ayuda para quitar spyware

Hola a todos de nuevo necesito su ayuda....
Algun forista sabra como eliminar ese virus o spyware llamado o al menos asi lo llamo "search for" saben el que te cambia la pagina de inicio por un extraño buscador y reduce la velocidad de internet..........
Espero sus respuestas

Lo mas seguro que tengas alguna de la tantas variantes del conocido spyware CoolWebSearch o algún otro tipo de browser hijackers (secuestradores del navegador). Básicamente los que hacen como su nombre lo dice es secuestrar nuestro IE cambiándole la pagina de inicio, la pagina de búsqueda, abriendo pop ups y enlenteciendo la navegación.

Para librarte de esto te recomiendo hacer lo siguiente:

Primero descargate las siguientes herramientas que podes encontrar en el Mini-Tutorial de Spywares de abajo: Ad-Aware 6.0, SpyBot S&D, Cwshredder, AntiSecuestro V.1.0 y después,

1-Apagar el Restaurar Sistema de las propiedades de MiPC
2-Iniciar el PC pulsando la tecla de F8 y en modo a prueba de fallos
3-Escánerar tu Pc con todas las herramientas de a una empezando en el orden de la lista.
4-Una vez que borres todo lo que te encuentren tenes que borrar manualmente el historial, las cookies, los temporales de internet y cambiar manualmente a la pagina de inicio que quieras.
5-Reinicia la PC en modo normal y volver a repetir el paso 3 y 4.
6-Reinicia nuevamente y proba tu IE a ver como esta ahora.

Bueno espero que te sirva y sin con estas herramientas no te puedes librar del secuestrador postealo y vemos de sacarlo manualmente usando el HijackThis 1.98.

Salu2

Hola El piedra.
Bueno ya detecte cual es el el problema es un troyano que se hace pasar como spyware....
El virus es el Siguiente StartPage.FH

Te recomiendo que uses el Spy&BOT funciona bastante bien y luego le pases el NORTON ANTIVIRUS 2004, ahora viene integrado contra "esos problemitas".
Luego de analizar todo el disco, en ocasiones no puede borrar algunos archivos por que se estan ejecutando, Una manera de saber cual es el programa que esta ocasionandote problemas, es utilizando CTRL+ALT+DEL y entras al administrador de tareas de windows, ahi te aparecen los programas que se encuentran corriendo, asi que puedes ir elimando uno por uno hasta ver cual es el que se "vuelve" a ejecutar o el que veas sospechoso. luego buscarlo en el registro de windows, y eliminarlo, ¡¡¡¡¡AGUAS porque esto ultimo puede bloquear tu WINDOWS!!!!!! y tendrias que reinstalarlo todo.

Ahora voy a postear una breve reseña que halle sobre el virus....

StartPage.FH

Peligrosidad: Media
Propagación: Media
Daño: Alto

La Peligrosidad varía según el Daño y la Propagación.

Nombre común: StartPage.FH

Nombre técnico: Trj/StartPage.FH

Peligrosidad: Media

Alias: Trojan.Win32.StartPage.is, StartPage-DU

Tipo: Troyano

Efectos:
Cambia la página de inicio de Internet Explorer. Muestra ventanas con falsos avisos de que el ordenador está afectado por programas spyware y adware. Puede instalar otros malware.

Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95

Fecha de aparición: 15/06/2004

¿Está en circulación? Si


Descripción Breve

StartPage.FH es un troyano que cambia la página de inicio del navegador Internet Explorer. Mientras el ordenador esté afectado por StartPage.FH, no será posible restaurar la página de inicio original.

Además, muestra ventanas con falsos avisos de que el ordenador está afectado por diversos programas spyware y adware, con objeto de intentar engañar al usuario para que visite determinadas páginas web.

Si se visitan dichas páginas, aparecen otros mensajes, que solicitan permiso del usuario para instalar otros malware o programas como eAcceleration y eAnthology.

StartPage.FH no se propaga automáticamente por sus propios medios, sino que precisa de la intervención del usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de ficheros punto a punto (P2P), etc.

