Después de buscar en muchas páginas encontré varias soluciones, y tomando algo de cada una, logré resolver mi caso. Espero esto les sirva como me sirvió a mi o al menos les ayude un poco.
1) Ir a Menu Inicio > Ejecutar escribimos cmd y damos Enter. Tecleamos IPCONFIG /FLUSHDNS en la línea de comando, aparecerá un mensaje de que hemos limpiado el cache del servicio DNS de Windows. Luego escribimos IPCONFIG /DISPLAYDNS y nos daremos cuenta que aparecen varias líneas de texto que hablan de páginas bancarias como Banamex y Bancomer. Ahora vayan a Inicio > Ejecutar y escriben msconfig, podran ver en la pestaña Inicio que cada vez que inician su PC se esta ejecutando algo llamado gpl.exe. Este paso lo menciono para que se aseguren de que este virus los esta afectando.
Ahora vamos a C:\WINDOWS\system32\drivers\etc y abrimos el archivo hosts con el bloc de notas. Revisar TODO el contenido del archivo y eliminar las siguientes entradas:
148.244.43.5 www.bancomer.com.mx
148.244.43.5 www.bancomer.com
148.244.43.5 bancomer.com
148.244.43.5 bancomer.com.mx
69.64.42.65 banamex.com
69.64.42.65 www.banamex.com
69.64.42.65 banamex.com.mx
69.64.42.65 bancanetempresarial.banamex.com.mx
69.64.42.65 boveda.banamex.com
69.64.42.65 www.banamex.com.mx
69.64.42.65 www.bancanetempresarial.banamex.com.mx
69.64.42.65 www.boveda.banamex.com
200.23.76.20 www.afirme.com.mx
200.23.76.20 afirme.com.mx
200.23.76.20 www.afirme.com
200.23.76.20 afirme.com
200.23.76.20 www.afirmeeninternet.com
200.23.76.20 afirmeeninternet.com
200.79.110.168 portal.banregio.com
200.79.110.168 www.portal.banregio.com
200.79.110.168 banregio.com
200.79.110.168 banregio.com.mx
200.79.110.168 www.ebanregio.com
200.79.110.168 ebanregio.com
200.79.110.168 www.banregio.com
200.79.110.168 www.banregio.com.mx
Hago énfasis en revisar bien ese archivo ya que cuando lo abrí la primera vez vi que según yo, no contenía ninguna de esas líneas de texto, pero nunca me fije en el scroll de la derecha y al moverlo hacia abajo me di cuenta de que sí
.El archivo hosts debe contener solo las líneas que comienzan con el símbolo # y la de
127.0.0.1 localhost
Algunos programas como Spybot Search and Destroy colocan líneas dentro de este archivo para bloquear el acceso a páginas conocidas por su relación con virus y malware. Me imagino que esto lo hace cuando usamos la opción de 'Inmunizar'. A los usuarios que tienen este programa les recomiendo eliminarlas, si es su caso, y posteriormente al terminar de realizar todos los pasos que menciono, volver a usar la opcion de inmunizar del Spybot para crearlas.
Para los que quieran un poco más sobre el archivo hosts pueden visitar este link: http://es.wikipedia.org/wiki/Archivo_Hosts
3) Después de eliminar dentro del archivo hosts lo mencionado en el paso anterior, cerramos el explorador y volvemos a abrir la ruta C:\WINDOWS\system32\drivers\etc para abrir el archivo hosts nuevamente con el bloc de notas y verificar que esté limpio. Si otra vez contiene las líneas que acabamos de eliminar, significa que hay un proceso por ahí que está impidiendo que hagamos cambios y que constantemente lo renueva con las entradas malignas. En mi caso ese proceso se llamaba servicessxml.exe. Creo que esta es la parte más difícil, ya que de acuerdo a las variantes y mutaciones del virus ese proceso puede llamarse de diferentes maneras e incluso ni siquiera existir, que sería el caso más fácil. En una de tantas páginas que revise para encontrar solución a mi problema encontré que puede también llamarse stacvs.exe. Pueden checarla también para complementar información:
http://www.taringa.net/posts/info/18...e-siempre.html
¿Como supe que servicessxml.exe era el que me estaba afectando? Pues bien, cerré todas las ventanas que tenía abiertas y dejé solamente la carpeta etc abierta. Abrí el administrador de tareas (Ctrl+Alt+Del) y renombré el archivo hosts. Al cabo de unos instantes aparecía un nuevo archivo hosts con las líneas malignas. Volví a renombrarlo y antes y después de que apareciera de nuevo, con ayuda del administrador de tareas observé qué proceso consumía CPU, lo seleccioné y di ‘Terminar Proceso’ volví a renombrar el archivo hosts y que creen, ¡ya no volvía a aparecer! Al principio me puse a identificar los procesos sospechosos y con ayuda de Google me informaba sobre el mismo pero era un poco tardado revisarlos uno por uno. A mí me funciono de esta manera, espero y con ustedes también. Es importante que estén seguros de que el proceso que encuentren sea el que está causando el problema ya que más adelante lo eliminaremos y si no es, podremos ocasionar que otros programas que dependían de él fallen o alguna inestabilidad del sistema.
