Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
PortadaForo AyudaTutoriales
Inicio Respuestas Problemas

Mediashifting.com. Como se quita?

EUSK_XABI
- 25/12/2011 23:37:08 - Pregunta nº.: 13.501

Windows XP (5.1) 32b, Firefox 8.0.1

me sale la pagina mediashifting.com. Y no puedo entrar en ninguna pagina antivirus. Me ha bloqueado mi antivirus. Nod 32. Como se quita?

#1 bacter (20.410 Posts) - 25/12/2011 23:46:47
Este (conjunto de) virus es bastante nuevo , lleva haciendo de las suyas unos 2 o 3 días. Pero de momento no hay ningún antivirus o antispyware que le quita. Me parece que va se un rootkit. Ya tengo un equipo con la infección para analizarlo, y seguramente vamos a tener muchos usuarios con la misma pregunta en las próximas horas.
Estoy con ello y cuando tenga solución lo comunicaré.
Me podría ser útil saber el origen. Si te acuerdas como puede haber llegado:
¿has recibido un correo de desconocidos?
¿has descargado/instalado algun programa? ¿cual?
¿has tocado algun anuncio de o juego de facebook?
Bajar - Subir
#2 EUSK_XABI (2 Posts) - 25/12/2011 23:55:29
He bajado dos programas para intalar la actualizacion de RAW para Photoshop 5.5
Bajar - Subir
#3 infectadom (1 Posts) - 26/12/2011 06:24:48
Por el MSN(messenger) a uno amigo le hackearon su cuenta
Bajar - Subir
#4 bacter (20.410 Posts) - 26/12/2011 16:11:51
El virus de redireccionamiento se anida en varios sitios y puede infectar algunos archivos vitales.
Aparentemente tiene varios componentes, que no solo redirigen solicitudes web a mediashifting.com, sino que imposibilitan usar los links que devuelven las búsquedas. Asi si hay que acceder a determinada web, hay que teclear la url en el navegador directamente.

Los antivirus (he usado avast y microsoft essentials) detectan archivos infectados, pero no localizan lo que causa nuevas infecciones. El malware de vez en cuando accede a cientos de sitios y genera cientos de cookies y genera nuevas infecciones en archivos existentes y nuevos.

Los antivirus identifican los bichos creados como:
virus: patchload
Troyano: conedex.
Troyano: sirefef.


Lo he parado de la siguiente manera:

1. parar los procesos sospechosos (openiscsi y dos de nombre aleatorio) en el administrador de tareas.

2. Eliminar en inicio el arranque de tareas innecesarias (con ccleaner)

3. Usar unlocker para poder eliminar en
C:\ \ Documents and Settings\ \ usuario\ \ Configuración local\ \ Datos de programa
un directorio con nombre aleatorio con nombre como 1f539ad4 que contiene archivos tipo .@ y parecidos.

4. Limpiar temporales y registro con ccleaner

5. Ejecutar Malwarebytes y aplicar corrección propuesta

Con esto después del rearranque, la infección esta parada.
Se verifica y limpia otra vez con ccleaner, scan completo con antivirus y con malwarebytes.
Ya solo quedaba reinstalar el driver del cd (que fue eliminado por infección)

Bajar - Subir
#5 arqmonreal (1 Posts) - 26/12/2011 21:21:26
Podrias ser mas amplio en tu explicacion, soy muy lento para la informatica, el punto uno no lo entendi y el 3 tampoco
gracias
Bajar - Subir
#6 bacter (20.410 Posts) - 26/12/2011 22:15:36
Siento no haber podido dar una explicación mas clara indicando de manera fácil como quitar el problema, pero esto no se debe a soberbia mía, sino a mi tiempo y equipo limitado, y la todavía escasa disponibilidad de información sobre el problema en internet. De hecho, las primeras referencias al problema son del dia 22 de diciembre, la mayoría del 24 en adelante, y todavía no he visto en páginas (en difrentes idiomas) la solución mas correcta para resolver el problema. (Incluso hay que tener cuidado: ya se han apuntado los primeros buitres, que como solución ofrecen descarga de falsos antivirus y \ 'herramientas\ ' , de pago o que a su vez infecan el equipo)

Así que me he visto obligado a buscar la desinfección manual, utilizando varias herramientas de diagnóstico para observar la actividad de los bichos, y aplicando medidas de las cuales no en todos los casos estoy seguro que eran eficientes o necesarias. Pero como no hice copias del sistema completo en varias fases de ejecución para poder repetir cada paso por separado analizando los resultados, no me es posible dar instrucciones exactas del todo.

No obstante, trato de detallar un poco los pasos 1 y 3.

1. Pulsando Ctrl+Alt+Supr llegas a abrir el \ 'Administrador de tareas\ '. En la pestaña \ 'Procesos\ ' esta la lista de todos los procesos que se están ejecutando, la mayoría necesarios. Uno, con nombre openiscsi.exe, se debe terminar, con ello cesan los cientos de conexiones que se conectan a cientos de sitios en intervalos variables.
Como la lista de procesos también indica la actividad de cada recurso, he parado también otros dos procesos de nombre desconocido entre los procesos normales. (Si tienes duda si se trata de procesos necesarios, y si tienes otro equipo a tu disposición, realizas la busqueda en google con el nombre de proceso para saber si es legítimo o no - o preguntas aqui).

