Credenciales desconocidas

maiki_h · 26 Junio, 2020 06:55

Adjunto el reporte

Resultados de la corrección de Farbar Recovery Scan Tool (x64) Versión: 24-06-2020
Ejecutado por MIGUEL (26-06-2020 08:49:29) Run:2
Ejecutado desde C:\Users\MIGUEL\Desktop
Perfiles cargados: MIGUEL
Modo de Inicio: Safe Mode (minimal)
==============================================

fixlist contenido:
*****************
Start::
CloseProcesses:
HKLM\...\Run: [AvastUI.exe] => "C:\Program Files\AVAST Software\Avast\AvLaunch.exe" /gui
Task: {410262B2-E1F4-4F49-ACA1-BFADF3DCFEC9} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe
Task: {78047D76-84CD-4A77-915A-2889819BABF9} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe
Task: {F3EB4DE1-78D1-4FF3-9623-20A2B3251484} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
2020-06-24 08:33 - 2016-02-03 01:12 - 000000000 ____D C:\ProgramData\AVAST Software
2020-06-24 08:11 - 2018-07-22 11:28 - 000000000 ____D C:\Users\MIGUEL\AppData\Local\AVAST Software
2020-06-18 11:26 - 2016-02-03 01:13 - 000000000 ____D C:\Windows\system32\Tasks\AVAST Software
2020-06-16 12:24 - 2017-03-21 00:22 - 000003910 _____ C:\Windows\system32\Tasks\Avast Emergency Update
2020-06-24 08:44 - 2020-06-24 08:44 - 000000000 _____ () C:\Users\MIGUEL\AppData\Local\oobelibMkey.log
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Ning�n archivo
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Ning�n archivo
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => ""="Driver"
C:\Program Files\AVAST Software
C:\Program Files\Common Files\Avast Software

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
End:
*****************

Procesos cerrados correctamente.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\AvastUI.exe" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{410262B2-E1F4-4F49-ACA1-BFADF3DCFEC9}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{410262B2-E1F4-4F49-ACA1-BFADF3DCFEC9}" => eliminado correctamente
C:\Windows\System32\Tasks\Avast Emergency Update => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avast Emergency Update" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{78047D76-84CD-4A77-915A-2889819BABF9}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{78047D76-84CD-4A77-915A-2889819BABF9}" => eliminado correctamente
C:\Windows\System32\Tasks\Avast Software\Overseer => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avast Software\Overseer" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{F3EB4DE1-78D1-4FF3-9623-20A2B3251484}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F3EB4DE1-78D1-4FF3-9623-20A2B3251484}" => eliminado correctamente
C:\Windows\System32\Tasks\AVAST Software\Avast settings backup => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software\Avast settings backup" => eliminado correctamente
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" => valor restaurado correctamente
C:\ProgramData\AVAST Software => movido correctamente
C:\Users\MIGUEL\AppData\Local\AVAST Software => movido correctamente
C:\Windows\system32\Tasks\AVAST Software => movido correctamente
"C:\Windows\system32\Tasks\Avast Emergency Update" => no encontrado
C:\Users\MIGUEL\AppData\Local\oobelibMkey.log => movido correctamente
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00asw => eliminado correctamente
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00avast => eliminado correctamente
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => eliminado correctamente
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => eliminado correctamente
"C:\Program Files\AVAST Software" => no encontrado
"C:\Program Files\Common Files\Avast Software" => no encontrado

========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

No se puede vaciar la cach‚ de resoluci¢n de DNS: Error de una funci¢n durante la ejecuci¢n.


========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows


========= Final de CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.

BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

Unable to connect to BITS - 0x8007042c
No se puede iniciar el servicio o grupo de dependencia.



========= Final de CMD: =========


========= netsh winsock reset =========


El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.


========= Final de CMD: =========


========= netsh advfirewall reset =========


Error al intentar ponerse en contacto con el servicio Firewall de Windows. Aseg£rese de que el servicio se est  ejecutando e intente la solicitud de nuevo.


========= Final de CMD: =========


========= netsh advfirewall set allprofiles state ON =========


Error al intentar ponerse en contacto con el servicio Firewall de Windows. Aseg£rese de que el servicio se est  ejecutando e intente la solicitud de nuevo.


========= Final de CMD: =========


========= netsh int ipv4 reset =========

No hay valores configurados por el usuario para restablecer.


========= Final de CMD: =========


========= netsh int ipv6 reset =========

No hay valores configurados por el usuario para restablecer.


