Ad (publicidad sospechosa) En las búsquedas de Google

Hola, estuve navegando por el foro y vi que varios usuarios se toparon con el problema de publicidad engañosa en las busquedas de google, las que se cargan solas una vez terminada la busqueda real. Intente varias cosas, casi todo lo que vi en el foro y logre que desaparecieran, pero luego de una semana volvieron a aparecer, pego mi log de zhpcleaner, los otros pasos ya los realice, espero puedan darme una mano con esto, utilizo windows 2019 aclaro. Gracias

---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.
---\\  Navegadores de Internet (1)
ENCONTRADOS dados: [X64] 
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxySettingsPerUser [Bad : 0]  =>.SUP.ProxyRestriction


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (21)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (2)
ENCONTRADOS carpeta: C:\Users\Administrador\AppData\Local\Google\Chrome\User Data\Default\Preferences    =>ChromiumPreference
ENCONTRADOS carpeta: C:\Users\Administrador\AppData\Local\Microsoft\Edge\User Data\Default\Preferences    =>ChromiumPreference


---\\  Registro ( Claves, Valores, Datos) (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Resumen de elementos en su estación de trabajo (2)
https://nicolascoolman.eu/forum/Topic/logiciels-potentiellement-superflus-lps/  =>.SUP.ProxyRestriction
https://nicolascoolman.eu/2020/10/01/preferences-navigateurs-chromium/  =>ChromiumPreference


---\\ Resultado de la reparación.
~ ninguna reparación hecha
~ Google Chrome OK
~ Internet Explorer OK


---\\ STATISTIQUES
~ Items escaneado : 106760
~ Items encontrado : 3
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 9/16


---\\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto





~ End of search in 00h04mn30s

---\\  Reporte (6)
ZHPCleaner-[S]-04112020-20_39_09.txt
ZHPCleaner-[S]-04112020-20_57_50.txt
ZHPCleaner-[S]-04112020-22_05_25.txt
ZHPCleaner-[S]-31102020-00_16_51.txt
ZHPCleaner-[S]-31102020-00_34_56.txt
ZHPCleaner-[S]-04112020-22_13_03.txt

Hola compañero,

Por favor puedes indicar si :

¿Probaste a restablecer los valores predeterminados de tu navegador?

¿Al usar otro navegador te sucede lo mismo?

Un saludo.

Hola! Si, ya lo hice varias veces, luego de pasar el malwarebytes, el AVG, el ZHPCleaner y el malwarebyte adwcleaner. Y esta vez siguen apareciendo, si bien no me molesta instalar todo nuevamente, me intriga saber porque si lo pude remover una vez, ahora no lo puedo quitar.

Un dato curioso es que cuadno quiero reparar con el ZHPCleaner, tirar un error y se cierra.

Line 27108 ZHPCleaner Error: Variable must be of type “object”

Y se cierra el programa.

Hola compañero,

En cuanto al error de ZPHCleaner:

Según parece el propio Nicolas Colman creador del ZPHCleaner mantuvo una conversación el 6 de Julio de 2020 en su pagina oficial con un usuario del programa con el mismo error que tu indicas: Line 27108 ZHPCleaner Error: Variable must be of type “object”

Te dejo el enlace aqui:

Un saludo!

Encontre el problema, algun programa esta configurando el proxy asi: http://127.0.0.1:86/

Eso descarga un script, si desactivo eso, desaparecen los Ad, cuando reinicio, vuelve a estar configurado, ahora leo el error del ZHP a ver que puede ser.

Si alguien tiene alguna idea que puede ser, agradeceria!

1 me gusta

Hola compañero:

Echa un vistazo a esto: en 2017 y 2018 hubo un posible software malicioso o virus con un proxy parecido, solo cambia los últimos números. (127.0.0.1:8080) :thinking: tal vez sea una variante del mismo.

ttps://answers.microsoft.com/en-us/windows/forum/windows_10-networking-winpc/removing-a-proxy-virus-1270018080/ccf3081a-e282-4796-b1b6-770bf5c39c1a

Lo estoy leyendo pero parece la Solución que usaron fue cambiar el registro combinada con el uso de Adwcleaner.

Fíjate en este enlace también aquí dan mejor información:

Saludos!

Hola chicos y permiso:

@Hugo_Gonzalez

Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan/Analizar y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2

Buen dia, adjunto los resultados del Scan

Gracias!

FRST.txt (343,2 KB)

Addition.txt (79,4 KB)

Hola @Hugo_Gonzalez

Lo que no habías comentado es que tienes un Windows Server, y no todas las herramientas se ejecutan correctamente.

Paso 1:

Desinstala con Revo Uninstaller en su Modo Avanzado:

  • Zemana AntiMalware
  • Spybot - Search & Destroy 2 este esta obsoleto para el malware actual, y ademas nos bloqueara la ejecución de correcciones.

Manual de Revo Uninstaller.

Reinicias.

Paso 2:

Ejecutaste FRST desde un lugar incorrecto:

  • C:\Users\Administrador\Downloads

Corta el ejecutable y pegalo en tu escritorio <<< Esto es Muy Importante.