En el paso 3, hago referencia a un directorio, que debes localizar empezando desde la raiz c:\ \ para verlo, debes activar en el explorador (de windows, no de la web) en herramientas -> Opciones de carpeta -> pestaña \ 'Ver\ ':
Mostrar todos los archivos y carpetas ocultas
Mostrar el contenido de las carpetas del sistema

En \ "C:\ \ Documents and Settings\ \ usuario\ \ Configuración local\ \ Datos de programa\ " debes sustituir usuario (en itálico) por tu nombre de usuario de windows.

El directorio de nombre parecido al indicado (1f539ad4) no se deja borrar directamente, por eso debes descargar antes el programa \ 'unlocker\ ', y ejecutarlo sobre la carpeta y los archivos y eliminarlos.

Espero que con esto también consigas librarte de los bichos.
Bajar - Subir
#7 Karlos2007 (377 Posts) - 27/12/2011 01:45:41
Hola que tal pues yo también tengo el mismo problema con la misma pagina de internet. el cual me ha desabilitado el Avast. comento lo que he hecho. eh actualizado y corrido el Malwarebytes\ ' Anti-Malware el cual me detecto varias amenazas de las cuales eh eliminado todas las que marco. reinicie la pc lo volvi a correr y ya no detecto nada. anterior y posterior a eso mire los procesos que me parecieron sospechos los cuales los finalize. busque en los datos de programas y elimine los archivos sospechos. también ejecute el msconfig y quite del inicio varios ejecutables que eran extraños de los cuales no instale ningun programa los cuales eran bcdfmt, el archivo @ que estaban tildados para que inicien junto con la pc. con el avast inicie un escaneo de memoria que da antes del arranque de la pc el cual me detecto ciertos archivos infectados tales como los del propio antivirus, pero sigo con el mismo inconveniente aun. también eh limpiado el registro y los archivos temporales con el CCcleaner. y eh revisado por si tenía algun programa instalado fuera de lo comun en la pc. pero no encontre nada. no es un gran aporte pero por lo que describiste bacter eh intentado lo que mencionas anteriormente y no me dio algun resultado. el archivo que mencionas (openiscsi) en ningun momento me figuro desde el ctrol + alt + supr. Perdon por la intromicion al post pero sufro del mismo problemas.
Saludos
Bajar - Subir
#8 bacter (20.410 Posts) - 27/12/2011 02:07:43
Hola Karlos2007,
Tu \ 'intromisión\ ' es bienvenida, ya que cuanta mas información podamos reunir, tanto mas fácil sera encontrar la solución.

Encontraste en C:\ \ Documents and Settings\ \ usuario\ \ Configuración local\ \ Datos de programa una carpeta sospechosa?

Prueba usando tcpview (descarga desde microsoft) observar los procesos que generan muchas conexiones. quizas encuentres ahi un proceso que genera esta actividad que no se encuentra en un directorio del sistema conde suelen estar los procesoso normales. (boton derecho sobre el proceso -> propiedades te indica el directorio del programa. Puede que use cualquier otro nombre en lugar de openiscsi.

Ya he leido comentarios que el bicho se anida en el antivirus. Tendrás que desinstalarlo, y no hacer una instalación fija de otro hasta que el equipo no esté limpio.
Bajar - Subir
#9 Karlos2007 (377 Posts) - 27/12/2011 02:38:38
Pues mira bacter eh vuelto a revisar nuevamente en la configuración local y me eh topado nuevamente con el archivo algadapter.exe que a posteriori ya lo habia eliminado. lo he vuelto a eliminar y se ha borrado sin ningun problema alguno salvo este archivo no hay nada fuera de lo comun en dicha carpeta.
mira esto es lo que eh encontrado utilizando el tcpview el proceso que mas aparece y lo veo como algo desconocido es 3832 tcp administrador 4179 eze03s05-in-f20.1e100.net http fin_wait2
y este se repite varias veces. pero cuando le doy para ver las propiedades me aparece un error que dice unable to query propierties for
3832 tcp administrador 7082 ec2-174-129-217-243.compute-1.amazonaws.com http fin_wait2 también esa direccion solo que cambia la direccion de internet al final de la misma es lo que varia de la anterior ya que no puedo ver las propiedades le hice un whois y esto fue lo que me arrojo:

markmonitor is the global leader in enterprise brand protection.

domain management
markmonitor brand protectionâ„¢
antifraud solutions
corporate consulting services

visit markmonitor at www.markmonitor.com
contact us at 1 800 745 9229
in europe, at +44 (0) 20 7840 1300


the data in markmonitor.com\ 's whois database is provided by markmonitor.com
for information purposes, and to assist persons in obtaining information
about or related to a domain name registration record. markmonitor.com
does not guarantee its accuracy. by submitting a whois query, you agree
that you will use this data only for lawful purposes and that, under no
circumstances will you use this data to: (1) allow, enable, or otherwise
support the transmission of mass unsolicited, commercial advertising or
solicitations via e-mail (spam); or (2) enable high volume, automated,
electronic processes that apply to markmonitor.com (or its systems).
markmonitor.com reserves the right to modify these terms at any time.
by submitting this query, you agree to abide by this policy.

registrant:
dns admin
google inc.
1600 amphitheatre parkway
mountain view ca 94043
us
(prohibido poner emails) +1.6502530000 fax: +1.6506188571

domain name: 1e100.net

registrar name: markmonitor.com
registrar whois: whois.markmonitor.com
registrar homepage: http://www.markmonitor.com

administrative contact:
dns admin
google inc.
1600 amphitheatre parkway
mountain view ca 94043
us
(prohibido poner emails) +1.6502530000 fax: +1.6506188571
technical contact, zone contact:
dns admin
google inc.
1600 amphitheatre parkway
mountain view ca 94043
us
(prohibido poner emails) +1.6502530000 fax: +1.6506188571

created on.: 2009-09-24.
expires on.: 2019-09-24.
record last updated on.: 2011-05-05.

