Problemas con Adware (ad.yieldmanager.com) (Solucionado)

**Joe_ql** · 02/09/10, 21:22:12

Buenas gente de infoSpyware.

Nuevamente vuelvo a solicitar ayuda, esta vez contra el ad.yieldmanager.com

Según me he informado leyendo algunas páginas y otros temas del foro el ad.yieldmanager.com es un Adware. El problema empezó ayer por la noche, pero ya desde hace 3 días el internet estaba y aun está muy lento. Cuando entre a Internet Explorer empezaron a salir ventanas solicitando permiso para permitir la ejecución de complementos del navegador como el Java, Adobe, ejecutar la toolbar de Windows Live, y esto no estaba así, todo funcionaba normal hasta ayer por la noche.

Entre en opciones del navegador para ver si había algún cambio en la configuración de seguridad y no, todo estaba normal. Luego revise la configuración para los permisos del bloqueador de elementos emergentes y me tope con que el (ad.yieldmanager.com) estaba en la lista de sitios permitidos cosa que yo no hice, yo no guardo el historial, Cookies, etc. El navegador está configurado para borrar todo al salir, menos tenia lista de sitios permitidos.

Después de tamaño rato de estar buscando el problema seguía saliendo insistentemente la ventana para dar el permiso de ejecutar los complementos, al final termine restaurando el navegador a su estado original cosa que no sirvió de mucho, seguían saliendo las ventanas solicitando el permiso. La única solución fue indicar en la ventana que no me volviera a notificar sobre estos permisos.

El problema es que yo utilizo esta computadora para trabajar y no creo que eso hubiese eliminado la infección por completo aunque lógicamente elimine el ad.yieldmanager de sitios permitidos, también busque en la carpeta del el historial de cookies y no veo ningún archivo que corresponda a este Adware.

He visto en otros temas que es difícil terminar con este Adware, ya he escaneado la PC con el SuperAntispyware, el Malwarebytes, el Dr. Web CureIt!, y no encuentran nada, pero quisiera que alguien me indicara como puedo verificar que todo esté realmente desinfectado.

Leyendo otro tema del foro vi que un moderador indico hacer un escaneo con la herramienta ComboFix.exe. Pero también advierte que solo se puede utilizar bajo la supervisión de un experto.

De antemano mil gracias al que me ayude a decidir si este paso es el indicado.

Nota: esta PC tiene 5 cuentas de usuario. ¿Es necesario correr los Anti-spyware cuenta por cuenta?

Para agilizar la ayuda dejo de una vez alguna información del sistema ya que veo que casi siempre es solicitada.

Saludos.

**Alfa97** · 02/09/10, 21:29:14

Hola

Como no sabemos si la herramientas que utilizaste eran última versión y actualizadas y las usaste la forma adecuada, repetiremos el mismo proceso, para que también otros lectores con el mismo problema sigan estos pasos. Sigue estos pasos por favor:

-Descarga pero no las ejecutes aún:
CCleaner

Malwarebytes 1.46

(instálalo, actualízalo pero no lo ejecutes aún)

- Inicia en Modo Seguro

-Ejecuta las herramientas eliminando todo lo que encuentre:
-CCleaner (limpia los cookies y el registro)
-Malwarebytes' (elimina todo lo que encuentre)

- Reinicia a modo normal

- A) Descarga Eset Smart Installer

B)- Cuando lo abres elije:
Eliminar las amenazas detectadas y analizar archivos

C)- Luego, ve a Configuración Adicional

Analizar en busca de aplicaciones potencialmente indeseables.
Analizar en busca de aplicaciones potencialmente peligrosas.
Activar la tecnoligía Anti-Stealth.

D)- Pulsa Escanear y cuando termine, pegas el reporte.

Para encontrar el reporte, dirigite a C:\Archivos de programa\Eset\Eset Online Scanner\log

- Nos traes el reporte de Malwarebytes' y Eset

Si tienes alguna duda te dejo los manuales de los programas:
MBAM
CCleaner

Saludos

**Joe_ql** · 02/09/10, 21:45:03

Hola

¡Gracias por responder tan rápido Alfa97!

