adware:Win32/WhenU

[Giovanni31]

Hola a todos.
Soy nuevo en los foros de avast y decidí registrarme ya que se me esta presentando un problema con un Adware (Win32/WhenU), hace poco tiempo descargue un freeware que venia en una imagen. iso , desde alli me di cuenta que el rendimiento de mi PC habia disminuido considerablemente, Windows defender lo intento eliminar pero al final decía que el archivo  era demasiado grande para descomprimirlo y limpiarlo, despues avast me advirtio que se trataba de una bomba de descompresión, le he corrido malwarebytes antimalware y aunque elimina algunos malwares windows defender sigue notificando que aun esta en el sistema, decidí eliminar la imagen manualmente pero sigue la notificación de defender.

Q mas puedo hacer ? , no quiero formatear el disco.

Gracias.

[iroc9555]

Hola Giovanni. Bienvenido al foro.

Descarga AdwCleaner a tu escritorio. Ejecutalo. Clickea "Escanear" y despues " Limpiar ". Puede pedirte que reinicies, hazlo. Cuando reinicie se abrira un reporte. Guardalo para que lo anexes en tu respuesta. Para eliminar AdwCleaner de tu escritorio solo tienes que clicquear en Desintalar, pero tenlo mientras estas seguro que todo va bien con tu ordenador. Despues puedes desinstalarlo puesto que este programa solo se actualiza en su servidor.

...le he corrido malwarebytes antimalware y aunque elimina algunos malwares...

 ¿ Cuales malwares ? ¿ Tienes el ultimo reporte del analisis ?

... despues avast me advirtio que se trataba de una bomba de descompresión ...

Una bomba de descompresion es solo un archivo altamente comprimido. No necesariamente malware. Avast! solo lo advierte porque no puede abrirlo para analizarlo.

...Windows defender lo intento eliminar...

...sigue la notificación de defender.

Espero que estes hablando de Windows Defender de Windows 7 y no de Windows 8. Si es de Windows 7, desinstalalo. Avast! hace mucho mas que WD y si tienes Malwarebytes activo o haces un analisis rapido semanalmente es solo lo que necesitas. Si es de Windows 8, WD es un antivirus activo y no deberias de tenerlo habilitado al mismo tiempo que tienes avast!. Nunca corras 2 AV al mismo tiempo.

Si AdwCleaner no soluciona tu problema puede que tengas algo muy escondido y necesitas ayuda de un experto certificado.

Aqui en Avast! los tenemos pero solo en ingles. Tienes que leer esta guia.

http://forum.avast.com/index.php?topic=53253.0

Bajar y ejecutar estos programas ( los encuetras en la guia ); Malwarebytes'( MBAM ), OTL, y aswMBR.exe y sus reportes los guardas y los anexas ( no copiar/pegar ) en el nuevo topico que abriras aqui:

http://forum.avast.com/index.php?board=4.0

Si no sabes ingles el unico sitio en español de confianza que conosco es este:

http://www.forospyware.com/foro-de-virus-y-spywares/ 

Suerte.

[Giovanni31]

Hola iroc9555
Gracias por responder,

Este es el reporte de   AdwCleaner.

# AdwCleaner v3.022 - Reporte Creado 21/03/2014 en 23:25:25
# Actualizado 13/03/2014 por Xplode
# Sistema Operativo : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nombre de usuario : Giovanni - GIOVANNI-PC
# Ejecutado desde : D:\AdvCleaner\adwcleaner.exe
# Opción : Limpiar

***** [ Servicios ] *****

Servicio Borrar : BCUService

***** [ Archivos / Carpetas ] *****

Carpeta Borrar : C:\ProgramData\AVG SafeGuard toolbar
Carpeta Borrar : C:\ProgramData\Babylon
Carpeta Borrar : C:\ProgramData\DeviceVM
Carpeta Borrar : C:\ProgramData\YoutubeAdblocker
[/!\] No Borrar ( Junction ) : C:\ProgramData\YoutubeAdblocker
Carpeta Borrar : C:\Program Files (x86)\AVG SafeGuard toolbar
Carpeta Borrar : C:\Program Files (x86)\DeviceVM
Carpeta Borrar : C:\Program Files (x86)\Mobogenie
Carpeta Borrar : C:\Program Files (x86)\MyPC Backup
Carpeta Borrar : C:\Program Files (x86)\SimilarSites
Carpeta Borrar : C:\Program Files (x86)\VideoSaver
Carpeta Borrar : C:\Program Files (x86)\YoutubeAdblocker
Carpeta Borrar : C:\Program Files (x86)\Common Files\AVG Secure Search
Carpeta Borrar : C:\Users\Giovanni\AppData\Local\AVG SafeGuard toolbar
Carpeta Borrar : C:\Users\Giovanni\AppData\Local\Mobogenie
Carpeta Borrar : C:\Users\Giovanni\AppData\Local\torch
Carpeta Borrar : C:\Users\Giovanni\AppData\LocalLow\AVG SafeGuard toolbar
Carpeta Borrar : C:\Users\Giovanni\AppData\Roaming\0V1L2Z2Z1T1I1L1T
Carpeta Borrar : C:\Users\Giovanni\AppData\Roaming\DeviceVM
Carpeta Borrar : C:\Users\Giovanni\AppData\Roaming\iSafe
Carpeta Borrar : C:\Users\Giovanni\AppData\Roaming\SimilarSites
Carpeta Borrar : C:\Users\Giovanni\Documents\Mobogenie
Archivo Borrar : C:\Users\Giovanni\AppData\Roaming\Mozilla\Firefox\Profiles\extensions\user.js

***** [ Accesos directos ] *****


***** [ Registro ] *****

Valor Borrar : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [Avg@toolbar]
Valor Borrar : HKCU\Software\Mozilla\Firefox\Extensions [Tubesaver@istqt.co]
Clave Borrar : HKLM\SOFTWARE\Google\Chrome\Extensions\dnnajmlhehgnkclpdlggknanmcplloej
Clave Borrar : HKLM\SOFTWARE\Google\Chrome\Extensions\lkojdlfbcgjhhjmdgdbbbbbnfjpepbcj
Clave Borrar : HKLM\SOFTWARE\Google\Chrome\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof
Clave Borrar : HKLM\SOFTWARE\Classes\AddressBarSearch.SearchHook
Clave Borrar : HKLM\SOFTWARE\Classes\AddressBarSearch.SearchHook.1
Clave Borrar : HKLM\SOFTWARE\Classes\AppID\ScriptHelper.EXE
Clave Borrar : HKLM\SOFTWARE\Classes\AppID\ViProtocol.DLL
Clave Borrar : HKLM\SOFTWARE\Classes\AVG SafeGuard toolbar.BrowserWndAPI
Clave Borrar : HKLM\SOFTWARE\Classes\AVG SafeGuard toolbar.BrowserWndAPI.1
Clave Borrar : HKLM\SOFTWARE\Classes\AVG SafeGuard toolbar.PugiObj
Clave Borrar : HKLM\SOFTWARE\Classes\AVG SafeGuard toolbar.PugiObj.1
Clave Borrar : HKLM\SOFTWARE\Classes\Prod.cap
Clave Borrar : HKLM\SOFTWARE\Classes\protocols\handler\viprotocol
Clave Borrar : HKLM\SOFTWARE\Classes\PutLockerDownloader
Clave Borrar : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi
Clave Borrar : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi.1
Clave Borrar : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE
Clave Borrar : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE.1
Clave Borrar : HKLM\SOFTWARE\Microsoft\Tracing\BundleSweetIMSetup_RASAPI32
Clave Borrar : HKLM\SOFTWARE\Microsoft\Tracing\BundleSweetIMSetup_RASMANCS
Clave Borrar : HKLM\SOFTWARE\Microsoft\Tracing\SnapDo_RASAPI32
Clave Borrar : HKLM\SOFTWARE\Microsoft\Tracing\SnapDo_RASMANCS
Clave Borrar : HKLM\SOFTWARE\Microsoft\Tracing\sweetim_rasapi32
Clave Borrar : HKLM\SOFTWARE\Microsoft\Tracing\sweetim_rasmancs
Valor Borrar : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [BCU]
Valor Borrar : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [vProt]
Clave Borrar : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin
Clave Borrar : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
Clave Borrar : HKLM\SOFTWARE\Classes\AppID\{1FDFF5A2-7BB1-48E1-8081-7236812B12B2}
Clave Borrar : HKLM\SOFTWARE\Classes\AppID\{BB711CB0-C70B-482E-9852-EC05EBD71DBB}
Clave Borrar : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clave Borrar : HKLM\SOFTWARE\Classes\CLSID\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Clave Borrar : HKLM\SOFTWARE\Classes\CLSID\{933B95E2-E7B7-4AD9-B952-7AC336682AE3}
Clave Borrar : HKLM\SOFTWARE\Classes\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clave Borrar : HKLM\SOFTWARE\Classes\CLSID\{B658800C-F66E-4EF3-AB85-6C0C227862A9}
Clave Borrar : HKLM\SOFTWARE\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468}
Clave Borrar : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clave Borrar : HKLM\SOFTWARE\Classes\CLSID\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clave Borrar : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clave Borrar : HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Clave Borrar : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clave Borrar : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
Clave Borrar : HKLM\SOFTWARE\Classes\TypeLib\{74FB6AFD-DD77-4CEB-83BD-AB2B63E63C93}
Clave Borrar : HKLM\SOFTWARE\Classes\TypeLib\{77AA6435-2488-4A94-9FE5-49519DD2ED9B}
Clave Borrar : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Clave Borrar : HKLM\SOFTWARE\Classes\TypeLib\{C2AC8A0E-E48E-484B-A71C-C7A937FAAB94}
Clave Borrar : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clave Borrar : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clave Borrar : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clave Borrar : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clave Borrar : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C6FDD0C3-266A-4DC3-B459-28C697C44CDC}
Clave Borrar : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clave Borrar : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clave Borrar : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clave Borrar : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Clave Borrar : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clave Borrar : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clave Borrar : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Valor Borrar : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{95B7759C-8C7F-4BF1-B163-73684A933233}]
Valor Borrar : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
Clave Borrar : [x64] HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clave Borrar : [x64] HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clave Borrar : [x64] HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Clave Borrar : [x64] HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clave Borrar : [x64] HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
Valor Borrar : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
Clave Borrar : HKCU\Software\AVG SafeGuard toolbar
Clave Borrar : HKCU\Software\DeviceVM
Clave Borrar : HKCU\Software\IM
Clave Borrar : HKCU\Software\ImInstaller
Clave Borrar : HKCU\Software\InstallCore
Clave Borrar : HKCU\Software\Tutoriales100
Clave Borrar : HKCU\Software\Tutorials
Clave Borrar : HKCU\Software\TutoTag
Clave Borrar : HKCU\Software\Vittalia
Clave Borrar : HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}
Clave Borrar : HKCU\Software\AppDataLow\Software\HappyLyrics
Clave Borrar : HKCU\Software\AppDataLow\Software\TubeSaver
Clave Borrar : HKLM\Software\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clave Borrar : HKLM\Software\{5F189DF5-2D05-472B-9091-84D9848AE48B}
Clave Borrar : HKLM\Software\AVG SafeGuard toolbar
Clave Borrar : HKLM\Software\AVG Security Toolbar
Clave Borrar : HKLM\Software\Babylon
Clave Borrar : HKLM\Software\DataMngr
Clave Borrar : HKLM\Software\DeviceVM
Clave Borrar : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4820778D-AB0D-6D18-C316-52A6A0E1D507}
Clave Borrar : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG SafeGuard toolbar

***** [ Navegadores ] *****

-\\ Internet Explorer v11.0.9600.16521

Ajustes Restaurar : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl [Default]

-\\ Mozilla Firefox v

[ Archivo : C:\Users\Giovanni\AppData\Roaming\Mozilla\Firefox\Profiles\extensions\prefs.js ]


-\\ Google Chrome v33.0.1750.154

[ Archivo : C:\Users\Giovanni\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [10861 octets] - [21/03/2014 23:21:41]
AdwCleaner[S0].txt - [9303 octets] - [21/03/2014 23:25:25]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [9363 octets] ##########

La notificaion en Wd ya no sale,
Creo que funcionó
Gracias   

[Giovanni31]

Este fue el ultimo reporte de MBAM antes de correr adwCleaner.

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Versión de la Base de Datos: v2014.03.12.11

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16521
Giovanni :: GIOVANNI-PC [administrador]

21/03/2014 01:03:17 a.m.
mbam-log-2014-03-21 (01-03-17).txt

Tipos de Análisis: Análisis personalizado (C:\Program Files (x86)|)
Opciones de análisis activado: Sistema de archivos | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: Memoria | Inicio | Registro | Heurística/Extra | P2P
Objetos examinados: 103683
Tiempo transcurrido: 47 minuto(s), 16 segundo(s)

Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Valores del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Detectados: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs (Trojan.SProtector) -> Malo: (c:\progra~2\sw30e4~1.boo) Bueno: () -> En cuarentena y reparado con éxito.

Carpetas Detectadas: 1
C:\Program Files (x86)\YoutubeAdblocker (PUP.Optional.Multiplug) -> En cuarentena y eliminado con éxito.

Archivos Detectados: 1
C:\Program Files (x86)\SW.Booster (Trojan.SProtector) -> En cuarentena y eliminado con éxito.

fin)

Adjunto imagen.

[iroc9555]

Pareciera que todo lo que tienes son PUP ( Potentially Unwanted Programs ) y adwares que tanto AdwCleaner como MBAM lo detectan y los eliminan/cuarentenan. Para que avast! te proteja de PUPs tienes que configurarlo.

Avast! > Opciones > Proteccion Activa > Escudo de Sistema de Archivos > Icono de Engranaje > Sensibilidad > Marca PPD ( Programas Potencialmente no Deseados ) y archivos sospechosos > Aceptar.

Lo mismo lo haces para el Escudo de Web.

Para los Analisis o barridos vas a
Avast! > Analisis > escojes el analisis deseado > Opciones > Sensibilidad > PPDs y archivos sospechosos > Aceptar.

Por favor haz otro analisis completo con MBAM. Asegurate que este actualizado, y que todas sus opciones de analisis marcadas.

Versión de la Base de Datos: v2014.03.12.11

21/03/2014 01:03:17 a.m.
mbam-log-2014-03-21 (01-03-17).txt

Tipos de Análisis: Análisis personalizado (C:\Program Files (x86)|)
Opciones de análisis activado: Sistema de archivos | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: Memoria | Inicio | Registro | Heurística/Extra | P2P

Tambien haz otro analisis con AdwCleaner para ver si algo mas ha resurgido despues de eliminar lo que quito.

Por favor no copies/pegues los reportes. Anexalos ver imagen

[Giovanni31]

hola.

Configure Avast para que me proteja de los PUPs. Como lo indicaste y luego ejecuté los análisis de MBAM, Y de ADWCleaner (Adjunto los reportes)

 

[iroc9555]

Parece limpio. Ahora bien, las 2 detecciones de MBAM; Una es un keygen para Office 2010. Muchacho. Malo muy malo El otro pareciera un F/P de MBAM detectando AutoCAD, al menos, que tambien sea una copia pirata. Tu decides que hacer con esas detecciones.

[Giovanni31]

También adjunto algunas imágenes de como WD notificaba el Adware

Te felicito por la excelente asistencia.

Gracias mi problema se ha solucionado !!!

 

[iroc9555]

Te felicito por la excelente asistencia.

Gracias mi problema se ha solucionado !!!

De nada. Un placer.