Help - Search - Members
Full Version: GOOGLE redirecciona a webs spam
Kaspersky Lab Forum > Forum para usuarios hispanohablantes > Virus
yanma
Buenas noches, desde hace varios días al usar tanto Firefox como Internet Explorer tengo varios problemas:
-En principio al abrir el navegador no hay ningún inconveniente, pero percibo que en la barra de direcciones de debajo del todo aparece una dirección algo así como "www.ghgsfd..." al abrir Google.

-Ahora sí, al hacer una búsqueda en Google no hay ningún problema, pero al pinchar en cualquiera de los resultados de búsqueda me redirecciona a otras páginas web de publicidad, spam, etc.

-No me funciona ningún enlace de Google, pero tampoco de ninguna otra página, siempre que pincho o hago click en algo me redirecciona a diferentes páginas de publicidad cada vez y siempre aparece la dirección citada "www.ghgsfd..." o algo parecido.
A veces aparece un mensaje del Firefox que dice:
Esta página le va a redireccionar indefinidamente.

-No me deja entrar en ninguna página relacionada con Antivirus o seguridad informática desde ningún navegador,
ahora mismo os escribo desde otro ordenador porque en el infectado no puedo entrar a esta página!

¿Alguna solución?

Gracias! smile.gif
Kikesan
Hola,

Te recomiendo que te revises las normas del foro, postea toda la información que en ellas se pide (Versión y build de Kaspersky instalado, Sistema Operativo, etc), postea tu getsysteminfo (GSI) utilizando mejor la nueva versión GSI Tool 4.0.X, el reporte que genere súbelo a http://www.getsysteminfo.com y posteas el enlace de tu reporte.
También postea tu AVZ Log: http://forum.kaspersky.com/index.php?showtopic=116409

Tu equipo parece estar infectado, por favor postea tu AVZ log y espera a que un moderador te indique los pasos a seguir para desinfectar tu equipo.

Saludos.
Caos
Hola,

Te recomiendo que te revises las normas del foro, te serán de gran ayuda.

Postea toda la información que en ellas se pide (Versión y build de Kaspersky instalado, S.O. y servicepack instalados, postea tu getsysteminfo (gsi)
utilizando mejor la nueva versión que encontraras al final de mi post (en mi firma), postea tu avzlog para revisarlo, etc...) para que te podamos ayudar.

Lo muevo al foro correspondiente de virus.

Saludos
yanma
Bien, el problema que tengo como os comentaba es que desde el ordenador infectado no me deja entrar en esta página web, así que no sé como puedo subir lo que me pedís,
la información que si os puedo dar es la siguiente:

Versión de Kaspersky: Kaspersky Internet Security 8.0.0.506

Sistema Operativo: Windows Vista Home Premium 32 Bits

Me podías decir como puedo subir el getsysteminfo y el AVZ log si no puedo entrar en la web?

Gracias por su atención.
harlan4096
Puedes probar a generar los informes GSI y AVZ en el ordenador infectado, pasarlos a un pendrive y subirlos al foro desde otro sistema.

Saludos.
Caos
QUOTE(yanma @ 14.01.2010 22:07) *
Bien, el problema que tengo como os comentaba es que desde el ordenador infectado no me deja entrar en esta página web, así que no sé como puedo subir lo que me pedís,
la información que si os puedo dar es la siguiente:

Versión de Kaspersky: Kaspersky Internet Security 8.0.0.506

Sistema Operativo: Windows Vista Home Premium 32 Bits

Me podías decir como puedo subir el getsysteminfo y el AVZ log si no puedo entrar en la web?

Gracias por su atención.


Sino puedes entrar al foro/web, como posteas ????

Sin tener el getsysteminfo (gsi) y el avz log difícilmente te podremos ayudar, genera los informes, pasalos a un pendrive y subelos desde otro equipo.

Una vez que hayamos limpiado el equipo, te recomiendo que desinstales completamente la versión de Kaspersky instalada, reinicies el equipo, le pases un buen limpiador de registro (jv16powertools, PowerTools Lite (gratuito), ccleaner (gratuito), etc...), e instales la ultima versión de Kaspersky disponible en su página web o en su ftp. En estos momentos Kaspersky 2010 v9.0.0.736, ya que la versión que tienes instalada es bastante antigua.

Revisa antes que tengas copia de seguridad de tu código de activación, lo necesitaras para activar de nuevo tu Kaspersky. Te recuerdo que mientras tu licencia no haya caducado puedes actualizar gratuitamente a cualquier nueva versión de tu producto que este disponible.