Voy a correr todo lo que me indicas y vuelvo con el reporte...

¡Saludos!

**Alfa97** · 03/09/10, 10:27:44

Hola

Ok, aca esperamos

**Joe_ql** · 03/09/10, 16:24:06

Hola Alfa97

Aquí de regreso con los reportes…

He hecho todo lo indicado arriba, ejecutando el CCleaner antes y después de correr las herramientas para desinfección.

Me he ido un poco más allá para agilizar un poco la ayuda que me estas ofreciendo, actualice todo los Anti-Malwares que tenia instalados y los ejecute. Voy a postear los reportes de: SuperaAntispyware, Malwarebytes, Eset Smart, y Panda ActiveScan. (Todo en modo seguro excepto el Eset Smart).

Malwarebytes no encontró nada:

Código:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versión de la Base de Datos: 4532

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.18943

02/09/2010 10:09:36 p.m.
mbam-log-2010-09-02 (22-09-36).txt

Tipos de Análisis: Análisis Completo (C:\|D:\|E:\|F:\|)
Objetos examinados: 223330
Tiempo transcurrido: 49 minuto(s), 26 segundo(s)

Procesos en Memoria Infectados: 0
Módulos de Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Archivos Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos de Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Archivos Infectados:
(No se han detectado elementos maliciosos)

Eset Smart tampoco encontró nada:

Código:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=889c8bd053ea454995da7273106b6626
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-09-03 07:11:15
# local_time=2010-09-03 01:11:15 (-0600, Hora estándar de Centroamérica)
# country="Mexico"
# lang=3082
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776574 100 100 4000940 120098271 0 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=173905
# found=0
# cleaned=0
# scan_time=7176

SuperAntispyware si encontró un par pero creo que no son los que yo buscaba:

Código:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/02/2010 at 09:14 PM

Application Version : 4.42.1000

Core Rules Database Version : 5448
Trace Rules Database Version: 3260

Scan type       : Complete Scan
Total Scan Time : 00:33:35

Memory items scanned      : 284
Memory threats detected   : 0
Registry items scanned    : 11398
Registry threats detected : 0
File items scanned        : 35356
File threats detected     : 2

Adware.Tracking Cookie
	C:\Users\Joel\AppData\Roaming\Microsoft\Windows\Cookies\joel@atdmt[1].txt
	C:\Users\Raquel\AppData\Roaming\Microsoft\Windows\Cookies\raquel@atdmt[1].txt

Y Panda ActiveScan Online también encontró uno que ahora tengo que ver como lo elimino ya que este no los elimina:

Código:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-09-03 13:07:41
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Microsoft Security Essentials                                              Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\users\quesada\appdata\roaming\microsoft\windows\cookies\quesada@doubleclick[1].txt
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Aun el navegador internet Explorer esta lento, por lo que estoy utilizando el Google Chrome. No sé si será conveniente correr el ComboFix.exe, espero sus indicaciones. Aunque creo que lo primero es eliminar lo que ha encontrado el Panda ActiveScan

También quería saber si me podes aclarar lo que pregunte en mi primer post con respecto a si es necesario correr las herramientas de desinfección cuenta por cuenta ya que esta PC tiene 5 cuentas activas

¡De antemano mil gracias por la ayuda!

Saludos.

**Alfa97** · 03/09/10, 19:32:11

Hola

Solo los programas detectaron cookies no es nada importante. En cuanto el ComboFix no lo corras nunca, a menos que sea recomendado por un miembro del staff.

El IE siempre fue lento. ¿Sigue ese ad.yieldmanager.com? ¿Por que no lo eliminas?

Por las dudas, sigue estos pasos.

- Ve a Mi PC

- Anda al disco principal (casi siempre es el C:)

- Llega hasta acá: C:\Windows\system32\drivers\etc\hosts

- Hacele doble clic al archivos hosts y cuando te salga el Abrir con, eliges el Bloc de Notas y Aceptar.

- Cuando abre el bloc de notas, copias todo (Edición y Seleccionar Todo) y luego lo pegas en tu prox. respuesta.

