ME HE TRASLADADO A www.kialaya.com/blog

EN BREVE SERÁS REDIRIGIDO A MI NUEVO BLOG.

miércoles, 5 de noviembre de 2008

Virus en mi ordenador: Clicker.SXT

Llevo un par de días peleándome con un virus y estoy ya que no sé qué hacer así que os voy a poner aquí todos los datos de que dispongo y si a algún iluminado se le ocurre alguna idea que sea tan amable de dejármela en los comentarios. Ah, y nada de "cámbiate a Mac" (ya tengo un Mac Mini que estoy utilizando ahora), "cámbiate a linux" (no me da la gana porque ya tengo la cabeza a estallar con dos sistemas operativos y todas las cosas de Internet y no puedo más) o "formatea el ordenador" (porque ahí también he llegado yo como conclusión so lumbreras pero formateé hace un par de semanas y me costó una barbaridad, prefiero evitar repetir el proceso). Sed tan amables de no patearme los intestinos con las posibles bromitas porque en serio que estoy ya un poco quemada de la informática estos meses. Además espero que esto que pongo aquí ayude a quien pueda estar teniendo los mismos problemas que yo.

Síntomas: El ordenador produce un curioso "bliiipp" a través de los altavoces. A mí me recuerda a cuando se está abriendo una pestaña o hay una ventanita emergiendo en algún programa. Cada x tiempo, bastante largo, se abren ventanas del navegador IE a diversas páginas web. Por ahora a mí me han salido las siguientes: miparientela.com, clubmovilisto.com y freelotto.com. Además el Antivirus AVG Free me salta con ventanas de detección de un virus llamado "Trojan Horse Clicker.SXT" en diversos archivos temporales dentro de Documents and Settings.

Aquí debajo tenéis capturas de pantalla de todo lo dicho anteriormente.

Virus-Miparientela

Virus-Freelotto

Virus-clubmovilisto y archivos temp

Virus-Aviso-antivirus

Otros casos similares: He mirado por cuatrocientos foros y a todos los que les pasa algo muy similar ha sido en los últimos días por lo que deduzco que este virus es muy reciente; algo que queda patente tras todos mis esfuerzos por eliminarlo y que ningún problema lo consiga. Esta persona es la que mejor lo explica y más detalles da y por la que me entero que también hay programas raros ejecutándose en el Administrador de tareas. En mi caso son programas con el nombre "p2f6331g.exe" y además varios. Ver captura de pantalla.

Virus-AdministradorTareas

Acciones tomadas: En primer lugar hago todos los pasos que recomiendan en este foro que me parecen muy lógicos y acertados aunque de la segunda parte sólo hay dos programas que uso ya que uso otros.

Básicamente, desactivo restaurar sistema, borro todos los temporales, papelera, etc mediante Ccleaner, compruebo que tengo el sistema actualizado con parches de seguridad, instalo programas de tipo antivirus (ya tenía el AVG como digo) y a continuación paso uno tras otro los programas: scan completo de AVG, Ad-Aware, SuperAntiSpyware y SpyBot Search and Destroy. También paso el antivirus online de McAfee y su herramienta Stinger (mañana actualizaré este post con los enlaces a todo).

Ante la evidencia de que sigue estando ahí me paso al modo a prueba de fallos y vuelvo a hacer todo el proceso nuevamente. Tras volver al modo normal, sigo teniendo los mismos síntomas. Ahí es cuando encuentro lo de los programas ejecutándose en el Administrador de sistemas y me los cargo todos finalizando el proceso. Hago luego una búsqueda mediante explorer en el sistema de cualquier cosa que tenga el mismo nombre y lo elimino. Ejecuto regedit y hago lo mismo, busco cualquier cosa que tenga ese nombre y me lo cargo.

