Up2potential (SOLUCIONADO)

Cerrado
juanfernando
Novato
Novato
Mensajes: 2
Registrado: 27 Feb 2013, 09:08

Up2potential (SOLUCIONADO)

Mensaje por juanfernando » 27 Feb 2013, 09:26

Desde hace unas semanas, mientras visito diversas páginas de internet, aparece durante un segundo la direccion Up2potential.net y me redirecciona a páginas de publicidad de diferentes empresas.

Supongo que se trata de spyware y no de un virus, por eso les pido ayuda a Vds.



He "limpiado" el PC con Cccleaner, Malwarebytes anti... Superantyspyware, Spybot search and destroy, Dr.Web...

Encontraron algo, pero una vez eliminado el problema continua.



En la esperanza, Gracias anticipadas

juanfernando

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90780
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Up2potential

Mensaje por msc hotline sat » 27 Feb 2013, 10:18

Hay aplicaciones "legales" instaladas involuntariamente por el usuario, al no desmarcar lo que instalan automáticamente otras instalaciones o actualizaciones, por lo que es el propio usuario quien autoriza su instalación, aunque sea sin darse cuenta.

De ellas, aunque los antivirus no las consideren malwares, el ELISTARA las aparca si las considera sospechosas o las elimina si ya han sido reportadas, descargue y pruebe dicha utilidad:

para DESCARGAR el ELISTARA, msc escribió:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y si no detectara malwares ni pidiera envio de sospechosos, lanzar el SPROCES y pulsar en SALIR, tras lo cual generará informe en c:\sproclog.txt, que nos puede postear para analizar:
para DESCARGAR el SPROCES, msc escribió:

http://www.zonavirus.com/descargas/sproces.asp
saludos

ms, 27-2-2013

juanfernando
Novato
Novato
Mensajes: 2
Registrado: 27 Feb 2013, 09:08

Re: Up2potential

Mensaje por juanfernando » 03 Mar 2013, 09:44

Hola amigos, os doy las gracias por la ayuda ofrecida.

Por casualidad y suerte "chafardeando por Internet" encontré los culpables (son tres programas exe) del malnacido Up2potential

Os lo escribo por si puede servir de ayuda a futuras víctimas

Se trata de tres programas que yo jamás instalé.

" conadvanced. exe" "contextfr.exe" y "contextprod.exe"

Primero los localizé en menu de inicio mediante CCcleaner, una vez deshabilitados, el PC trabajó otra vez normal.

Estaban ubicados en tres línas de C:\users\juanfers\appdata\local\context2pro\conadvance.exe

Y los otros dos en las dos líneas siguientes.

De ahí los he eliminado con OTM.exe.

He probado el PC durante unos días y todo está perfecto.



Ojalá sirva también a otros

Otra vez gracias

juanfernando

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90780
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Up2potential

Mensaje por msc hotline sat » 05 Mar 2013, 12:45

Pues gracias por decírnoslo, pero otra vez, mejor que borrarlos es aparcarlos a una carpeta diferente (por ejemplo C:\muestras) , y enviárnoslos par analizar y controlar con nuestras utilidades, gracias



Y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 5-3-2013

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90780
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Up2potential (SOLUCIONADO)

Mensaje por msc hotline sat » 02 Abr 2013, 10:32

Recibidos tras el coierre de este Tema, dos ficheros relacionados con el mismo

Contenido de ficheros enviados a posteriori por este usuario:

No HKCU:Run conadvanced Ad Businness Crown Solutions S.L. C:\Users\arturo\AppData\Local\Context2pro\conadvanced.exe
No HKCU:Run contextfr Ad Businness Crown Solutions S.L. C:\Users\arturo\AppData\Local\Context2pro\contextfr.exe
No HKCU:Run contextprod Ad Businness Crown Solutions S.L. C:\Users\arturo\AppData\Local\Context2pro\contextprod.exe

Si HKCU:Run ehTray.exe Microsoft Corporation C:\Windows\ehome\ehTray.exe
No HKCU:Run Facebook Update Facebook Inc. "C:\Users\arturo\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
Si HKCU:Run Sidebar Microsoft Corporation C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
No HKCU:Run Skype Skype Technologies S.A. "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
No HKCU:Run swg Google Inc. "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
Si HKLM:Run Adobe ARM Adobe Systems Incorporated "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
Si HKLM:Run Adobe Reader Speed Launcher Adobe Systems Incorporated "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
Si HKLM:Run APSDaemon Apple Inc. "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
Si HKLM:Run AVG_TRAY AVG Technologies CZ, s.r.o. "C:\Program Files\AVG\AVG2012\avgtray.exe"
Si HKLM:Run BEWINTERNET-SPSessionManager France Telecom SA "C:\Program Files\Orange\Internet Everywhere Pro\SessionManager\SessionManager.exe"
Si HKLM:Run BEWINTERNET-SPSMSNotify France Telecom C:\Program Files\Orange\Internet Everywhere Pro\Phonetools\SMSNotify.exe
Si HKLM:Run CardDetectorZTEMF192 France Telecom SA C:\Program Files\CardDetector\ZTEMF192\CardDetector.exe
No HKLM:Run HP Health Check Scheduler Hewlett-Packard c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
No HKLM:Run HP Software Update Hewlett-Packard C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
Si HKLM:Run hpWirelessAssistant Hewlett-Packard Development Company, L.P. C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
Si HKLM:Run IAAnotif Intel Corporation C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
No HKLM:Run NBKeyScan Nero AG "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
Si HKLM:Run NvCplDaemon Microsoft Corporation RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
Si HKLM:Run OnScreenDisplay Hewlett-Packard Development Company, L.P. C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
Si HKLM:Run QlbCtrl Hewlett-Packard Development Company, L.P. %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
No HKLM:Run QPService CyberLink Corp. "C:\Program Files\HP\QuickPlay\QPService.exe"
Si HKLM:Run RtHDVCpl Realtek Semiconductor RtHDVCpl.exe
Si HKLM:Run SunJavaUpdateSched Sun Microsystems, Inc. "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
Si HKLM:Run SynTPStart Synaptics, Inc. C:\Program Files\Synaptics\SynTP\SynTPStart.exe
No HKLM:Run UCam_Menu CyberLink Corp. "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
Si HKLM:Run vProt AVG Technologies "C:\Program Files\AVG Secure Search\vprot.exe"
Si HKLM:Run WAWifiMessage Hewlett-Packard Development Company, L.P. C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
Si HKLM:Run Windows Defender Microsoft Corporation %ProgramFiles%\Windows Defender\MSASCui.exe -hide

Se recuerda que solo deben enviarse a SATINFO muestras de ejecutables para analizar, los .TXT e informes deben postearse en el foro

Vemos que los ficheros relacionados son lanzados desde

HKCU:Run conadvanced Ad Businness Crown Solutions S.L. C:\Users\arturo\AppData\Local\Context2pro\conadvanced.exe
HKCU:Run contextfr Ad Businness Crown Solutions S.L. C:\Users\arturo\AppData\Local\Context2pro\contextfr.exe
HKCU:Run contextprod Ad Businness Crown Solutions S.L. C:\Users\arturo\AppData\Local\Context2pro\contextprod.exe


Por lo que eliminados los ficheros, ya no se lanzarán, si bien no podemos analizarlos ...

Recordar otra vez enviarnos las muestras sospechosas para analizar y controlar especificamente, gracias

saludos

ms, 2/4/2013

Cerrado

Volver a “Foro Spyware”