domain servers in listed order:

ns1.google.com
ns2.google.com
ns4.google.com
ns3.google.com




markmonitor is the global leader in enterprise brand protection.

domain management
markmonitor brand protectionâ„¢
antifraud solutions
corporate consulting services

visit markmonitor at www.markmonitor.com
contact us at 1 800 745 9229
in europe, at +44 (0) 20 7840 1300
gracias por la aclaracion de lo del antivirus pues iba a poner manos a la obra para desinstalarlo y volverlo a instalar antes de eliminar por completo dicho problema. así que solo desinstalare el antivirus hasta finalizar con dicho problema
Bajar - Subir
#10 Karlos2007 (377 Posts) - 27/12/2011 02:40:04
Corrijo perdon en los datos de programa aparecio dicho archivo. algadapter.exe *
Bajar - Subir
#11 fercachito (5 Posts) - 27/12/2011 16:59:57
HOLA A TODOS.
Bueno, yo también estoy infectado con esto, y fuè a traves de un keygen para un programita de dardos. Buscarè la web, pues no la recuerdo y el programa por si sirve de ayuda.
Tengo windows 7 y esto es lo que me marca el Exential:

Trojan:Win32/Sirefef.P
Categoría: Caballo de Troya

Descripción: Este programa es peligroso y ejecuta comandos de un atacante.

Acción recomendada: Quitar este software inmediatamente.

Security Essentials detectó programas que pueden comprometer su privacidad

o dañar el equipo. Puede seguir teniendo acceso a los archivos que usan

estos programas sin quitarlos (no recomendado). Para ello, seleccione la

acción Permitir y haz clic en Aplicar acciones. Si esta opción no está

disponible, inicie sesión como administrador o pida ayuda al administrador

de seguridad.

Elementos:
file:C:\ \ Windows\ \ assembly\ \ GAC_MSIL\ \ Desktop.ini


Trojan:Win32/Sirefef.S
Categoría: Caballo de Troya

Descripción: Este programa es peligroso y ejecuta comandos de un atacante.

Acción recomendada: Quitar este software inmediatamente.

Security Essentials detectó programas que pueden comprometer su privacidad

o dañar el equipo. Puede seguir teniendo acceso a los archivos que usan

estos programas sin quitarlos (no recomendado). Para ello, seleccione la

acción Permitir y haz clic en Aplicar acciones. Si esta opción no está

disponible, inicie sesión como administrador o pida ayuda al administrador

de seguridad.

Elementos:
file:C:\ \ Users\ \ FERNANDO\ \ AppData\ \ Local\ \ b9a0b80c\ \ U\ \ 800000cf.$



Trojan:Win64/Sirefef.E
Categoría: Caballo de Troya

Descripción: Este programa es peligroso y ejecuta comandos de un atacante.

Acción recomendada: Quitar este software inmediatamente.

Security Essentials detectó programas que pueden comprometer su privacidad

o dañar el equipo. Puede seguir teniendo acceso a los archivos que usan

estos programas sin quitarlos (no recomendado). Para ello, seleccione la

acción Permitir y haz clic en Aplicar acciones. Si esta opción no está

disponible, inicie sesión como administrador o pida ayuda al administrador

de seguridad.

Elementos:
file:C:\ \ Users\ \ FERNANDO\ \ AppData\ \ Local\ \ b9a0b80c\ \ U\ \ 800000cb.$




Trojan:Win64/Sirefef.D
Categoría: Caballo de Troya

Descripción: Este programa es peligroso y ejecuta comandos de un atacante.

Acción recomendada: Quitar este software inmediatamente.

Security Essentials detectó programas que pueden comprometer su privacidad

o dañar el equipo. Puede seguir teniendo acceso a los archivos que usan

estos programas sin quitarlos (no recomendado). Para ello, seleccione la

acción Permitir y haz clic en Aplicar acciones. Si esta opción no está

disponible, inicie sesión como administrador o pida ayuda al administrador

de seguridad.

Elementos:
file:C:\ \ Users\ \ FERNANDO\ \ AppData\ \ Local\ \ b9a0b80c\ \ U\ \ 80000000.$



Trojan:Win32/Conedex.A
Categoría: Caballo de Troya

Descripción: Este programa es peligroso y ejecuta comandos de un atacante.

Acción recomendada: Quitar este software inmediatamente.

Security Essentials detectó programas que pueden comprometer su privacidad

o dañar el equipo. Puede seguir teniendo acceso a los archivos que usan

estos programas sin quitarlos (no recomendado). Para ello, seleccione la

acción Permitir y haz clic en Aplicar acciones. Si esta opción no está

disponible, inicie sesión como administrador o pida ayuda al administrador

de seguridad.

Elementos:
file:C:\ \ Users\ \ FERNANDO\ \ AppData\ \ Local\ \ b9a0b80c\ \ U\ \ 000000cf.$


No tengo ni idea de todo esto, me suena a chino, pero aporto lo que tengo por si sirve de ayuda.

