Virus doble acento circunflejo "^^"
Resuelto
luc92
Mensajes publicados
23
Fecha de registro
Estado
Miembro
Última intervención
-
Thomas -
Thomas -
Hola,
Soy nuevo en este foro.
Desde hace unos días, creo que estoy infectado por un virus.
Obtengo la visualización directa de 2 acentos "^^" cuando presiono una sola vez la tecla "^"
(tecla al lado de la p). El mismo comportamiento ocurre con el Diéresis: ¨¨
Por ejemplo, si intento escribir una (ê) con las 2 teclas sucesivas "^" + "e", obtengo en la pantalla "^^e" en lugar del carácter "ê" esperado
(nota: todos los caracteres acentuados "ê" "û" .... presentes en mi mensaje provienen de otros documentos, ya que ahora me es imposible generarlos a partir de mi teclado.
Es, por supuesto, muy frustrante no poder ingresar estos caracteres directamente.
Pero más grave, temo sobre todo que se trate de un software espía capaz de duplicar todos los caracteres ingresados en el teclado para recuperar información personal al momento de ingresarla (contraseñas, códigos bancarios ingresados durante compras en línea ...).
He tomado la delantera descargando y ejecutando ZHPDiag con un Informe de ZHPDiag v2013.docx guardado en Word para conservar el formato y los caracteres en color (hay líneas en rojo).
Gracias de antemano por su ayuda y por indicarme cómo enviarles este informe.
Mi configuración es Windows XP Pro versión 35.1 service pack 3 y mi computadora es un Dell D630.
Uso Internet Explorer 8.0 y Mozilla Firefox.
Configuración: Windows XP / Internet Explorer 8.0
Soy nuevo en este foro.
Desde hace unos días, creo que estoy infectado por un virus.
Obtengo la visualización directa de 2 acentos "^^" cuando presiono una sola vez la tecla "^"
(tecla al lado de la p). El mismo comportamiento ocurre con el Diéresis: ¨¨
Por ejemplo, si intento escribir una (ê) con las 2 teclas sucesivas "^" + "e", obtengo en la pantalla "^^e" en lugar del carácter "ê" esperado
(nota: todos los caracteres acentuados "ê" "û" .... presentes en mi mensaje provienen de otros documentos, ya que ahora me es imposible generarlos a partir de mi teclado.
Es, por supuesto, muy frustrante no poder ingresar estos caracteres directamente.
Pero más grave, temo sobre todo que se trate de un software espía capaz de duplicar todos los caracteres ingresados en el teclado para recuperar información personal al momento de ingresarla (contraseñas, códigos bancarios ingresados durante compras en línea ...).
He tomado la delantera descargando y ejecutando ZHPDiag con un Informe de ZHPDiag v2013.docx guardado en Word para conservar el formato y los caracteres en color (hay líneas en rojo).
Gracias de antemano por su ayuda y por indicarme cómo enviarles este informe.
Mi configuración es Windows XP Pro versión 35.1 service pack 3 y mi computadora es un Dell D630.
Uso Internet Explorer 8.0 y Mozilla Firefox.
Configuración: Windows XP / Internet Explorer 8.0
17 respuestas
ok thx
¡Atención!!!: ¡Solo estos enlaces son oficiales, no descargues la herramienta desde otros enlaces!
¡Atención!!!: esta herramienta puede ser detectada erróneamente como un virus
¡Atención!!!: esta herramienta es poderosa, sigue cuidadosamente las instrucciones a continuación
todos los procesos "no vitales de Windows" serán detenidos, guarda tu trabajo. Habrá un apagón en el escritorio durante el escaneo --> no te asustes.
Desactiva todas tus protecciones si es posible, antivirus, sandbox, firewalls, etc....: https://forum.pcastuces.com/default.asp
descarga y guarda Pre_Scan en tu escritorio:
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renombrar a winlogon)
o, si el enlace no funciona:
http://www.archive-host.com (renombrar a winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renombrar a winlogon)
si la herramienta se relanza varias veces, te ofrecerá un menú y como ninguna opción es solicitada, lanza la opción "Scan|Kill"
si la herramienta está bloqueada por la infección usa esta versión con estas otras extensiones:
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si la herramienta detecta un proxy y no has instalado ninguno, haz clic en "eliminar el proxy"
Puede que parpadeen ventanas negras, déjalo trabajar.
la herramienta enviará a un servidor los virus que ha puesto en cuarentena para que pueda mejorarlo y estudiar estas infecciones más a fondo.
Deja que la herramienta reinicie tu pc.
Publica Pre_Scan_la_fecha_y_la_hora.txt que aparecerá en la raíz de tu disco del sistema (generalmente C:\)
¡NO LO PUBLIQUES EN EL FORO!!! (es demasiado largo)
Aloja el informe en https://www.cjoint.com/ y luego da el enlace obtenido a cambio en el foro donde recibes ayuda
--
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concepto_¤¤¤¤¤¤¤¤¤¤
¡Atención!!!: ¡Solo estos enlaces son oficiales, no descargues la herramienta desde otros enlaces!
¡Atención!!!: esta herramienta puede ser detectada erróneamente como un virus
¡Atención!!!: esta herramienta es poderosa, sigue cuidadosamente las instrucciones a continuación
todos los procesos "no vitales de Windows" serán detenidos, guarda tu trabajo. Habrá un apagón en el escritorio durante el escaneo --> no te asustes.
Desactiva todas tus protecciones si es posible, antivirus, sandbox, firewalls, etc....: https://forum.pcastuces.com/default.asp
descarga y guarda Pre_Scan en tu escritorio:
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renombrar a winlogon)
o, si el enlace no funciona:
http://www.archive-host.com (renombrar a winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renombrar a winlogon)
si la herramienta se relanza varias veces, te ofrecerá un menú y como ninguna opción es solicitada, lanza la opción "Scan|Kill"
si la herramienta está bloqueada por la infección usa esta versión con estas otras extensiones:
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si la herramienta detecta un proxy y no has instalado ninguno, haz clic en "eliminar el proxy"
Puede que parpadeen ventanas negras, déjalo trabajar.
la herramienta enviará a un servidor los virus que ha puesto en cuarentena para que pueda mejorarlo y estudiar estas infecciones más a fondo.
Deja que la herramienta reinicie tu pc.
Publica Pre_Scan_la_fecha_y_la_hora.txt que aparecerá en la raíz de tu disco del sistema (generalmente C:\)
¡NO LO PUBLIQUES EN EL FORO!!! (es demasiado largo)
Aloja el informe en https://www.cjoint.com/ y luego da el enlace obtenido a cambio en el foro donde recibes ayuda
--
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concepto_¤¤¤¤¤¤¤¤¤¤
Buenas noches
Descarga AdwCleaner (de Xplode) en tu escritorio.
Ábrelo, haz clic en [Eliminar] y espera el tiempo que dure el escaneo.
Cuando aparezca el mensaje indicando que AdwCleaner ha detectado una variante específica de adware, haz clic en [Aceptar]
- El ordenador se reiniciará solo. Reinícialo en modo normal.
- AdwCleaner se abrirá normalmente, con la única opción posible [Eliminar]
- Haz clic en ello, y espera durante la eliminación.
- Una vez realizada la eliminación, AdwCleaner te invitará a reiniciar el ordenador
- Al reiniciar, se abrirá un informe. Publícalo en el foro.
Nota: El informe también se guarda en C:\AdwCleaner[S1].txt
A leer:
Las barras de herramientas no son obligatorias (por Malekal): https://forum.malekal.com/viewtopic.php?t=6173&start=
Los programas potencialmente no deseados:
https://forum.malekal.com/viewtopic.php?t=33776&start=
@+
--
--------Contribuidor de Seguridad---------
Todos hemos sido principiantes en algo algún día.
Pero el conocimiento es la recompensa de la dedicación.
Descarga AdwCleaner (de Xplode) en tu escritorio.
Ábrelo, haz clic en [Eliminar] y espera el tiempo que dure el escaneo.
Cuando aparezca el mensaje indicando que AdwCleaner ha detectado una variante específica de adware, haz clic en [Aceptar]
- El ordenador se reiniciará solo. Reinícialo en modo normal.
- AdwCleaner se abrirá normalmente, con la única opción posible [Eliminar]
- Haz clic en ello, y espera durante la eliminación.
- Una vez realizada la eliminación, AdwCleaner te invitará a reiniciar el ordenador
- Al reiniciar, se abrirá un informe. Publícalo en el foro.
