Posible secuestro del archivo hosts
Resuelto
Mathieu
-
billmaxime Mensajes publicados 50522 Fecha de registro Estado Colaborador Última intervención -
billmaxime Mensajes publicados 50522 Fecha de registro Estado Colaborador Última intervención -
Hola,
Estoy en Windows 7, y desde hace unos días Windows Defender me alerta sobre la presencia de un software peligroso: settingsmodifier:win32/possiblehostsfilehijack. Intenté eliminarlo, me devuelve un código de error 0x80070005. Acceso denegado. Igual si quiero ponerlo en cuarentena.
Avira por su parte no detecta nada.
¿Alguien tendría alguna solución para deshacerse de ello? Me preocupa un poco...:(
Gracias de antemano
Mathieu
PD: Busqué en Google, pero no soy un experto en informática y todo esto me parece un poco oscuro :)
Estoy en Windows 7, y desde hace unos días Windows Defender me alerta sobre la presencia de un software peligroso: settingsmodifier:win32/possiblehostsfilehijack. Intenté eliminarlo, me devuelve un código de error 0x80070005. Acceso denegado. Igual si quiero ponerlo en cuarentena.
Avira por su parte no detecta nada.
¿Alguien tendría alguna solución para deshacerse de ello? Me preocupa un poco...:(
Gracias de antemano
Mathieu
PD: Busqué en Google, pero no soy un experto en informática y todo esto me parece un poco oscuro :)
25 respuestas
- 1
- 2
Siguiente
Entonces lo tenía pero ya no lo tengo... no sé si lo hice bien, pero desactivé Avira unos minutos, el tiempo para volver a intentar eliminar el archivo malicioso con Defender. ¡Y funcionó! Acabo de volver a activar Avira en este momento, todo parece funcionar como debe.
Gracias por haberte esmerado por mí, ¡es muy amable!
Que tengas un buen día
Hasta luego
Gracias por haberte esmerado por mí, ¡es muy amable!
Que tengas un buen día
Hasta luego
hola
para saber más, puedes hacer esto
descarga zhpdiag en tu escritorio (herramienta de diagnóstico)
el enlace https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
el tutorial http://www.security-helpzone.com/forum/Thread-ZHPDiag-Generer-un-rapport
usuarios vista-w7-w8 ejecutar como administrador (clic derecho)
para iniciar el escaneo haz clic en la lupa con el + (2º botón en la parte superior izquierda)
el informe se mostrará en tu escritorio y en C:\zhpdiag.txt
publica el informe a través de este enlace https://www.cjoint.com/
@+
--
la tasa de radiación es más alta en Pôle Emploi que en Chernóbil
para saber más, puedes hacer esto
descarga zhpdiag en tu escritorio (herramienta de diagnóstico)
el enlace https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
el tutorial http://www.security-helpzone.com/forum/Thread-ZHPDiag-Generer-un-rapport
usuarios vista-w7-w8 ejecutar como administrador (clic derecho)
para iniciar el escaneo haz clic en la lupa con el + (2º botón en la parte superior izquierda)
el informe se mostrará en tu escritorio y en C:\zhpdiag.txt
publica el informe a través de este enlace https://www.cjoint.com/
@+
--
la tasa de radiación es más alta en Pôle Emploi que en Chernóbil
Gracias por la rapidez de tu respuesta!
Aquí está el enlace del informe, espero haberlo hecho todo correcto...
http://cjoint.com/?3FDk3gXOmfy
Aquí está el enlace del informe, espero haberlo hecho todo correcto...
http://cjoint.com/?3FDk3gXOmfy
sí, recibí el informe... pero mira esto en el informe (Crack & Keygen Files (O82))
debes eliminar todo lo que se encuentra allí antes de continuar la desinfección
puedes leer esto
https://forum.malekal.com/viewtopic.php?t=893&start=
dime cuando esté hecho
@+
el índice de radiación es más alto en Pôle Emploi que en Chernóbil
debes eliminar todo lo que se encuentra allí antes de continuar la desinfección
puedes leer esto
https://forum.malekal.com/viewtopic.php?t=893&start=
dime cuando esté hecho
@+
el índice de radiación es más alto en Pôle Emploi que en Chernóbil
Bueno, hay que reconocer que los había dejado por todas partes :)
Los he eliminado todos sin piedad...
Los he eliminado todos sin piedad...
re
ok, désinstalle ceci Java 7 Update 9 et télécharge la dernière version ici
MFIE: Mozilla Firefox 21.0 (Defaut) n'est pas a jour, mets le a jour
tu as 2 versions de ceci OPIE: Opera v12.14/OPIE: Opera v12.15
désinstalle la Opera v12.14
ensuite, refais moi 1 zhpdiag en cliquant sur la loupe avec le + et poste le rapport
via ce lien
merci
@+
-- le taux de radiation est plus élevé au pôle emploi qu'à Tchernobyl
ok, désinstalle ceci Java 7 Update 9 et télécharge la dernière version ici
MFIE: Mozilla Firefox 21.0 (Defaut) n'est pas a jour, mets le a jour
tu as 2 versions de ceci OPIE: Opera v12.14/OPIE: Opera v12.15
désinstalle la Opera v12.14
ensuite, refais moi 1 zhpdiag en cliquant sur la loupe avec le + et poste le rapport
via ce lien
merci
@+
-- le taux de radiation est plus élevé au pôle emploi qu'à Tchernobyl
re
has desinstalado esta versión Opera v12.15 y deberías haber desinstalado la que sigue
Opera v12.14
pon la versión Opera v12.14 al día en tu PC
llego con la continuación
@+
--
el nivel de radiación es más alto en el pole empleo que en Chernóbil
has desinstalado esta versión Opera v12.15 y deberías haber desinstalado la que sigue
Opera v12.14
pon la versión Opera v12.14 al día en tu PC
llego con la continuación
@+
--
el nivel de radiación es más alto en el pole empleo que en Chernóbil
Sin embargo, desinstalé la 12.14 y, curiosamente, cuando hago aparecer la lista de programas para desinstalar un programa, ya no aparece ningún Opera, lo mismo en Archivos de programa...
haz esto por favor
lanza zhpfix en modo administrador (clic droit)
copia todo el texto en **negrita** a continuación
haz clic en el segundo botón en la parte superior izquierda (pegar el portapapeles)
haz clic en GO en la parte inferior de la página y confirma con sí para iniciar la limpieza de datos
el informe se mostrará en tu escritorio y en C:\zhpfix.txt
publica el informe a través de este enlace https://www.cjoint.com/
el texto a copiar
[bloquear] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
O4 - HKUS\S-1-5-21-2421505861-448997301-1305069401-1000\..\Run: [AdobeBridge] Clé orpheline
O4 - GS\Desktop: OneKey Recovery.lnk . (...) -- C:\Program Files (x86)\Lenovo\OneKey App\OneKey Recovery\OneKey Recovery.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{65F44CA4-4F62-4E84-BE7E-3B3D20B3EC86}] (...) -- C:\Program files\Bohemia Interactive\Take On Helicopters Demo\UnInstall.exe (.not file.) [0]
[MD5.B28C334C03CEE7C5E829C43AE75DAE5A] [SPRF][20/04/2013] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\mathieu\AppData\Local\Temp\AskSLib.dll [248008]
SysRestore
FirewallRAZ
EmptyCLSID
EmptyTemp
EmptyFlash
@+
--
el nivel de radiación es más alto en el Pôle Emploi que en Tchernóbil
lanza zhpfix en modo administrador (clic droit)
copia todo el texto en **negrita** a continuación
haz clic en el segundo botón en la parte superior izquierda (pegar el portapapeles)
haz clic en GO en la parte inferior de la página y confirma con sí para iniciar la limpieza de datos
el informe se mostrará en tu escritorio y en C:\zhpfix.txt
publica el informe a través de este enlace https://www.cjoint.com/
el texto a copiar
[bloquear] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
O4 - HKUS\S-1-5-21-2421505861-448997301-1305069401-1000\..\Run: [AdobeBridge] Clé orpheline
O4 - GS\Desktop: OneKey Recovery.lnk . (...) -- C:\Program Files (x86)\Lenovo\OneKey App\OneKey Recovery\OneKey Recovery.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{65F44CA4-4F62-4E84-BE7E-3B3D20B3EC86}] (...) -- C:\Program files\Bohemia Interactive\Take On Helicopters Demo\UnInstall.exe (.not file.) [0]
[MD5.B28C334C03CEE7C5E829C43AE75DAE5A] [SPRF][20/04/2013] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\mathieu\AppData\Local\Temp\AskSLib.dll [248008]
SysRestore
FirewallRAZ
EmptyCLSID
EmptyTemp
EmptyFlash
@+
--
el nivel de radiación es más alto en el Pôle Emploi que en Tchernóbil
Aquí tienes el informe:
http://cjoint.com/?3FDmx2sesFx
Tengo que ir a comer, regreso en breve; si aún tienes un poco de tiempo para mí (cuando puedas), sería genial… ¡gracias de nuevo!
http://cjoint.com/?3FDmx2sesFx
Tengo que ir a comer, regreso en breve; si aún tienes un poco de tiempo para mí (cuando puedas), sería genial… ¡gracias de nuevo!
re
bon appétit
tu me diras si tu as toujours ton soucis de départ
merci
@+
--
le taux de radiation est plus élevé au pôle emploi qu'à Tchernobyl re
buen provecho
me dirás si sigues teniendo tu problema de origen
gracias
@+
--
la tasa de radiación es más alta en el empleo público que en Chernóbil
bon appétit
tu me diras si tu as toujours ton soucis de départ
merci
@+
--
le taux de radiation est plus élevé au pôle emploi qu'à Tchernobyl re
buen provecho
me dirás si sigues teniendo tu problema de origen
gracias
@+
--
la tasa de radiación es más alta en el empleo público que en Chernóbil
Desafortunadamente, Windows Defender todavía detecta un archivo possiblehostsfilehijack potencialmente peligroso...
re
ok, dime si tienes actualizaciones antes de tu problema
gracias
@+
--
el tasa de radiación es más alta en el empleo público que en Chernóbil
ok, dime si tienes actualizaciones antes de tu problema
gracias
@+
--
el tasa de radiación es más alta en el empleo público que en Chernóbil
No hay actualización de software; hubo actualizaciones de Windows, pero antes de venir a publicar aquí hice una restauración del sistema a una fecha anterior, sin cambios.
Había instalado pequeños programas de música antes de la restauración; desaparecieron con la restauración, pero el problema persiste.
Había instalado pequeños programas de música antes de la restauración; desaparecieron con la restauración, pero el problema persiste.
Haz esto, por favor
descarga MBAM en tu escritorio
el enlace https://www.malwarebytes.com/ (elige la versión gratuita)
el tutorial https://www.donnemoilinfo.com/tuto/Malwarebytes-Anti-Malware/
ejecútalo como administrador (clic derecho)
síguelo y actualízalo (tercer botón)
haz un escaneo completo (todos los discos)
el escaneo puede durar aproximadamente 2 horas (déjalo trabajar)
si MBAM encuentra algo, elimina la selección (ver tutorial en la segunda página)
publica el informe con 1 copiar/pegar
el informe aparecerá en tu escritorio y en informe/log de MBAM
Nos vemos
--
la tasa de radiación es más alta en el Pôle Emploi que en Chernóbil
descarga MBAM en tu escritorio
el enlace https://www.malwarebytes.com/ (elige la versión gratuita)
el tutorial https://www.donnemoilinfo.com/tuto/Malwarebytes-Anti-Malware/
ejecútalo como administrador (clic derecho)
síguelo y actualízalo (tercer botón)
haz un escaneo completo (todos los discos)
el escaneo puede durar aproximadamente 2 horas (déjalo trabajar)
si MBAM encuentra algo, elimina la selección (ver tutorial en la segunda página)
publica el informe con 1 copiar/pegar
el informe aparecerá en tu escritorio y en informe/log de MBAM
Nos vemos
--
la tasa de radiación es más alta en el Pôle Emploi que en Chernóbil
Entonces, hice el análisis y eliminé una decena de archivos que Malwarebytes encontró, pero Defender sigue detectando el mismo archivo peligroso. Aquí está el informe:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Versión de la base de datos: v2013.06.29.01
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16618
mathieu :: MATHIEU-PC [administrador]
29/06/2013 13:55:20
mbam-log-2013-06-29 (13-55-20).txt
Tipo de revisión: Exploración completa (C:\|E:\|G:\|)
Opciones de exploración activadas: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de exploración desactivadas: P2P
Elemento(s) analizado(s): 541740
Tiempo transcurrido: 1 hora(s), 21 minuto(s), 44 segundo(s)
Procesos de memoria detectados: 0
(Ningún elemento dañino detectado)
Módulo(s) de memoria detectados: 0
(Ningún elemento dañino detectado)
Clave(s) del Registro detectadas: 0
(Ningún elemento dañino detectado)
Valor(es) del Registro detectado(s): 0
(Ningún elemento dañino detectado)
Elemento(s) de datos del Registro detectado(s): 0
(Ningún elemento dañino detectado)
Carpeta(s) detectada(s): 0
(Ningún elemento dañino detectado)
Archivo(s) detectado(s): 10