Virus-Busqueda

Virus-Editor del Registro

Actualmente: Tras la última acción de borrar manualmente todo lo que encontré que pudiera estar causando el virus, por ahora no me han saltado alarmas ni síntomas pero sinceramente dudo que lo haya matado. Seguramente cuando reinicie volverá, ya os contaré. Si alguien tiene más ideas, por favor, dejadlas en comentarios. Ah, y maldigo a todos los imbéciles que no tienen otra cosa mejor que hacer que inventarse estos regalitos para los usuarios. Grrrr.

Actualización: No ha hecho falta ni reiniciar, confirmo que ya está ahí dando pitidos y al mirar el administrador de tareas otra vez el ejecutable ese está ahí. Y ahora hay dos nuevos: RTHDCPL.EXE y WZCSLD2.EXE

Actualización (9-11-2008): Parecer ser que esos dos últimos archivos no eran viruses según me informaba atk90x por Twitter "rthdcpl.exe = Realtek HD Audio Sound Effect Manager y WZCSLD2.EXE parece ser de D-Link AirPlus Utility". Pero el caso es que el virus seguía ahí y ha podido conmigo. Primera vez que me vence un virus. Pero bueno, al menos me he reído la última. Formatee ambos discos duros enteros y reinstalé de nuevo todo el sistema operativo. El virus ya no existe, el virus ha muerto (aunque haya sido de forma algo basta). Lo bueno es que acababa de reinstalar todo hace nada así que tenía en una carpeta bien preparados todos los drivers necesarios y he tardado bien poco, un solo día en tenerlo todo otra vez a punto. La próxima vez creo que formateo del tirón y punto. Muchas gracias a todos por el apoyo y las sugerencias.

5 comentarios:

Hierbabuena dijo...

Ya me gustaría poder ayudarte, pero no tengo ni pajolera idea de eso... Por suerte mi pc es nuevo y me vino con un dvd que me restaura todo cuando formateo >_<

Ánimo y paciencia, aunque si no lo has tirado por la ventana ya significa que paciencia estás teniendo mucha xD

dondado dijo...

A mi de este tipo de bichos lo que me resulta raro son los anunciantes que les pagan por salir ahí ¿o es que lo hacen porque les gustan esas compañias?, deberíamos poder hacer algo contra ellas porque si no tuviesen ingresos no habría tantísimos repartidos por cualquier lugar de la red.

Wikichipi dijo...

Pasale el reanimator... Este te detecta procesos ocultos y te los arranca de cuajo. Si quieres te lo mando. No requiere instalación. A mi me pasaba lo mismo y me lo solucionó.

rrey dijo...

Hablando en plata: estás jodida. No se que tipo de programas de seguridad estabas usando pero me temo que este bicho de troyano es muy complicado de eliminar.

Ya se que has dicho que nada de reinstalar desde cero... pero por mi experiencia creo que es lo único que va a poder acabar con el.

Me parece alucinante que si tienes instalado algun antimalware, antivirus y firewall este tipo de troyanos puedan infectar igual el sistema. Y me parece aún más lamentable que haya que utilizar cuatro o cinco herramientas diferentes para intentar eliminarlo... eso si supuestamente funcionan esos métodos que para programas de estos medianamente complejos, no suelen funcionar.

En fin, solo puedo desearte suerte en tu intento de eliminarlo.

Otero dijo...

estoy tratando con un pariente cercano de ese bixito en la ofi :P
Para este comentario te pongo los comentarios y acciones a ejecutar entre dobles comillas.
Estas pruebas no son para eliminar el virus/troyano/H***P*** sino para tener alguna pista más para acabar con el.

Haz una prueba, carga una consola de windows haciendo "Inicio/Ejecutar" y tecleando como comando a ejecutar "cmd"

Despues vete a la raiz del disco c: con "cd \" y despues haz un "dir" y tambien prueba con un "dir /a:h" para ver los que estén ocultos, comenta por aqui mismo todos los ficheros .bat .com .cmd y .vbs que encuentres ya que posiblemente alguno de ellos pueda tener algo que ver.(No Borres Nada hasta que no estemos seguros de que pueden borrarse)