Ver originales (Francés)

Infección por webhelper

Shunt Mensajes publicados 7 Estado Miembro -  
Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   -
Hola,

Mi PC tiene Windows Defender y Malwarebytes Premium. En los procesos, cuando abro uTorrent, aparecen dos procesos utorrentie.exe. Firma RemotelE.exe, descripción Webhelper, localizado en AppData/Roaming/utorrent/updates/3.4.5_41372. No logro eliminarlos, he intentado con Malwarebytes, Avira, luego Defender, CCleaner, RogueKiller... He utilizado OTL para crear informes, si alguien puede ayudarme a eliminarlos.

Te agradezco,
Shunt

5 respuestas

Respuesta 1 / 5
Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 711
 
Sin antivirus:
¡instala Avast! : https://www.malekal.com/tutoriel-antivirus-avast/
(Sobre todo activa las detecciones LPIs para detectar programas parásitos y publicitarios)

Aquí está la corrección a realizar con FRST.
Puedes inspirarte en esta nota explicativa con capturas de pantalla para ayudarte: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Abre el bloc de notas: Tecla de Windows + R, en el campo ejecutar, escribe notepad y OK.
Copia/pega lo siguiente:

HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
2016-01-20 01:27 - 2016-01-20 01:27 - 00000000 ____D C:\Program Files (x86)\SEARCH~1
ProxyServer: [S-1-5-21-753848071-1856887396-2643092716-1000] => localhost:8080
2016-01-20 01:39 - 2016-01-21 17:49 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2016-01-20 01:39 - 2016-01-21 17:47 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
2016-01-20 01:39 - 2016-01-20 01:39 - 00000000 ____D C:\Windows\System32\Tasks\Safer-Networking

Una vez pegado el texto en el bloc de notas.
Menú Archivo y luego Guardar como.
A la izquierda, selecciona el escritorio.
En el campo de abajo, nombre del archivo pon: fixlist.txt
Haz clic en Guardar - esto creará un archivo fixlist.txt en el escritorio.

Reinicia FRST y haz clic en el botón Corregir / Fix
Dependiendo de cómo, puede ser necesario un reinicio (no obligatorio).
Aparecerá un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.

Reinicia el ordenador

y luego restablece tus navegadores:
==================================
Restablece tus navegadores y/o reconfigura manualmente tus navegadores WEB (página de inicio, motor de búsqueda, etc.) así como eliminar/desactivar las extensiones innecesarias/parásitas:

--
Como el ángel que eres, ríes creando una ligereza en mi pecho,
Tus ojos me penetran,
(Tu respuesta siempre es 'quizás')
Así fue cuando me levanté y me fui.
0
Respuesta 2 / 5
Shunt Mensajes publicados 7 Estado Miembro
 
Re-

Resultados de la corrección de Farbar Recovery Scan Tool (x64) Versión: 18-01-2016
Ejecutado por DS (2016-01-21 22:41:50) Ejecución: 1
Ejecutado desde C:\Users\DS\Desktop
Perfiles cargados: DS (Perfiles disponibles: DS)
Modo de arranque: Normal
==============================================

Contenido del fixlist:
HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
2016-01-20 01:27 - 2016-01-20 01:27 - 00000000 ____D C:\Program Files (x86)\SEARCH~1
ProxyServer: [S-1-5-21-753848071-1856887396-2643092716-1000] => localhost:8080
2016-01-20 01:39 - 2016-01-21 17:49 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2016-01-20 01:39 - 2016-01-21 17:47 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
2016-01-20 01:39 - 2016-01-20 01:39 - 00000000 ____D C:\Windows\System32\Tasks\Safer-Networking

HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotPostWindows10UpgradeReInstall => valor eliminado(s) con éxito
C:\Program Files (x86)\SEARCH~1 => movido(s) con éxito
HKU\S-1-5-21-753848071-1856887396-2643092716-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => valor eliminado(s) con éxito
C:\Program Files (x86)\Spybot - Search & Destroy 2 => movido(s) con éxito
C:\ProgramData\Spybot - Search & Destroy => movido(s) con éxito
C:\Windows\System32\Tasks\Safer-Networking => movido(s) con éxito

