Problemilla con Lollipop. (Solucionado)

**sarthas** · 12/08/12, 14:32:53

Hola, no sabia donde poner este tipo de amenaza así que la he colocado aqui (foro de virus y spywares) si no es el sitio apropiado pido disculpas.

Tengo mi WXP bastante pelado, con el SP3 y un ESET 32 de Antivirus. En una de las comprobaciones del ESET de la memoria operativa me detectó esto:

"Memoria operativa = Lollipop.exe(1596) - una variante de Win32/Adware.NaviPromo.AG aplicación - no es posible su desinfección"

Volví a correrlo para todo el disco duro con idéntico resultado.

El caso es que he husmeado por ahí y no obtengo evidencia de que esto sea un virus, amenaza, spyware o simlar. No noto absolutamente nada o eso creo. El caso es que ESET dice que no puede desinfectarlo, pero no sé si tengo una amenaza en ciernes.

¿Podéis ayudarme con info acerca de Lollipop, sus consecuencias y sobre como eliminarlo de mi ordenador?

Gracias anticipadas.

**RevesdeLiberte** · 12/08/12, 23:24:11

Hola.

Realiza el siguiente procedimiento respetando el orden de los pasos. También lee los manuales de las herramientas indicadas. Si un paso resulta imposible realizar continua con el siguiente. Recomiendo imprimir los pasos para realizarlos con todos los programas y ventanas cerrados.

1.- Descarga, Instala o Actualiza estas herramientas, pero no las ejecutes aùn:

CCleaner. Lo instalas como indica su Manual.

Malwarebytes Anti-Malware. Lo instalas y en su pestaña Actualizar pulsa en Buscar actualizaciones.

2.- Ahora ejecuta de una por una y respetando estrictamente el orden:

a) CCleaner

Lo ejecutas en su opción Limpiador, luego Registro como lo indica su Manual.

b) Malwarebytes Anti-Malware

En su pestaña Escáner > Realizar un Análisis completo
Haga clic en Analizar, seleccione todas las unidades > haga clic en "Examinar"
Terminando en "Mostrar resultados" > haga clic en Eliminar seleccionados
Aceptar el reinicio > un reporte quedara guardado en la pestaña Registros.

c) Realiza un examen en linea con ESET Online Scanner como indica su Manual

Es importante que guardes el reporte antes de cerrar en programa, de lo contrario lee el manual para ubicarlo.

3.- En la siguiente respuesta pega los reportes de:

Malwarebytes Anti-Malware
ESET Online Scanner

Nota: En caso de que no puedas hacer los pasos en modo normal, inicia en Modo Seguro con funciones de Red

Me comentas como funciona el ordenador respecto al problema planteado inicialmente.

**sarthas** · 14/08/12, 05:41:36

Pues muchas gracias por contestar, Reves. Ahí van los reportes.

EN PRIMER LUGAR EL DE ANTIMALWARE:

Malwarebytes Anti-Malware (Versión de Prueba) 1.62.0.1300
www.malwarebytes.org

Versión de la Base de Datos: v2012.08.14.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
HOME :: HOME-896CCB45A1 [administrador]

Protección: Personas de movilidad reducida

14/08/2012 8:34:31
mbam-log-2012-08-14 (08-34-31).txt

Tipos de Análisis: Análisis Completo (C:\|)
Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: P2P
Objetos examinados: 192684
Tiempo transcurrido: 55 minuto(s), 47 segundo(s)

Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Valores del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)

Archivos Detectados: 1
C:\Documents and Settings\HOME\Mis documentos\Downloads\SoftonicDownloader_para_utorrent.exe (PUP.ToolbarDownloader) -> En cuarentena y eliminado con éxito.

fin)

EN SEGUNDO LUGAR, EL DE ESET ONLINE SCANNER (este dijo que me detectó dos: te los numero:

1) C:\Documents and Settings\HOME\Configuración local\Datos de programa\Google\Chrome\User Data\Default\Cache\f_000345 Win32/Toolbar.SearchSuite aplicación no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
2) Memoria operativa una variante de Win32/Adware.NaviPromo.AG aplicación

OBSERVACIONES ADICIONALES:

Ya he podido comprobar el efecto del tal Lollipop, de repente me emerge una página en google chrome (es el que uso por defecto) y salta algo de lillipop, se convierte a openclick, y lo redirige casi siempre a publicidad de Jazztel, lo cierro a y los pocos minutos vuelta a empezar.

Aparentemente antimalwarebytes lo eliminó, pero después volvió a saltar el efecto antes comentado, luego pasé el ESET ONLINE ESCANNER con el resultado que te adjunto.

