Solucionar manualmente problemas de secuestro de Internet Explorer bajo Windows XP

Cuando nos secuestran el navegador, lo primero que hacemos es ir a la opción “Herramientas” y ahí seleccionamos la opción “Opciones de Internet”, donde restauramos la dirección de la pagina de inicio que teníamos antes, esta medida suele ser poco efectiva ya que el programa que nos han colado se encarga cada x segundos de cambiar este valor automáticamente, por lo que lo que tenemos que hacer es paralizar dicho programa, tal como se explica a continuación.

 

Para cerrar todos los procesos que se ejecutan que desconocemos seguimos los siguientes pasos:

  1. Cierre todos los programas que estén en uso, incluidos los que están en la barra de notificaciones (los que están junto a la hora)
  2. Abriremos la opción “Agregar o quitar programas” del “Panel de Control” y desinstalaremos desde allí todo el software que sea sospechoso de ser malware (por ejemplo new.net, websearch, etc…), una vez desinstalados cerraremos la ventana.
  3. Ahora presionamos CTRL+ALT+SUPR, hacemos clic en Administrador de tareas y, a continuación, hacemos clic en la ficha Procesos
  4. Hacemos clic en IEXPLORE.EXE y después en el botón Terminar proceso. (si tenemos cerrado el navegador no aparecerá y por tanto no hará falta cerrarlo).
  5. En la ventana del administrador de tareas activamos, si no lo esta, la opción “Mostrar procesos de todos los usuarios”
  6. Si hacemos clic sobre “Nombre de usuario” nos ordenara todos los procesos activos por el nombre de usuario y así podremos distinguir mejor los programas espías, que siempre son instalados en el nombre de usuario que usamos (muy rara vez se instalaran en la cuenta SYSTEM, SERVICIO LOCAL, o Servicio de red, por lo que en estos casos la mejor opción será usar software especializado).
  7. En un papel escribimos los nombres de todos los procesos que nos parezcan sospechosos. Los procesos siguientes son procesos habituales comprobados que no son malware: acroiefavclient.dll acroiehelper.dll acroiehelper.ocx acrotray.exe atiptaxx.exe backweb-8876480.exe carpserv.exe cdac11ba.exe cdantsrv.exe crypserv.exe cthelper.exe ctsvccda.exe devldr32.exe ditexp.exe dlgli.exe dpmw32.exe iadhide.dll iadhide3.dll inetinfo.exe javaw.exe lexbces.exe loadqm.exe mmtask.tsk msdtc.exe msnmsgr.exe nerocheck.exe nhksrv.exe nmssvc.exe nopdb.exe nview.dll opware32.exe osa.exe osd.exe realsched.exe rmctrl.exe sdhelper.dll smagent.exe srvany.exe tempiadhide3.dll tfswctrl.exe updreg.exe wanmpsvc.exe wcmdmgr.exe webcheck.dll winampa.exe 1xconfig.exe acs.exe adobe gamma loader.exe adobelmsvc.exe agrsmmsg.exe alcxmntr.exe apoint.exe asfsipc.dll asoehook.dll avgamsvr.exe avgemc.exe ccproxy.exe cfd.exe cli.exe cmdlineext03.dll cpqset.exe ctdvddet.exe dadkeyb.dll desrcas.dll dlg.exe dslagent.exe eebsvc.exe firefox.exe frameworkservice.exe googledesktopindex.exe googletoolbar1.dll googletoolbar2.dll hpcmpmgr.exe hphmon05.exe hpsysdrv.exe hpzipm12.exe iadhide4.dll iadhide5.dll idleproc.dll iesdpb.dll iesdsg.dll igfxtray.exe imhook.dll incdsrv.exe ipodservice.exe isafe.exe ituneshelper.exe kbd.exe klg.dat lexpps.exe lvcomsx.exe lxrjd31s.exe mediaacck.exe mim.exe mmdiag.exe motivesb.exe msbe.dll msgsys.exe msntb.dll mwsoemon.exe nail.exe nem220.dll newdotnet6_38.dll nvcpl.dll pcmservice.exe pdvdserv.exe pfc.sys prismxl.sys ps2.exe pxhelp20.sys qconsvc.exe quickset.exe recguard.exe regsrvc.exe runservice.exe s24evmon.exe secdrv.sys sgtray.exe smax4pnp.exe spbbcsvc.exe sqlservr.exe ssv.dll stmain.dll syntplpr.exe systb.dll system idle system.exe tfswshx.dll tgt_bho.dll tphkmgr.exe tpkmpsvc.exe tponscr.exe uaservice7.exe updaterui.exe viewbarbho.dll viewmgr.exe wdfmgr.exe winupdates.exe wlhook.dll wltrysvc.exe wzshlstb.dll ybrwicon.exe ycomp5_5_7_0.dll yiesrvc.dll ypager.exe zcfgsvc.exe / ati2evxx.exe avguard.exe ccapp.exe ccevtmgr.exe ccsetmgr.exe ctagent.dll defwatch.exe dit.exe em_exec.exe ezsp_px.exe gearsec.exe hkcmd.exe htpatch.exe iexplore.exe jusched.exe mcshield.exe mcvsescn.exe mspmspsv.exe navapsvc.exe navshext.dll nprotect.exe nvsvc32.exe nwiz.exe pctspk.exe point32.exe qttask.exe smc.exe taskman.exe vsmon.exe webscanx.exe wisptis.exe / alg.exe csrss.exe ctfmon.exe dllhost.exe explorer.exe internat.exe kernel32.dll lsass.exe mdm.exe msmsgs.exe mstask.exe regsvc.exe rundll32.exe services.exe smss.exe spoolsv.exe svchost.exe system winlogon.exe winmgmt.exe wmiexe.exe wmiprvse.exe wscntfy.exe wuauclt.exe