Fin del Fixlog 22:41:50

¡Tengo Windows Defender como antivirus! ¿No es bueno?
0
Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 711
 
Es un poco límite, pero si no quieres instalar Avast!, no hay problema.
0
Shunt Mensajes publicados 7 Estado Miembro
 
No tengo un gran uso... Sin embargo, el webhelper de uTorrent siempre está presente en mis procesos.
0
Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 711 > Shunt Mensajes publicados 7 Estado Miembro
 
¿Puedes hacer una captura de pantalla?
Porque en FRST no hay rastro de Webhelper.
0
Respuesta 3 / 5
Shunt Mensajes publicados 7 Estado Miembro
 
Hola,

De hecho, se trata de procesos pertenecientes a Bittorrent. He mirado en otro ordenador que tiene utorrent y estas aplicaciones también están allí. Así que creo que está bien. Le agradezco por su valiosa ayuda, que tenga un buen día.

0
Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 711
 
ok utorrentie.exe
no se ve nada con el administrador de tareas.

Utiliza Process Explorer
busca utorrentie.exe - webhelper
haz doble clic aquí en respuesta, copia/pega el contenido del campo PATH.
0
Shunt Mensajes publicados 7 Estado Miembro
 
No encuentro el campo PATH?? Así que el único campo copiables es la pestaña String, eso creó un archivo .txt que es el siguiente:

jjj
jjh
jjjj
Djh
jjj
jjj
jjj
jjjjh
jjjj
Cjjjj
!Este programa no puede ejecutarse en modo DOS.
PRich
.text
`.rdata
@.data
.rsrc
@.reloc
hT[D
hT[D
hJ^D
QVWj
WSP
sLS
SPV
SVW
SQP
hd[D
SVWP
PVh
hp[D
@t(PVhH
PVh
PVh
PVh
PVW
PVW
KPR
?PSQ
sOS
PQV
SPS
SVW
PRQ
#EgWP
#EgP
#EgWP
tPV
SVWP
PVW
SVW
RPh
QPS
udh
SVW
SVWP
PWPSj
VWP
PVW
tpW
s3QW
VSj
PQVW
PQV
PQV
PQV
SVWh
PQSVW
D$XS
hP^D
D$ IQhX^D
PhX^D
D$0j@P
SVP
SVWP
SVW
SVWP
SVWP
hL^D
SVWP
QVQ
PhL^D
SVWP
SVWP
VWP
PQV
VWP
PQV
SVW
PQVW
SVW
wRS
PQV
QSV
PRQ
PRQ
SVW
PQV
SVW
VPQ
RQP
VRQ
SVW
SVWP
SVWP
u8RQQj
PQSVW
hp^D
PQSVW
SVW
QSVW
PVS
VSV
D$HSVW
Ph@_D
j\hp
hT_D
D$@Ph@_D
j\hp
hd_D
ht_D
L$8Qj
L$4QPV
L$8Qj
L$4QPV
SVW
SVWP
hJ^D
hJ^D
jPh
QPW
PRj
tBPh
jdh
SVW3
VWj
VINF
A8UDLL
A@NATI
AHFEAT
VWPh
PWVS
XrCj
PjX
VINFtJ
SVWP
SQVj
SQRj
VW=\t
hp^D
SVWP
SQRj
s*SQR
t'Vh
jtP
SVW
Phx
PQSVW
QSVW
SVW
hhaD
hL^D
hL^D
D$8Pj
D$dP
D$PPj
D$XP
PQVW
PQV
PQV
SVWP
TUU
tjtj
VWP
LSVW
<SVW
u[jD
QPj
peD
XjD
XjD
XjD
peD
XjD
peD
peD
DeD
VWP
SVWP
PhL^D
PWPSj
SVWP
hJ^D
hJ^D
QSP
SVWP
SVWP
h(fD
PhL^D
PVW
VWP
6Vh(fD
RPj#
h0fD
SVWP
hL^D
hHfD
VWP
DeD
DeD
PQV
dcD
djD
F(ddD
dcD
djD
G(ddD
wLP
SVW
SVW
SVWP
hPfD
hpfD
PhL^D
hL^D
PWj
VRh
SVWP
RhX
6PVW
SVW
VPj
hL^D
PhX
tTj
L$$hL^D
L$lhL^D
hL^D
D$HP
hL^D
uHV
L$$hL^D
D$LPj
SVW
T$dR
D$dP
D$dP
PhL^D
PhL^D
hL^D
w(Pj
D$\Pj
SVWP
xiV
VWP
PhL^D
hL^D
PVj
VWP
RhX
SVWP
SVW
h8gD
hLgD
hhgD
T$tR
Qhx
|LeD
D$ PhL^D
hL^D
D$HPj
DeD
DeD
L$DhL^D
hL^D
hL^D
L$xPW
D$hP
D$TPj
SVW
PhL^D
hL^D
L$xPS
D$PP
D$<Pj
T$LQ
VWS
hL^D
PQV
PQSV
PhL^D
SVWP
2Glj
G,WQP
HfD
9Gdt
VWP
h hD
FhPQ
vhQ
VWP
DeD
jjj
jjj
jjj
jjj
Cjjjj
jjj
jjj
Ajj
Cjj
jjjj
jjjj
jjh
Ajj
RRP
SVWP
hDhD
hPhD
DeD
VWP
QhX
DeD
VWP
SVWP
VWS
SVWP
h`hD
QhhhD
hthD
h|hD
PVS
SVWP
VWj
jdjdj
h4iD
PQSVW
SVWP
7hDiD
PhLiD
PhPiD
RPhXiD
RPhdiD
PQhliD
SVWP
DeD
SVWP
DeD
SVWP
DeD
(SVW
$SVW
SVW
SVW
SVW
PQVW
tCj
QSVW
xdD
xdD
xdD
WQS
Gh\dD
LeD
LeD
(SVW
A@PQ
lCA
$SVW
?QRS
wL+L$
DeD
DeD
DeD
DeD
DeD
DeD
DeD
DeD
PWV
SVW
HHtG
PVW
PWV
SVW
D$hSVW
D$@Pj
D$lP
D$dP
L$X9L$8t
SVWP
SVWP
SVWP
SVWP
D$8SVW
D$Pd
D$<PW
D$(9D$ t
L$Pd
D$8SVW
D$Pd
D$<PW
D$(9D$ t
L$Pd
D$XPQ
D$LP
D$@9D$8t
D$XPQ
D$LP
D$@9D$8t
D$XPQ
D$LP
D$@9D$8t
D$@SVW
D$Xd
D$@PV
D$,PV
D$09D$(t
L$Xd
PQVW
D$@SVW
D$Xd
D$8QP
D$$RP
PQS
L$Xd
D$PS
htiD
D$ j@P
D$PS
hxiD
D$ j@P
D$PS
h|iD
D$$j@P
D$PS
D$$j@P
D$XjlP
D$hS
t$TP
t$LjLPW
D$XjlP
D$hS
t$XP
WPh
D$@SVW
D$Xd
PWV
D$8QP
D$ RP
PQS
L$Xd
D$PS
htiD
D$ j@P
D$PS
hxiD
D$ j@P
D$PS
h|iD
