Avast! me detecta constantemente una amenza

Non-English Boards Espanol
1

Hola, qué tal. Necesito ayuda y agradecería enormemente me la pudieran proporcionar ya que me ocurre lo siguiente:

Mi antivirus Avast! me ha estado notificando muy constantemente (a veces muy seguido, otras veces se tarda un poco más) que ha detectado una amenaza. En la ventana que aparece en la parte inferior derecha de la pantalla, me indica lo siguiente:

                   El escudo web de Avast ha bloqueado una página web o archivo dañino

                   URL:http://getyourfileshere.co.il/sync/?q=C6qUojn5rjY8qjU8rdrGqjgEqTs7qTsMAyVUojw7qTgFrjgFqdsH...    (ESTÁ    DIRECCIÓN CAMBIA CADA VEZ QUE APARECE OTRA VENTANA)

                   Infección: URL:MAL

                   Proceso: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Al principio dejaban de aparecerme estas notificaciones cuando eliminaba alguna extensión que se instalaba sola en mi navegador chrome, pero ahora no me aparece ninguna extensión extraña a las que tengo (a menos de que, entre las que tenga, haya alguna que produzca esta anomalía) y siguen apareciendo notificaciones.

Habrá alguna forma de saber qué produce esto?, y especialmente, cómo solucionarlo?

Muchas gracias.

2

https://forum.avast.com/index.php?topic=53253.0

3

Hola cristiangs_1. Bienvenido al foro.

Baja, instala, y actualiza Malwarebytes’ y haz un analisis. Reporta los resultados.

Descarga AdwCleaner a tu escritorio. Ejecutalo. Clickea “Escanear” y despues " Limpiar ". Puede pedirte que reinicies, hazlo. Cuando reinicie se abrira un reporte. Guardalo para que lo anexes en tu respuesta. Para eliminar AdwCleaner de tu escritorio solo tienes que clicquear en Desintalar.

A veces tienes que resetear tu navegador si todavia te salen las alertas.

Si ninguno de ellos encuentra algo o no te elimina tu problema puede que tengas algo muy escondido y necesitas ayuda de un experto certificado.

Aqui en Avast! los tenemos pero solo en ingles. Tienes que leer esta guia.

http://forum.avast.com/index.php?topic=53253.0

Bajar y ejecutar estos programas ( los encuetras en la guia ); , Malwarebytes’( MBAM ), Farbar Recovery Scan Tool, y aswMBR.exe y sus reportes los guardas y los anexas ( no copiar/pegar ) en el nuevo topico que abriras aqui:

http://forum.avast.com/index.php?board=4.0

Si no sabes ingles el unico sitio en español de confianza que conosco es este:

http://www.forospyware.com/foro-de-virus-y-spywares/

4

:slight_smile: Muchísimas gracias, en verdad resultó muy bien, hasta el momento las alertas dejaron de aparecer.

Adjunto los reportes. Saludos fraternos.

5

De nada :wink: Un placer ;D

Solo veo PUPs ( potentially undesire programs ) o PPDs ( Programas potencialmente no deseados ). No trojanos u otros que si necesitarian un analisis mas profundo.

Para evitar estos PUPs asegurate de tener activado en Avast el analisis de programas no deseados.

Abre Avast > Optiones > General > Analisis de PPDs

Estos PUP los instalamos nosotros mismos al instalar programas gratis que bajamos de la web y no leer todas las ventanas que se abren. Un programita que desactiva estas casillas envueltas en estos programas gratis es http://unchecky.com/

6

Hola nuevamente, muchísimas gracias en verdad por el apoyo que me han estado proporcionando.

Al realizar las primeras acciones que me aconsejaron (utilizar el Malwarebytes y el AdwCleaner) todo había resultado de maravilla como lo publiqué anteriormente, sin embargo a los dos días siguientes las alertas regresaron; para ello, volví a utilizar el Malwarebytes y el AdwCleaner, el primero ya no me detectó ninguna amenaza, pero el segundo sí, a lo cual procedí a limpiar mi equipo. Las alertas desaparecían por un tiempo nuevamente, pero al paso de un rato, siguen apareciendo.

Cabe aclarar que haciendo caso de las advertencias de ustedes y de los programas, hasta ahora no he descargado ni instalado programas de ningún tipo a fin de evitar que el problema persista o se agrave.

