Hola,
Vamos a ver cómo explico mi peripecia con el virus que se me había instalado en el PC y que pretendía formar parte de uno más de mi familia en plan "okupa".
Ni chateo, ni visito páginas de contactos, ni ná de ná. Con Ares me bajé el Photoshop 10 para probarlo, ya que yo tengo el 7 (original), pero al ver que no me interesaba lo borré y ahí empezó mi calvario.
La cuestión es que cada vez que abría una página web "decente" automáticamente se me abría otra que se instalaba delante y dejaba la "decente" detrás. Eran páginas de "chicas" y de webs publicitarias o que me querían instalar alguna cosa. Habían los típicos botones de SI - NO - Cancelar y el aspa roja de cerrar. Clicaras el botón que clicaras siempre empezaba a instalarse alguna cosa. Automáticamente tenía que cerrar el explorer para que no se instalara nada.
Por más que miré y rebusqué sólo encontré dos archivos "raros" en c/Windows/System 32/ no se podían borrar porque decían que los usaba también el Explorer.exe. También vi que había otro archivo llamado Iexplorer.exe en System 32.
Por más que le dábamos vueltas dando el coñazo a Fermu, que es como el Santo Job, con una paciencia a prueba de bomba, no había manera de saber cómo deshacernos de esos archivos. Sí pudimos borrar el Iexplorer.exe, pero no los otros.
Todos los antivirus que pasábamos decían que el PC estaba limpio, los antiespias también, el log de Hijackthis no reflejaba nada raro, al fin probamos con el Unlocker y sí los dinamitaba pero automáticamente salían otros con nombre parecido.
Al fin vimos que eran Complementos cargados en Internet Explorer y que había la posibilidad de inhabilitarlos, pero no de eliminarlos, pero al reiniciar el PC se volvían a habilitar espontáneamente.
Buscando por internet cómo eliminar los complementos encontré un blog de Enrique Cortés, que explicaba cómo crear complementos para Explorer. Le escribí para saber si se podían crear también había la posibilidad de eliminar (después he visto que también colabora con este foro. Le expliqué el problema y la solución que me dió fue:
--------------
El sistema está infectado por un malware, posiblemente el troyano Virtumonde (Vundo). Sigue estos pasos para solucionarlo:
1. En primer lugar, elimina archivos temporales de Internet, las cookies y el Historial de navegación.
2. Panel de control > Opciones de Internet > pestaña General. En Historial de exploración, pulsa en Configuración. A continuación, pulsa en Ver objetos. Se abrirá la carpeta C:\WINDOWS\Downloaded Program Files. Debes eliminar (si se dejan) todos los elementos que aparecen en esta carpeta.
3. Descarga la herramienta Vundofix
4. Descarga la herramienta HijackThis
5. Inicia el sistema en modo seguro, y ejecuta la herramienta VundoFix. Pulsa en Scan for Vundo. Sigue los pasos del programa para eliminar esos archivos.
6. A continuación, ejecuta HijackThis y pulsa en Do a system scan only. Comprueba si aparecen estas entradas y las eliminas (Fix Checked):
- BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\1.bin\deSrcAs.dll
- BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\system32\pmnlm.dll (o jkkllkj.dll o como se llame el archivo raro)
- Winlogon Notify: pmnlm - C:\WINDOWS\system32\pmnlm.dll (o jkllkj.dll o como se llame el archivo raro)
7. Reinicia el sistema en modo normal, y comprueba si se ha desinsfectado, y solucionado el problema.
-----------------
Lo curioso del caso es que en los logs de Hijackthis no salían estas entradas, sólo se hicieron visibles una vez ejecutado el VundoFix, como si los archivos esos tuvieran la facultad de ocultarse.
Todo este parrafón lo escribo por si alguien tiene un problema similar no se pase una semana con la lupa en plan Sherlock Holmes, sino que en diez minutos solucione el problema.
Gracias a Fermu y a Enrique Cortés
Vundofix =
http://www.atribune.org/content/view/24/2/
(Lo pongo así porqué no sé como poner la URL encima del nombre)
Foro 
Favoured: 0
