Virus o troyano que te cambia las urls encontradas en google

[akualung]

Hola gente. A ver si me podeis ayudar con un problemilla que tiene un conocido mio. Resulta que desde hace unos dias le pasa que, cada vez que entra en el google, cuando hace una búsqueda y pica en cualquier enlace, tiene "algo" en el pc que hace que se le redirija la petición a otra web, páginas con publicidad o de esas que tienen un buscador chapucero, como cuando expira el dominio y no lo renuevan. Parece como si algo modificase el paquete tcp para que se redirija a otras webs, porque tanto la web de google como el código html parecen normales.

Hemos pasado ya varios programas y, aunque algunos han reconocido y (supuestamente) eliminado algunos troyanos, el comportamiento sigue igual.

El SO es windows XP con el SP3, y los programas que hemos pasado son el avast, elistara, hijackthis y malwarebytes.

Por cierto, yo estoy probando a bajarme el elistara para usarlo yo también y, sea de donde sea que lo baje, siempre me salta el nod32 con una alarma de troyano, uno que en el nombre tiene "lstBar". Sabeis de donde lo puedo bajar sin que venga con troyano de regalo?

Gracias.

< - >

Bueno, ya hemos mirado todo lo que hemos podido y se acabó, hemos acabado hasta los mismísimos coj0nes así que vamos a reiniciar. Hemos pasado casi todos los programas de spyware habidos y por haber, antivirus, tanto instalados como online, hemos seguido la ostia de tutoriales para borrar todo tipo de virus de esos que te secuestran el navegador, etc, y no ha habido manera. Formatearemos y a tomar por saco.

La verdad, no se para qué mierda sirve tener antivirus puestos, en especial uno tan supuestamente bueno como el avast, si luego se te sigue metiendo igual cualquier cosa. Puede que lo que se haya metido sea una especie de rootkit (por lo que hemos podido leer), pero hemos seguido unos tutoriales para borrarlo (con el tdsskiller) y tampoco ha funcionado.

Lo más fuerte es que no hemos instalado ningún programa crackeado ni nada parecido, así que si no ha entrado al cargar una web no se de dónde conio puede haber salido.

Bueno, gracias igualmente a todos los que me hayais leido.

[pakoito]

¿Has probado a mirar el fichero de hosts? ¿otro navegador? ¿un pc en la misma red? ¿spybot S&D?

[akualung]

¿Has probado a mirar el fichero de hosts? ¿otro navegador? ¿un pc en la misma red? ¿spybot S&D?

Hola, pakoito, gracias por contestar. Estoy en el curro, así que seré breve, aun no me había conectado nunca desde el curro a gp. Escribo a toda leche, así que perdón si hay muchas faltas.

Si, miramos el hosts y no tenia nada raro. Ahora que recuerdo, ¿no había otro archivo que se llamaba lmhosts, o eso era solo en linux?

Solo tenemos firefox e ie, y pasa lo mismo en los dos, y también en otros usando buscadores en ambos navegadores, como el bing. Una de las webs a las que más frecuentemente redirige es una que se llama algo de throug-n.com o algo asi (y le sale un mensaje de google diciendo que es una web atacante).

Solo tenemos un pc de sobremesa conectado en esa misma red (que no es wireless, es ethernet normal y corriente), aunque ahora que lo pienso, tenemos un portátil así que probaremos a conectarlo a la misma red y a ver si hace lo mismo. Gracias por la sugerencia, esa no se me había ocurrido, aunque creo que va a ser un problema localizado en el ordenador de sobremesa.

El spybot S&D no recuerdo que lo hayamos pasado, pero el resto de programas que hemos usado creo que son aún más potentes y aunque encuentran cosas, no se si no las limpian bien o algo porque sigue pasando.

Como vamos a formatear igualmente, he pensado en pasar un programa que se llama combofix o algo así, que dicen que se ha de usar con cuidado porque puede joderte el sistema del todo, pero ya que vamos a borrar no tenemos nada que perder. Es al menos para saber de dónde conio hemos pillado un troyano tan bestia, porque no me parece normal pillar algo tan jodido de sacar (ya digo, parece más un rootkit que un troyano) solo por haber entrado en una web.

Gracias por los consejos, pakoito.

[CoMiKe]

A mi me sucedió lo mismo y no hubo manera de encontrarlo, y mira que le dediqué tiempo.

Y, efectivamente, le pasé todo lo que encontré antes de reinstalarlo, pero nada.

Lo único que se me ocurre es que hubiesen metido la modificación en un fichero de sistema y lo hubiesen reemplazado.