Ayuda con Virus

Hola, Estimados, favor necesito de vuestra ayuda para eliminar virus, al parecer pishing, en Google Chrome… llevo días tratando de ingresar a los bancos y otras paginas y me solicita autentificación que no es real, hice un scaner con Malwarebytes, y me arrojo lo siguiente:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 26/12/19
Hora del análisis: 20:39
Archivo de registro: ef4b212a-2838-11ea-88ff-78e3b5c0fac4.json

-Información del software-
Versión: 4.0.4.49
Versión de los componentes: 1.0.785
Versión del paquete de actualización: 1.0.16795
Licencia: Gratis

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: Usuario-PC\Usuario

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 219995
Amenazas detectadas: 33
Amenazas en cuarentena: 33
Tiempo transcurrido: 2 min, 41 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 1
PUP.Optional.TweakBit, HKLM\SOFTWARE\WOW6432NODE\TweakBit, En cuarentena, 1659, 349178, 1.0.16795, , ame, 

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 7
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\_metadata, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\img\se, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\css, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\img, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\lib, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\USERS\USUARIO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\EXTENSIONS\gnlabkgljnlaidbnocfhgdeajcgmahml, En cuarentena, 1783, 725863, 1.0.16795, , ame, 

Archivo: 25
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\css\tooltip.css, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\img\se\icon128.png, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\img\se\icon16.png, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\img\se\icon16_disabled.png, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\img\se\icon48.png, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\img\se\input-checked.png, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\img\se\input-unchecked.png, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\img\se\si-logo.png, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\lib\bg.js, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\lib\page-protection.js, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\lib\panel.js, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\lib\savesettings.js, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\_metadata\verified_contents.json, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\background.html, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\manifest.json, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\panel.html, En cuarentena, 1783, 725863, , , , 
PUP.Optional.SearchEncrypt, C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnlabkgljnlaidbnocfhgdeajcgmahml\3.8.0.0_0\settings.html, En cuarentena, 1783, 725863, , , , 
PUP.Optional.TweakBit, C:\USERS\USUARIO\APPDATA\LOCAL\TEMP\IS-S6IFG.TMP\COMMONFORMS.SITE.DLL, En cuarentena, 1659, 693955, 1.0.16795, , ame, 
PUP.Optional.TweakBit, C:\USERS\USUARIO\APPDATA\LOCAL\TEMP\IS-S6IFG.TMP\LOCALIZER.DLL, En cuarentena, 1659, 693955, 1.0.16795, , ame, 
PUP.Optional.TweakBit, C:\USERS\USUARIO\APPDATA\LOCAL\TEMP\IS-S6IFG.TMP\CFAHELPER.DLL, En cuarentena, 1659, 693955, 1.0.16795, , ame, 
PUP.Optional.TweakBit, C:\USERS\USUARIO\APPDATA\LOCAL\TEMP\IS-S6IFG.TMP\PCREPAIRKIT.EXE, En cuarentena, 1659, 693955, 1.0.16795, , ame, 
PUP.Optional.TweakBit, C:\USERS\USUARIO\APPDATA\LOCAL\TEMP\IS-S6IFG.TMP\WIZARDHELPER.DLL, En cuarentena, 1659, 693955, 1.0.16795, , ame, 
PUP.Optional.TweakBit, C:\USERS\USUARIO\APPDATA\LOCAL\TEMP\IS-S6IFG.TMP\AXBROWSERS.DLL, En cuarentena, 1659, 693955, 1.0.16795, , ame, 
PUP.Optional.TweakBit, C:\USERS\USUARIO\APPDATA\LOCAL\TEMP\IS-S6IFG.TMP\DOWNLOADER.EXE, En cuarentena, 1659, 693955, 1.0.16795, , ame, 
PUP.Optional.TweakBit, C:\USERS\USUARIO\DOWNLOADS\PC-REPAIR-KIT-SETUP.EXE, En cuarentena, 1659, 340092, 1.0.16795, , ame, 

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

agradecería pasos a seguir.

Hola @Alejandro_PuentesM

Realiza lo siguiente, aunque ya hayas hecho algún paso lo repites, siempre respetando el orden indicado:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos con todos los programas cerrados incluido los navegadores

CCleaner

Usando su opción Limpiador de acuerdo su Manual:

  • Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
  • Cuando lo instales destilda las casillas para no permitir la instalación de Ccleaner Browser/Avast Browser o similar…
  • NO necesitamos este reporte

AdwCleaner

Lo ejecutas.

  • Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar.
  • Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas.
  • Guarda el reporte que le aparecerá para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también puede encontrarse en “C:\AdwCleaner\AdwCleaner.txt”

ZHPCleaner

  • Siguiendo su manual, lo instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

Malwarebytes Versión 4

  • Lo ejecutas siguiendo los pasos de su Manual.
  • Realizas un Análisis de Amenazas
  • Revisa especialmente como salvar el reporte.

4.- Nota Importante:

En tu próxima respuesta debes pegar los reportes de AdwCleaner , ZHPCleaner y Malwarebytes.

Guía: ¿Como Pegar reportes en el Foro?

Nos comentas.

Salu2

Hola, Adjunto los reportes

# -------------------------------
# Malwarebytes AdwCleaner 8.0.1.0
# -------------------------------
# Build:    12-17-2019
# Database: 2019-12-17.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    12-27-2019
# Duration: 00:00:01
# OS:       Windows 7 Professional
# Cleaned:  3
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Users\Public\Documents\Downloaded Installers
Deleted       C:\Users\Usuario\AppData\Local\slimware utilities inc

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\drpsu

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1487 octets] - [27/12/2019 20:29:26]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

~ ZHPCleaner v2019.12.14.163 by Nicolas Coolman (2019/12/14)
~ Run by Usuario (Administrator)  (27/12/2019 20:38:13)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Certificate ZHPCleaner: Legal
~ Type : Reparar
~ Report : C:\Users\Usuario\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Usuario\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Professional, 64-bit Service Pack 1 (Build 7601)

---\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados. (ADS)

---\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados. (Servicio)

---\  Navegadores de Internet (1)
BORRADOS dados: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigUrl [Bad : https://www.vimeolar.xyz/tarc.dat]  =>Hijacker.Proxy

---\  Hosts carpeta (1)
~ El archivo hosts es legítimo (21)

---\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados. (Tarea)

---\  Explorador ( Archivos, Carpetas ) (1)
MOVIDO archivo: C:\Program Files\KMSpico  =>HackTool.KMSpico

---\  Registro ( Claves, Valores, Datos) (0)
~ No malintencionados o innecesarios artículos encontrados. (Register)

---\  Resumen de elementos en su estación de trabajo (2)
https://nicolascoolman.eu/2017/04/03/hijacker-proxy/  =>Hijacker.Proxy
https://nicolascoolman.eu/2017/02/16/hacktool-kmspico/  =>HackTool.KMSpico

---\ Limpieza adicional. (2)
~ Clave de registro Tracing borrados (2)
~ Quitar los antiguos informes de ZHPCleaner. (0)

---\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ Internet Explorer OK

---\ STATISTIQUES
~ Items escaneado : 2439
~ Items encontrado : 0
~ artículos cancelados : 0
~ Items opciones : 6/13
~ Ahorro de espacio (bytes) : 0
~ End of clean in 00h00mn05s

---\  Reporte (2)
ZHPCleaner-[S]-27122019-20_37_16.txt
ZHPCleaner-[R]-27122019-20_38_18.txt

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 27/12/19
Hora del análisis: 20:39
Archivo de registro: 196ae3fe-2902-11ea-a54d-78e3b5c0fac4.json

-Información del software-
Versión: 4.0.4.49
Versión de los componentes: 1.0.785
Versión del paquete de actualización: 1.0.16847
Licencia: Gratis

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: Usuario-PC\Usuario

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 217981
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 1 min, 15 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Hola @Alejandro_PuentesM

Realiza lo siguiente:

1.- Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.

2.- Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

  • Este no da reporte cuando te encuentres, si es que lo hace con alguna infección, tomas una imagen y la subes.

Como subir imágenes al Foro ?

Salu2

hey, he visto que hay algo de una extension, no puede ser alguna extension maliciosa aparte?

Hola:

Todo puede ser, ya llegaremos a esa opción, trae los reportes de los Online.

Salu2

Hola, Dejo los reportes

Eset: 

28-12-2019 16:58:51
Archivos explorados: 265125
Archivos infectados: 1
Amenazas eliminadas: 1
Tiempo total de exploración 00:59:15
Estado de la exploración: Finalizado
C:\ProgramData\chrome\chrome.js	JS/Spy.Banker.DS troyano	desinfectado por eliminación

Hola @Alejandro_PuentesM

Muy bien…:+1:

Han detectado y eliminado varias troyanos.

Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2