========= Final de CMD: =========


========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-21-1072166131-4142068341-568118596-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-1072166131-4142068341-568118596-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente


========= Final de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => movido correctamente
Hosts restaurado correctamente.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 14827525 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 647089 B
Edge => 0 B
Chrome => 0 B
Firefox => 1094386179 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 128 B
NetworkService => 128 B
MIGUEL => 199476955 B

RecycleBin => 0 B
EmptyTemp: => 1.2 GB datos temporales eliminados.

================================


El sistema necesita reiniciarse.

==== Final de Fixlog 08:49:38 ====

Me sigue indicando que Windows Defender está desactivado.

SanMar · 27 Junio, 2020 04:01

Hola @maiki_h

Has intentado activarlo Manualmente?

Ve a Windows Update, busca actualizaciones, especialmente las relacionadas a Windows Defender y las instalas.

Ya que aunque Windows 7 ya no tiene soporte para Windows Defender cada tanto si salen actualizaciones.

O si el problema persiste Instalas directamente Kaspersky Free

Nos comentas como te va.

Salu2

maiki_h · 27 Junio, 2020 18:45

Hola @SanMar

Lo he activado manualmente, actualizado y parece que sí funciona correctamente. De todas formas me gustaría instalar también el Kaspersky, en cuanto me digas si ya es posible en función de lo que hayas observado en las pruebas que hemos hecho al equipo.

¿Alguna pista de lo de la credencial E97YiBb33i?

Muchas gracias de nuevo!

SanMar · 28 Junio, 2020 03:09

Instala Kaspersky Free, realiza un analisis del equipo, eliminas lo que te detecte, reinicias y luego ve si persiste el problema de las credenciales.

Salu2

maiki_h · 29 Junio, 2020 18:16

Hola @SanMar

Te hago un resumen de los pasos de los últimos días:

Instalé Kaspersky Free y no detectó ninguna amenaza. También me sorprendió que me pidiera desinstalar Malwarebytes por incompatibilidad… Seguiré probándolo un tiempo a ver qué tal funciona, pero en caso de que quisiera desinstalarlo, ¿se deja desinstalar bien o necesita herramientas específicas?
La credencial, de momento, no ha vuelto a aparecer. La volví a borrar tras las últimas pruebas que hicimos, antes de instalar Kaspersky, y sigue sin reaparecer. Seguiré atento. ¿Sabes de dónde puede venir por estar pendiente en el futuro?
Los banners extraños parece que tampoco han vuelto a salir, aunque sigo funcionando con uBlock y chequeando los bloqueos. Si que siguen apareciendo los scripts de s7. addthis. com, que en algunos sitios lo tratan como señal de infección de adware, aunque con división de opiniones, ¿alguna pista de esto?
Y no sé si con los resultados de las pruebas que hiciste tendría que tener en cuenta alguna otra cosa más…

Gracias!

SanMar · 30 Junio, 2020 05:01

Si, mantiene una incompatibilidad, se puede mantener si colocas a ambos en las excepciones.

Con su herramienta especifica es mejor.

Pueden ser credenciales genéricas de Windows también, pero si te vuelven a aparecer toma imágenes del Almacén de Credenciales y trata de averiguar algo mas de las mismas, por ejemplo presionando en Editar y ver lo que aparece.

Vamos a pasar los Anti-Adwares a ver que aparece:

Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos con todos los programas cerrados incluido los navegadores

CCleaner

Usando su opción Limpiador de acuerdo su Manual:

Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Cuando lo instales destilda las casillas para no permitir la instalación de Ccleaner Browser/Avast Browser o similar…
NO necesitamos este reporte

AdwCleaner

Lo ejecutas.

Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar.
Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas.
Guarda el reporte que le aparecerá para copiarlo y pegarlo en tu próxima respuesta.
El informe también puede encontrarse en “C:\AdwCleaner\AdwCleaner.txt”

ZHPCleaner

Siguiendo su manual, lo instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

JRT

Ejecuta JRT.exe .
Y pulsar cualquier tecla para continuar , esperar pacientemente a que termine el proceso.
Si en algún momento te pide Reiniciar hazlo.
Al finalizar, un registro/informe (JRT.txt) se guardara en el escritorio y se abrirá automáticamente.
Copia y pega el contenido de JRT.txt en tu próxima respuesta.

Malwarebytes Versión 4

Lo ejecutas siguiendo los pasos de su Manual.
Realizas un Análisis Personalizado
Revisa especialmente como salvar el reporte.

4.- Nota Importante:

En tu próxima respuesta debes pegar los reportes de AdwCleaner , ZHPCleaner y Malwarebytes y JRT.

Guía: ¿Como Pegar reportes en el Foro?

Nos comentas.

Salu2

JavierHF · 30 Junio, 2020 20:04

Hola.

Solo entro para hacer una aclaración o recomendación.

Efectivamente Kaspersky SI detecta que se tiene instalado otros software de antivirus o antimalware que a ellos NO les “gustan” piden la desinstalación de esos otros productos, vamos… que mejor NO tener competencia.

Pero SI queremos tener a Malwarebytes como programa complementario para revisar nuestros equipos cuando nos interese, podemos perfectamente tenerlo, para poder hacer que convivan ambos productos hacemos lo siguiente :

Instalamos Kaspersky o cualquier otro producto antivirus que deseemos.
Reiniciamos el equipo y verificamos que el producto haya quedado funcionando correctamente.
Hacemos la instalación de Malwarebytes y cuando hayamos terminado de instalarlo y antes de REINICIAR de nuevo el equipo accedemos en “Configuración” en la pestaña “Cuenta” :

*

Y pulsamos en “Desactivar” y aceptamos los avisos que nos salgan.
Ademas desactivamos también desde la pestaña “Seguridad” :

El inicio/arranque automático de Malwarebytes al Iniciar Windows.
REINICIAMOS Windows y verificamos que TODO haya quedado correctamente.

Con estos pasos ya podemos tener conviviendo a Kaspersky(o cualquier otro) con Malwarebytes y usarla para hacer escaneos periódicos de nuestros equipos.

Saludos.

maiki_h · 30 Junio, 2020 18:07

Muchas gracias @JavierHF, lo tendré en cuenta por si necesito hacerlo.

@SanMar antes de pegarte los reportes te voy a poner unas cuantas cosas que han pasado a lo largo de esta mañana, todas ellas antes de hacer las últimas pruebas que me pedías, por si son algo a tener en cuenta.

En casa tengo dos canales de Wifi (2.4 y 5.0) y esta mañana noté que el móvil estaba teniendo problemas para conectarse al 5.0 (parece que incluso ahora no va bien del todo y es algo que me pasó ya con otro operador y otro router). Al recuperar la conexión, chequeé la app de YouTube en el teléfono y otra vez habían vuelto los banners extraños. No sé en qué momento ni por qué motivo algo hace click y pasa de estar en un modo “normal” (anuncios de TikTok y Facebook mayoritariamente) al modo “extraño” (anuncios en árabe, hindú, de citas, de movimientos de dinero…). Formateo caché, ID de publicidad y varias cosas así hasta que parece que se recupera, pero ya no sé si estoy paranoico o realmente hay algún comportamiento de algo en la red que hace saltar esos cambios (otro portátil, tablet o incluso la conexión a internet de la TV). Me tiene desesperado…
Respecto a la credencial, ha vuelto a aparecer. El único cambio al que se me ocurre asociarlo es a que hoy parece que se ha instalado algún Update de Windows, y tienen pendiente uno “importante” de Edge que estoy intentando evitar para que no cambiaran más cosas. Tampoco sé si se puede evitar y si es necesario al no usar Edge, pero de momento se ha quedado pendiente de instalar en cuanto apague… Adjunto las pantallas de las credenciales, pero no aportan mucho:

Credencial1 Credencial2

Otra cosa es que hoy me han saltado las alarmas que adjunto al abrir los programas de Office. El dominio al que se refieren es el mío personal, no sé si es algo relacionado con mi cuenta. Le dí a “Desconectar” y ahora no sale salvo que vuelva a abrir por primera vez otro programa del paquete.

Kaspersky

Disculpa por tanta información, pero estoy un poco desesperado y no sé si ayuda a algo. A continuación voy añadiendo reportes.

Muchas gracias de nuevo!

maiki_h · 30 Junio, 2020 18:09

AdwCleaner

# -------------------------------
# Malwarebytes AdwCleaner 8.0.5.0
# -------------------------------
# Build:    05-25-2020
# Database: 2020-06-15.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    06-30-2020
# Duration: 00:00:21
# OS:       Windows 7 Home Premium
# Scanned:  31836
# Detected: 0


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

maiki_h · 30 Junio, 2020 18:10

ZHPCleaner (Scan)

~ ZHPCleaner v2020.6.27.208 by Nicolas Coolman (2020/06/27)
~ Run by MIGUEL (Administrator)  (30/06/2020 18:58:55)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Certificate ZHPCleaner: Legal
~ Type : Scanner
~ Report : C:\Users\MIGUEL\Desktop\ZHPCleaner (S).txt
~ Quarantine : C:\Users\MIGUEL\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Home Premium, 64-bit Service Pack 1 (Build 7601)