También he podido comprobar, cosa que en el anterior post no hice, que Lollipop me aparece en la lista de programas instalados dentro de Panel de Control, Agregar o quitar programas, a lo mejor es tan sencillo como desinstalarlo, pero de momento no he tocado nada. También he visto que sale un toolbar por ahí dando guerra en los reportes.

Estoy a vuestra disposición para seguir lo que me indiquéis. Gracias mil.

**sarthas** · 20/08/12, 16:40:29

Probé a desinstalar el Lollipop, ya que como conté me salía en la lista de programas instalados. Lo desinstala, pero al poco vuelve a estar presente la infección nuevamente instalado. Ya reporté lo que se me recomendó. ¿alguna sugerencia para atajarlo?

**RevesdeLiberte** · 21/08/12, 17:53:25

Hola.

Disculpa la tardanza pero tuve problemas personales, por favor si aun necesitas ayuda házmelo saber con la información actualizada de como marcha el ordenador.

Mis disculpas.

**sarthas** · 21/08/12, 18:18:00

No hay nada que disculpar, faltaría más. Gracias por tu interés a pesar de tus problemas personales, a los que todos tenemos derecho.

El ordenador sigue igual, exactamente igual. Verás en mi respuesta a tus sugerencias los report que te mande hace una semana aprox y esto sigue exactamente igual.

En mi anterior post comentó que intenté desinstalarlo desde el panel de control (se dejaba), lo conseguí pero a continuacion volvió a "brotar". No hay manera de cargárselo, ni tampoco con el antimalwarebytes ni con el ESET on line.

El efecto es meramente publicitario, cuando estoy en google chrome me saltan páginas de jazztel, el diario de america y cosas así. Es molesto pero no parece muy nocivo.

Un saludo,

**RevesdeLiberte** · 21/08/12, 18:37:38

Hola.

Gracias por la comprensión, vamos a seguir probando, para ello si esta instalada Lollipop quitala para el siguiente paso.

Realiza lo siguiente:

Descarga AT-Destroyer by InfoSpyware en tu escritorio.
Deshabilita temporalmente tus herramientas Antivirus y/o Antispyware.
Has doble clic sobre AT-Destroyer.exe para ejecutar la herramienta.
Has clic en Si para aceptar los términos, pulsa la tecla 1, a continuación pulsa enter.
El escritorio desaparecerá momentáneamente, esto es normal, terminando el análisis clic en Aceptar.

Se abrirá un bloc de notas con el reporte, copia y pega todo su contenido en la siguiente respuesta para revisarlo.

**sarthas** · 23/08/12, 18:04:17

Pues dicho y hecho, aquí te pego el reporte de AT-Destroyer:

#################################################### A/T-Destroyer by InfoSpyware ############

A/T-Destroyer 1.0.7 By Infospyware
www.infospyware.com
Fecha iniciada en el analisis 23/08/2012
Hora iniciada en el analisis 23:59:08,42
Usuario Actual : [C:\Documents and Settings\HOME]
Sistema Operativo: Windows XP
Service pack: 3
Arquitectura: Sistema operativo de 32 bits
Versión Internet Explorer: 6.0.2900.5512
Modo Actual: Modo Normal.
Privilegios: [HOME-Administrador]
Versión Google Chrome: 21.0.1180.83
Versión Mozilla Firefox:

====== Servicios Eliminados By A/T-Destroyer ======

====== Claves Eliminadas By A/T-Destroyer ======

====== Archivos/Carpetas Eliminados By A/T-Destroyer ======

====== Información Extra ======

-_-_-_-_-_-_-_-_ Configuraciones de internet Explorer -_-_-_-_-_-_-_-_
"HKCU\Software\Microsoft\Internet Explorer\Main"
-
Start Page == http://www.google.com
-
Search Page == http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
-
Local Page == C:\WINDOWS\system32\blank.htm
-
-

"HKLM\Software\Microsoft\Internet Explorer\Main"
-
Start Page == http://www.google.com
-
Search Page == http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
-
Local Page == %SystemRoot%\system32\blank.htm
-
Default_Search_URL == http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
-
Default_Page_URL == http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

"HKEY_USERS\S-1-5-21-725345543-842925246-1343024091-1003\Software\Microsoft\Internet Explorer\Main"
-
Start Page == http://www.google.com
-
Search Page == http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
-
Local Page == C:\WINDOWS\system32\blank.htm
-
-

-_-_-_-_-_-_-_-_ Configuraciones de Google Chrome-_-_-_-_-_-_-_-_
"homepage": "http://www.google.com/",
"homepage_changed": true,
"homepage_is_newtabpage": false,

======= EOF =======

Un cordial saludo.

**RevesdeLiberte** · 24/08/12, 12:45:53

Buenas

Realiza lo siguiente:

Descarga Lop S&D en tu escritorio.
Ejecutas la herramienta en su opción 2 - Eliminar + Hosts

Terminando se abrirá un reporte, del cual debes pegar todo el contenido en tu siguiente respuesta.

**sarthas** · 02/09/12, 05:30:40

Buenas, ahora el que pide disculpas soy yo. Estuve ausente durante una semana lejos del ordenata interfecto. Al arrancar el ordenador ESET32 me advierte de lo siguiente:

02/09/2012 10:47:15 Análisis en el inicio archivo Memoria operativa = ctdryp.exe(1920) una variante de Win32/Adware.NaviPromo.AG aplicación no es posible su desinfección

Con lo que veo que ha mutado de nombre y ya no es Lollipop sino ctdryp, aunque la descripción del antivirus es la misma y los efectos los mismos. Paso a descargar la herramienta que me sugieres (LopR), ejecutarla, y .... aquí está el reporte, ya me contarás. Un saludo,

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 1800+ )
BIOS : Ver 1.65
USER : HOME ( Administrator )
BOOT : Normal boot
Antivirus : ESET NOD32 Antivirus 4.2 4.2 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:57 Go (Free:43 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [2] ( 02/09/2012|11:18 )

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ ELIMINAR

í Borrado ! - C:\DOCUME~1\HOME\Cookies\[email protected][2].txt

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

--------------------\\ Lista de carpetas en DATOSD~1

[09/08/2012|08:38] C:\DOCUME~1\ALLUSE~1\DATOSD~1\ESET
[14/08/2012|08:10] C:\DOCUME~1\ALLUSE~1\DATOSD~1\Malwarebytes
[07/08/2012|14:57] C:\DOCUME~1\ALLUSE~1\DATOSD~1\Microsoft
[0|archivos] C:\DOCUME~1\ALLUSE~1\DATOSD~1\bytes
[5|dirs] C:\DOCUME~1\ALLUSE~1\DATOSD~1\bytes libres

[07/08/2012|14:57] C:\DOCUME~1\DEFAUL~1\DATOSD~1\Microsoft
[0|archivos] C:\DOCUME~1\DEFAUL~1\DATOSD~1\bytes
[3|dirs] C:\DOCUME~1\DEFAUL~1\DATOSD~1\bytes libres

[07/08/2012|15:03] C:\DOCUME~1\HOME\DATOSD~1\Identities
[14/08/2012|08:10] C:\DOCUME~1\HOME\DATOSD~1\Malwarebytes
[09/08/2012|18:31] C:\DOCUME~1\HOME\DATOSD~1\Microsoft
[02/09/2012|11:19] C:\DOCUME~1\HOME\DATOSD~1\uTorrent
[11/08/2012|12:03] C:\DOCUME~1\HOME\DATOSD~1\vlc
[09/08/2012|20:17] C:\DOCUME~1\HOME\DATOSD~1\WinRAR
[0|archivos] C:\DOCUME~1\HOME\DATOSD~1\bytes
[8|dirs] C:\DOCUME~1\HOME\DATOSD~1\bytes libres

[07/08/2012|15:01] C:\DOCUME~1\LOCALS~1\DATOSD~1\Microsoft
[0|archivos] C:\DOCUME~1\LOCALS~1\DATOSD~1\bytes
[3|dirs] C:\DOCUME~1\LOCALS~1\DATOSD~1\bytes libres

[07/08/2012|15:01] C:\DOCUME~1\NETWOR~1\DATOSD~1\Microsoft
[0|archivos] C:\DOCUME~1\NETWOR~1\DATOSD~1\bytes
[3|dirs] C:\DOCUME~1\NETWOR~1\DATOSD~1\bytes libres

--------------------\\ Tareas programadas en C:\WINDOWS\Tasks

[23/08/2012 23:37][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-725345543-842925246-1343024091-1003UA.job
[17/08/2012 15:37][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-725345543-842925246-1343024091-1003Core.job
[02/09/2012 10:41][--ah-----] C:\WINDOWS\tasks\SA.DAT
[20/08/2004 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Lista de carpetas en C:\Archivos de programa

