Avast! me detecta constantemente una amenza

[REDACTED]

Hola, qué tal. Necesito ayuda y agradecería enormemente me la pudieran proporcionar ya que me ocurre lo siguiente:

Mi antivirus Avast! me ha estado notificando muy constantemente (a veces muy seguido, otras veces se tarda un poco más) que ha detectado una amenaza. En la ventana que aparece en la parte inferior derecha de la pantalla, me indica lo siguiente:

                       El escudo web de Avast ha bloqueado una página web o archivo dañino

                       URL:http://getyourfileshere.co.il/sync/?q=C6qUojn5rjY8qjU8rdrGqjgEqTs7qTsMAyVUojw7qTgFrjgFqdsH...    (ESTÁ    DIRECCIÓN CAMBIA CADA VEZ QUE APARECE OTRA VENTANA)

                       Infección: URL:MAL

                       Proceso: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe


Al principio dejaban de aparecerme estas notificaciones cuando eliminaba alguna extensión que se instalaba sola en mi navegador chrome, pero ahora no me aparece ninguna extensión extraña a las que tengo (a menos de que, entre las que tenga, haya alguna que produzca esta anomalía) y siguen apareciendo notificaciones.

Habrá alguna forma de saber qué produce esto?, y especialmente, cómo solucionarlo?

Muchas gracias.

[Eddy]

https://forum.avast.com/index.php?topic=53253.0

[REDACTED]

Hola cristiangs_1. Bienvenido al foro.

Baja, instala, y actualiza Malwarebytes' y haz un analisis. Reporta los resultados.

Descarga AdwCleaner a tu escritorio. Ejecutalo. Clickea "Escanear" y despues " Limpiar ". Puede pedirte que reinicies, hazlo. Cuando reinicie se abrira un reporte. Guardalo para que lo anexes en tu respuesta. Para eliminar AdwCleaner de tu escritorio solo tienes que clicquear en Desintalar.

A veces tienes que resetear tu navegador si todavia te salen las alertas.

Si ninguno de ellos encuentra algo o no te elimina tu problema puede que tengas algo muy escondido y necesitas ayuda de un experto certificado.

Aqui en Avast! los tenemos pero solo en ingles. Tienes que leer esta guia.

http://forum.avast.com/index.php?topic=53253.0

Bajar y ejecutar estos programas ( los encuetras en la guia ); , Malwarebytes'( MBAM ), Farbar Recovery Scan Tool, y aswMBR.exe y sus reportes los guardas y los anexas ( no copiar/pegar ) en el nuevo topico que abriras aqui:

http://forum.avast.com/index.php?board=4.0

Si no sabes ingles el unico sitio en español de confianza que conosco es este:

http://www.forospyware.com/foro-de-virus-y-spywares/

[REDACTED]

  Muchísimas gracias, en verdad resultó muy bien, hasta el momento las alertas dejaron de aparecer.

 Adjunto los reportes. Saludos fraternos.

[REDACTED]

De nada Un placer

Solo veo PUPs ( potentially undesire programs ) o PPDs ( Programas potencialmente no deseados ). No trojanos u otros que si necesitarian un analisis mas profundo.

Para evitar estos PUPs asegurate de tener activado en Avast el analisis de programas no deseados.

Abre Avast > Optiones > General > Analisis de PPDs

Estos PUP los instalamos nosotros mismos al instalar programas gratis que bajamos de la web y no leer todas las ventanas que se abren. Un programita que desactiva estas casillas envueltas en estos programas gratis es http://unchecky.com/

[REDACTED]

Hola nuevamente, muchísimas gracias en verdad por el apoyo que me han estado proporcionando.

Al realizar las primeras acciones que me aconsejaron (utilizar el Malwarebytes y el AdwCleaner) todo había resultado de maravilla como lo publiqué anteriormente, sin embargo a los dos días siguientes las alertas regresaron; para ello, volví a utilizar el Malwarebytes y el AdwCleaner, el primero ya no me detectó ninguna amenaza, pero el segundo sí, a lo cual procedí a limpiar mi equipo. Las alertas desaparecían por un tiempo nuevamente, pero al paso de un rato, siguen apareciendo.

Cabe aclarar que haciendo caso de las advertencias de ustedes y de los programas, hasta ahora no he descargado ni instalado programas de ningún tipo a fin de evitar que el problema persista o se agrave.

He procedido a realizar la segunda parte de consejos que me proporcionaron (la guía en inglés), descargué y ejecuté los tres programas (Malwarebytes, Farbar Scan Tool y aswMBR); tengo ya los registros de los análisis, pero en los dos últimos programas (Farbar Scan Tool y aswMBR)mi DUDA es SI AL FINAL TENGO QUE PRESIONAR EN ARREGLAR (FIX) O DEJARLOS ASÍ, es decir quedarme solo con los registros?.

*En el caso del aswMBR, me da la opción: FixMBR

Adjunto los registros de éste análisis que realicé, esperando me puedan ayudar nuevamente, se los agradecería muchísimo. Saludos. 

[REDACTED]

No arregles nada. Para nada pinches donde dice FIX en ninguno de los dos programas..

Tienes que tener paciencia. La mayoria de los encargados de limpieza viven en Europa y ya es bien tarde alla. Yo lo reportare a essexboy y el vera tus registros y pondra instrucciones a seguir pero creo que para mañana.

[REDACTED]

Ok, enterado, no procederé a realizar otra acción. Y por el tiempo no hay problema, esperaré. Por el momento, ya guardados los registros, puedo cerrar los programas?

[REDACTED]

Los programas despues de ejecutados quedan cerrados. Solo deberias de tener el icono ejecutor en tu escritorio. Essexboy necesitara FRST para aplicar el script que elimimara los malwares y despues te indicara como remover todas sus herramientas.

Vi varios adwares ¿ Instalastes unchecky para evitar este tipo de programas ?

Tambien vi varias restricciones en Chrome, pero no se si es la version del desarrollador porque no lo uso. El malware lo convierte a este para poder infectar tu sistema. Hay docenas de reportes diarias en el foro a causa de Chrome que esta siendo atacado masivamente a causa de sus debilidades.

Vi que usas torrent y P2P ( Ares ). Esta es otra forma facil de infectarte. No AV en el mundo te mantendra limpio si tus habitos de navegacion son peligrosos.

Creo que vi un keygen, pero no estoy seguro. Esta es otra forma en que tu sistema se puede comprometer.

Espera por essexboy. El es instructor en G2G y UNITE. Un mago en realidad.

[REDACTED]

Muy bien, tendré todo listo para las instrucciones de Essexboy.

No, no instale unchecky.

Respecto a las restricciones en Chrome, jamas las he modificado, por lo tanto, tengo la configuración predeterminada.

Efectivamente, utilizo torrent de vez en cuando, sin embargo a raíz del problema dejé de usarlo, pero el PSP (Ares), según yo, ya no lo tengo instalado, hace tiempo que lo retiré de mi sistema.

Entiendo, sin duda hay varias cosas que desconozco sobre mi sistema, seguiré más al pendiente de mis movimientos.

Perfecto, esperaré. Muchísimas gracias iroc9555.

[Eddy]

Iroc, please tell this person how to use the this fixlist

Code: [Select]