Nota: El informe también se guarda en C:\AdwCleaner[S1].txt
A leer:
Las barras de herramientas no son obligatorias (por Malekal): https://forum.malekal.com/viewtopic.php?t=6173&start=
Los programas potencialmente no deseados:
https://forum.malekal.com/viewtopic.php?t=33776&start=
@+
--
--------Contribuidor de Seguridad---------
Todos hemos sido principiantes en algo algún día.
Pero el conocimiento es la recompensa de la dedicación.
# AdwCleaner v2.200 - Informe creado el 10/04/2013 a las 20:57:10
# Actualizado el 02/04/2013 por Xplode
# Sistema operativo: Microsoft Windows XP Service Pack 3 (32 bits)
# Nombre de usuario: lvidal - L-FR-11170
# Modo de inicio: Normal
# Ejecutado desde: D:\documents and settings\lvidal\Escritorio\adwcleaner.exe
# Opción [Eliminación]
***** [Servicios] *****
***** [Archivos / Carpetas] *****
Carpeta Eliminada: C:\Program Files\ICQ6Toolbar
Carpeta Eliminada: C:\Program Files\Protected Search
Carpeta Eliminada: C:\Program Files\Red Sky
Carpeta Eliminada: D:\Documents and Settings\All Users\Application Data\ICQ\ICQToolbar
Carpeta Eliminada: D:\Documents and Settings\lvidal\Local Settings\Application Data\DownTango
Carpeta Eliminada: D:\Documents and Settings\lvidal\Local Settings\Application Data\OpenCandy
Carpeta Eliminada: D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech
Archivo Eliminado: C:\WINDOWS\Tasks\Protected Search.job
Archivo Eliminado: D:\END
***** [Registro] *****
Clave Eliminada: HKCU\Software\AppDataLow\Software\SmartBar
Clave Eliminada: HKCU\Software\Conduit
Clave Eliminada: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}
Clave Eliminada: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clave Eliminada: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clave Eliminada: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clave Eliminada: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clave Eliminada: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clave Eliminada: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clave Eliminada: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clave Eliminada: HKCU\Software\ProtectedSearch
Clave Eliminada: HKLM\SOFTWARE\Classes\AppID\{3FC27B34-0C19-49DA-875E-1875DDD4A6B2}
Clave Eliminada: HKLM\SOFTWARE\Classes\CLSID\{A928E66C-F501-4E66-9953-855C712F93B2}
Clave Eliminada: HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{8DA8B89E-0C65-403B-8231-AB22ECFA0687}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{A928E66C-F501-4E66-9953-855C712F93B2}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{B0E28FA0-DF07-44B6-95CE-48BE26DB9266}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{E6B4EE8F-C38E-4994-BE28-229A3F92262C}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{FCA8936E-403A-4487-A966-70F80F1D5A6A}
Clave Eliminada: HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.Band
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.Band.1
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.NotificationSource
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.NotificationSource.1
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl.1
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.ToolbarInfo
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.ToolbarInfo.1
Clave Eliminada: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clave Eliminada: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Protected Search_is1
Clave Eliminada: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clave Eliminada: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clave Eliminada: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clave Eliminada: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Clave Eliminada: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Protected Search_is1
Clave Eliminada: HKLM\Software\pdfforge.org
Clave Eliminada: HKLM\Software\TENCENT
Valor Eliminado: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]
***** [Navegadores] *****
-\\ Internet Explorer v8.0.6001.18702
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd --> hxxp://www.google.com
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Reemplazado: [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Reemplazado: [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Reemplazado: [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Reemplazado: [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - (Predeterminado)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Reemplazado: [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl - (Predeterminado)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Reemplazado: [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
-\\ Mozilla Firefox v19.0.2 (fr)
Archivo: D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js
D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\user.js ... ¡Eliminado!
[OK] El archivo no contiene entradas ilegítimas.
*************************
AdwCleaner[S1].txt - [7297 octetos] - [10/04/2013 20:57:10]
########## EOF - D:\AdwCleaner[S1].txt - [7357 octetos] ##########
# Actualizado el 02/04/2013 por Xplode
# Sistema operativo: Microsoft Windows XP Service Pack 3 (32 bits)
# Nombre de usuario: lvidal - L-FR-11170
# Modo de inicio: Normal
# Ejecutado desde: D:\documents and settings\lvidal\Escritorio\adwcleaner.exe
# Opción [Eliminación]
***** [Servicios] *****
***** [Archivos / Carpetas] *****
Carpeta Eliminada: C:\Program Files\ICQ6Toolbar
Carpeta Eliminada: C:\Program Files\Protected Search
Carpeta Eliminada: C:\Program Files\Red Sky
Carpeta Eliminada: D:\Documents and Settings\All Users\Application Data\ICQ\ICQToolbar
Carpeta Eliminada: D:\Documents and Settings\lvidal\Local Settings\Application Data\DownTango
Carpeta Eliminada: D:\Documents and Settings\lvidal\Local Settings\Application Data\OpenCandy
Carpeta Eliminada: D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech
Archivo Eliminado: C:\WINDOWS\Tasks\Protected Search.job
Archivo Eliminado: D:\END
***** [Registro] *****
Clave Eliminada: HKCU\Software\AppDataLow\Software\SmartBar
Clave Eliminada: HKCU\Software\Conduit
Clave Eliminada: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}
Clave Eliminada: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clave Eliminada: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clave Eliminada: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clave Eliminada: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clave Eliminada: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clave Eliminada: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clave Eliminada: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clave Eliminada: HKCU\Software\ProtectedSearch
Clave Eliminada: HKLM\SOFTWARE\Classes\AppID\{3FC27B34-0C19-49DA-875E-1875DDD4A6B2}
Clave Eliminada: HKLM\SOFTWARE\Classes\CLSID\{A928E66C-F501-4E66-9953-855C712F93B2}
Clave Eliminada: HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{8DA8B89E-0C65-403B-8231-AB22ECFA0687}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{A928E66C-F501-4E66-9953-855C712F93B2}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{B0E28FA0-DF07-44B6-95CE-48BE26DB9266}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{E6B4EE8F-C38E-4994-BE28-229A3F92262C}
Clave Eliminada: HKLM\SOFTWARE\Classes\Interface\{FCA8936E-403A-4487-A966-70F80F1D5A6A}
Clave Eliminada: HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.Band
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.Band.1
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.NotificationSource
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.NotificationSource.1
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl.1
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.ToolbarInfo
Clave Eliminada: HKLM\SOFTWARE\Classes\wtb.ToolbarInfo.1
Clave Eliminada: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clave Eliminada: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Protected Search_is1
Clave Eliminada: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clave Eliminada: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clave Eliminada: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clave Eliminada: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Clave Eliminada: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Protected Search_is1
Clave Eliminada: HKLM\Software\pdfforge.org
Clave Eliminada: HKLM\Software\TENCENT
Valor Eliminado: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]
***** [Navegadores] *****
-\\ Internet Explorer v8.0.6001.18702
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd --> hxxp://www.google.com
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Reemplazado: [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Reemplazado: [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Reemplazado: [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Reemplazado: [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Reemplazado: [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - (Predeterminado)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Reemplazado: [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl - (Predeterminado)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Reemplazado: [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
-\\ Mozilla Firefox v19.0.2 (fr)
Archivo: D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js
D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\user.js ... ¡Eliminado!
[OK] El archivo no contiene entradas ilegítimas.
*************************
AdwCleaner[S1].txt - [7297 octetos] - [10/04/2013 20:57:10]
########## EOF - D:\AdwCleaner[S1].txt - [7357 octetos] ##########
he relanzado después de reiniciar una segunda vez ADW, todavía eliminó algo
aquí está el segundo informe
# AdwCleaner v2.200 - Informe creado el 10/04/2013 a las 21:23:41
# Actualizado el 02/04/2013 por Xplode
# Sistema operativo : Microsoft Windows XP Service Pack 3 (32 bits)
# Nombre de usuario : lvidal - L-FR-11170
# Modo de inicio : Normal
# Ejecutado desde : D:\documents and settings\lvidal\Bureau\adwcleaner.exe
# Opción [Eliminación]
***** [Servicios] *****
***** [Archivos / Carpetas] *****
Carpeta Eliminada : D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech
***** [Registro] *****
***** [Navegadores] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] El registro no contiene ninguna entrada ilegítima.
