Agentes publicitarios no deseados

¿Cómo eliminarlo manualmente sin ayuda de un software?

Este proceso requiere tiempo y paciencia , tenemos que crear un planteamiento en algunas fases para ingerirlo

pausadamente.

Explicación del porqué de este manual

Cuando navego por internet, se , que la mayoría de las páginas ,sobretodo páginas de descargas ,

depende en donde apuntes , te redirecciona a páginas publicitarias (páginas emergente)

últimamente muchas malintencionadas , instalándose en el inicio de todos los navegadores

explorer  y  google chrome  ,  por lo general volvía a ponerlo con mi buscador favorito

y solucionado.

1ª fase

Explorer

websears01

websears013

seleccionaba %SNP% y eliminar

En opciones de internet del panel de control

websears03

websears19

 

websears15

 

websears16

seleccionaba feed.snapdo.com /xxxxxxxxxxxxxxxxxxxxxxxx  ,eliminaba

y ponía la dirección del buscador de google aplicar y aceptar (ya lo tengo por defecto)

abro navegador explorer→configuración→administrar complementos —

proveedor de búsqueda  habilito predeterminado en buscador Bing

selecciono el resto , pulso pestaña quitar todo (encima de pestaña cerrar)

pero… cada vez que reiniciaba el navegador , se sobre escribía otro buscador websearch.

Cuando ocurre esto , se ha instalado uno o mas programas con archivos de configuración ,cokies , dat ,

asociados entre ellos , de modo rotativo , como veremos a continuación.

Lo intento con otro navegador google chrome

websears02

parece ser que también está infectado

websears04

expande ▼ y pon google

websears18

pulsa administrar motores de búsqueda

websears05

pulsa administrar motores de busqueda

websears06

Establecer como predeterminado google

websears07

eliminar este elemento (websearch) en otros motores de búsqueda y eliminar en Motores de

búsqueda Websearch

websears011

websears012

Cambiar –Mostrar el botón de página de inicio y pon la dirección del buscador google

2ª fase  ¿Cómo saber si un archivo es del sistema , de un programa favorito o un archivo con

malos propositos?

por ejemplo:

C:\Program Files\MPC-HC\mpc-hc.exe

(ratón encima del archivo , pulsa botón dcho→propiedades→detalles)

archdesistema50

conozco el programa , es mi reproductor favorito.

por lo tanto el archivo mpc-hc.exe , es fiable.

Ahora un archivo del sistema

C:\Windows\System32\fixmapi.exe

archdesistema10

Es un producto de microsoft , es fiable.

Ahora algunos archivos “puñeteros” o supuesto programas malintencionados.

Este programa estuvo instalado en archivo de programas→carpeta SFK

archdesistema20

¡ no lo he visto en mi vida! es sospechoso ,tiene un archivo de configuración

(botón dcho del ratón →editar)

troyan9

troyan09

Está asociado a mysearch123.com

elimino SSFK.exe

archdesistema30

no me deja (el archivo está abierto) , lo eliminaré en la 4ª fase

troyan011

Programa sospechoso , en C:\Users\w7\AppData\Roaming\TSv\  , pregunto a internet

No está muy claro , como no lo conozco , no se que función tiene pero en procesos , estaba duplicado

y siempre trabajando , lo eliminaré

troyan016

Abre el Cokie 9A423U3M con el bloc de notas

Asociado con omniboxes.com

En C:\Users\w7\AppData\Roaming\Microsoft\Windows\Cookies

3ª fase

Se puede hacer  reiniciando y arranca en modo seguro , pero antes tienes habilitar

Panel de control\Todos los elementos de Panel de control→opciones de carpeta

ver carpetas ocultas →pulsa aplicar→Aceptar

carpetasdelsistema

y deshabilitar Ocultar archivos protegidos del sistema operativo (recomendado)

→pulsa aplicar→Aceptar

carpetasdelsistema2

Voy a utilizar un sistema live , hirens

Clipboard00

Navego C:\Users\w7\AppData\Local\Temp\HomePage.dat

Clipboard03

lo abro con un editor hex

Clipboard011

Asociado con omniboxes.com  , esa página también se instaló en inicio de los navegadores.

¿Qué es omniboxes.com? (por los virus.es)

El virus Omniboxes.com es un add-on de navegador web bastante popular que se difunde en Interet usando el “bundling”. Esto implica que puede aparecer como página de inicio y motor de búsqueda predeterminado desde la nada. Es por lo que ha sido categorizado como hacker de navegador y programa potencialmente no deseado (PUP). De acuerdo con los expertos en seguridad, puede tomar el control no solo de los navegadores webs más populares, como Google Chrome, Mozilla Firefox e Internet Explorer, sino que también puede tomar el control de los menos populares. Creemos que tales modificaciones en la configuración de DNS sin pedir permiso puede ser molesta e interrumpir tus actividades normales mientras navegas. Sin embargo, debes recordar que este y similares plugins de navegador se distribuyen por varias razones, y no todas ellas son justas. Normalmente, las redirecciones de Omniboxes.com se emplean para conducir el tráfico de visitantes a sitios webs patrocinados e incrementar sus ventas o ránking. Desafortunadamente, no hay garantía de que algunos links mostrados por el hacker Omniboxes.com no te hagan visitar páginas webs inseguras. Si este add-on de navegador se ha infiltrado ya en tu ordenador, probablemente te hayas dado cuenta de que muestra resultados de búsqueda alterados que son absolutamente diferentes de aquellos mostrados por Google. Ten en cuenta que pueden contener links a páginas webs corruptas e incluso a páginas webs de phishing, por lo que deberías evitar hacer click en ellas.
¿Cómo puede omniboxes.com hackear mi ordenador?

Si eres una de esas personas que tienden a instalar programas gratuitos sin prestar mucha atención al proceso de instalación, entonces el virus Omniboxes.com puede infiltrarse fácilmente en tu ordenador y tomar el control de tus navegadores webs. Tras esto, molesta publicidad, redirecciones, ralentizaciones y similares inconvenientes pueden comenzar a molestarte mientras navegas. Si quieres mantener una navegación web eficiente, deberías tener más cuidado cuando descargues programas gratuitos (freewares) en tu ordenador. Decimos esto porque hay cientos de ejemplos que muestran que miles de freewares ya han estado envueltos en la distribución de varios plugins, add-ons, toolbars y extensiones de navegador. Por fortuna, puedes fácilmente prevenir instalar componentes adicionales junto a los freewares que quieres instalar. ¿Cómo puedes hacerlo? De hecho, deberías comenzar a comprobar los programas gratuitos antes de instalarlos. Lee el Acuerdo de Uso de la Licencia (EULA), la Política de Privacidad y cualquier otra información relevante. Además, deberías seleccionar las opciones Avanzadas o Personalizadas de instalación y controlar cuidadosamente si hay o no “componentes opcionales” que se promuevan en casillas pre-marcadas. Si te das cuenta de alguna casilla que diga que aceptas instalar add-ons o plugins de navegador sospechosos, asegúrate de desmarcarlos. ¿Estás buscando el modo de deshacerte de las redirecciones de Omniboxes.com? Entonces, con suerte, estás en el lugar idóneo.

Clipboard05

Es archivo Cokies en  C:\Users\w7\AppData\Roaming\Microsoft\Windows\Cookies\Low

Clipboard06

Esta asociado también con los buscadores websearch , por lo general ni lo miro , cuando hago

mantenimiento , elimino de todos los Cokies

C:\Users\w7\AppData\Roaming\Microsoft\Windows\Cookies

C:\Users\w7\AppData\Roaming\Microsoft\Windows\Cookies\Low

 

Clipboard07

En C:\ProgramData\8WdsManPro8\

Programa sospechoso , pregunto a internet

Nivel de amenaza Wdsmanpro.exe  (por pc-cybersecurity.com)

Wdsmanpro.exe proceso de datos (análisis HerdProtect)
•Nombre para mostrar: WdsManPro Service
•Nombre del servicio: WdsManPro
•Tipo: Win32OwnProcess
•Grupo: SVC_Group
•Nombre de archivo original: DTools.exe
•Tipo de archivo: ejecutable de la aplicación (EXE Win32)
•Camino común: C:ProgramDataywdsmanproyWdsmanpro.exe

De acuerdo con la alta tasa de detección de AV, Wdsmanpro.exe probablemente es explotada por una extensión de navegador sospechosas o aplicaciones potencialmente no deseados. Tales programas son típicamente publicidad y, como tal, causan una serie de cuestiones sobre el sistema:

 

Clipboard09

Carpeta Flexfix , carpeta Flexfixs  en C:\ProgramData

Clipboard010

Otra asociación C:\ProgramData\Flexfixs\snp.sc

los  archivos  ff.NT y ff.hp , abriendo con hex edit  , lo mismo que en snp.sc

4ª fase

Eliminación drástica de la carpeta infectada con el CD live hirens

troyan02

troyan03

Los archivos dentro del recuadro en la imagen superior se encuentra en

C:\Users\w7\AppData\Local\Temp\~eqtemp40109328\elnstall\

selecciona carpeta elnstall y elimina

troyan04

Antes desinstalas el programa Winzipper en

Panel de control\Todos los elementos de Panel de control\Programas y características

Los archivos dentro del recuadro en la imagen superior se encuentra en

C:\Users\w7\AppData\Local\Temp\~eqtemp40109328\omigazip\

selecciona carpeta omigazip y elimina

troyan05

Estos archivos y carpetas estan asociados a HomePage.dat , que mas arriba hemos visto que está

asociado al virus omniboxes , por lo tanto , seleccionaremos esos archivos y los eliminaremos.

Y después selecciona  HomePage.dat y elimina.

troyan7

En C:\Program Files\SFK\

seleccionar carpeta SFK y eliminar

troyan017

En C:\Users\w7\AppData\Roaming\Microsoft\Windows\Cookies

Seleccionar según imagen arriba y eliminar

troyan018

En C:\Users\w7\AppData\Roaming\Microsoft\Windows\Cookies\Low\

Seleccionar según imagen arriba y eliminar

troyan019

En C:\Windows\Temp\

seleccionar según imagen arriba y eliminar

Clipboard012

En C:\Users\w7\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

Seleccionar según imagen arriba y eliminar

Clipboard013

En C:\Users\w7\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5

Seleccionar según imagen arriba y eliminar

Clipboard09

Navega en C:\ProgramData

Selecciona carpeta Flexfix y carpeta Flexfixs y elimina

Navega C:\Users\w7\AppData\Roaming\TSv\     (imagen perdida)

Selecciona carpeta TSv y elimina

Navega C:\ProgramData\8WdsManPro8\          (imagen perdida)

Selecciona carpeta 8WdsManPro8 y elimina

5ª fase

Repasa la configuración de los navegadores , o  la 1ª fase

6ª Fase

Ejecuta Ccleane (opcional)

Acerca de scaremuch

Todo acerca de telecomunicaciones , electricidad , informática , hardware
Galería | Esta entrada fue publicada en Uncategorized. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s