Saludos

Fernando
Bajar - Subir
#12 fercachito (5 Posts) - 27/12/2011 17:20:20
Vuelvo de nuevo con las webs donde pude descargar el troyano a traves de un keygen o crack.

http://****.com/search/***

http://www.***/search/****?aff.id=****


busqueda en google
http://www.google.es/search?*****

Yo creo que lo descargue de una de estas dos primeras direcciones. Al ejecutar el programa descargado en el escritorio. simplemente desapareciò y empezaron los problemas.

Espero os sirvan estas referencias para solucionar el problema que tenemos.

Gracias y perdonar por mi incultura al respecto.

Saludos

Fernando


Comentario del Moderador: No está permitido poner links a otras páginas que no sean oficiales o que no hayamos Autorizado.

[Mensaje editado por Moderador Nacho_Rdz con fecha: 27/12/2011 17:24:51].
Bajar - Subir
#13 fercachito (5 Posts) - 27/12/2011 17:47:00
Pido perdon al sr. Moderador, no sabia que no se podìan poner esos links. Mi intenciòn ha sido simplemente la de informar a quienes entienden de estos tema, pues yo soy un neòfito.
Pido disculpas.

Fernando

Bajar - Subir
#14 sedada (1 Posts) - 27/12/2011 18:56:17
A mi también me ha pasado lo mismo, bueno a mi hijo, bajandose politonos de una pagina. Estoy intentando soluciones antes de tener que ponerme a formatear.
Bajar - Subir
#15 bacter (20.410 Posts) - 27/12/2011 19:36:20
Todavía no esta claro por donde entra este bicho, que mas bien parece una combinación de bichos.
Parece que: genera algun ejecutable con nombre openiscsi.exe, o algadapter.exe que se ocupa de establecer conexiones.
La procedencia no se puede achacar de momento ni a un sitio concreto que ofrezca crack , keygen, o politonos. El equipo que desinfecté no utiliza nada de esto, lo único que se instaló fue en la última semana fue spotify desde la página oficial, y el equipo estaba protegido con avast-free actualizado y con spyware search & destroy (actualizado) con teatimer. Si no entra como gusano, por el uso que se da al equipo, las unicas vias han sido a través de facebook mediante algun enlace-trampa usando java, o a través de anexo de correo.

Pregunta a los afectados: ¿Han observado ventanas del firewall pidiendo permiso para abrir el acceso a programas como firefox, googletoolbar, u otros programas durante el tiempo de infección?
Bajar - Subir
#16 jorclaher (1 Posts) - 27/12/2011 20:19:56
Yo también descargue estasemana spotify y tengo el mismo problema con el mediashift. Habra algo en común?
Bajar - Subir
#17 emtec (6.732 Posts) - 27/12/2011 20:43:37
Lo considero muy improbable, mucha gente descarga spotify a diario, y también mucha gente está siendo infectada. Simplemente ha sido coincidencia. Saludos


No olvides, que los que te ayudan, son personas, hola, adiós, gracias. . . son palabras que se agradecen

¡Felices Fiestas a toda la comunidad de ConfigurarEquipos.com!

NO respondo consultas técnicas por privado. Sólo si tienes alguna duda sobre el foro por favor.
Bajar - Subir
#18 Karlos2007 (377 Posts) - 28/12/2011 03:46:43
Bacter en realidad pues ahora que lo mencionas si el firewall me hace lo que comentas. desde el dia de la fecha de la infeccion con la mayoria de los programas que ejecutaba por primera vez desde el dia de la infecion
a travez de la desinstalacion del avast que te habia comentado. me eh encontrado con dos nuevos archivos en el arranque de windows. y en ctrol + alt + supr veo uno archivos del 1 al 17 con extencion .tmp
y en la carpeta de datos de programa estan dichos archivos los elimino de a uno por ejemplo elimino el numero 1 a los pocos segundos se crea el archivo 2.temp y así sucesivamente. eh vuelto a instalar el avast para que me los detecte y oh por esas casualidades del destino me reconoci el archivo openiscsi.exe como un roktick. en estos momentos estoy haciendo un analisis de memoria nuevamente para ver si queda algun rastro de el. comentare si sigo aún con dicho problema o no. saludos
Bajar - Subir
#19 Karlos2007 (377 Posts) - 28/12/2011 04:22:47
Corrijo nuevamente mi error sepan disuculpa el archivo que me detecta el avast es el archivo ipsec.sys que esta en c://windows/system32/drivers el antivirus lo detecta le doy eliminar pero nuevamente sigue ahy. tendria algo que ver este archivo con nuestra infeccion?
Bajar - Subir
#20 bacter (20.410 Posts) - 28/12/2011 09:16:23
Karlos2007:
ipsec.sys en esta ubicación es un archivo necesario del sistema operativo. La detección del avast puede tratarse de un falso positivo. AVG también \ 'reconoce\ ' en este archivo un virus, pero no puede poner el programa en cuarentena (por suerte, ya que dejarías de poder conectarte a la red). Si tienes dudas, subelo a virustotal.com.
Bajar - Subir
#21 kabutoz (1 Posts) - 28/12/2011 17:41:16
Lo ha pillado el ordenador de mi mujer, el cual SOLO usa el Facebook con el firefox, en cambio, estando en red, mi ordenador con el que me descargo de todo y ejecuto de todo no lo tengo.