He procedido a realizar la segunda parte de consejos que me proporcionaron (la guía en inglés), descargué y ejecuté los tres programas (Malwarebytes, Farbar Scan Tool y aswMBR); tengo ya los registros de los análisis, pero en los dos últimos programas (Farbar Scan Tool y aswMBR)mi DUDA es SI AL FINAL TENGO QUE PRESIONAR EN ARREGLAR (FIX) O DEJARLOS ASÍ, es decir quedarme solo con los registros?.

*En el caso del aswMBR, me da la opción: FixMBR

Adjunto los registros de éste análisis que realicé, esperando me puedan ayudar nuevamente, se los agradecería muchísimo. Saludos.

7

No arregles nada. Para nada pinches donde dice FIX en ninguno de los dos programas…

Tienes que tener paciencia. La mayoria de los encargados de limpieza viven en Europa y ya es bien tarde alla. Yo lo reportare a essexboy y el vera tus registros y pondra instrucciones a seguir pero creo que para mañana.

8

Ok, enterado, no procederé a realizar otra acción. Y por el tiempo no hay problema, esperaré. Por el momento, ya guardados los registros, puedo cerrar los programas?

9

Los programas despues de ejecutados quedan cerrados. Solo deberias de tener el icono ejecutor en tu escritorio. Essexboy necesitara FRST para aplicar el script que elimimara los malwares y despues te indicara como remover todas sus herramientas.

Vi varios adwares ¿ Instalastes unchecky para evitar este tipo de programas ?

Tambien vi varias restricciones en Chrome, pero no se si es la version del desarrollador porque no lo uso. El malware lo convierte a este para poder infectar tu sistema. Hay docenas de reportes diarias en el foro a causa de Chrome que esta siendo atacado masivamente a causa de sus debilidades.

Vi que usas torrent y P2P ( Ares ). Esta es otra forma facil de infectarte. No AV en el mundo te mantendra limpio si tus habitos de navegacion son peligrosos.

Creo que vi un keygen, pero no estoy seguro. Esta es otra forma en que tu sistema se puede comprometer.

Espera por essexboy. El es instructor en G2G y UNITE. Un mago en realidad.

10

Muy bien, tendré todo listo para las instrucciones de Essexboy.

No, no instale unchecky.

Respecto a las restricciones en Chrome, jamas las he modificado, por lo tanto, tengo la configuración predeterminada.

Efectivamente, utilizo torrent de vez en cuando, sin embargo a raíz del problema dejé de usarlo, pero el PSP (Ares), según yo, ya no lo tengo instalado, hace tiempo que lo retiré de mi sistema.

Entiendo, sin duda hay varias cosas que desconozco sobre mi sistema, seguiré más al pendiente de mis movimientos.

Perfecto, esperaré. Muchísimas gracias iroc9555.

11

Iroc, please tell this person how to use the this fixlist

Start
CreateRestorePoint:
Closeprocesses:
Emptytemp:
HKU\S-1-5-21-487423666-176048298-2617257630-1001\...\Run: [ares] => "C:\Program Files (x86)\Ares\Ares.exe" -h
HKU\S-1-5-21-487423666-176048298-2617257630-1001\...\Run: [Codec Pack Update Checker] => "C:\Windows\system32\C2MP\UpdateChecker.exe"
HKU\S-1-5-21-487423666-176048298-2617257630-1001\...\Run: [ALLUpdate] => "C:\Program Files (x86)\OpenSubtitlesPlayer\ALLUpdate.exe" "sleep"
ShortcutTarget: CodecPackTrayMenu.lnk -> C:\Windows\SysWOW64\C2MP\TrayMenu.exe ()
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
2015-04-09 00:29 - 2015-04-13 02:36 - 00000000 ____D () C:\Users\user\Downloads\Amadeus (1984) DC BDRip 1080p multisub HighCode
2015-04-09 00:27 - 2015-04-09 00:27 - 00038624 _____ () C:\Users\user\Downloads\[kickass.to]amadeus.1984.dc.bdrip.1080p.multisub.highcode.torrent
ShortcutTarget: Windows Explorer.lnk -> C:\Users\user\AppData\Roaming\bxvsq\amdupdate64.exe (No File)
BHO: No Name -> {1679180C-85B8-3B20-F45F-B7CF04E5DB60} ->  No File
BHO-x32: No Name -> {1679180C-85B8-3B20-F45F-B7CF04E5DB60} ->  No File
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Laflurla (HKLM\...\Laflurla) (Version: 2014.04.12.002348 - Laflurla) <==== ATTENTION
PlayIt on XBMC (HKLM-x32\...\{0C516764-8CFC-C2FE-7BB0-A50A646E4DCD}) (Version:  - CoolSaleCoupon) <==== ATTENTION
Task: {C00E613D-7C21-4D44-A414-E9CBE2A4D4AA} - \TidyNetwork Update No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:373E1720
Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
CMD: ipconfig /flushdns
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: netsh winsock reset catalog
CMD: bitsadmin /reset /allusers
End
12