-\\ Mozilla Firefox v19.0.2 (fr)
Archivo : D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js
[OK] El archivo no contiene ninguna entrada ilegítima.
*************************
AdwCleaner[S1].txt - [7426 bytes] - [10/04/2013 20:57:10]
AdwCleaner[S2].txt - [965 bytes] - [10/04/2013 21:23:41]
########## EOF - D:\AdwCleaner[S2].txt - [1024 bytes] ##########
aquí está el segundo informe
# AdwCleaner v2.200 - Informe creado el 10/04/2013 a las 21:23:41
# Actualizado el 02/04/2013 por Xplode
# Sistema operativo : Microsoft Windows XP Service Pack 3 (32 bits)
# Nombre de usuario : lvidal - L-FR-11170
# Modo de inicio : Normal
# Ejecutado desde : D:\documents and settings\lvidal\Bureau\adwcleaner.exe
# Opción [Eliminación]
***** [Servicios] *****
***** [Archivos / Carpetas] *****
Carpeta Eliminada : D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech
***** [Registro] *****
***** [Navegadores] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] El registro no contiene ninguna entrada ilegítima.
-\\ Mozilla Firefox v19.0.2 (fr)
Archivo : D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js
[OK] El archivo no contiene ninguna entrada ilegítima.
*************************
AdwCleaner[S1].txt - [7426 bytes] - [10/04/2013 20:57:10]
AdwCleaner[S2].txt - [965 bytes] - [10/04/2013 21:23:41]
########## EOF - D:\AdwCleaner[S2].txt - [1024 bytes] ##########
Re
Descarga Malwaresbytes anti malware aquí
https://www.malwarebytes.com/
* Instálalo (asegúrate de seleccionar "francés"; no modifiques los parámetros de instalación) y actualízalo.
* Estudia el tutorial para familiarizarte con el programa:
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(dicho esto, es muy fácil de usar).
Reinicia Malwaresbytes siguiendo estas instrucciones al pie de la letra:
! Desconéctate y cierra todas las aplicaciones en curso !
* Inicia Malwarebytes. En Vista, Seven o Windows 8 (clic derecho del ratón « ejecutar como administrador »)
* Procede a una actualización
* Realiza un examen llamado "Completo"
--> Deja que el programa trabaje (y no hagas nada más con el PC durante el escaneo).
--> Al final haz clic en "Mostrar los resultados".
--> Asegúrate de que todos los objetos infectados estén seleccionados, luego haz clic en "eliminar la selección".
Nota: si es necesario reiniciar tu PC para terminar la limpieza, ¡házlo!
Publica el informe guardado después de eliminar los objetos infectados (en la pestaña "informe/log" de Malwaresbytes, el más reciente)
@+
--
--------Contribuyente Seguridad---------
Todos hemos sido principiantes en algo alguna vez.
Pero el conocimiento es la recompensa de la diligencia.
Descarga Malwaresbytes anti malware aquí
https://www.malwarebytes.com/
* Instálalo (asegúrate de seleccionar "francés"; no modifiques los parámetros de instalación) y actualízalo.
* Estudia el tutorial para familiarizarte con el programa:
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(dicho esto, es muy fácil de usar).
Reinicia Malwaresbytes siguiendo estas instrucciones al pie de la letra:
! Desconéctate y cierra todas las aplicaciones en curso !
* Inicia Malwarebytes. En Vista, Seven o Windows 8 (clic derecho del ratón « ejecutar como administrador »)
* Procede a una actualización
* Realiza un examen llamado "Completo"
--> Deja que el programa trabaje (y no hagas nada más con el PC durante el escaneo).
--> Al final haz clic en "Mostrar los resultados".
--> Asegúrate de que todos los objetos infectados estén seleccionados, luego haz clic en "eliminar la selección".
Nota: si es necesario reiniciar tu PC para terminar la limpieza, ¡házlo!
Publica el informe guardado después de eliminar los objetos infectados (en la pestaña "informe/log" de Malwaresbytes, el más reciente)
@+
--
--------Contribuyente Seguridad---------
Todos hemos sido principiantes en algo alguna vez.
Pero el conocimiento es la recompensa de la diligencia.
Hola Guillaume
No consigo conectarme al sitio https://www.malwarebytes.com/
( se me redirige automáticamente de forma temporal al enlace [http://failsafe.fp.yahoo.com/404.html
que después de unos segundos me devuelve a http://failsafe.fp.yahoo.com/. )
Sin embargo, lo encontré en un enlace http://www.pcastuces.com/logitheque/telechargement.asp?num=1358 la versión es del 10/04/2013. En esta página encuentras la descripción y varios servidores: Nombre del software descargado:
<souligne>Malwarebytes' Anti-Malware 1.75.0.1300 9,80 Mo</souligne>
Voy a instalarlo y ejecutarlo siguiendo tus instrucciones y luego te mando los resultados
gracias de nuevo
No consigo conectarme al sitio https://www.malwarebytes.com/
( se me redirige automáticamente de forma temporal al enlace [http://failsafe.fp.yahoo.com/404.html
que después de unos segundos me devuelve a http://failsafe.fp.yahoo.com/. )
Sin embargo, lo encontré en un enlace http://www.pcastuces.com/logitheque/telechargement.asp?num=1358 la versión es del 10/04/2013. En esta página encuentras la descripción y varios servidores: Nombre del software descargado:
<souligne>Malwarebytes' Anti-Malware 1.75.0.1300 9,80 Mo</souligne>
Voy a instalarlo y ejecutarlo siguiendo tus instrucciones y luego te mando los resultados
gracias de nuevo
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Versión de la base de datos: v2013.04.04.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrador]
11/04/2013 18:29:33
mbam-log-2013-04-11 (18-29-33).txt
Tipo de examen: Examen completo (C:\|D:\|)
Opciones de examen activadas: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM | P2P
Opciones de examen desactivadas:
Elemento(s) analizado(s): 501580
Tiempo transcurrido: 1 hora(s), 20 minuto(s), 28 segundo(s)
Proceso(s) de memoria detectado(s): 0
(Ningún elemento dañino detectado)
Módulo(s) de memoria detectado(s): 0
(Ningún elemento dañino detectado)
Clave(s) del Registro detectada(s): 0
(Ningún elemento dañino detectado)
Valor(es) del Registro detectado(s): 0
(Ningún elemento dañino detectado)
Elemento(s) de datos del Registro detectado(s): 0
(Ningún elemento dañino detectado)
Carpeta(s) detectada(s): 0
(Ningún elemento dañino detectado)
Archivo(s) detectado(s): 1
D:\lvidal\Clé 32_ancienne\soft\ultraedit\17.00\UltraEdit v17.00.0.1035.rar (RiskWare.Tool.HCK) -> Puesto en cuarentena y eliminado con éxito.
(fin)
www.malwarebytes.org
Versión de la base de datos: v2013.04.04.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrador]
11/04/2013 18:29:33
mbam-log-2013-04-11 (18-29-33).txt
Tipo de examen: Examen completo (C:\|D:\|)
Opciones de examen activadas: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM | P2P
Opciones de examen desactivadas:
Elemento(s) analizado(s): 501580
Tiempo transcurrido: 1 hora(s), 20 minuto(s), 28 segundo(s)
Proceso(s) de memoria detectado(s): 0
(Ningún elemento dañino detectado)
Módulo(s) de memoria detectado(s): 0
(Ningún elemento dañino detectado)
Clave(s) del Registro detectada(s): 0
(Ningún elemento dañino detectado)
Valor(es) del Registro detectado(s): 0
(Ningún elemento dañino detectado)
Elemento(s) de datos del Registro detectado(s): 0
(Ningún elemento dañino detectado)
Carpeta(s) detectada(s): 0
(Ningún elemento dañino detectado)
Archivo(s) detectado(s): 1
D:\lvidal\Clé 32_ancienne\soft\ultraedit\17.00\UltraEdit v17.00.0.1035.rar (RiskWare.Tool.HCK) -> Puesto en cuarentena y eliminado con éxito.
(fin)
Buenas tardes Guillaume
complemento mi publicación anterior que fue validada un poco rápidamente (con solo copiar/pegar el informe de Malwarebytes).
Este informe señala un archivo que contiene un RiskWare.Tool.HCK que ha puesto en cuarentena y eliminado.