Esto es del facebook.
Bajar - Subir
#22 ej1236 (1 Posts) - 28/12/2011 18:15:31
El problema me empezo desde que empeze a utulizar el timeline de facebook!
Bajar - Subir
#23 ARQMONREAL2 (1 Posts) - 28/12/2011 18:38:27
Yo utilize el kaspersy internet security (kis) version de prueba 2011 y me saco del problema (por fin¡), posteriormente solo realize una limpieza con el ccleaner y todo como nuevo
de verdad se los recomiento
Bajar - Subir
#24 fercachito (5 Posts) - 28/12/2011 20:08:33
Buenas tardes.
Bien, yo también tenía el problema del Mediashifting donde se me redirigìa siempre el crhome. Utilizo windows 7 y por tanto el Microsolft Segurity Exential, y fuè èste quien me alerto de tener un troyano como indico en un post superior.
Indaguè como es lògico en algunos foros y encontrè la solución con un programa \ "Trojan Remover\ " que no acabò de fulminarlo. Utilice entonces el CCleaner y a continuacion un programa antimalware llamado \ "Malwarebytes\ " y para terminar utilicè el TDSSKiller. Por supuesto todo esto desconectado de la red. Volvì a pasar el ccleaner y el malwarebytes. actualicè el M.S.Exential y lo pasè, y. è voilà. desapareciero, el troyano y el Mediashifting. Hice una defragmentacion de disco y volvì a pasar los programas mencionados por si acaso, y de momento todo parece que và perfecto. Ni el malwarebytes ni el Trojan Remover ni el M.S.Exential me dicen que haya algo mal, al contrario todo limpio.
Bueno este es mi caso y asì os lo cuento. Parto de la base de que no tengo ni idea de todo esto, tan sòlo me limitè a seguir los pasos indicados y parece que han dado resultado.
Tengo los informes de los programas por si al moderador o a alguien le interesa verlo. Para mì son sòlo un monton de lìneas que apenas entiendo.
Espero haber ayudado y colaborado con todos ustedes en este asunto.

Un saludo.

Fercachito
Bajar - Subir
#25 lovostri (1 Posts) - 28/12/2011 20:51:17
Gracias Fercachito por el aporte

Yo use El malwarebytes, TDSSKiller y CCleaner. reinicie volvi a analizar y listo todo normal e incluso se me arreglo un problema con google que me redirecconaba a otra pagina. pruben a ver como les va y comentan. suerte
Bajar - Subir
#26 fercachito (5 Posts) - 28/12/2011 21:13:54
Un placer haber servido de ayuda. La verdad es que pasè un mal dia intentando eliminarlo, pero al final el esfuerzo tuvo recompensa. Y lo mejor es haya servido para otros.
Lo dicho, un placer y una alegria.

Saludos
Bajar - Subir
#27 Karlos2007 (377 Posts) - 28/12/2011 23:45:57
Hola pues si, la solución a nuestro problema fue el Malwarebytes eso si hasta la ultima actualizacion ya que antes no habia podido actualizar a su ultima version anoche tras la ultima actualizacion este detecto los problemas y el avast se encargo de eliminarlos por completo. yo simplemente me maneje con el avast y el Malwarebytes no utilize los demas programas y pude resolver el problema del redireccionamiento. por lo que veo hemos encontrado la solución a este pequeño gran problema entre todos. espero que esto sirva para futuros usuarios que sufran lo mismo que nosotros mas adelante.
P/D: pues si bacter lamentablemente no alcanze a leer de antemano tu comentario y deje que el avast elimine el archivo que mencionas y no tenía acceso a la red y casi estuve al borde de un ataque de panico, y casi estuve a punto comprar una placa de red pensando que la mia se habia quemado pero luego de leer tu comentario supe que hacer y la verdad me sacaste de un apuro muy importante.
saludos y muchisimas gracias a todos por colaborar con este problema.
saludos :D
Bajar - Subir
#28 bacter (20.410 Posts) - 28/12/2011 23:51:26
Gracias a todos por aportar información y de comunicar como resolvieron el problema.

Y probablemente gracias también a malwarebytes y los que mantienen los diversos antivirus por incluir rápidamente las actualizaciones que se mostraron eficaces.
Bajar - Subir
#29 CarballoQ (1 Posts) - 29/12/2011 19:24:55
Yo ayer me descargué la actualización del Flash Player, la cual se me inició sola. A mí me resultó extraño, y casi cancelo la instalación. Sin embargo, procedí a instalarla. No sé si tendrá algo que ver, pero ayer mismo me infecté.

Un saludo
Bajar - Subir
#30 bacter (20.410 Posts) - 29/12/2011 20:38:04
CarballoQ.
Me sorprendería que tenga que ver si descargaste la actualización desde la página de adobe, pero no me sorprendería nada, si hiciste caso a algun anuncio en cualquier página web, con pinta de video, que te indica que debes actualizar el flashplayer a la última versión para ver el contenido.
Bajar - Subir
#31 RullEspaMex (6 Posts) - 30/12/2011 00:06:22
Hola no se si será de ayuda, pero yo tengo el mismo problema con ese spyware o virus o lo que sea.
Resulta que he ejecutado el Autorun Analyzer y he visto varios procesos que me los detecta como malignos.
Uno es el gupdate, de Google Inc, aparece como Malware. OTro es el gupdaterm, también de Google Inc, y otro el gusvc, me aparece que es de Google y que e sun Trojano!!
Estoy intentando descargar actualizaciones del antivirus Comodo, que es de la misma familia que el Autorun Analyzer, a ver si puedo eleminarlo.
Bajar - Subir
#32 bacter (20.410 Posts) - 30/12/2011 00:53:50
Hola RullEspaMex,
Estos procesos que enumeras pueden ser infectados, o simplemente es untro cunjunto de nombres de procesos mas que utiliza el bicho durante su actuación.
Prueba el Malwarebytes, que parece después de todo lo acumulado, una herramienta decisiva.