Espero ese log.

Saludetes

**Joe_ql** · 03/09/10, 20:44:20

Hola Alfa97.

Con respecto a lo de si elimine ad.yieldmanager.com de paginas permitidas; Claro que la elimine desde el momento en que la vi, solo que el internet tan solo hace 4 días estaba mucho más rápido. También el problema con las ventanas de notificación para dar los permisos para ejecutar los complementos se ha pasado a otra cuenta de usuario. Ya indique que no me notificara mas cada vez que se necesite activar algún complemento, pero no entiendo porque esto comenzó a pasar de un pronto a otro si todo funcionaba normal sin necesidad de estar autorizando el uso de los complementos. Por ese motivo pienso que todavía hay algún virus por ahí.

Pregunta: ¿La dirección para ver el archivo hosts no es esta?

C:\Windows\system32\drivers\etc\

Es que si no le pongo “drivers” me dice que la dirección no existe.

El archivo hosts yo lo había desinfectado con ayuda de otro usuario hace como 15 días utilizando el (Lop S&D).

Así que todo lo que está en el es lo siguiente:

Código:

127.0.0.1       localhost

Ay otros archivos que dicen hosts pero van seguidos de una numeración y no se pueden abrir, no sé si esos tendrán algo que ver??

Otra cosa: ¿Entonces no hay problema con lo que encontró el Panda ActiveScan?

¡Gracias por la ayuda!

Saludos.

**MonzonM** · 03/09/10, 23:01:07

Hola Joe_ql y con permiso Alfa97.

@Joe_ql: Intenta con lo siguiente, tengo dos ideas para atacar especificamente le problema:

____Paso #1.____
Descarga IniRem

Ejecutalo siguiendo los pasos:

Descargar IniRem 2.0.3.zip y descomprimir el archivo
Doble Clic en el archivo IniRem 2.0.3.exe
Ingresar la pagina de inicio que desee tener en el navegador Internet Explorer
Presionar el botón Desbloquear IE

Comentas si se solucionó!

**Joe_ql** · 04/09/10, 00:24:40

Hola MonzonM y Alfa97

¡De verdad gracias a los dos! ¡Agradezco desde el alma su ayuda!

Hoy por la noche voy a terminar de desfragmentar el disco con PerfecDisk para agilizar los escaneos.

Luego regreso lo más pronto posible con el reporte...

Solo una pregunta: ¿Por qué en la descripción de IniRem dice que cuando restaure el archivo hosts introduzca las siguientes líneas?

• 75.127.69.91 www.forospyware.com
• 75.127.69.91 forospyware.com
• 75.127.86.187 www.infospyware.com
• 75.127.86.187 infospyware.com

¿Para que es esto?

¡Nuevamente GRACIAS!

Salu2.

**Alfa97** · 04/09/10, 09:42:23

Hola

El IniRem es una herramienta creada por el Equipo de ForoSpyware. El host tiene una lista que impide el acceso a página malignas. Y muchos malwares, agregan estas lineas, en el Inirem, dice agregar esas lineas Restaurar Host. Eso lo que pienso yo...

Como tu host no es muy seguro, te recomiendo que bajes el SpyBot Search & Destroy el cual también modificará el host haciendolo muy seguro.

Saludos

y comenta si se arregló el tema!

Problemas con Adware (ad.yieldmanager.com) (Solucionado)

Herramientas

Problemas con Adware (ad.yieldmanager.com) (Solucionado)

Re: Problemas con Adware (ad.yieldmanager.com)

Re: Problemas con Adware (ad.yieldmanager.com)

Re: Problemas con Adware (ad.yieldmanager.com)

Re: Problemas con Adware (ad.yieldmanager.com)

Re: Problemas con Adware (ad.yieldmanager.com)

Re: Problemas con Adware (ad.yieldmanager.com)

Re: Problemas con Adware (ad.yieldmanager.com)

Re: Problemas con Adware (ad.yieldmanager.com)

Re: Problemas con Adware (ad.yieldmanager.com)