A pesar de eso, el problema del doble acento persiste incluso después de reiniciar la máquina
Este archivo había estado presente durante varios meses en mi PC (proveniente de un pen drive), por lo que podría haberme contagiado al intentar usarlo.
Pero la utilización de este archivo data de hace varios meses, mientras que mi problema de doble acento apareció hace unos días a finales de marzo y principios de abril (al menos es cuando me di cuenta)
Es decir, esto coincide más o menos con la fecha de mi instalación de Mozilla Firefox a mediados de marzo de 2013 y de ciertos complementos que desencadenaron una actualización de mi versión de Java.....
También sospecho de Adobe 9.54, cuya actualización reciente (28/03/2013) se titula "Adobe reader 9.5.4-CPSID_83708" ???
Esta actualización está en la lista del panel de control (agregar/eliminar programas) con el estado "instalada" y una mención "esta actualización no puede ser eliminada" en la línea justo debajo de la versión actual de Adobe Reader 9.5.4 (que sí tiene la opción de modificar o eliminar)
Otro sospechoso es Flash Player, del cual veo 2 líneas en la lista de programas del panel de control:
- 1 línea Adobe Flash Player 11 Active X
- y 1 línea Adobe Flash Player 11 plug in
Mientras que no encuentro ningún comando en el menú de inicio para ejecutar Flash Player
¿Quizás debería desinstalar Adobe y Flash Player?
gracias por tu ayuda
complemento mi publicación anterior que fue validada un poco rápidamente (con solo copiar/pegar el informe de Malwarebytes).
Este informe señala un archivo que contiene un RiskWare.Tool.HCK que ha puesto en cuarentena y eliminado.
A pesar de eso, el problema del doble acento persiste incluso después de reiniciar la máquina
Este archivo había estado presente durante varios meses en mi PC (proveniente de un pen drive), por lo que podría haberme contagiado al intentar usarlo.
Pero la utilización de este archivo data de hace varios meses, mientras que mi problema de doble acento apareció hace unos días a finales de marzo y principios de abril (al menos es cuando me di cuenta)
Es decir, esto coincide más o menos con la fecha de mi instalación de Mozilla Firefox a mediados de marzo de 2013 y de ciertos complementos que desencadenaron una actualización de mi versión de Java.....
También sospecho de Adobe 9.54, cuya actualización reciente (28/03/2013) se titula "Adobe reader 9.5.4-CPSID_83708" ???
Esta actualización está en la lista del panel de control (agregar/eliminar programas) con el estado "instalada" y una mención "esta actualización no puede ser eliminada" en la línea justo debajo de la versión actual de Adobe Reader 9.5.4 (que sí tiene la opción de modificar o eliminar)
Otro sospechoso es Flash Player, del cual veo 2 líneas en la lista de programas del panel de control:
- 1 línea Adobe Flash Player 11 Active X
- y 1 línea Adobe Flash Player 11 plug in
Mientras que no encuentro ningún comando en el menú de inicio para ejecutar Flash Player
¿Quizás debería desinstalar Adobe y Flash Player?
gracias por tu ayuda
Hola Guilaume
Finalmente he resuelto mi problema
Estaba infectado por el Trojan.Zbot.FS.
Resultado: Ya no tengo duplicación de caracteres inertes (como los acentos y las diéresis), y ya no soy redirigido a Yahoo cuando me conecto a https://www.malwarebytes.com/ como era el caso ayer.
Olvida mi informe anterior presentado ayer porque éste ejecutado en modo normal no reflejaba la realidad.
Te remito a mi conversación con H@ckm@n más abajo (12 de abril de 2013 a las 18:33) donde relaté en detalle las dificultades encontradas y el método implementado a partir de los elementos que me proporcionaste
Relato especialmente la dificultad para descargar malwarebytes (el virus redirigiendo todos los intentos de conexión del navegador a https://www.malwarebytes.com/ hacia un mensaje 404 del motor Yahoo) y el rodeo utilizado para encontrar una versión válida y lo suficientemente reciente en tu sitio tutorial.
También tuve que sortear el hecho de que el virus impide cualquier actualización propuesta por el software al inicio (impidiendo de la misma manera la conexión al sitio de descarga y devolviendo un mensaje falsificado "usted tiene la última base de datos")
En modo seguro todo cambia: el software se actualiza con éxito y la búsqueda iniciada de inmediato dio lugar al siguiente descubrimiento:
Trojan.Zbot.FS,
Clave HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
archivo D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)
-> Puesto en cuarentena y eliminado con éxito Gracias por todos los elementos pertinentes al 100% que me proporcionaste gracias a los cuales pude salir adelante
Aquí está para todas las finalidades útiles el informe completo de malwarebytes versión BDD v2013.04.12 ejecutado en modo seguro esta tarde en mi PC
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Versión de la base de datos: v2013.04.12.04
Windows XP Service Pack 3 x86 NTFS (Modo seguro/Rede)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrador]
12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt
Tipo de examen: Examen completo (C:\|D:\|)
Opciones de examen activadas: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM | P2P
Opciones de examen desactivadas:
Elemento(s) analizado(s): 502511
Tiempo transcurrido: 33 minuto(s), 35 segundo(s)
Proceso(s) de memoria detectado(s): 0
(Ningún elemento dañino detectado)
Módulo(s) de memoria detectado(s): 0
(Ningún elemento dañino detectado)
Clave(s) del Registro detectada(s): 0
(Ningún elemento dañino detectado)
Valor(es) del Registro detectado(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Datos: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Puesto en cuarentena y eliminado con éxito.
Elemento(s) de datos del Registro detectado(s): 0
(Ningún elemento dañino detectado)
Carpeta(s) detectada(s): 0
(Ningún elemento dañino detectado)
Archivo(s) detectado(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Puesto en cuarentena y eliminado con éxito.(fin)
Finalmente he resuelto mi problema
Estaba infectado por el Trojan.Zbot.FS.
Resultado: Ya no tengo duplicación de caracteres inertes (como los acentos y las diéresis), y ya no soy redirigido a Yahoo cuando me conecto a https://www.malwarebytes.com/ como era el caso ayer.
Olvida mi informe anterior presentado ayer porque éste ejecutado en modo normal no reflejaba la realidad.
Te remito a mi conversación con H@ckm@n más abajo (12 de abril de 2013 a las 18:33) donde relaté en detalle las dificultades encontradas y el método implementado a partir de los elementos que me proporcionaste
Relato especialmente la dificultad para descargar malwarebytes (el virus redirigiendo todos los intentos de conexión del navegador a https://www.malwarebytes.com/ hacia un mensaje 404 del motor Yahoo) y el rodeo utilizado para encontrar una versión válida y lo suficientemente reciente en tu sitio tutorial.
También tuve que sortear el hecho de que el virus impide cualquier actualización propuesta por el software al inicio (impidiendo de la misma manera la conexión al sitio de descarga y devolviendo un mensaje falsificado "usted tiene la última base de datos")
En modo seguro todo cambia: el software se actualiza con éxito y la búsqueda iniciada de inmediato dio lugar al siguiente descubrimiento:
Trojan.Zbot.FS,
Clave HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
archivo D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)
-> Puesto en cuarentena y eliminado con éxito Gracias por todos los elementos pertinentes al 100% que me proporcionaste gracias a los cuales pude salir adelante
Aquí está para todas las finalidades útiles el informe completo de malwarebytes versión BDD v2013.04.12 ejecutado en modo seguro esta tarde en mi PC
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Versión de la base de datos: v2013.04.12.04
Windows XP Service Pack 3 x86 NTFS (Modo seguro/Rede)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrador]
12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt
Tipo de examen: Examen completo (C:\|D:\|)
Opciones de examen activadas: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM | P2P
Opciones de examen desactivadas:
Elemento(s) analizado(s): 502511
Tiempo transcurrido: 33 minuto(s), 35 segundo(s)
Proceso(s) de memoria detectado(s): 0
(Ningún elemento dañino detectado)
Módulo(s) de memoria detectado(s): 0
(Ningún elemento dañino detectado)
Clave(s) del Registro detectada(s): 0
(Ningún elemento dañino detectado)
Valor(es) del Registro detectado(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Datos: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Puesto en cuarentena y eliminado con éxito.
Elemento(s) de datos del Registro detectado(s): 0
(Ningún elemento dañino detectado)
Carpeta(s) detectada(s): 0
(Ningún elemento dañino detectado)
Archivo(s) detectado(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Puesto en cuarentena y eliminado con éxito.(fin)
la historia del virus dudo más que mucho que sea eso :)
pequeño problema de teclado a configurar, creo^^^ ¡ups, uno de más!