Bajar - Subir
#33 RullEspaMex (6 Posts) - 30/12/2011 03:33:28
Gracias Bacter, pero he pasado el Malwarebytes, efectivamente me ha reconocido el virus, lo ha borrado, me ha pedido reinicio para acabar de borrarlo, y al reiniciar, otra vez al conectar a internet explorere me vuelve a aparecer. :(
He visto al hacer msconfig que aparece un archivo raro del Nero en inicio, el nero lo instale hace poco, lo que no entiendo es qué pinta en inicio el Nero. ¿Puede ser una pista?
Otra cosa, instalo el norton, me da un error al hacer un escaner, y al reiniciar, ya no me vuelve a aparecer el icono del norton en la barra de herramientas, ¿sera que el virus lo bloquea? ¿sera que el virus ha borrado algun archivo del Norton?.
Gracias.
Bajar - Subir
#34 RullEspaMex (6 Posts) - 30/12/2011 03:43:45
Ah, antes de nada, olvide chequear lo del antivirus, lo borraré, quito la conexión a internet y paso el malware. Otra cosa, sí, yo he observado lo del Firewall de windows, que me pide permisos para todas esas cosas. Lo unico que como me cansaba de ver los letreritos, lo quité de las opciones del firewall. ¿No será que el virus se ha metido en todos esos programas? Creo que hasta el office lo pedía, el Norton lo pedía también. :S
Bajar - Subir
#35 bacter (20.410 Posts) - 30/12/2011 14:29:57
Lo de pedirte permisis de firewall parece una característica común del bicho.
- En los programas de inicio, te sugiero que con ccleaner desactives todo que no sea necesario para el inicio (todo tipo de update y accelerators).
- Quita o desactiva también los toolbars varios que puedas tener instalado.
- Vuelve ejecutar el Malwarebytes
- Ejecuta el TDSSKiller
- Ejecuta un antivirus online antes de preocuparte por el norton (que también puede estar infectado teóricamente, ya que en algonos foros se comentó que el bicho también se anidaba en el antivirus)

. y a ver como queda. Suerte.
Bajar - Subir
#36 RullEspaMex (6 Posts) - 31/12/2011 00:19:32
Hola Bacter, parece que conseguí eliminar el virus, pero ahora me da problemas la conexion a internet.
Primero quite la conexion a internet, deshabilitando con el boton de la laptop el wlan, luego deshabilitando la conexion en el icono de la barra de tareas, luego desinstale el Norton, Luego pase el TDSSkiller y me borro como 4 bichos, luego el Malwarebytes y no me encontro nada, entonces intsale el norton, pase otra vez el TDSSKiller y no vio nada, reinicie y ahora si que aparece el norton, cosa que antes no sucedia por que creo que el bicho lo infectaba, luego conecte internet e intente conectar el explorer, no me salia el acceso a la pagina de mediashifting pero me sale que tengo problemas de conexion y que no puedo obtener la direccion de red. Digo yo que si el antivirus habra eliminado alguna cosa necesaria para la conexion de red? que puedo hacer? Gracias.
Bajar - Subir
#37 RullEspaMex (6 Posts) - 31/12/2011 00:23:27
Ah, antes de desactivar internet pase el TDSSKiller y me descargué la ultima actualización del antirootkit, luego desactive internet y fue esa actualización la que ejecuté.
Esxpero que le sirva a alguien.
Bajar - Subir
#38 RullEspaMex (6 Posts) - 31/12/2011 06:05:11
Hola de nuevo, sigo con el problema de obtener direccion de red, he chequeado por internet y he visto algo así como entrar en services.msc desde ejecutar programas, he buscado el Cliente DHCP y lo he intentado activar pero me ha salido el mensaje: No se puede iniciar el servicio de cliente DHCP en equipo local. Error 1075: El servicio de dependencia no existe o se ha marcado para ser eliminado. Por lo que cada vez estoy más seguro de que el antivirus TDSSKiller eliminó algo.
¿La solución puede ser usar el CD de Windows XP y hacer una restauración?
Gracias.
Bajar - Subir
#39 bacter (20.410 Posts) - 31/12/2011 10:42:09
El bicho puede haber infectado un archivo que haya sido necesario eliminarlo (en mi caso me quedé sin unidad de cd).
Antes de reparar desde el cd:
- comprueba si es cuestión de la conexión a red o problema del navegador. Prueba con otro navegador.
- Revisa si en el administrador de dispositivos la(s) tarjeta(s) de red están presente(s) y no presentan problema de drivers. Si hay problema, desinstálalos, y usa el panel de control -> Agregar hardware para que localiza la tarjeta y reinstale el driver.
- Si es necesario, elimina la conexión de red existente, y crea una nueva.
- Antes de restaurar desde cd, arranca con cd y usa la opción reparar sistema.
Bajar - Subir
#40 bacter (20.410 Posts) - 04/01/2012 11:17:13
Parece que se ha puesto en circulación una nueva variante del bicho que ahora redirige a 95p.com .
Bajar - Subir
#41 Yherzon (1 Posts) - 04/01/2012 19:32:38
Yo utilizo el Chrome y exactamente me redirige a 95p.com. empezo hace 4 dias, al descargar un driver para mi cel, que no me funciona, ni siquiera se ejecutaba, el sistema me menciono que no era un software seguro pero no le hice caso, ese fue el error. Ahora no me deja entrar a los enlaces de los resultados de búsqueda de google. espero a ver que es lo que pasa si lo dejo cargar y muestra cargando, esperando, etc. a las siguientes direcciones: a10101100x, jsjj1jsj2, no recuerdo bien, pero son varios. cuando termino de cargar las primeras veces no llegaba a nada pero ahora me lleva a una pagina de .CO Domain Monster. 95p.com. Yo utilizo el Avast y me funcionaba rebien hasta que me infecte de ese bicho, el avast de la nada empieza a encontrar y eliminar amenazas que se crean algunas .exe y URLs peligrosas, mientras el equipo no se esta utilizando. espero les sirva de algo.
Acabo de leer estos post y me parece que le encontraron la solución a un problema parecido. ahora mismo lo hare y les comento si me funciono. Buen trabajo
Gracias.
Bajar - Subir
#42 bonniec (1 Posts) - 06/01/2012 04:48:28
A mi me pasa igual que a Yherzon. me redirecciona a 95p.com, el Avast me notifica amenazas por lo que sea, y lo único que me detecta es uno llamado consrv.dll que no me atrevo a borrar porque he leido que no me funcionaria el sistema operativo. Ya le pase ccleaner, ya le pase malwarebytes que me detecta otros como \ "c:\ \ windows\ \ assembly\ \ tmp\ \ U\ \ 800000cb.@\ " . y el tdsskiller . pero sigue todo igual, me sigue redireccionando, y abre cuando quiere paginas de mediashifting. ¿Alguien tendrá otra solución efectiva? ya no se que hacer. Gracias, saludos.
Bajar - Subir
#43 Yilou (1 Posts) - 09/01/2012 18:00:47
Hola a todos,