Espero que para los que esten infectados con este virus o interesados en saber que es les sirva de algo

Metodo de Infección

StartPage.FH llega al ordenador en forma de un archivo con extensión CHM, generalmente llamado ONLINE.CHM. Este archivo es el encargado de soltar los archivos ONLINE.EXE u ONLINE.HTA. Éstos, a su vez, sueltan una DLL.

Esta DLL (Librería de Enlace Dinámico) se registra con el navegador Internet Explorer y lo manipula para cambiar su página de inicio.

StartPage.FH crea el archivo SP.HTML en el directorio temporal de Windows. Este archivo contiene la página mostrada cuando se abre Internet Explorer.

StartPage.FH crea las siguientes entradas en el Registro de Windows, entre otras:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ Main
Search Page = %tempdir%\ sp.html
donde %tempdir% es el directorio temporal de Windows.
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = about:blank

Otros Detalles

StartPage.FH tiene un tamaño de 30720 Bytes, y está comprimido.

Hola!
No se si ya has eliminado el StartPage pero a mi tb me entró y me trajo varios dias de cabeza.
Al final lo eliminé pasandole el Ad-Aware pero ¡¡ojo!! ACTUALIZALO!!! Porque yo le pasaba una version no actualizada y no me lo encontraba.

Una vez hice eso, la pagina de inicio empezo a hacerme caso

Y de paso, agradecer a El Piedra sus consejos anti-spy... Me vinieron muy bien.

Por cierto, alguien sabe como eliminar un Backdoor.Troyan? Symantec lo detecta, pero al limpiar el archivo dice que "Acceso Denegado"...

Un saludo a tod@s, muchas gracias por todo

JULIA

Bueno primero una pregunta el nombre del virus esta correcto?
Para poderte ayudar.... Por que estaba revisando y no consegui nada sobre ese virus
Bueno con esto me despido
Espero tu respuesta

Bueno me alegro haber podido ayudarte una vez y veamos que puedo hacer ahora.

Para arrancar te diría que si el Norton te lo reconoce ya tenes una ventaja y para poder eliminarlo básicamente tenes que seguir los pasos de una buena eliminación parecidos a los de eliminar spywares.

1-Apagar el Restaurar Sistema de las propiedades de MiPC (Fundamental)

2-Iniciar el PC pulsando la tecla de F8 y en modo a prueba de fallos (F)

3-Escánear tu Pc con en modo completo con tu antivirus actualizado y borra todos los archivos infectados que te encuentre. Pásale también el Ad-Aware.

4-Una vez que borres todos los archivos tenes que limpiar el Registro de Windows (Cuidado hacer antes un respaldo del registro)
Ir al Regedit y buscar en la siguiente llave algún archivo con el nombre de los que te mostró el Norton como por ej 'backdoors'

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

Y también en esta entrada:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es

5-Reinicia la PC en modo normal y volver a repetir el paso 3 para confirmar que ya no este mas el virus y podes pedir una segunda opinión analizando tu PC con un antivirus Online como el Panda.

6-Si no encuentra nada volver a reiniciar nuevamente y si queres podes hacer una limpieza automática de tu registro con RegSeeker 1.35 Beta

Salu2

A ver encontré esto, siempre y cuando el nombre se esciba con J y no con Y http://www.vsantivirus.com/randex-d.htm se trataría del W32/Randex que "libera un trojano (Backdoor.Trojan)" dale un leidita y cualquier cosa,avisá

Piedra porque no pones tu mini tutorial de quitar spywares en el sticky?

Lo haria si supiera que es el sticky??

Es lo que ustedes llaman adherido.... como el tema de consultas repetitivas en el foro de redes es q tanta gente te pide ayuda para la misma cosa que deberia estar en un tema aparte en el sticky bueno en este caso en el adherido

Ok, escuchen todos los que tienen un problema con el sypware que muestra la pagina: "Search for..." al abrir internet explorer. Este es uno de los mas dificiles de sacar y como si fuese poco, no hay nada de informacion sobre el mismo.

Hagan lo que dicen elpiedra, descarguen "hijackthis" y "spybot search & destroy" de http://www.donwload.com

Utilizando estos dos programas no resulven nada, pero haganlo igualmente para limpiar un poco todo. Con hijackthis eliminen todo lo que se ejecuta al iniciar windows, hagan un scan con spybot y configurenlo para que vuelva a realizar un scan al reiniciar el sistema.

Y ahora lo mas IMPORTANTE, para remover este sypware "Search for..." definitivamente, tienen que ir a C:\WINDOWS\system32 y buscar el archivo "mshtml.dll" y, si estan usando XP, eliminen ese archivo que esta infectado y el sistema automaticamente lo reemplaza por uno nuevo. Si estan usando otro sistema operativo reemplazenlo.

Ahora si, reinicien la maquina y wala, se ejecuta spybot, verifica que no quede nada y listo. Eso si, no vuelvan a utilizar nunca mas Internet Explorer. La solucion a todos sus problemas se llama Firefox, el navegador mas seguro.

Saludos

Hola a todos.
El virus no es ningun spyware sino un troyano (StartPage.FH) por lo mismo los programas que buscan spywares nunca lo van a detectar, sobre lo que dices de que no hay informacion del mismo yo ya la agrege aqui un poco mas arriba

Para ponerlo como adherido tiene que agregarlo algun moderador y parece que hay ya muchas cosas

Los problemas con "Search for..." son a causa de hijack (secuestradores de internet) este tipo de secuestradores pude venir tanto sea muy bien el el troyano que pusistes (StartPage.FH) pero tambien lo traen en el codigo de otros troyanos y es un codigo spyware.

Por otro lado si muchos programas spywares como el Ad-Aware eliminan Troyanos y tambien muchos antivirus como Panda y Norton ya ecuentran y eliminan Spywares y awares.

Salu2

Piedra una pregunta,

Como es q sabes tanto de estas cosas de viruses? :/ trabajas en seguridades de redes algo asi?

Muy bien el Piedra eso no lo sabia sino que la version del virus que entro en mi pc era esa y por eso quise postear la informacion que se, por si a alguna persona quiere saber algo sobre este virus

Se podría decir que si, aunque no me interesa hacer publicidad de eso, solo comentarte que estoy trabajando con un grupo de colaboradores para hacer una sitio (no comercial) en español dedicado principalmente a los Spywares y Awares de la red.

Por supuesto que es muy bueno tu aporte, ya que como te paso a vos hay muchas personas con ese molesto troyano sin saber que hacer.

Salu2

SinSentido uno, lo que dice elpiedra es verdad, es a causa del hijack, pueden vernir de cualquier manera y en cualquier forma. Igualmente queria dejar en la base de datos de este foro una ayuda para aquellos que no pueden remover el programa que toma la pagina de inicio de IE. Porque es muchos casos, lo que hacen es reempllazar mshtml.dll y si no se borra y reemplaza es imposible eliminarlo ya que se ejecuta cada vez que se inicia IE.

Hace 2 semanas le limpie la maquina a un amigo. Ningun soft lo pudo detectar, y no hay ninguna informacion de como removerlo, o sea, que te aconsejen reemplazar mshtml.dll.

Piedra me avisas cuando terminas el siitio ese de internet para poder leer su contenido

Hola a tod@s,
lo primero agradeceros la ayuda q me habeis prestado. Es bastante importante, en estos tiempos q corren, ver q aun hay mucha gente q ayuda de esta manera tan desinteresada y q se toman tanto interes. De verdad, muchas gracias.
En cuanto a lo del virus Backdoor.Trojan, segui todos vuestros consejos y pasaba lo mismo asi que llame a soporte de Symantec y me dijeron q ese virus como tal no existia, q es algo mas bien generico, asi q me descargue la ultimisima actualizacion del Norton y, efectivamente, el verdadero nombre del virus es "Backdoor.Agent.B" asi que ahora lo q trato es de limpiar este q parece q hay q seguir otras instrucciones. En cuanto averigue algo mas, os lo hare saber.
Muchas gracias de nuevo, un saludo

JULIA

Hay muchos y muchas variantes de los mismos. Algunos son detectados, otros no. Y casi todos se remueven de forma diferente ya que el codigo fuente, obviamente, es modificado. O sea, que lo detecte tu antivirus, antispyware o anti lo que tengas depende unicamente de la popularidad del mismo. Ya que si no es reportado las empresas que actualizan estos programas no hacen nada al respecto.