Start
CreateRestorePoint:
Closeprocesses:
Emptytemp:
HKU\S-1-5-21-487423666-176048298-2617257630-1001\...\Run: [ares] => "C:\Program Files (x86)\Ares\Ares.exe" -h
HKU\S-1-5-21-487423666-176048298-2617257630-1001\...\Run: [Codec Pack Update Checker] => "C:\Windows\system32\C2MP\UpdateChecker.exe"
HKU\S-1-5-21-487423666-176048298-2617257630-1001\...\Run: [ALLUpdate] => "C:\Program Files (x86)\OpenSubtitlesPlayer\ALLUpdate.exe" "sleep"
ShortcutTarget: CodecPackTrayMenu.lnk -> C:\Windows\SysWOW64\C2MP\TrayMenu.exe ()
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
2015-04-09 00:29 - 2015-04-13 02:36 - 00000000 ____D () C:\Users\user\Downloads\Amadeus (1984) DC BDRip 1080p multisub HighCode
2015-04-09 00:27 - 2015-04-09 00:27 - 00038624 _____ () C:\Users\user\Downloads\[kickass.to]amadeus.1984.dc.bdrip.1080p.multisub.highcode.torrent
ShortcutTarget: Windows Explorer.lnk -> C:\Users\user\AppData\Roaming\bxvsq\amdupdate64.exe (No File)
BHO: No Name -> {1679180C-85B8-3B20-F45F-B7CF04E5DB60} ->  No File
BHO-x32: No Name -> {1679180C-85B8-3B20-F45F-B7CF04E5DB60} ->  No File
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Laflurla (HKLM\...\Laflurla) (Version: 2014.04.12.002348 - Laflurla) <==== ATTENTION
PlayIt on XBMC (HKLM-x32\...\{0C516764-8CFC-C2FE-7BB0-A50A646E4DCD}) (Version:  - CoolSaleCoupon) <==== ATTENTION
Task: {C00E613D-7C21-4D44-A414-E9CBE2A4D4AA} - \TidyNetwork Update No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:373E1720
Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
CMD: ipconfig /flushdns
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: netsh winsock reset catalog
CMD: bitsadmin /reset /allusers
End

[essexboy]

CAUTION :  This fix is only valid for this specific machine, using it on another may break your computer

Open notepad and copy/paste the text in the quotebox below into it:
 

CreateRestorePoint:
HKLM-x32\...\Run: [Codec Settings UAC Manager] => C:\Windows\SysWOW64\C2MP\CodecUACManager.exe [60416 2015-03-05] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackTrayMenu.lnk [2015-03-20]
ShortcutTarget: CodecPackTrayMenu.lnk -> C:\Windows\SysWOW64\C2MP\TrayMenu.exe ()
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk [2014-12-16]
ShortcutTarget: Windows Explorer.lnk -> C:\Users\user\AppData\Roaming\bxvsq\amdupdate64.exe (No File)
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO: No Name -> {1679180C-85B8-3B20-F45F-B7CF04E5DB60} ->  No File
BHO-x32: No Name -> {1679180C-85B8-3B20-F45F-B7CF04E5DB60} ->  No File
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-04-26]
Task: {C00E613D-7C21-4D44-A414-E9CBE2A4D4AA} - \TidyNetwork Update No Task File <==== ATTENTION
C:\Users\user\AppData\Roaming\bxvsq
Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
RemoveProxy:
EmptyTemp:
CMD: bitsadmin /reset /allusers

 
Save this as fixlist.txt, in the same location as FRST.exe

Run FRST and press Fix
On completion a log will be generated please post that

[REDACTED]

Cristian espera que estoy preguntando exactamente que hacer con los dos scripts que dieron.

[REDACTED]

Muy bien iroc, no hay problema, yo espero.

[REDACTED]

Vamos a tomar el script de essexboy tanto porque yo lo llame a el por ayuda. Eddy es un miembro de confianza y muy experto y respeto su ayuda, pero sigamos con essexboy.

Vas a abrir un Bloc de notas ( notepad ) y...
copias lo que esta en el recuadro azul de essexboy y lo pegas en el bloc de notas.
Lo salvas o guardas como fixlist.txt y lo colocas donde tienes el icono de FRST.
Ve la imagen de essexboy. El fixlist.txt y FRST64 uno al lado del otro.

Abre o ejecuta FRST, y ahora si, pincha o clickea el boton que dice FIX
Al terminar te aparecera un reporte ( log ) nuevo. Por favor anexalo en tu respuesta y di como se esta comportanto el sistema.