Ya identificado que proceso es en su caso el que está renovando el archivo hosts procedemos con el paso siguiente.
2) Reiniciar en Modo a prueba de fallos, abrir el Administrador de tareas y finalizar el proceso que identificaron en el paso anterior (esto en caso de que esté ejecutándose, lo más seguro es que no porque estamos en modo a prueba de fallos)
Abrir Mi PC e ir al menú Herramientas > Opciones de Carpeta > Ver para desactivar la opción ‘Ocultar archivos protegidos del sistema operativo (recomendado)’ y también activamos el ‘Mostrar todos los archivos y carpetas ocultos’ para después Aceptar.
Posteriormente eliminar los temporales de Internet Explorer: Propiedades de internet > General > Eliminar > Eliminar todo Y después todo el contenido de las siguientes carpetas:
C:\WINDOWS\Temp
C:\WINDOWS\Prefetch
C:\Documents and Settings\TUNOMBREDEUSUARIO\Configuración local\Temp
Abrimos la Papelera de reciclaje y la vaciamos; la cerramos y ahora vamos a Menú inicio > ejecutar y escribimos cmd y damos Enter. Nos colocamos en la raíz C: (tecleamos CD.. y enter para cambiar de directorio ) y tecleamos la siguiente instrucción:
C:\>RD RECYCLER /S para borrar la carpeta RECYCLER que es la que contiene el ejecutable gpl.exe
Si no entendieron muy bien este paso puede visitar este link para más detalles:
http://www.configurarequipos.com/doc476.html
3) Ir a Menú inicio > Ejecutar y escribir regedit y dar Enter. Se abrirá el editor del registro, recomiendo guardar una copia del mismo antes de comenzar a hacer cambios ya que es muy delicado. Buscamos y eliminamos todo lo referente a gpl.exe y servicessxml.exe (o el proceso que identificaron en el paso 1).
4) Con ayuda del Buscador de Windows buscar y eliminar todo lo que haga referencia a gpl.exe y servicessxml.exe (o el proceso que identificaron en el paso 1). Lo más seguro es que gpl.exe no aparezca ya que se debió haber eliminado en el paso 2, pero el otro es muy probable que esté en la carpeta system32 de Windows. Eliminarlo en esta y en todos los lugares donde lo encuentren.
5) Ir a C:\WINDOWS\system32\drivers\etc y abrir el archivo hosts con el bloc de notas. Revisar nuevamente TODO el contenido del archivo para verificar que esté limpio, quiero decir sin las entradas mencionadas en el paso 1. De lo contrario, eliminarlas nuevamente.
6) Reiniciar en Modo normal, ir a Menu inicio > Ejecutar escribimos cmd y Enter para abrir la línea de comandos y escribir IPCONFIG /FLUSHDNS luego IPCONFIG /DISPLAYDNS y…
¡LISTO! Si todo ha salido bien el virus habrá desaparecido y ya no tendremos las líneas mal que nos re direccionaban a páginas piratas. Pueden hacer la prueba entrando a www.bancomer.com por ejemplo y navegar en todas las páginas del sitio. La página pirata no salía de la página principal falsa. Además de que pedía datos que son confidenciales a la hora de intentar hacer una transacción.
Por último quiero mencionar que siempre soy muy cuidadoso al navegar por internet y estoy seguro de que me infecté por culpa de una memoria USB que introduje sin escanear. Esta tenia un archivo autorun que manda a llamar al virus alojado en la carpeta recycler que aparece en la memoria usb (estos los pueden ver si le dan mostrar los archivos ocultos y los protegidos del sistema en el menu herramientas opciones de carpeta). Espero y esta información, producto de casi 2 días de investigación, ayuden por lo menos a alguien tanto como me ha ayudado a mí.
Suerte!