Yo también tengo el mismo problema. Me redirige a mediafisting y también a 95p He pasado el Malwarebytes y borra varios. También el essential me detecta varios trojanos y los elimina pero me pide reiniciar pero al reiniciar. no puede y restaura a un punto anterior con virus y sin malwarebytes.

Me tiene harto ya de intentos. Voy a probar ahora el TDSKiller que he leido aquí que puede funcionar. Ya os contaré.





[Mensaje editado por Moderador Xesvs con fecha: 09/01/2012 18:11:32].
Bajar - Subir
#44 bacter (20.410 Posts) - 09/01/2012 19:21:18
El bicho se va cambiando continuamente el camuflaje y las páginas de destino de redirección, por lo tanto en algunos casos es difícil eliminarlo. Recomiendo las siguientes conjuntos de precauciones:

1. NO usar ninguna de las herramientas milagrosas tipo \ \ \ 'remover\ \ \ ' que se ofrecen en cada vez mas páginas. Hay cada vez mas parásitos (humanos) que aprovechan el problema para pescar en rio revuelto: Aprovechan para generar tráfico a sus páginas, para ofrecer descargas que en muchos casos solo llevan a infecciones e instalación de \ \ \ 'backdoors\ \ \ ' (puertas traseras) adicionales o para ofrecer herramientas de detección gratuita, que detectan inclusos lo que no hay para ofrecerte la herramienta para eliminarlo pagando, etc. etc. SOLO usar herramientas que se ofrecen y se descargan desde páginas de empresas de antivirus conocidas como Norton-Symantec (FixTDSS), Kaspersky(TDSSKiller) etc.

2. Antes de usar herramientas:
a) revisar los procesos en ejecución, y parar aquellos que son ajenos al funcionamiento necesario para el sistema.
b) revisar con ccleaner los programas en inicio, y deshabilitar las tareas no necesarias.
c) Comprobar que no se haya cambiado el servidor DNS en la conexión de red y volver a poner el que debe ser.
d) Ejecutar las Herramientas (Malwarebytes, Superantispyware etc.) , TDSSKiller y Antivirus, todos seguidos, sin reiniciar el equipo en medio, ya que si el bicho \ \ \ 'no esta muerto\ \ \ ', con un reinicio pueden producirse nuevas copias.





[Mensaje editado por Moderador bacter con fecha: 09/01/2012 19:32:14].
Bajar - Subir
#45 Yilou2 (1 Posts) - 10/01/2012 02:26:17
Hola de nuevo,

No ha funcionado. Se detectan muchos archivos infectados o sospechosos pero al reiniciar el sistema no arranca y la única forma de conseguirlo es restaurando el sistema.

Estoy casi seguro de que lo cogí en facebook al seguir un mail en el que un conocido te etiqueta en un video o foto.

Esto detecta el Essentials:

Trojan:Win64/Sirefef.K
Categoría: Caballo de Troya
file:C:\ \ Windows\ \ assembly\ \ tmp\ \ U\ \ 800000cf.@

Y esto:

Trojan:Win64/Sirefef.B
Categoría: Caballo de Troya
file:C:\ \ Windows\ \ System32\ \ consrv.dll

Supongo que borrar este archivo es lo que hace que no pueda reiniciar.

Por último encuentra esto:

Worm:Win32/Rebhip.A
file:C:\ \ Users\ \ JL\ \ AppData\ \ Roaming\ \ Syncrodriver.exe
regkey:HKCU@S-1-5-21-1696151287-204428818-2386248487-1001\ \ SOFTWARE\ \ MICROSOFT\ \ WINDOWS\ \ CURRENTVERSION\ \ RUN\ \ \ \ Syncrodriver
runkey:HKCU@S-1-5-21-1696151287-204428818-2386248487-1001\ \ SOFTWARE\ \ MICROSOFT\ \ WINDOWS\ \ CURRENTVERSION\ \ RUN\ \ \ \ Syncrodriver

Malwarebytes encuentra esto:

- PUP.BundelOffer.Downloader.S -- File -- C:User\ \ Downloads\ \ SoftonicDownloader_para_unlocker.exe

- Backdoor.Agent -- Registry Value -- HKCU\ \ SOFTWARE\ \ Microsoft\ \ Winfows NT\ \ CurrentVersion\ \ WinlogonShell

No he comentado que tengo Windows 7 y que no encuentro el CD de instalación que supongo que venía con el portatil.