Paso 3:

Con mucha atención:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga/Ejecuta DelFix desde el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego ve a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start::
CloseProcesses:
HKLM\Software\Microsoft\Active Setup\Installed Components: [{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}] -> C:\Windows\System32\iesetup.dll [2018-09-15] (Microsoft Windows -> Microsoft Corporation)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}] -> C:\Windows\System32\iesetup.dll [2018-09-15] (Microsoft Windows -> Microsoft Corporation)
Lsa: [Notification Packages] rassfm scecli
BootExecute: autocheck autochk /q /v * sdnclean64.exe
GroupPolicy: Restricción ? <==== ATENCIÓN
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== ATENCIÓN (Restricción - ProxySettings)
AutoConfigURL: [{3C27E66C-53EF-4F10-9FAC-7D02F03197E3}] => hxxp://127.0.0.1:86/
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restricción <==== ATENCIÓN
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
S2 AvgWscReporter; "C:\Program Files\AVG\Antivirus\wsc_proxy.exe" /runassvc /rpcserver [X]
S2 McAfee WebAdvisor; "C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe" [X]
S3 hitmanpro37; C:\Windows\system32\drivers\hitmanpro37.sys [57728 2020-10-30] (SurfRight B.V. -> )
S3 AIDA64Driver; \??\C:\Users\ADMINI~1\AppData\Local\Temp\AIDA64Driver.sys [X] <==== ATENCIÓN
S3 Mv_Process; \??\c:\windows\syswow64\mv_process.sys [X]
S3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys [X]
2020-11-05 22:39 - 2020-11-05 22:39 - 012795472 _____ (Zemana Ltd. ) C:\Users\Administrador\Downloads\AntiMalware_Setup.exe
2020-11-03 07:48 - 2020-11-03 07:49 - 000000000 ____D C:\Windows\system32\Tasks\AVAST Software
2020-10-31 00:11 - 2020-11-04 22:30 - 000000000 ____D C:\ProgramData\AVG
2020-10-30 23:25 - 2020-10-30 23:32 - 000057728 _____ C:\Windows\system32\Drivers\hitmanpro37.sys
2020-10-30 23:24 - 2020-10-30 23:31 - 000000000 ____D C:\ProgramData\HitmanPro
2020-10-25 01:41 - 2020-10-25 01:41 - 000000000 ____D C:\ProgramData\McAfee
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\2052
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\1055
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\1049
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\1046
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\1045
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\1042
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\1041
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\1040
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\1036
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\1031
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\1029
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\1028
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\2052
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\1055
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\1049
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\1046
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\1045
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\1042
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\1041
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\1040
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\1036
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\1031
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\1029
2020-10-25 01:16 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\1028
2020-10-25 01:14 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\3082
2020-10-25 01:14 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\SysWOW64\1033
2020-10-25 01:14 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\3082
2020-10-25 01:14 - 2020-10-25 01:16 - 000000000 ____D C:\Windows\system32\1033
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Ningún archivo
ContextMenuHandlers2: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Ningún archivo
ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Ningún archivo
BHO: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\x64\IEPlugin.dll => Ningún archivo
BHO-x32: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\win32\IEPlugin.dll => Ningún archivo

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
End::
  • Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.- Inicie su ordenador en >>> Modo Seguro >>> Aplicable a Windows 10. o Windows 7.

  • Ejecute Frst.exe o Frst64.exe. según el caso.
  • Presione el botón Fix/Corregir y aguarde a que termine.
  • La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
  • Reinicia y lo pega en su próxima respuesta.

Nos comentas…

Salu2

Buenas, gracias de antemano, subo el fixlog y el nuevo scan.

Despues de hacer todo esto, sigue igual.

Fixlog.txt (14,3 KB)

FRST.txt (339,8 KB)

Addition.txt (78,5 KB)

Voy a volver a hacer un reinicio por las dudas pero sigue cambiando solo la config de usar proxy y la direccion 127.0.0.1:86

gracias!

Bueno, creo haber encontrado el problema, basicamente un archivo, llamado iKernel.exe dentro de una carpeta de installshield, es la que ejecutaba la configuraciòn.

Les dejo los pasos que realice para solucionarlo. Aparentemente por ahora, el problema esta resuelto.

Gracias por la ayuda!

Start an elevated command prompt Run netstat -abno | findstr LISTENING | findstr :8080 and take a note of the last number on the displayed line.

That is the PID of the process listening on that port.

Run task manager (Ctrl+Shift+Esc) and go to the Details tab.

Find the process with the corresponding PID.

Right-click on the process you found and choose “Open file location”.

Still in task manager, make sure the process is selected and click on “End task” to kill it.

Now delete the file that the process belonged to (explorer should have popped up with the file selected when you pressed “Open file location” earlier.

Now clean up the proxy settings

Hola @Hugo_Gonzalez

Buena pesca…:+1:

Exactamente el proceso fue:

(Flexera Software LLC -> InstallShield Software Corporation) [Archivo no firmado] C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\iKernel.exe

Pero ojo que tienes dos tareas programadas y una de ellas apunta a un archivo diferente:

Task: {3FEDB730-286E-4CF1-AFE8-46104895C6C4} - System32\Tasks\Optimize Thumbnail Cache => C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\ isupdate.exe [61104 2020-09-26] (Flexera Software LLC -> InstallShield®) [Archivo no firmado]

Task: {79E8074A-E33C-4E2E-AA36-58FE799740DE} - System32\Tasks\InstallShield® Setup Engine Kernel => C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\ iKernel.exe [72880 2020-10-16] (Flexera Software LLC -> InstallShield Software Corporation) [Archivo no firmado]

Si estas de acuerdo déjame un nuevo reporte de FRST y Adittion, ya que según entiendo el que subiste lo corriste antes de eliminar el archivo manualmente y aun persiste la modificación en el proxi, ademas de algunos restos que se ven de Zemana y Spybot.

Nos comentas.

Salu2