Por ejemplo, hay una version del spyware que cambia la pagina de inicio por "search for" que actua de la siguiente manera. Reemplaza mshtml.dll, crea un archivo dll con letras al azar y lo carga cada vez que se inicia IE. Ahora si borramos este archivo de libreria generado al azar, mshtml.dll (que tambien esta infectado) verifica si fue eliminado y crea uno nuevo, o sea, la historia se repite.

Hay otra version del mismo que actua de la misma manera, la unica diferencia es que reemplaza NOTEPAD.EXE por un archivo infectado, tambien llamado notepad.exe. Y por ahi lei que hay otro que hace lo mismo con el media player. O sea, a lo que quiero llegar es que el objetivo de estas personas es reemplazar un archivo que se usa con frecuencia para que el spyware se ejecute nuevamente. Este archivo puede ser un exe o un dll. Generalmente nos damos cuenta porque aumentan ligeramente el tamaño de los mismos. Ahora, te estaras preguntando, y como hacemos para saber el tamaño que tenia antes?

Bueno Agent B
Nombre tecnico: Trj/Agent.B
Alias: TrojanSpy.Win32.Agent.d
Efectos: Se coloca residente en memoria y captura las pulsaciones de teclado en un fichero que es enviado a través del correo electrónico al autor de este troyano.

Agent.B es un troyano que se coloca residente en memoria y captura las pulsaciones de teclado introducidas por el usuario en un fichero que es enviado a través del correo electrónico a su autor.

Agent.B ha sido enviado masivamente a través del correo electrónico en un mensaje que contiene un fichero adjunto, o un enlace que aprovecha una vulnerabilidad de Internet Explorer conocida como URLSpoof.

Ha y no posee sintomas visibles
Bueno hasta luego

Hola de nuevo,

a ver, efectivamente el virus era el Badoor.Agent.B y mirando en las instrucciones de la pagina oficial de symantec, siguiendolas paso a paso y aplicando tb los consejos de elpiedra y de todos vosotros en general, creo q he logrado eliminarlo :)
Ahora mi pregunta es, q puedo hacer para controlar q no entre tanto anti spy y tanta basura en general? El antivirus lo tengo siempre actualizado con las ultimas definiciones, tengo tb todos los programas de anti spy q recomendais y tengo un antivirus estupendo en el servidor de correo pero, aun asi, no puedo controlar q los usuarios navenguen por paginas q no deben... o si?
Deberia instalar un cortafuegos?? Son muy dificiles de usar?

Muchisimas gracias una vez mas por vuestra ayuda.
Un saludo

JULIA

Mi querida amiga julieta, para que NUNCA mas te pase nada de esto, tenes que hacer UNA SOLA COSA:

Descargar, instalar y utlilzar Firefox. Vas a navegar como un angelito.

Todos estos problemas los origina Internet Explorer.

Tenía un mes con problemas, por el efecto del Troyano StartPage.FH , al correr el Panda Activescan lo desinfectaba del sistema operativo y de carpetas temporales pero lo renombraba de la carpeta C:\WINNT\system32, gracias a que he leído lo anotado en este foro he logrado eliminarlo corriendo el programa Ad-aware 6.0 (Al menos hasta hoy)

Muchisimas Gracias.

Saludos desde Toluca México.

Saludos Sin Sentido, sabes tuve el mismo problema y buscando encontre el foro y la explicacion que arriba describes, he seguido los pasos mencionados, y no puedo eliminar el StartPage.FH te agradeceria que explicaras los pasos que seguistes, porque no se que mas hacer.

The Punisher: bajate el programa Ad-Adware y segui los pasos que estan en mi primer mensaje de este post y listo.

The Punisher, y asegurate de q el Ad-Aware esta actualizado!!
te prometo q siguiendo los pasos lo eliminas...

Saludos!!