el programa killbox y funciono muy bien ya que me saco ese spyware, gracias nuevamente.

Por otro lado, me gustaria saber si hay alguna forma de saber si una librería DLL es mala o no, para poder eliminarlarlas (por ejemplo, si hay algun programa con que se puedan abrir y ver que tienen dentro).

Por ejemplo encontre unas librerías popup_bl.dll y otra searchdll.dll que tengo la sospecha que tambien son Spywares o algo asi, si las conocen me gustaria saber que hacen y como se comportan, ellas estan en la carpeta c:\windows\system32 que a mi modo de ver puede ser que estos spyware siempre se alojen en esa carpera y por ende puede que sea mas fácil ubicarlas y eliminarlas.

Por último tengo guardada a la librería param32.dll si alguno la necesita que me avise y se la envio.

Gracias por todo.

Hola

Esto es lo q he encontrado de las 2 librerias

http://translate.google.com/translat...lr%3D%26sa%3DG

fijate donde pone, technical details (esta traducido del google)

Ya nos contaras como va todo

un saludo

Hola Fede lina, ya te mande un MP con la direccion de email para que me mandes la libreria param32.dll

Para analizar estos archivos de manera segura hay programas como "File Alyzer" de los mismos creadores del SpyBot S&D el cual es tambien es gratuito.

Como bien te puso NeoByte esas dos librerias corresponden a dos diferentes tipos de malwares por lo que te recomiendo sacarlas con KillBox.

Salu2

Hola,
pude eliminar esas dos librerias facilmente con killbox, gracias.

Saludos