  8. Si aparece el nombre de algunos de estos archivos (son nombre de procesos que se sabe que pertenecen a malware) 2_0_1browserhelper2.dll alchem.exe belt.exe bridge.dll cmesys.exe gmt.exe istsvc.exe msbb.exe mslaugh.exe mxtarget.dll newdot~2.dll optimize.exe save.exe sp.exe twaintec.dll updmgr.exe winnet.dll wuamgrd.exe wupdater.exe lo seleccionaremos y haremos clic en “Terminar proceso”, muchas veces cuando hagamos esto automáticamente se volverá a cargar el proceso, esto es debido a que hay otro proceso que se encargar de reiniciarlo si es cerrado, para evitarlo tendremos que reiniciar el sistema en el modo a prueba de fallos, comprobar que no se han cargado los procesos y proceder a la eliminación de los archivos como se muestra en el paso 10.
  9. Con los otros procesos que nos hayan parecido sospechoso deberemos de obtener información sobre ellos para saber que tipo de archivos son, el primer paso seria realizar una búsqueda (pulsamos F3) en todo el disco duro de donde se ubica dicho archivo, viendo la carpeta en la que se ubica podremos identificar al software con el que se instalo, y si aun tenemos dudas y nos queremos asegurar realizaremos una búsqueda en Internet de ese nombre de proceso.
  10. Una vez identificados todos los procesos confirmados como malware o con un alto grado de probabilidad, realizaremos una búsqueda de esos nombres en todo el disco duro, una vez localizados eliminaremos completamente todos los que tengamos confirmados y realizaremos una copia de los que tenga probabilidad en un medio externo (disquete, cd, etc…) y lo etiquetaremos con una advertencia, una vez tengamos la copia y apuntado el directorio en el que se encontraban procederemos a su eliminación.
  11. Sin reiniciar o apagar el ordenador haremos clic en el botón “Inicio” de la barra de tareas y en el menú que aparece haremos clic sobre “Ejecutar…” escribiremos “regedit” y pulsaremos aceptar.
  12. Una vez en la aplicación regedit abriremos la carpeta que se encuentra en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y localizaremos si aparece allí algún archivo de los que hemos apuntado para eliminar o si vemos algún otro archivo sospechoso, una vez apuntados los datos sobre los valores a eliminar procederemos a su eliminación, una vez realizada la eliminación cerraremos la aplicación regedit.
  13. El siguiente paso es comprobar que no nos han instalado ningún archivo mas que se cargue en el arranque, para ello haremos clic en el botón “Inicio” de la barra de tareas y en el menú que aparece haremos clic sobre “Todos los programas”, en el menú que nos aparece nos colocaremos sobre “Inicio” y veremos los archivos que allí aparecen, si vemos alguno sospechoso lo eliminaremos (normalmente sino sabemos lo que son los podremos eliminar, ya que seguramente no nos hagan falta para nuestro uso habitual del pc, y si luego queremos que se cargue solo hay que crear un acceso directo otra vez).
  14. Como ultimo paso abrimos de nuevo el navegador y cambiamos de nuevo la dirección de inicio, por la que queramos.
  15. Reiniciamos el pc y esperamos con los dedos cruzados que todo haya ido bien.
  16. Si aun se nos modifica la dirección de inicio, en el navegador haremos clic sobre “Herramientas” y a continuación sobre “Administrar complementos…” deshabilitando los complementos que creamos sospechosos o que no deseemos usar y repetiremos el proceso desde el paso 14.
  17. Si aun así no podemos con ellos la mejor solución será usar un software que se encargue de eliminación de archivos espía, en la sección de tutoriales se incluirán algunos tutoriales sobre estos software.

Etiquetas: , , , , , , , ,

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: