Virus de la doble tilde

¿Estás escribiendo y al acentuar te salen dos tildes tal que escribes así: cami´´on? Ok, esto es una clara señal de alarma, no sólo porque sea un coñazo para escribir con una correcta ortografía (que lo es) sino porque además es la confirmación de que estás infectado por el troyano ZBot “ZeuS”. De hecho el que aparezcan dos tildes realmente es un error de programación interno de dicho troyano, un conflicto que se genera al usar la configuración de idioma en español. El objetivo primordial de dicho troyano es capturar datos y contraseñas, pero por un fallo hace que el caracter ‘ se duplique (los creadores lo pensaron sólo para troyanizar equipos con configuración de idioma inglés).

Yo os voy a dar mi solución, y si no os funciona os adjunto otra de Foro Spyware.

Con mi método la idea es que instaléis HijackThis, reiniciéis el equipo en modo seguro, ejecutéis HijackThis y pulséis “Do a system scan only”. Ahí en el log buscáis un entrada similar a esta: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=grupo La dirección puede ser distinta dependiendo de la versión del virus. En general os mostrará las páginas de inicio de Explorer, asi que la idea es que os fijéis en las direcciones y marquéis las que no cuadren, las que creáis que no deberían estar (por ejemplo, sería normal que apareciera HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es ). Luego buscad también dos con este formato: URLSearchHook: (no name) – {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} – (no file) y BHO: (no name) – {5C255C8A-E604-49b4-9D64-90988571CECB} – (no file). Lo básico es el (no name) y el (no file). Las marcáis y pulsáis “Fix Checked”. Tras esto reiniciáis y pasáis el CCleaner para limpiar el registro y las cookies.

Si os parece muy lioso andar mirando y comprobando las URL, en Foro Spyware os ofrecen una solución usando TDDSKiller que también funciona muy bien. Así que si la véis más asequible podéis probarla, que debería funcionar.

Anuncios

Eliminar troyano Mediyes.D en Windows

Mediyes es un troyano bastante cabrón. No dispone de rutina propia de difusión, así que requiere de un usuario o un código malicioso para propagarse. Está diseñado para robar información sensible del usuario cuando navega por la web, activándose a la par que los navegadores Internet Explorer y Firefox. Generalmente su nombre de archivo intenta pasar por una librería Direct3D legítima.

En fin, que es un troyano peligroso porque te puede joder datos importantes (piensa que con tu contraseña del correo, por ejemplo, el atacante podría acceder a los servicios que uses para pagos on-line, que no es una coña), así que habrá que intentarlo. Lo primero, como siempre, es intentar una restauración del sistema, a ver si el punto de restauración está creado antes de que tu equipo se infectara. Si funciona, fetén, si no toca romperse más la cabeza.

Si la restauración no funcionó (es decir, el punto de restauración se creó estando ya infectado), lo primero y más conveniente es desactivar la restauración del sistema, para evitar que se haga una copia del troyano en la restauración. Tras esto habrá que reiniciar el equipo y arrancar en modo a prueba de fallos. Teniendo un antivirus actualizado basta con ejecutarlo para buscar el troyano. Cuando acabe el escaneo tendrás que borrar los siguientes archivos .dll:

  • d3dye5xnv.dll
  • d3dybnavy.dll
  • d3dyyg81j.dll
  • d3dyymlyn.dll

Todos estos archivos estarán en la carpeta del sistema (C:\Winnt\System32 o C:\Windows\System32) ya sea con la dirección absoluta o con la variable de sistema %system%.

Existe la posibilidad de que no se nos permita borrar los archivos antes citados, ya que pueden estar en uso por el troyano, residiendo en la memoria. En este caso la solución es liquidar el proceso. Entráis al administrador de tareas con ctrl+alt+supr, allí buscad el botón “Mostrar procesos de todos los usuarios”, localizad los procesos y, haciendo click derecho sobre ellos, elegís “Terminar proceso”. A continuación volved a intentar el borrado o reparación de los ficheros que se han creado por la acción del troyano.

Finalmente, para no dejar ni rastro, eliminad todos los archivos temporales del sistema, e incluso haced una limpieza del registro (mismamente CCleaner os facilitará mucho esta labor. Vaciad incluso la papelera de reciclaje. Ahora debería estar desinfectado, reiniciad y comprobadlo pasando otra vez el antivirus (incluso podéis programar lanzar el antivirus desde el arranque). Si ya no detecta ninguna infección reactiva la restauración del sistema, y ya puestos aprovecha para crear un punto de restauración, dado que el equipo estará libre de infecciones y te podrá ser útil por si tienes problemas más adelante. Como último consejo de seguridad, cambia todas tus contraseñas on-line, por aquello de que habrían estado expuestas por el troyano.