¿Cómo puedo limpiarlo sin que se rompa el sistema de arranque?!!!!
Bajar - Subir
#46 bacter (20.410 Posts) - 10/01/2012 14:10:33
Efectivamente, si consrv.dll esta infectado y lo eliminas, no arrancará mas el sistema.
Los Sirefef.xxx te los generará nuevos mientras que el bicho esté vivo.

Si no tienes una copia de seguridad del sistema desde donde copiar una librería consrv.dll , puedes quizas cojerla de otro equipo/sitio.

Por otro lado, si tu portátil no venía con cd de windows original, seguramente en tu disco duro hay una partición oculta que contiene el sistema para reinstalar el windows como venía de fábrica. Mira en el manual del portátil como se activa la restauración. Quizas esto sea la opción mas segura si no consigues la .dll ni eliminar todos los bichos. Realiza antes una copia de todos tus archivos personales en dispositivos externos como disco duro, pendriva, cd, dvd. etc.
Bajar - Subir
#47 Cuskri (1 Posts) - 13/01/2012 00:35:01
Hola a todos,

Yo no consigo quitarlo. El anticuéis me da continuos mensajes de drivers del system32 están infectados. Los vuelvo a copiar de otro PC y al rearrancar me he quedado sin resolver DNS. Pingo a la dirección numérica pero no a la dirección \ "normal\ ".

¿Alguna recomendación?
Bajar - Subir
#48 Rosabxl (1 Posts) - 18/01/2012 14:04:06
Exactamente. a mi también me conicide con la descaraga de spotify. Debo desinstalarlo para que desaparezca el problema?
Bajar - Subir
#49 bacter (20.410 Posts) - 08/02/2012 23:08:32
Abnow.comarece que ahora otra página de destino es \ "Abnow.com\ ".
Si hay archivos importantes en el directorio system32 infectados, una desinfección con antivirus les suele hacer inservibles, con lo cual es recomendable proceder a hacer una copia de los datos personales y proceder a una reinstalación limpia del sistema operativo.
Bajar - Subir
#50 Merce1962 (1 Posts) - 13/02/2012 07:36:49
Yo estaba en el facebook, probablemente toque sin querer algun anuncio porque me sale lo del mediashifting cada dos por tres desde ese momento.
Bajar - Subir
#51 gimura (1 Posts) - 15/02/2012 07:15:37
Hola a todos yo prove lo antes escrito por un usuario en este blog y funciono asi

1).malwarebytes

2).TDSSKiller

3).ccleaner

4).reiniciar y listo garantizado
Bajar - Subir
#52 XAndjsefas (1 Posts) - 17/02/2012 17:47:42
A mi me llego cuando me salio descargar nueva versión de Flashplayer S:
Bajar - Subir
#53 ysuyu42 (1 Posts) - 24/03/2013 13:03:57
Yo he pasado el CCleaner, luego el Malware y luego el TDSSkiller y me ha ido bien ,y el ordenador me va más rápido además de haber ganado 5 Gigas de golpe, muchas gracias por todo, de verdad.
Bajar - Subir

Temas relacionados:

Mediashifting y ABNOW
Windows 7 (6.1) 32b, Microsoft Internet Explorer 9.0 restaurar equipo POR MEDIASHIFTING, se me ha colado y ya no se que hacer, he probado con casi todos los programas y ya solo me queda PAGAR y reinstalar el equeipo, o ALGUNA SUGERENCIA. ...
Como se quita wireless ala psp go
Windows XP (5.1) 32b, Chrome 16.0 que no me puedo conectar a internet por el maldito wireless y no se que es ...
Como se quita la luz verde
Nada mas recibirlo lo puse a cargar y no se porque no se enciende ni dandole al boton de encender se enciende Elephone S7. ...
Troyano trj/chgt.a como se quita
He quitado unos troyanos más de diez veces oasandole el pnda anti virus, pero siempre me vuelve )\"a salir y son: c:\\system volume informetion\\restore A781242F y otro que dice: c:\\documents and settings\\datos de progr., por favor como los puedo quitar difinitivamente? y los puedo eliminar de cuarentena? Wxp sp3 2.67 GHz 1.5 de ram, pentium 4. ...
Como se quita la barra de arriba de imvu
Google chrome no se como quitar la barra de arriba de imvu y lo necesito saver, por favor ayudarme, que si me ayudais me haceis un gran favor, GRACIAS. ...
Subir

Foros:


Foro ADSL

Foro Android

Foro Antivirus

Foro Comunidad

Foro Consolas

Foro Debate

Foro Facebook

Foro Hardware

Foro Hotmail

Foro iPad
Foro iPhone

Foro Juegos

Foro Linux

Foro Móviles

Foro Opiniones

Foro Tablet

Foro Whatsapp

Foro Windows

Foro Windows 7

Foro Windows 8
InicioSecciones
^ SubirAviso legal
Política Privacidad
Configurarequipos20 Diciembre 2024