C:\Users\mathieu\Desktop\bittorrent\Windows 7 Fr Édition Intégrale X64 SP1 FULL update du 9 mai 2012\Windows.7.Loader.v2.1.2-DAZ\Windows Loader.exe (Trojan.Inject) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\bureau-7-toshiba\Downloads\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\bureau-7-toshiba\Downloads\WLv2.1.2.zip (Trojan.Inject) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\bureau-7-toshiba\ext\Archives\WINXP06-2011\Téléchargements\SoftonicDownloader_pour_rk-launcher.exe (PUP.OfferBundler.ST) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\ddext\WLv2.1.2.zip (Trojan.Inject) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\ddext\bureau-7-toshiba\Downloads\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\ddext\bureau-7-toshiba\Downloads\WLv2.1.2.zip (Trojan.Inject) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\ddext\bureau-7-toshiba\ext\Archives\WINXP06-2011\Téléchargements\SoftonicDownloader_pour_rk-launcher.exe (PUP.OfferBundler.ST) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\ddext\WLv2.1.2\Windows Loader\Windows Loader.exe (Trojan.Inject) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\WLv2.1.2\Windows Loader\Windows Loader.exe (Trojan.Inject) -> En cuarentena y eliminado con éxito.
(fin)
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Versión de la base de datos: v2013.06.29.01
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16618
mathieu :: MATHIEU-PC [administrador]
29/06/2013 13:55:20
mbam-log-2013-06-29 (13-55-20).txt
Tipo de revisión: Exploración completa (C:\|E:\|G:\|)
Opciones de exploración activadas: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de exploración desactivadas: P2P
Elemento(s) analizado(s): 541740
Tiempo transcurrido: 1 hora(s), 21 minuto(s), 44 segundo(s)
Procesos de memoria detectados: 0
(Ningún elemento dañino detectado)
Módulo(s) de memoria detectados: 0
(Ningún elemento dañino detectado)
Clave(s) del Registro detectadas: 0
(Ningún elemento dañino detectado)
Valor(es) del Registro detectado(s): 0
(Ningún elemento dañino detectado)
Elemento(s) de datos del Registro detectado(s): 0
(Ningún elemento dañino detectado)
Carpeta(s) detectada(s): 0
(Ningún elemento dañino detectado)
Archivo(s) detectado(s): 10
C:\Users\mathieu\Desktop\bittorrent\Windows 7 Fr Édition Intégrale X64 SP1 FULL update du 9 mai 2012\Windows.7.Loader.v2.1.2-DAZ\Windows Loader.exe (Trojan.Inject) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\bureau-7-toshiba\Downloads\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\bureau-7-toshiba\Downloads\WLv2.1.2.zip (Trojan.Inject) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\bureau-7-toshiba\ext\Archives\WINXP06-2011\Téléchargements\SoftonicDownloader_pour_rk-launcher.exe (PUP.OfferBundler.ST) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\ddext\WLv2.1.2.zip (Trojan.Inject) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\ddext\bureau-7-toshiba\Downloads\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\ddext\bureau-7-toshiba\Downloads\WLv2.1.2.zip (Trojan.Inject) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\ddext\bureau-7-toshiba\ext\Archives\WINXP06-2011\Téléchargements\SoftonicDownloader_pour_rk-launcher.exe (PUP.OfferBundler.ST) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\ddext\WLv2.1.2\Windows Loader\Windows Loader.exe (Trojan.Inject) -> En cuarentena y eliminado con éxito.
C:\Users\mathieu\Desktop\WLv2.1.2\Windows Loader\Windows Loader.exe (Trojan.Inject) -> En cuarentena y eliminado con éxito.
(fin)
re
ok, haz que hagas 1 zhpdiag haciendo clic en la lupa con el + y publiques el informe
a través de este enlace https://www.cjoint.com/
gracias
@+
--
la tasa de radiación es más alta en Pôle Emploi que en Chernóbil
ok, haz que hagas 1 zhpdiag haciendo clic en la lupa con el + y publiques el informe
a través de este enlace https://www.cjoint.com/
gracias
@+
--
la tasa de radiación es más alta en Pôle Emploi que en Chernóbil
- 1
- 2
Siguiente