Quien no arriesga no gana.
pequeño problema de teclado a configurar, creo^^^ ¡ups, uno de más!
Quien no arriesga no gana.
este problema se ha abordado en otro foro pero no ofrece soluciones reales: http://forum.bepo.fr/viewtopic.php?id=159
pero mira también aquí: http://forum.bepo.fr/viewtopic.php?pid=6
hay muchas probabilidades de que sea la configuración del software
pero mira también aquí: http://forum.bepo.fr/viewtopic.php?pid=6
hay muchas probabilidades de que sea la configuración del software
@Luc92
espera el regreso de guillaume y no escuches a nadie más por favor
--
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
espera el regreso de guillaume y no escuches a nadie más por favor
--
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
gracias H@ckm@n
Entendido.
Sin embargo, estoy interesado en saber si tienes alguna idea sobre la naturaleza de la amenaza.
Porque ya realicé una compra por internet a principios de abril cuando el problema ya estaba presente.
Por el momento, a principios de esta semana, mi banco no ha detectado ningún comportamiento anormal en mi tarjeta bancaria. Pero sigo preocupado.
Además, necesito reservar un vuelo pronto utilizando mis medios de pago en línea en el portal https de la agencia de viajes.
No lo haré sin tener una solución.
Gracias a ti
¡Hasta luego!
Entendido.
Sin embargo, estoy interesado en saber si tienes alguna idea sobre la naturaleza de la amenaza.
Porque ya realicé una compra por internet a principios de abril cuando el problema ya estaba presente.
Por el momento, a principios de esta semana, mi banco no ha detectado ningún comportamiento anormal en mi tarjeta bancaria. Pero sigo preocupado.
Además, necesito reservar un vuelo pronto utilizando mis medios de pago en línea en el portal https de la agencia de viajes.
No lo haré sin tener una solución.
Gracias a ti
¡Hasta luego!
haz de todas formas una actualización del controlador de tu teclado, no cuesta nada intentar :)
para las compras en línea, si la conexión es segura, realmente no tienes por qué preocuparte. Tienes más posibilidades de ser estafado en Carrefour.
no es imposible que hayas sido infectado por un keylogger, normalmente tu antivirus lo habría encontrado (a menos que hayas hecho una excepción). En ese caso, lo mejor es no hacer nada en tu PC y formatearlo todo. Pero, sinceramente, no conozco ningún keylogger indetectable.
para las compras en línea, si la conexión es segura, realmente no tienes por qué preocuparte. Tienes más posibilidades de ser estafado en Carrefour.
no es imposible que hayas sido infectado por un keylogger, normalmente tu antivirus lo habría encontrado (a menos que hayas hecho una excepción). En ese caso, lo mejor es no hacer nada en tu PC y formatearlo todo. Pero, sinceramente, no conozco ningún keylogger indetectable.
refacilita un zhpdiag para guillaume pero déjalo en txt y hospédalo en https://www.cjoint.com/ y dame el enlace, él te dirá qué hacer
no puedo interrumpir sin saber exactamente qué tiene en mente
--
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
no puedo interrumpir sin saber exactamente qué tiene en mente
--
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
gracias H@ckm@n
De hecho, acabo de resolver el problema.
Estaba infectado por el Trojan.Zbot.FS, que pude eliminar esta tarde.
Resultado: Ya no tengo duplicación de caracteres inertes (como acentos y diéresis), y ya no me redirige a Yahoo cuando me conecto a https://www.malwarebytes.com/ como era el caso ayer (ver explicación a continuación)
Te resumo el historial de los diferentes problemas y la solución que me sacó del apuro por si pudiera servir a otras personas
1) Guillaume me pidió:
que le enviara el análisis de Malwarebytes comenzando por descargar este software en un enlace que me proporcionó https://www.malwarebytes.com/
Luego lanzar Malwarebytes, actualizarlo, realizar la búsqueda de elementos infectados, mostrar y eliminar los elementos en cuarentena y finalmente enviarle el informe en el foro
2) mi primera dificultad fue descargar Malwarebyte en el enlace proporcionado: https://www.malwarebytes.com/
Este enlace estaba inaccesible para mí como si estuviera caducado, reenvíandome automáticamente primero al enlace http://failsafe.fp.yahoo.com/404.html y luego después de unos segundos hacia http://failsafe.fp.yahoo.com/.
3) Sin embargo, gracias al enlace hacia el tutorial https://forum.pcastuces.com/sujet.asp?f=31&s=3 que Guillaume también me había proporcionado, pude encontrar un enlace de descarga de Malwarebytes válido: https://www.pcastuces.com/logitheque/telechargement.asp?num=1358
en una versión muy reciente: Malwarebytes V1.75.0.1300 que pude descargar, instalar y ejecutar.
4) Ahí un nuevo problema: el software me informa al abrir que mi versión ya tiene 7 días y me propone actualizarla, a lo que acepto. De inmediato aparece un mensaje "tiene la última versión actualizada" y no se realiza ninguna actualización.
(De hecho, descubrí que es un mensaje causado por el troyano y que también era él quien redirigía mi navegador al 404 de Yahoo en cada intento de conexión al https://www.malwarebytes.com/
5) Me conformé con esta versión y realicé la búsqueda de elementos infectados.
Malwarebytes reveló que tenía un archivo .rar infectado con RiskWare.Tool.HCK pero nada más, no había clave de registro ni elementos infectados en ejecución...... Lo puso en cuarentena y lo eliminé. Y envié el informe a Guillaume
6) Entré en contacto con totodu.net que sospechaba de la configuración de mi teclado.
Ahí fue donde interveniste para aconsejarme esperar el regreso de Guillaume.
7) Hoy, para no quedarme inactivo, reinicié mi ordenador en modo seguro. Desde el principio noté en este modo la desaparición de la doble acentuación. Era un buen augurio.
Reinicié Malwarebytes V1.75.0.1300, que se actualizó de inmediato con el mismo mensaje (su base de datos tiene 7 días) y a diferencia de lo que pasó ayer en modo NORMAL, realizó con éxito las descargas y la actualización.
La búsqueda resultó en el siguiente descubrimiento:
Estoy infectado por el Trojan.Zbot.FS,
Clave HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
archivo D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)
-> Puesto en cuarentena y eliminado con éxito
Gracias por tus buenos consejos y por la reacción colectiva en este foro
PS Estoy enviando el informe de Malwarebytes realizado en modo seguro a Guillaume y las explicaciones que te acabo de dar
Luc
De hecho, acabo de resolver el problema.
Estaba infectado por el Trojan.Zbot.FS, que pude eliminar esta tarde.
Resultado: Ya no tengo duplicación de caracteres inertes (como acentos y diéresis), y ya no me redirige a Yahoo cuando me conecto a https://www.malwarebytes.com/ como era el caso ayer (ver explicación a continuación)
Te resumo el historial de los diferentes problemas y la solución que me sacó del apuro por si pudiera servir a otras personas
1) Guillaume me pidió:
que le enviara el análisis de Malwarebytes comenzando por descargar este software en un enlace que me proporcionó https://www.malwarebytes.com/
Luego lanzar Malwarebytes, actualizarlo, realizar la búsqueda de elementos infectados, mostrar y eliminar los elementos en cuarentena y finalmente enviarle el informe en el foro
2) mi primera dificultad fue descargar Malwarebyte en el enlace proporcionado: https://www.malwarebytes.com/
Este enlace estaba inaccesible para mí como si estuviera caducado, reenvíandome automáticamente primero al enlace http://failsafe.fp.yahoo.com/404.html y luego después de unos segundos hacia http://failsafe.fp.yahoo.com/.
3) Sin embargo, gracias al enlace hacia el tutorial https://forum.pcastuces.com/sujet.asp?f=31&s=3 que Guillaume también me había proporcionado, pude encontrar un enlace de descarga de Malwarebytes válido: https://www.pcastuces.com/logitheque/telechargement.asp?num=1358
en una versión muy reciente: Malwarebytes V1.75.0.1300 que pude descargar, instalar y ejecutar.
4) Ahí un nuevo problema: el software me informa al abrir que mi versión ya tiene 7 días y me propone actualizarla, a lo que acepto. De inmediato aparece un mensaje "tiene la última versión actualizada" y no se realiza ninguna actualización.