D$$j@P
D$PS
D$$j@P
D$XjlP
D$hS
t$TP
t$LjLPW
D$XjlP
D$hS
t$XP
WPh
rlSVW
PQSVW
QSV
QSV
tpS
D$hSVW
QhjeD
hPeD
uf8F
:D$su
:D$ru
:D$ut
:D$tu
;D$(sX
PeD
uhj
t;Ot
SVWP
QWRVS
t6Ot
D$XSVW
D$pd
D$<PW
D$8SP
D$ PW
PRQ
D$8PW
PQSW
L$pd
D$HSVW
tAV
D$(SP
D$(SP
D$(SP
PRQ
D$(PS
PQVS
COu
tQS
D$XSVW
D$pd
D$<PW
D$8SP
D$ PW
XPRQ
D$8PW
PQSW
L$pd
D$HSVW
tAV
D$(SP
D$(SP
D$(SP
PRQ
D$(PS
PQVS
tYS
tRW
PVW
SVWP
uw8F
uej
t6Ot
SVWP
SVWP
QSVW
PVW
QVWj
PVW
$SVW
hLfD
SVW
SVW
SVW
QVWRj
PVW
$SVW
SVWP
SVWP
SVWP
SVWP
SVWP
D$8SVW
D$Pd
uW8C
L$Pd
8SVW
8SVW
8SVW
8SVW
8SVW
8SVW
SVWP
SVWP
RQVj
RQVj
SVW
SVWP
u.PQ
VQP
SVW
hp^D
SVWP
SQRj
SVW
hp^D
SVWP
QQj
SVW
SVW
tzVW
ttVW
PjYh
SVW
Cpt/
D$ SVW
RPQ
WRh
Rhh
SVP
VWS
Rhh
B4Iu
SVWP
WWh
PWVS
hdkD
Qhp
SVW
D$tPj
D$ph
plD
h,lD
SVW
VWP
YYhP
H(Qj
VWj
jjjjj
SVW
QVP
PSj
PSj
<xt"<Xu!
SPR
<xt"<Xu!
<it=<It9<0u-
<Nuj
Nuq
Iud
TuW
YuJ
<Eus
<Pus
QQS
tMj
tnW
YYf
WVQ
PVW
YYf
PVW
tnW
YYf
WVQ
PVW
YYf
PVW
SVW
tGj
tnW
YYf
WVQ
PVW
YYf
PVW
QSV
Xf!F
j Yf;
GXf;
Xf!F
Wj5_f;
oF f
oF f
oF f
XGB
XGB
lFB
hGB
XGB
XGB
XGB
OGB
XGB
hGB
pGB
THB
oV f
of@f
onPf
ov`f
o~pf
oPf
FGIu
FGIu
QSV
rvP
r>PS
ufW
Gpu
Apu
YYu
Vhq
SVWjA_jZ+
uBjAYjZ+
SVjA[jZ^+
jAZjZ^
ItDf
VHt
woSW
AQj
WSV
8csm
PPPPP
u}QQ
PQQ
PQQ
PQQ
PQQ
DAE
DAE
5DAE
;5DAE
tWPV
Hpu
PPPPPPPP
q?xD
VPj
oF f
oF f
oF f
hoB
PpB
dqB
hqB
pqB
xqB
oV f
of@f
onPf
ov`f
o~pf
oPf
FGIu
FGIu
VWj
SVW
SVW
QQSVWd
SVW
PPP
Jpu
Jpu
Jpu
PRQh
QPQ
WSS
SSSSS
WWWWW
VVVVV
PPPPP
QSV
8csm
PRSW
>csm
8csm
SVW
>csm
>csm
>csm
QQW
tHj
?MOC
?RCC
u Qj
QQSV
VRQ
Hu4j
YYP
YYP
tcj
YYPW
8RCC
8MOC
8csm
SVW
csm
ft!9q
rY9q
Jpu
QSV
WVPS
PP9E u
WVP
SVW
VWh
tQf
SVW3
SVW
jUS
PPPPP
QQQ
jA[jZZ+
jZZ
ineI
5ntel
5Genu
uCh
YYt
rWj
YYh
SVW
8csm
SVW
tcj
PSQR
VVVVV
C VP
C YY
PQQ
t/Ht
SVAW
tf=H
YYj
Npt"
FlP
VWh
FIu
AJu
WPW
WPW
Opt
9wlt
uGh
F\0CD
~pjCXf
VhD
SjU
PPPPP
WhL8D
VVVVV
QSVW
j.Yf;
hD8D
j.Yf;
tyPVj@W
_tcPVj@
sMf
uCPVj
u#j,Xf;
PPPPP
SSSSS
Wj.Y
jUP
>Cu/f9F
PWPt
GWVh
WVjU
@PVW
SSSSS
@PSjU
PPPPP
SSSSS
vlW
FlWP
vlhD
w$h<8D
QQQQQ
VPW
j;Yf9
j;Yf9
bPV
PjU
PVW
PPPPP
PjU
PVQ
VVVVV
jLj
PPPPP
QRW
SSW
@ucP
t/HHt
ItE
HHtVHHt
HHtp
itd
guV
RPWQ
PWj?
t/HHt
j*Xf;
j*Xf;
ItW
htHjlZ;
HHtXHHt
jiZ;
nt'joZ;
jgXf;
YYjgXf9
RPWQ
>0t<NAj0X
j-Xf
Wj0XP
j Zf
Wj XP
PWj?
PVhq|C
SVhq|C
Vhq|C
t/HHt
j*Xf;
j*Xf;
ItW
htHjlZ;
HHtXHHt
BADVAPI32.DLL
jiZ;
nt'joZ;
jgXf;
YYjgXf9
RPWQ
>0t<NAj0X
j-Xf
Wj0XP
0
Respuesta 4 / 5
Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 711
 
