Hace pocos días instalé en mi ordenador eMule. Tras desinstalarlo, me ocurre que el antivirus constantemente (cada 10 ó 15 minutos) bloquea intentos de acceso a una ip por parte de mi ordenador. Lo he pasado y ha eliminado los 9 virus que ha encontrado. Aun así, los intentos de acceso persisten.

El caso es que cuando apago el equipo o cierro sesión, veo como se cierra una ventana de eMule detrás de todo. Pero esa ventana no estaba abierta y, de hecho, eMule fue desinstalado y ya ni siquiera aparece en Panel de Control ---> Desinstalar programas.

Puesto que los intentos de acceso bloqueados por el antivirus siguen su curso, he abierto el administrador de tareas de Windows y me aparece no sólo eMule, sino también Ares (que nunca he instalado) y Shareaza.



¿Alguna idea de cómo deshacerme de esto por completo?

Seguramente algún programa que instalaste te traía de "regalito" un malware tipo "rogue", es decir que imita programas conocidos para intentar ejercer sus actividades con impunidad, si encima te da avisos de intento de conexión malo, alguien pueden estar intentando entrarte en el equipo o lo han unido a una botnet  para cualquier historia. Procura no entrar en ningun sitio que tengas que meter usuario y contraseña por si te están espiando para mangarte cuentas.

Bajate el MalwareBytes Free y el TDSKiller. El primero es un detector y eliminador de malware, el segundo es una herramienta de Kapersky para detectar y eliminar rootkits y herramientas de intrusión por el estilo. No ejecutes ninguno y déjalos en el escritorio donde sea facil localizarlos.

Reinicia el ordenador en modo a prueba de fallos con soporte de red (al reiniciar antes de que aparezca el logo de Win pulsa F8 hasta que te aparezca una pantalla negra en modo texto que te deja elegir entre diversas opciones de arranque). Instala el MB, actualizalo y pasalo, elimina las amenazas y reinicia si te lo pide.

Ahora entra en modo normal y ejecuta el TDSKiller con las opciones de escanear "Services and drivers" y "Boot Sector", déjalo trabajando a ver que detecta y pasa a cuarentena todo lo que puedas. Si tienes infectado el MBR del disco te puede instalar uno limpio pero si tienes instalados sistemas operativos adicionales con cargadores como GRUB tendrás que restaurar luego sus respectivos arranques.

Si después de pasar estos dos sigues teniendo problemas directamente formatea, es lo más seguro.

Muchas gracias, Carlillos.

He hecho ambas cosas tras leer tu post y sigo teniendo el mismo problema. Ambos análisis han detectado 0 problemas, pero los intentos de acceso a internet persisten y los programas siguen apareciendo en el administrador de tareas.

¿No hay otra opción que no implique formatear?  

Una cosa es que no sean capaces de eliminar el malware pero es muy raro que dos programas diferentes no hayan detectado nada...¿ nadie más tiene acceso al equipo y puede haber instalado esos programas y resulta que son legítimos ?¿ aparecen en Agregar/Quitar programas ? intenta desinstalarlos si aparecen y si no vete al administrador de tareas, vete a procesos, busca los procesos de los programas (emule.exe, ares.exe, shareaza.exe) uno a uno, haz cada vez botón derecho encima y "abrir ubicación", finaliza cada árbol de proceso y borra todo lo que haya en la ubicación, reinicia y a ver si vuelven a aparecer o si otro programa intenta hacer conexiones con el exterior. Si todo va bien bajate el Ccleaner elimina temporales, cookies y demás y corrige errores de registro por claves que puedan haber dejado.

Serían 3 programas, porque el NOD 32 tampoco detecta nada.

En "Desinstalar programas" sigue sin aparecer nada, y soy absolutamente el único que usa el ordenador.

He vuelto a abrir el administrador de tareas siguiendo tus instrucciones y he ido detalladamente uno a uno por los procesos cerrando todos los que no me sonaban. Hasta que me he dado cuenta de que algunos de ellos, con nombres que no tenían nada que ver, incluían en la descripción alusiones a eMule, Ares y Shareaza.

Tras finalizarlas, he descargado CCleaner y, antes de instalarlo, ya habían comenzado de nuevo los procesos. Así que he ido a procesos ---> "Abrir ubicación del archivo" y me he encontrado con que estaban en 3 carpetas en Usuarios ---> Acceso público. Las he borrado. Aun así, he pasado el Ccleaner. Voy a reiniciar, pero creo que ha funcionado.

Estupendo. Parece que ha funcionado. Ya no salen en el administrador de tareas.

¡Muchísimas gracias por tu ayuda!

Sin embargo, siguen los intentos de acceso a internet bloqueados por el NOD 32. A ver si averiguo de dónde vienen...

Puedes ver que programa o proceso está intentando conectarse a internet con el comando "netstat -b" (sin comillas) en una terminal, te sale el nombre del proceso entre corchetes y debajo el tipo de conexión y la IP a la que intenta conectarse. Si quieres pillar la salida en un fichero de texto para analizarla mejor escribe "netstat -b > %userprofile%\salida.txt" y encontrarás el fichero en tu carpeta raíz de usuario (C:\users\tu_nombre_de_usuario).

La verdad con esos síntomas y que algo siga intentando conectarse yo formatearía igualmente, si a través de un malware se te han colado y te han instalado falsos programas P2P (porque supongo que aparecían asi pero luego no veías por ningún sitio la interfaz para manejarlos ¿ no ?) para hacer vete a saber qué te puedes encontrar con una "sorpresa" en cualquier momento.

No me deja ejecutar el netstat -b. Dice que "la operación solicitada requiere elevación".

Además, hoy me he dado cuenta de que han vuelto los 3 programas a aparecer en el administrador de tareas así como en la carpeta en la que estaban en un principio antes de borrarlos. Deduzco que deben ser el efecto secundario de otra cosa, que está en la raíz del problema, intentando acceder a internet y restaurando estos programas cuando los borro.

 

"la operación solicitada requiere elevación"

Tienes que ejecutar el comando como administrador (sobre el icono de "Simbolo de sistema" botón derecho y "Ejecutar como administrador", tienes que saber la contraseña del admin si estás como usuario regular), pero lo dicho, con semejantes síntomas lo mejor formatear.