(De hecho, descubrí que es un mensaje causado por el troyano y que también era él quien redirigía mi navegador al 404 de Yahoo en cada intento de conexión al https://www.malwarebytes.com/
5) Me conformé con esta versión y realicé la búsqueda de elementos infectados.
Malwarebytes reveló que tenía un archivo .rar infectado con RiskWare.Tool.HCK pero nada más, no había clave de registro ni elementos infectados en ejecución...... Lo puso en cuarentena y lo eliminé. Y envié el informe a Guillaume
6) Entré en contacto con totodu.net que sospechaba de la configuración de mi teclado.
Ahí fue donde interveniste para aconsejarme esperar el regreso de Guillaume.
7) Hoy, para no quedarme inactivo, reinicié mi ordenador en modo seguro. Desde el principio noté en este modo la desaparición de la doble acentuación. Era un buen augurio.
Reinicié Malwarebytes V1.75.0.1300, que se actualizó de inmediato con el mismo mensaje (su base de datos tiene 7 días) y a diferencia de lo que pasó ayer en modo NORMAL, realizó con éxito las descargas y la actualización.
La búsqueda resultó en el siguiente descubrimiento:
Estoy infectado por el Trojan.Zbot.FS,
Clave HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
archivo D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)
-> Puesto en cuarentena y eliminado con éxito
Gracias por tus buenos consejos y por la reacción colectiva en este foro
PS Estoy enviando el informe de Malwarebytes realizado en modo seguro a Guillaume y las explicaciones que te acabo de dar
Luc
Buenas noches luc92
Probar en modo seguro es una buena idea ;-))
Publica este informe de Malwaresbytes y luego publica un nuevo informe de ZHPDiag; gracias
¡Hasta luego!
--
--------Contribuyente Seguridad---------
Todos hemos sido principiantes en algo algún día.
Pero el saber es la recompensa de la constancia.
Probar en modo seguro es una buena idea ;-))
Publica este informe de Malwaresbytes y luego publica un nuevo informe de ZHPDiag; gracias
¡Hasta luego!
--
--------Contribuyente Seguridad---------
Todos hemos sido principiantes en algo algún día.
Pero el saber es la recompensa de la constancia.
https://forums.commentcamarche.net/forum/affich-27564553-virus-double-accent-circonflexe#21
jeje ^^ ve con tu controlador de teclado ^^
jeje ^^ ve con tu controlador de teclado ^^
Buenas noches Guillaume
¿Tienes un sitio fiable para descargar ZHPDiag?
Porque mi versión (que he eliminado) tenía un icono anormal en 3 (el del mbr) con un simple cuadrado con borde azul de Windows sin el icono original
Aquí está el informe de MALWAREBYTES
R E P O R T E M A L W A R E B Y T E S
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Versión de la base de datos: v2013.04.12.04
Windows XP Service Pack 3 x86 NTFS (Modo seguro/Rede)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrador]
12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt
Tipo de examen: Examen completo (C:\|D:\|)
Opciones de examen activadas: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM | P2P
Opciones de examen desactivadas:
Elemento(s) analizado(s): 502511
Tiempo transcurrido: 33 minuto(s), 35 segundo(s)
Proceso(s) de memoria detectado(s): 0
(Ningún elemento dañino detectado)
Módulo(s) de memoria detectado(s): 0
(Ningún elemento dañino detectado)
Clave(s) de Registro detectada(s): 0
(Ningún elemento dañino detectado)
Valor(es) de Registro detectado(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Datos: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Puesto en cuarentena y eliminado con éxito.
Elemento(s) de datos del Registro detectado(s): 0
(Ningún elemento dañino detectado)
Carpeta(s) detectada(s): 0
(Ningún elemento dañino detectado)
Archivo(s) detectado(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Puesto en cuarentena y eliminado con éxito.
(fin)
¿Tienes un sitio fiable para descargar ZHPDiag?
Porque mi versión (que he eliminado) tenía un icono anormal en 3 (el del mbr) con un simple cuadrado con borde azul de Windows sin el icono original
Aquí está el informe de MALWAREBYTES
R E P O R T E M A L W A R E B Y T E S
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Versión de la base de datos: v2013.04.12.04
Windows XP Service Pack 3 x86 NTFS (Modo seguro/Rede)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrador]
12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt
Tipo de examen: Examen completo (C:\|D:\|)
Opciones de examen activadas: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM | P2P
Opciones de examen desactivadas:
Elemento(s) analizado(s): 502511
Tiempo transcurrido: 33 minuto(s), 35 segundo(s)
Proceso(s) de memoria detectado(s): 0
(Ningún elemento dañino detectado)
Módulo(s) de memoria detectado(s): 0
(Ningún elemento dañino detectado)
Clave(s) de Registro detectada(s): 0
(Ningún elemento dañino detectado)
Valor(es) de Registro detectado(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Datos: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Puesto en cuarentena y eliminado con éxito.
Elemento(s) de datos del Registro detectado(s): 0
(Ningún elemento dañino detectado)
Carpeta(s) detectada(s): 0
(Ningún elemento dañino detectado)
Archivo(s) detectado(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Puesto en cuarentena y eliminado con éxito.
(fin)
Re
Uno de estos enlaces:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
O
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
@+
--------Contribuyente Seguridad---------
Todos hemos sido un día principiantes en algo.
Pero el conocimiento es la recompensa de la constancia.
Uno de estos enlaces:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
O
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
@+
--------Contribuyente Seguridad---------
Todos hemos sido un día principiantes en algo.
Pero el conocimiento es la recompensa de la constancia.
Hola Guillaume
Aquí está el enlace del informe ZHP Diag .txt: https://www.cjoint.com/?3DnlfslRK08
Para cualquier cosa útil, aquí hay otro enlace: https://www.cjoint.com/?3DnlD1hT2MD
Versión WORD del mismo informe ZHPDiag (copiado/pegado desde la visualización del Informe por ZHPDiag) manteniendo los colores y el diseño de la visualización ZHPDiag:
Para mí, el Word es más fácil de examinar visualmente, por ejemplo
ejemplo ADWARE opencandy en rojo
[HKLM\Software\Martin Prikryl\OpenCandy] =>Adware.OpenCandy
o aún el elemento "asyks.exe" en azul (que no ha erradicado totalmente MalwaresBytes)
<negrita>línea o53 - SMSR:HKLM\...\startupreg\Raqybeevqo [Key] . (...) -- D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe (.not file.)
P.D.: "asyks.exe" también está presente en la línea o45 - LFCP:[MD5.E9304AB1FE4B086ADEA9D5E8D88488B8] - 12/04/2013 - 14:04:24 ---A- - C:\WINDOWS\Prefetch\ASYKS.EXE-39065795.pf
Gracias y hasta luego
Luc
Aquí está el enlace del informe ZHP Diag .txt: https://www.cjoint.com/?3DnlfslRK08
Para cualquier cosa útil, aquí hay otro enlace: https://www.cjoint.com/?3DnlD1hT2MD
Versión WORD del mismo informe ZHPDiag (copiado/pegado desde la visualización del Informe por ZHPDiag) manteniendo los colores y el diseño de la visualización ZHPDiag:
Para mí, el Word es más fácil de examinar visualmente, por ejemplo
ejemplo ADWARE opencandy en rojo
[HKLM\Software\Martin Prikryl\OpenCandy] =>Adware.OpenCandy
o aún el elemento "asyks.exe" en azul (que no ha erradicado totalmente MalwaresBytes)
<negrita>línea o53 - SMSR:HKLM\...\startupreg\Raqybeevqo [Key] . (...) -- D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe (.not file.)
P.D.: "asyks.exe" también está presente en la línea o45 - LFCP:[MD5.E9304AB1FE4B086ADEA9D5E8D88488B8] - 12/04/2013 - 14:04:24 ---A- - C:\WINDOWS\Prefetch\ASYKS.EXE-39065795.pf
Gracias y hasta luego
Luc
Hola
te dejo hacer; ¡entonces!
@+
--
--------Contribuyente Seguridad---------
Todos hemos sido alguna vez principiantes en algo.
Pero el conocimiento es la recompensa de la constancia.
te dejo hacer; ¡entonces!
@+
--
--------Contribuyente Seguridad---------
Todos hemos sido alguna vez principiantes en algo.
Pero el conocimiento es la recompensa de la constancia.