[09/08/2012|08:34] C:\Archivos de programa\Adobe
[09/08/2012|23:12] C:\Archivos de programa\Archivos comunes
[14/08/2012|08:08] C:\Archivos de programa\CCleaner
[07/08/2012|14:52] C:\Archivos de programa\ComPlus Applications
[14/08/2012|10:51] C:\Archivos de programa\ESET
[09/08/2012|17:57] C:\Archivos de programa\Internet Explorer
[09/08/2012|23:06] C:\Archivos de programa\JDownloader
[23/08/2012|15:09] C:\Archivos de programa\JDownloader 2.0
[14/08/2012|08:13] C:\Archivos de programa\Malwarebytes' Anti-Malware
[09/08/2012|17:58] C:\Archivos de programa\Messenger
[07/08/2012|14:57] C:\Archivos de programa\microsoft frontpage
[09/08/2012|17:57] C:\Archivos de programa\Movie Maker
[07/08/2012|14:51] C:\Archivos de programa\MSN
[07/08/2012|14:51] C:\Archivos de programa\MSN Gaming Zone
[09/08/2012|17:55] C:\Archivos de programa\NetMeeting
[07/08/2012|14:52] C:\Archivos de programa\Online Services
[09/08/2012|17:55] C:\Archivos de programa\Outlook Express
[07/08/2012|14:55] C:\Archivos de programa\Servicios en l¡nea
[07/08/2012|15:03] C:\Archivos de programa\Uninstall Information
[11/08/2012|12:49] C:\Archivos de programa\uTorrent
[09/08/2012|17:28] C:\Archivos de programa\VideoLAN
[09/08/2012|17:58] C:\Archivos de programa\Windows Media Player
[09/08/2012|17:55] C:\Archivos de programa\Windows NT
[07/08/2012|14:55] C:\Archivos de programa\WindowsUpdate
[09/08/2012|23:10] C:\Archivos de programa\WinRAR
[07/08/2012|14:57] C:\Archivos de programa\xerox
[14/08/2012|08:08] C:\Archivos de programa\Yahoo!
[0|archivos] C:\Archivos de programa\bytes
[29|dirs] C:\Archivos de programa\bytes libres

--------------------\\ Lista de carpetas en C:\Archivos de programa\Archivos comunes

[09/08/2012|08:34] C:\Archivos de programa\Archivos comunes\Adobe
[09/08/2012|23:12] C:\Archivos de programa\Archivos comunes\i4j_jres
[07/08/2012|15:07] C:\Archivos de programa\Archivos comunes\InstallShield
[07/08/2012|15:03] C:\Archivos de programa\Archivos comunes\Microsoft Shared
[07/08/2012|14:54] C:\Archivos de programa\Archivos comunes\MSSoap
[07/08/2012|15:44] C:\Archivos de programa\Archivos comunes\ODBC
[07/08/2012|14:54] C:\Archivos de programa\Archivos comunes\Services
[07/08/2012|15:44] C:\Archivos de programa\Archivos comunes\SpeechEngines
[09/08/2012|17:55] C:\Archivos de programa\Archivos comunes\System
[0|archivos] C:\Archivos de programa\Archivos comunes\bytes
[11|dirs] C:\Archivos de programa\Archivos comunes\bytes libres

--------------------\\ Process

( 24 Processes )

... OK !

--------------------\\ Deteccion con S_Lop

¡ No se encontraron carpetas Lop !

--------------------\\ Deteccion de archivos y carpetas Lop

¡ No se encontraron carpetas Lop !

--------------------\\ Deteccion en el registro de windows

..... OK !

--------------------\\ Analizando el archivo Hosts

Archivo Hosts LIMPIO

--------------------\\ Deteccion de archivos invisibles con Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-09-02 11:21:58
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Deteccion de otras infecciones

¡ No se encontraron otras infecciones !

[F:123][D:11]-> C:\DOCUME~1\HOME\CONFIG~1\Temp
[F:16][D:0]-> C:\DOCUME~1\HOME\Cookies
[F:182][D:4]-> C:\DOCUME~1\HOME\CONFIG~1\ARCHIV~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 02/09/2012|11:22 - Option : [2]

--------------------\\ Analisis terminado a 11:22:56

Problemilla con Lollipop. (Solucionado)

Herramientas

Problemilla con Lollipop. (Solucionado)

Re: problemilla con Lollipop

Re: problemilla con Lollipop

Re: problemilla con Lollipop

Re: problemilla con Lollipop

Re: problemilla con Lollipop

Re: problemilla con Lollipop

Re: problemilla con Lollipop

Re: problemilla con Lollipop

Re: problemilla con Lollipop