hay que hacer doble clic en utorrentie.exe y verás el campo PATH.

--
Como el ángel que eres, ríes creando una ligereza en mi pecho,
Tus ojos me penetran,
(Tu respuesta siempre es 'quizás')
Ahí fue cuando me levanté y me fui.
0
shunt
 
C:\Users\DS\AppData\Roaming\uTorrent\actualizaciones\3.4.5_41372\utorrentie.exe
0
Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 711 > shunt
 
ok, no conozco mucho utorrent pero diría que no es malicioso.
¿Puedes subir el archivo a https://www.virustotal.com/gui/ y darme el enlace?
0
shunt
 
Este archivo fue analizado por última vez por VirusTotal el 2016-01-23 04:34:40 UTC (hace 9 horas y 14 minutos) y fue analizado por primera vez por VirusTotal el 2015-11-18 19:57:33 UTC.

Ratio de detección: 0/54

Exacto, creo que es una aplicación de utorrent gratis!

De todos modos, gracias por el tiempo dedicado a ayudarme. ¡No es nada grave, al final!
0
Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 711 > shunt
 
sí, eso debe ser parte del paquete de uTorrent =)
0
Respuesta 5 / 5
Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 711
 
Hola,

Comienza por esto:

Sigue el tutorial de AdwCleaner (de Xplode)
Este programa permite eliminar adwares y programas no deseados:
  • Descárgalo en tu escritorio o en la carpeta de descargas.
  • Ejecuta AdwCleaner, haz clic en [Escanear].
  • El análisis puede tardar varios minutos, ten paciencia.
  • Una vez terminado el escaneo, no desmarques nada, haz clic en [Limpiar].
  • Una vez finalizada la limpieza, se abrirá un informe. Copia y pega el contenido del informe en tu próxima respuesta.


Si esto no funciona, utiliza el sitio http://pjjoint.malekal.com para alojar el informe, y proporciona el enlace del informe en un nuevo mensaje.
Nota: El informe también se guarda en C:\AdwCleaner[S1].txt

y luego:

Sigue el tutorial de FRST.
(y tómate el tiempo de leer para aplicarlo correctamente - todo está explicado).
Descarga y ejecuta el escaneo de FRST, esto generará tres informes de FRST:
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envía, como se explicó, estos tres informes al sitio http://pjjoint.malekal.com y, en respuesta, proporciona los tres enlaces pjjoint que llevan a esos informes aquí en una nueva respuesta para que podamos consultarlos.

--
Como el ángel que eres, ríes creando una ligereza en mi pecho,
Tus ojos me penetran,
(Tu respuesta siempre es 'quizás')
Ahí fue cuando me levanté y me fui.
-1
Shunt Mensajes publicados 7 Estado Miembro
 
# AdwCleaner v5.030 - Informe creado el 21/01/2016 a las 19:05:04
# Actualizado el 17/01/2016 por Xplode
# Base de datos: 2016-01-19.2 [Servidor]
# Sistema operativo: Windows 7 Home Premium Service Pack 1 (x64)
# Nombre de usuario: DS - DS_ORD
# Ejecutado desde: C:\Users\DS\Desktop\Downloads\adwcleaner_5.030.exe
# Opción: Limpiar
# Soporte: https://toolslib.net/forum
          • [ Servicios ] *****
          • [ Carpetas ] *****
          • [ Archivos ] *****


[-] Archivo Eliminado: C:\Users\DS\AppData\Roaming\Mozilla\Firefox\Profiles\mdxxlwi7.default-1429313510815\user.js
          • [ DLLs ] *****
          • [ Accesos directos ] *****
          • [ Tareas programadas ] *****
          • [ Registro ] *****
          • [ Navegadores ] *****


      :: Claves "Tracing" eliminadas
      :: Parámetros de Winsock reiniciados

      ########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [862 bytes] ##########
0