Guillaume
Por supuesto, deseo seguir aprovechando tu sabiduría porque
- No conozco la continuación de las herramientas ZHPDiag y
- No sé decir si mi informe ZHPDiag es suficiente ya que se ejecutó en modo usuario (con privilegios de administrador) pero no estrictamente en modo administrador.
- De todos modos, solo puedo interpretar fragmentos y no tengo idea de las acciones posteriores al informe (script a ejecutar ZHPFix ....)
Pero confía en mí para las pocas acciones intermedias respecto a la evolución de la situación
<negrita>
Por supuesto, deseo seguir aprovechando tu sabiduría porque
- No conozco la continuación de las herramientas ZHPDiag y
- No sé decir si mi informe ZHPDiag es suficiente ya que se ejecutó en modo usuario (con privilegios de administrador) pero no estrictamente en modo administrador.
- De todos modos, solo puedo interpretar fragmentos y no tengo idea de las acciones posteriores al informe (script a ejecutar ZHPFix ....)
Pero confía en mí para las pocas acciones intermedias respecto a la evolución de la situación
<negrita>
(Sigue)
Por ejemplo, desde mi publicación de informe ZHPDiag esta mañana tengo 2 eventos importantes que informarte
1) Gracias a la erradicación (quizás provisional) de Zbot.FS mi antivirus Microsoft Forefront Client Security se actualizó esta mañana.
Explicación: Durante 2-3 semanas, Forefront declaraba que su base de datos de definición de virus debía ser actualizada. Si intentaba la operación, inmediatamente recibía un mensaje "ninguna actualización disponible" (el mismo tipo de problema que encontré con MalwareBytes)
2) mi antivirus actualizado detectó 2 amenazas:
a) Forefront confirma (como ZHPDiag) la detección del ADWARE opencandy puesto en cuarentena que me propone eliminar.
Información de Forefront sobre este elemento en el sitio de Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Adware%3aWin32%2fOpenCandy&threatid=159633
b) Forefront acaba de detectar otro troyano (que creo que no fue visto por ZHPDiag esta mañana) TrojanClicker:Win32/Yabector.gen!B puesto en cuarentena que me propone eliminar
Información de Forefront sobre este elemento en el sitio de Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=TrojanClicker%3aWin32%2fYabector.gen
He pedido a Forefront que elimine estos 2 elementos.
Si estás de acuerdo, te haré un nuevo diagnóstico ZHP. Y cuento con tu ayuda para explotarlo bajo tu control
1) las huellas de Zbot.FS mencionadas en el informe de esta mañana probablemente aún estarán
2) veremos si opencandy (Adware) y TrojanClicker:Win32/Yabector.gen han desaparecido por la acción de Forefront.
Y entonces podrás proceder con las acciones para las siguientes contramedidas
Esperando que estés de acuerdo con este enfoque
Gracias por todos los resultados ya obtenidos
Luc
Por ejemplo, desde mi publicación de informe ZHPDiag esta mañana tengo 2 eventos importantes que informarte
1) Gracias a la erradicación (quizás provisional) de Zbot.FS mi antivirus Microsoft Forefront Client Security se actualizó esta mañana.
Explicación: Durante 2-3 semanas, Forefront declaraba que su base de datos de definición de virus debía ser actualizada. Si intentaba la operación, inmediatamente recibía un mensaje "ninguna actualización disponible" (el mismo tipo de problema que encontré con MalwareBytes)
2) mi antivirus actualizado detectó 2 amenazas:
a) Forefront confirma (como ZHPDiag) la detección del ADWARE opencandy puesto en cuarentena que me propone eliminar.
Información de Forefront sobre este elemento en el sitio de Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Adware%3aWin32%2fOpenCandy&threatid=159633
b) Forefront acaba de detectar otro troyano (que creo que no fue visto por ZHPDiag esta mañana) TrojanClicker:Win32/Yabector.gen!B puesto en cuarentena que me propone eliminar
Información de Forefront sobre este elemento en el sitio de Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=TrojanClicker%3aWin32%2fYabector.gen
He pedido a Forefront que elimine estos 2 elementos.
Si estás de acuerdo, te haré un nuevo diagnóstico ZHP. Y cuento con tu ayuda para explotarlo bajo tu control
1) las huellas de Zbot.FS mencionadas en el informe de esta mañana probablemente aún estarán
2) veremos si opencandy (Adware) y TrojanClicker:Win32/Yabector.gen han desaparecido por la acción de Forefront.
Y entonces podrás proceder con las acciones para las siguientes contramedidas
Esperando que estés de acuerdo con este enfoque
Gracias por todos los resultados ya obtenidos
Luc
Re
te propongo que contactes al administrador de este PC
hasta luego
--
--------Contribuyente de Seguridad---------
Todos hemos sido principiantes en algo alguna vez.
Pero el conocimiento es la recompensa de la dedicación.
te propongo que contactes al administrador de este PC
hasta luego
--
--------Contribuyente de Seguridad---------
Todos hemos sido principiantes en algo alguna vez.
Pero el conocimiento es la recompensa de la dedicación.
Hola Gen
Por favor ;-)
¡Hasta luego!
--
--------Contribuyente de Seguridad---------
Todos hemos sido principiantes en algo algún día.
Pero el conocimiento es la recompensa de la perseverancia.
Por favor ;-)
¡Hasta luego!
--
--------Contribuyente de Seguridad---------
Todos hemos sido principiantes en algo algún día.
Pero el conocimiento es la recompensa de la perseverancia.
Hola Guillaume
No puedo llamar al administrador porque solo podrá reiniciar mi puesto como se indica en la explicación a continuación (y según yo, dado los avances que se han logrado en el problema planteado, creo que hay algo más que intentar antes de llegar a eso).
De hecho, ya contacté al administrador en febrero, es decir, 2 meses antes de tener este problema de
doble acento (que data de principios de abril y que motivó mi inscripción en este Foro).
Le señalé que ya no podía actualizar el antivirus Forefront desde internet como antes. Me recomendó usar la Intranet (lo que, por falta de configuración de VPN, me obligó a desplazarme). Pero funcionó y el incidente se cerró.
El administrador también aprovechó para aconsejarme usar MalwareBytes para resolver yo mismo las amenazas que Forefront podría no haber detectado por no estar actualizado.
También me indicó que, en caso de un problema no resuelto (virus persistente) por Forefront y MalwareBytes actualizados, no podría hacer más que reiniciar mi puesto por falta de tiempo para llevar a cabo investigaciones más profundas.
Luc
No puedo llamar al administrador porque solo podrá reiniciar mi puesto como se indica en la explicación a continuación (y según yo, dado los avances que se han logrado en el problema planteado, creo que hay algo más que intentar antes de llegar a eso).
De hecho, ya contacté al administrador en febrero, es decir, 2 meses antes de tener este problema de
doble acento (que data de principios de abril y que motivó mi inscripción en este Foro).
Le señalé que ya no podía actualizar el antivirus Forefront desde internet como antes. Me recomendó usar la Intranet (lo que, por falta de configuración de VPN, me obligó a desplazarme). Pero funcionó y el incidente se cerró.
El administrador también aprovechó para aconsejarme usar MalwareBytes para resolver yo mismo las amenazas que Forefront podría no haber detectado por no estar actualizado.
También me indicó que, en caso de un problema no resuelto (virus persistente) por Forefront y MalwareBytes actualizados, no podría hacer más que reiniciar mi puesto por falta de tiempo para llevar a cabo investigaciones más profundas.
Luc
Suite
En relación con el problema del doble acento, creo que estamos muy cerca de lograrlo y que hay algo más que intentar antes de que llame al administrador para reformatear el PC
Soy optimista porque:
1) El comportamiento del doble acento ya se ha resuelto al menos momentáneamente mediante la neutralización del proceso en tiempo de ejecución del Trojan.Zbot.FS
2) Falta perpetuar este éxito al máximo eliminando las trazas residuales que el informe ZHPdiag aún detecta.
Creo que va por buen camino porque la neutralización de Zbot.FS también ha permitido la actualización a través de Internet de Forefront
Forefront, una vez actualizado, cuenta con todos los privilegios necesarios y así pudo eliminar la otra infección TrojanClicker:Win32/Yabector.gen!B
(que ZHPDiag ejecutado en modo usuario tal vez no puede detectar).
