Programa molestoso o Virus

[cmgenny]

Holas

En esta me dirijo a ustedes para decirles que tuve en mi maquina un virus o una anomalia llamada cool Web shedder, que era fastidiosisiomo cada vez que iniciaba una pagina, el salia y me ponia otra pagina y por mas que buscaba solo aparecia esa pagina. Gracias a un programa bajado de internet llamado CWShredder pude eliminar el vendito programita o virus muy molesto.

En esta ocasion existe un malvado programita que cada 47 segundos (confirmado con un cronometro) me activa las propiedades de internet y se va al asesor de contenido y me sale el cuadro de si quiero activar el asesor de contenidos con una clave. ME TIENE DE CABEZA es tan molesto.

Como sabran la vieja solucion de BackUp y Reinstalar, pero para mi no es una salida si lo hago asi el vendito programa Ganoooo y no queiro que sea asi.

Por favor si alguien a escuchado de esto y sabe una solución escriban yo por mi parte tratare de encontrar una en la red y la compartire con ustedes Gracias y disculpe mi actitud es que no soporto al programa este ya ha salido 8 veces en lo que escribo este mensaje.

[delphi.com.ar]

Te recomendaría ver con un visor de procesos, por ejemplo el ofrecido en sysinternals.com e identificar este proceso, matarlo y borrar el ejecutable. (Primero busca info sobre este exe en la web). Otro tipo de programa molesto, son las DLL´s que se le anexan al explorer, también las puedes ubicar con el visor de procesos o buscar un SpyWare remover para que haga esto.

Saludos!

[DarkByte]

O mírate en el registro de windows, ahí normalmente se ponen al inicio

[cmgenny]

El programita no esta en el inicio.

Y delphi.com.ar no es lo mismo que es administrador de tareas de windows que ceres.

[DarkByte]

¿Has mirado en el RUN del LocalMachine y CurrentUser o sólamente en una?¿Te has fijado en el win.ini?¿Y en servicios?. Busca también en casa de la vecina, ¡estos programas se esconden en cualquier lado!

[delphi.com.ar]

Cita:

Empezado por cmgenny

Y delphi.com.ar no es lo mismo que es administrador de tareas de windows que ceres.

Ten en cuenta que no comentas que versión de Windows estas usando, y no todas las versiones tienen un taskmanager donde veas todos los procesos, además, el taskmanager tiene carencias fundamentales, como saber la ruta completa del exe que está mostrando. Digamos, si tienes en tu disco dos exes con el mismo nombre en diferentes carpetas, no sabrás cuál de las dos estas ejecutando.

[guillotmarc]

Hola.

Un programa muy útil para eliminar este tipo de software es el AD-Aware de LavaSoft http://www.lavasoft.de/ (Hay una versión gratuita).

Funciona de forma similar a un Antivirus, pero en lugar de eliminar virus, elimina este tipo de software molesto, que cambia las paginas de inicio del Explorer, envia publicidad, datos privados, etc. ...

Saludos.

[cmgenny]

Es cierto El SO es Windows XP Home Edition y el task manager es mas o menos completo o eso creo y ya he utilizado el AD-Aware que me recomiendas y no da resultado.

Estuve viendo el programa que me dices Delphi.com.ar y es muy parecido al task manager del SO, lo que tengo que buscar ahora cual es el EXE que esta molestando o el DLL, Gracias si en algo mas me pueden ayudar soy todo ojos.

[Amilius]

Una pregunta....

¿Pasa lo mismo si entras en modo "seguro", como administrador principal?

Creo que sería más productivo saber porque tu máquina parece tan vulnerable a los ataques de esos programas para evitar futuros problemas.

[cmgenny]

Tienes razon en lo que dices Amilius en modo prueba de fallo funciona perfectamente, de ahi mi deduccion de que fuera algun virus parecidos a los cool web shedder pero lo que quiero es saber como eliminarlo.

Y despues que mi equipo resulto afectado con un web shedder me he protejido muchisimo. Lo que sucede es que comparto mi conexion DSL con 3 vecinos mas, para ahorrarme costos y uno de ellos es el del problema. y no quisera que infectara la red completa.

[Amilius]

Hmmmm...

Me temo que ese "programita" pueda tener comportamiento de virus:

1.- Puede que se instale como SERVICIO, oculto (con algún nombre inocente como "Power Manager") en alguna o algunas subclaves de:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services,
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services o
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

estos se ejecutan antes que los programas en la clave "RUN", en modo seguro sólo se inician los servicios esenciales del sistema, por esto creo que el programa furtivo pueda estar registrado en las anteriores claves de registro, y no en:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

y otros...

del registro que son más fáciles de limpiar de programillas molestos.

2.- Puede que al igual que un virus infecte los .exe para no desaparecer cuando su archivo o archivos principales sean borrados y el registro limpiado.
Es posible que, estando instalado como servicio, se ejecute antes y siempre que se abra un .exe. Una vez que ejecutas el .exe infectado el programa se instala, generalmente "reparan" el .exe y lo dejan tal cual estaba antes de ser infectado para ocultar sus malvadas acciones.

3.- El nombre del proceso puede estar camuflado, como la familia de virus que aparecen en la lista de procesos como SVCHOST.EXE , o clonando el nombre de procesos y/o servicios escenciales del Sistema Operativo.

[DarkByte]

Algunos programas, como el RegCleaner, te pueden ayudar si tienes poca experiencia con el registro de windows.