CAUTION : This fix is only valid for this specific machine, using it on another may break your computer

Open notepad and copy/paste the text in the quotebox below into it:

CreateRestorePoint: HKLM-x32\...\Run: [Codec Settings UAC Manager] => C:\Windows\SysWOW64\C2MP\CodecUACManager.exe [60416 2015-03-05] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackTrayMenu.lnk [2015-03-20] ShortcutTarget: CodecPackTrayMenu.lnk -> C:\Windows\SysWOW64\C2MP\TrayMenu.exe () Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk [2014-12-16] ShortcutTarget: Windows Explorer.lnk -> C:\Users\user\AppData\Roaming\bxvsq\amdupdate64.exe (No File) CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION BHO: No Name -> {1679180C-85B8-3B20-F45F-B7CF04E5DB60} -> No File BHO-x32: No Name -> {1679180C-85B8-3B20-F45F-B7CF04E5DB60} -> No File CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-04-26] Task: {C00E613D-7C21-4D44-A414-E9CBE2A4D4AA} - \TidyNetwork Update No Task File <==== ATTENTION C:\Users\user\AppData\Roaming\bxvsq Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f RemoveProxy: EmptyTemp: CMD: bitsadmin /reset /allusers

Save this as fixlist.txt, in the same location as FRST.exe

https://dl.dropboxusercontent.com/u/73555776/FRSTfix.JPG

Run FRST and press Fix
On completion a log will be generated please post that

13

Cristian espera que estoy preguntando exactamente que hacer con los dos scripts que dieron.

14

Muy bien iroc, no hay problema, yo espero.

15

Vamos a tomar el script de essexboy tanto porque yo lo llame a el por ayuda. Eddy es un miembro de confianza y muy experto y respeto su ayuda, pero sigamos con essexboy.

Vas a abrir un Bloc de notas ( notepad ) y…
copias lo que esta en el recuadro azul de essexboy y lo pegas en el bloc de notas.
Lo salvas o guardas como fixlist.txt y lo colocas donde tienes el icono de FRST.
Ve la imagen de essexboy. El fixlist.txt y FRST64 uno al lado del otro.

Abre o ejecuta FRST, y ahora si, pincha o clickea el boton que dice FIX
Al terminar te aparecera un reporte ( log ) nuevo. Por favor anexalo en tu respuesta y di como se esta comportanto el sistema.

16

Listo, parece que todo va bien, hasta ahora no ha habido ninguna alerta de amenaza y el sistema funciona bien.

Adjunto el log.

No sé si haya alguna otra acción a realizar?

17

Ok. Si no has reiniciado su sistema, hazlo. Ya para mañana essexboy le echara un vistazo o te indicara que mas hacer. Solo estate atento al funcionamiento, y si tienes mas alertas, que dicen exactamente.

18

Any further problems ?

19

Hola de nuevo. Desafortunadamente las alertas siguen apareciendo. Me indican lo siguiente:

El escudo web de Avast ha bloqueado una página web o archivo dañino

                   URL: hxxp://setfreespypros.info/sync/?q=C6qUojn5rjY8qjU8rdrGqjgEqTs7qTsMAyVUojw7qTgFrjgFqdsHpdgGqHkGrTk7tNtVh7n0rjkErHsFrdn9rjaEtNbPhd9FtNhVCT94tMtHojwMAe4HDd9GrchVWzn0D6ZUtMqLDe49CNU0jlYMB6qPhd97rdsMAe4Uojk6pjUFrjr4qTa8pjg9pjg9qTUMWy4ZBek0D6ZwB6DKBy0Zhch9geDXAen0ra&amse=hhjk46&xname=CouponGiant

                           hxxp://mygreatfiles.co.il/sync/?...

                           hxxp://getyourtfileshere.co.il/sync/?...

                           hxxp://drivergetcreditfree.info/sync/?...

                           hxxp://varconsole.info/sync/?...

                           hxxp://unitia.net/sync/?...

                           hxxp://singlewind.info/sync/?...

(CADA VENTANA CONTENÍA UNA DIRECCIÓN DIFERENTE)

                   Infección: URL:MAL

                   Proceso: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Será que hay algo aún más escondido?

20

Consigues las alertas en IE y Firefox o es sólo Chrome
Do you get the alerts in IE and Firefox or is it just Chrome