Las 2 enfoques, Forefront y ZHPDiag, se complementan un poco como (MawareByte + ZHPDiag)
Después del trabajo de Forefront realizado esta mañana, te propongo entonces enviarte, si estás de acuerdo, el nuevo informe de ZHPDiag lanzado después del trabajo de erradicación de Forefront
Podrías guiarme para eliminar los elementos (clave del registro u otros) relacionados con Zbot.FS (asyks.exe), opencandy u otros si los ves señalados por ZHPDiag
También hay un cierto número de líneas azules (clave huérfana, not.file, ...) que pueden señalar una posible optimización del registro
Gracias de nuevo por tus consejos
Luc
En relación con el problema del doble acento, creo que estamos muy cerca de lograrlo y que hay algo más que intentar antes de que llame al administrador para reformatear el PC
Soy optimista porque:
1) El comportamiento del doble acento ya se ha resuelto al menos momentáneamente mediante la neutralización del proceso en tiempo de ejecución del Trojan.Zbot.FS
2) Falta perpetuar este éxito al máximo eliminando las trazas residuales que el informe ZHPdiag aún detecta.
Creo que va por buen camino porque la neutralización de Zbot.FS también ha permitido la actualización a través de Internet de Forefront
Forefront, una vez actualizado, cuenta con todos los privilegios necesarios y así pudo eliminar la otra infección TrojanClicker:Win32/Yabector.gen!B
(que ZHPDiag ejecutado en modo usuario tal vez no puede detectar).
Las 2 enfoques, Forefront y ZHPDiag, se complementan un poco como (MawareByte + ZHPDiag)
Después del trabajo de Forefront realizado esta mañana, te propongo entonces enviarte, si estás de acuerdo, el nuevo informe de ZHPDiag lanzado después del trabajo de erradicación de Forefront
Podrías guiarme para eliminar los elementos (clave del registro u otros) relacionados con Zbot.FS (asyks.exe), opencandy u otros si los ves señalados por ZHPDiag
También hay un cierto número de líneas azules (clave huérfana, not.file, ...) que pueden señalar una posible optimización del registro
Gracias de nuevo por tus consejos
Luc
Hola Homerlulu
no tengo ninguna duda al respecto.
Además, he recibido un excelente asesoramiento por parte de G3n y Guillaume.
Tengo más dudas sobre mi capacidad para tomar decisiones correctas en el marco de la ejecución de ZHPDiag (o P-s que me parece aún más invasivo) para ciertas eliminaciones.
Además, debes saber que tengo una computadora Dell en la que podría ser irreversible tocar, por ejemplo, el MBR como podría hacer la suite ZHPdiag. Impidiendo así cualquier regreso a la configuración de fábrica.
Ahora, solo en esta configuración de fábrica puede operar el DVD maestro de reinicialización de mi computadora
Mi única posibilidad simple de eliminar todos los virus o sospechas de virus es reconfigurar la computadora con el DVD.
Gracias por tu mensaje
@+
Luc
no tengo ninguna duda al respecto.
Además, he recibido un excelente asesoramiento por parte de G3n y Guillaume.
Tengo más dudas sobre mi capacidad para tomar decisiones correctas en el marco de la ejecución de ZHPDiag (o P-s que me parece aún más invasivo) para ciertas eliminaciones.
Además, debes saber que tengo una computadora Dell en la que podría ser irreversible tocar, por ejemplo, el MBR como podría hacer la suite ZHPdiag. Impidiendo así cualquier regreso a la configuración de fábrica.
Ahora, solo en esta configuración de fábrica puede operar el DVD maestro de reinicialización de mi computadora
Mi única posibilidad simple de eliminar todos los virus o sospechas de virus es reconfigurar la computadora con el DVD.
Gracias por tu mensaje
@+
Luc
Gracias, llevaba meses buscando eliminar software malicioso sin conseguirlo, ¡ahora es un hecho!
# AdwCleaner v3.012 - Informe creado el 15/11/2013 a las 18:16:15
# Actualizado el 11/11/2013 por Xplode
# Sistema operativo: Windows 7 Home Premium Service Pack 1 (64 bits)
# Nombre de usuario: Marin - MARIN-TOSH
# Ejecutado desde: C:\Users\Marin\Desktop\adwcleaner.exe
# Opción: Limpiar
***** [ Servicios ] *****
***** [ Archivos / Carpetas ] *****
Carpeta Eliminada: C:\Program Files (x86)\Pass-Widget
Carpeta Eliminada: C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcfopijhanoceijcfpaileppfklbeggk
Archivo Eliminado: C:\Program Files (x86)\Mozilla Firefox\browser\nsprotector.js
Archivo Eliminado: C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.delta-search.com_0.localstorage-journal
***** [ Accesos directos ] *****
***** [ Registro ] *****
***** [ Navegadores ] *****
-\\ Internet Explorer v10.0.9200.16736
*************************
AdwCleaner[R0].txt - [10444 bytes] - [14/10/2013 17:13:09]
AdwCleaner[R1].txt - [1195 bytes] - [15/11/2013 18:09:46]
AdwCleaner[S0].txt - [9757 bytes] - [14/10/2013 17:14:25]
AdwCleaner[S1].txt - [1123 bytes] - [15/11/2013 18:16:15]
########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1183 bytes] ##########
# AdwCleaner v3.012 - Informe creado el 15/11/2013 a las 18:16:15
# Actualizado el 11/11/2013 por Xplode
# Sistema operativo: Windows 7 Home Premium Service Pack 1 (64 bits)
# Nombre de usuario: Marin - MARIN-TOSH
# Ejecutado desde: C:\Users\Marin\Desktop\adwcleaner.exe
# Opción: Limpiar
***** [ Servicios ] *****
***** [ Archivos / Carpetas ] *****
Carpeta Eliminada: C:\Program Files (x86)\Pass-Widget
Carpeta Eliminada: C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcfopijhanoceijcfpaileppfklbeggk
Archivo Eliminado: C:\Program Files (x86)\Mozilla Firefox\browser\nsprotector.js
Archivo Eliminado: C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.delta-search.com_0.localstorage-journal
***** [ Accesos directos ] *****
***** [ Registro ] *****
***** [ Navegadores ] *****
-\\ Internet Explorer v10.0.9200.16736
*************************
AdwCleaner[R0].txt - [10444 bytes] - [14/10/2013 17:13:09]
AdwCleaner[R1].txt - [1195 bytes] - [15/11/2013 18:09:46]
AdwCleaner[S0].txt - [9757 bytes] - [14/10/2013 17:14:25]
AdwCleaner[S1].txt - [1123 bytes] - [15/11/2013 18:16:15]
########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1183 bytes] ##########
Hola,
Vuelvo a su foro porque he descargado de hecho AdwCleaner, pero, a diferencia de lo que leí en el enlace que me envió, el software no pide "eliminar" de inmediato. Así que hice "escanear" y luego "limpiar" y traté de publicar en su foro el resultado de este trabajo. Pero, en este caso, el doble tréma ^^ sigue ahí (al presionar una sola vez la tecla, tengo 2 y, además, se colocan antes de la letra).
Gracias por su ayuda.
Vuelvo a su foro porque he descargado de hecho AdwCleaner, pero, a diferencia de lo que leí en el enlace que me envió, el software no pide "eliminar" de inmediato. Así que hice "escanear" y luego "limpiar" y traté de publicar en su foro el resultado de este trabajo. Pero, en este caso, el doble tréma ^^ sigue ahí (al presionar una sola vez la tecla, tengo 2 y, además, se colocan antes de la letra).
Gracias por su ayuda.
No me atrevo a lanzar un software así que podría alterar una configuración de mi sistema que no domino.
Por ejemplo, si encuentro un proxy, no podré decidir con conocimiento de causa si debo mantenerlo o eliminarlo, ya que no fui el autor de la instalación.
Por el momento, solo he realizado informes de diagnóstico y correcciones sin impacto en el sistema con programas como MalwareBytes o mi antivirus Forefront una vez actualizado.
Así que no he emprendido nada arriesgado y el resultado, al menos aparentemente, es excelente, ya que no tengo más ninguno de los síntomas que motivaron estas investigaciones.
El problema está resuelto lo mejor posible para mí y simplemente planeo reiniciar mi computadora para una seguridad al 100%
Lo que también permitirá una actualización de mis programas
Agradeciéndote tu dedicación a ti y a Guillaume
@+
Luc
hay que saber que P_s es tan peligroso como ZHPDiag o Malwarebytes....
así que no es peligroso.
Sobre todo porque G3n es el creador...........