Puedes descargar los programas: jv16powertools y PowerTools Lite (gratuito) en http://www.macecraft.com

Saludos
yanma
Claro! Evidentemente puedo postear porque me meto desde el ordenador de casa de un amigo!!
Por eso tengo un gran problema ohmy.gif

Muy bien, voy a hacer eso, lo paso a un pen y lo subo desde este ordenador esta tarde,
por cierto, el CCleaner se lo he pasado ya porque lo tengo instalado desde hace tiempo,

cuando se haya solucionado el problema instalaré la última versión de Kaspersky como me decís


muchas gracias! smile.gif
yanma
Buenas!

Ya he conseguido el GSI y el AVZ log


GSI: http://www.getsysteminfo.com/read.php?file...1aaf73&ms=0


AVZ log: Click to view attachment

A ver si así me pueden ayudar!
RadarpSP
Elimina todo el contenido de C:\WINDOWS\Temp\
Desactiva el Windows Defender. Ejecuta services.msc, lo buscas, lo detienes y luego con doble click lo deshabilitas. Reinicia.
Luego ejecuta este script:
CODE
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}');
DelBHO('{5C255C8A-E604-49b4-9D64-90988571CECB}');
QuarantineFile('C:\Program Files\MFP Server\App\Common\MFPAgent.exe','');
QuarantineFile('C:\Users\Eugenio\ntload.dll','');
DeleteFile('C:\Users\Eugenio\ntload.dll');
DeleteFile('C:\Program Files\MFP Server\App\Common\MFPAgent.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Despues de ejecutar el script, postea tu combofix log:
Descargalo aquí

Antes de guardarlo, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.

Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar
manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.

Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.
Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto
puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.

Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y apareceran en cuanto la exploración haya terminado.

Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en
c:\combofix.txt, por favor, adjuntalo en tu siguiente post.

Una vez realizada la limpieza, terminado de usar el ComboFix, se recomienda desinstalarlo, sigue los siguientes pasos:
Ve a Inicio -> Ejecutar -> Teclea o copia y pega el siguiente comando ComboFix /u y pulsa Entrar (enter)
yanma
Una vez seguida las instrucciones aquí está el archivo log: Click to view attachment

¿Puedo volver a habilitar el Kaspersky y el Windows Defender?


EDIT: Una cosa, al desinstalar el ComboFix como me ha dicho se está volviendo a ejecutar!
RadarpSP
QUOTE(yanma @ 16.01.2010 19:07) *
Una vez seguida las instrucciones aquí está el archivo log: Click to view attachment

¿Puedo volver a habilitar el Kaspersky y el Windows Defender?
EDIT: Una cosa, al desinstalar el ComboFix como me ha dicho se está volviendo a ejecutar!

No se deben ejecutar a la vez. Se solapan y puede haber problemas. En el combofix parece que se sigue ejecutando.
Ve a inicio, ejecuta msconfig, en la pestaña inicio desmarca Windows Defender.
A veces pasa con el combofix, se vuelve a ejecutar. Borra el fichero.
¿funciona ahora google?
Kikesan
Hola,

Para desinstalar ComboFix, intenta el comando ComboFix /uninstall en Menú Inicio>Ejecutar.

Saludos.
yanma
(RadarpSP @ 16.01.2010 22:58) *
No se deben ejecutar a la vez. Se solapan y puede haber problemas. En el combofix parece que se sigue ejecutando.
Ve a inicio, ejecuta msconfig, en la pestaña inicio desmarca Windows Defender.
A veces pasa con el combofix, se vuelve a ejecutar. Borra el fichero.
¿funciona ahora google?


De acuerdo, deshabilito el Defender.

Google funciona perfectamente, parece todo arreglado, muchas gracias por la ayuda! biggrin.gif

(kikesan @ 17.01.2010 02:08) *
Hola,

Para desinstalar ComboFix, intenta el comando ComboFix /uninstall en Menú Inicio>Ejecutar.

Saludos.


Funciona, perfecto.
Gracias!


Podemos dar el tema como solucionado.
Caos
Me alegro que ya este solucionado.

Para mayor seguridad, escanea tu equipo con el programa Malwarebytes Antimalware: http://www.malwarebytes.org/ ,y postea su log en el foro, no elimines ni modifiques nada, hasta que revisemos el log.

Saludos
yanma
(Caos @ 18.01.2010 07:00) *
Me alegro que ya este solucionado.

Para mayor seguridad, escanea tu equipo con el programa Malwarebytes Antimalware: http://www.malwarebytes.org/ ,y postea su log en el foro, no elimines ni modifiques nada, hasta que revisemos el log.

Saludos



Buenas de nuevo, he hecho lo que se me indicaba, estaba examinando el PC con el Malwarebytes cuando ha detectado algo y se ha parado, se ha bloqueado:

Click to view attachment

entonces he pasado a examinar esa carpeta con el Kaspersky y me ha detectado un trojano y lo ha eliminado automaticamente,
parece raro porque la carpeta esa se ha creado hace sólo unos minutos:

Click to view attachment

parece ser algo del Combofix..

volveré a pasar el Malwarebytes y adjunto el log wink.gif




EDITO: Cuando se me bloqueó el Malwarebytes estaba realizando un Examen Completo, al volver a iniciar he hecho un examen rápido, éste es el log:

Malwarebytes' Anti-Malware 1.44
Versión de la Base de Datos: 3510
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18865

18/01/2010 20:15:33
mbam-log-2010-01-18 (20-15-33).txt

Tipo de examen : Examen Rápido
Objetos examinados: 100704
Tiempo transcurrido: 4 minute(s), 29 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)



Ahora pasaré a hacer un examen avanzado!
harlan4096
En la segunda captura que nos has subido, lo que aparece es la cuarentena del ComboFix, posiblemente Kaspersky ha detectado lo que CF puso en cuarentena.

Sube una captura de Kaspersky: Cuarentena -> Amenazas Detectadas -> Todo.

Saludos.
yanma
(harlan4096 @ 18.01.2010 20:16) *
En la segunda captura que nos has subido, lo que aparece es la cuarentena del ComboFix, posiblemente Kaspersky ha detectado lo que CF puso en cuarentena.

Sube una captura de Kaspersky: Cuarentena -> Amenazas Detectadas -> Todo.

Saludos.




Aquí está la captura:

Click to view attachment



EDIT: Una cosa, si he desinstalado el ComboFix por qué sigue habiendo carpetas del programa?
harlan4096
QUOTE(yanma @ 18.01.2010 20:52) *
Aquí está la captura:

Click to view attachment
EDIT: Una cosa, si he desinstalado el ComboFix por qué sigue habiendo carpetas del programa?


Correcto, lo que ha detectado antes Kaspersky es un archivo renombrado de la cuarentena del ComboFix, y lo ha eliminado, se puede ver en la captura.

Esas carpetas no se han vuelto a crear después de haber instalado CF, se generaron cuando ejecutaste el CF y al parecer no son desinstaladas automáticamente, si quieres puedes borrarlas.

Saludos.
Caos
Misma opinión.

Elimina la cuarentena del combofix, si es posible envíame antes de eliminar, dicha carpeta comprimida con winrar y con contraseña "infected" (sin las comillas) para su revisión, por mensaje privado.

Ejecuta el malwarebytes y postea su log para revisarlo.

Saludos
yanma
(Caos @ 20.01.2010 10:19) *
Misma opinión.

Elimina la cuarentena del combofix, si es posible envíame antes de eliminar, dicha carpeta comprimida con winrar y con contraseña "infected" (sin las comillas) para su revisión, por mensaje privado.

Ejecuta el malwarebytes y postea su log para revisarlo.

Saludos



Siento la tardanza (he estado unos días fuera)
aquí está el log del malwarebytesClick to view attachment

Parece que detectó algo y lo eliminó!
RadarpSP
Solo ha encontrado un fichero infectado, pero estaba ya en la cuarentena de Kis, que ya lo había detectado antes.
Por lo tanto, todo parece limpio.
yanma
Se puede dar entonces por solucionado el tema o debo analizar algo más?
Caos
Para tu total seguridad:

Comprueba que hayas eliminado la cuarentena del combofix, para que no vuelva a ser detectada.

Elimina de la lista, de amenaza detectadas, las amenazas activas, en cuarentena, los archivos reparados, y todo el software malicioso detectado.

Actualiza las firmas de Kaspersky, y realiza un escaneo completo de tu sistema con todas las opciones al máximo, si te detecta algo postea imagen de la detección.

Actualiza las firmas del malwarebytes y realiza un nuevo escaneo, postea su log para su revisión.

Saludos
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2014 Invision Power Services, Inc.