---\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados. (ADS)

---\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados. (Servicio)

---\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados. (Navegador)

---\  Hosts carpeta (1)
~ El archivo hosts es legítimo (1)

---\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados. (Tarea)

---\  Explorador ( Archivos, Carpetas ) (4)
ENCONTRADOS archivo: C:\Users\MIGUEL\AppData\Local\Visicom Media\ManyCam  =>.SUP.VisicomMedia
ENCONTRADOS archivo: C:\Users\MIGUEL\AppData\Local\Visicom Media  =>.SUP.VisicomMedia
ENCONTRADOS archivo: C:\Program Files (x86)\QuickTime  =>Riskware.QuickTime
ENCONTRADOS archivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime  =>Riskware.QuickTime

---\  Registro ( Claves, Valores, Datos) (0)
~ No malintencionados o innecesarios artículos encontrados. (Register)

---\  Resumen de elementos en su estación de trabajo (2)
https://nicolascoolman.eu/2017/03/18/superfluous-visicommedia/  =>.SUP.VisicomMedia
https://nicolascoolman.eu/2017/01/15/riskware-quicktime/  =>Riskware.QuickTime

---\ Resultado de la reparación.
~ ninguna reparación hecha
~ Mozilla Firefox OK
~ Internet Explorer OK

---\ STATISTIQUES
~ Items escaneado : 78557
~ Items encontrado : 8
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 8/15

---\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto

~ End of search in 00h03mn38s

---\  Reporte (0)
ZHPCleaner-[S]-30062020-19_02_33.txt

maiki_h · 30 Junio, 2020 18:11

ZHPCleaner (Tras Limpiar, no me aparecían los archivos en la segunda pantalla como en el tutorial)

Informe de ZHPCleaner

~ ZHPCleaner v2020.6.27.208 by Nicolas Coolman (2020/06/27)
~ Run by MIGUEL (Administrator)  (30/06/2020 19:05:05)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Certificate ZHPCleaner: Legal
~ Type : Reparar
~ Report : C:\Users\MIGUEL\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\MIGUEL\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Home Premium, 64-bit Service Pack 1 (Build 7601)

---\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados. (ADS)

---\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados. (Servicio)

---\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados. (Navegador)

---\  Hosts carpeta (1)
~ El archivo hosts es legítimo (1)

---\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados. (Tarea)

---\  Explorador ( Archivos, Carpetas ) (3)
MOVIDO archivo: C:\Users\MIGUEL\AppData\Local\Visicom Media  =>.SUP.VisicomMedia
MOVIDO archivo: C:\Program Files (x86)\QuickTime  =>Riskware.QuickTime
MOVIDO archivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime  =>Riskware.QuickTime

---\  Registro ( Claves, Valores, Datos) (0)
~ No malintencionados o innecesarios artículos encontrados. (Register)

---\  Resumen de elementos en su estación de trabajo (2)
https://nicolascoolman.eu/2017/03/18/superfluous-visicommedia/  =>.SUP.VisicomMedia
https://nicolascoolman.eu/2017/01/15/riskware-quicktime/  =>Riskware.QuickTime

---\ Limpieza adicional. (20)
~ Clave de registro Tracing borrados (20)
~ Quitar los antiguos informes de ZHPCleaner. (0)

---\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ Mozilla Firefox OK
~ Internet Explorer OK

---\ STATISTIQUES
~ Items escaneado : 1576
~ Items encontrado : 0
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 8/15

---\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto

~ End of clean in 00h00mn30s

---\  Reporte (2)
ZHPCleaner-[S]-30062020-19_02_33.txt
ZHPCleaner-[R]-30062020-19_05_35.txt

maiki_h · 30 Junio, 2020 18:12

ZHPCleaner (Volví a hacer SCAN por confirmar)

~ ZHPCleaner v2020.6.27.208 by Nicolas Coolman (2020/06/27)
~ Run by MIGUEL (Administrator)  (30/06/2020 19:07:52)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Scanner
~ Report : C:\Users\MIGUEL\Desktop\ZHPCleaner (S).txt
~ Quarantine : C:\Users\MIGUEL\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : 
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Home Premium, 64-bit Service Pack 1 (Build 7601)


---\\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (1)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Registro ( Claves, Valores, Datos) (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\ Resultado de la reparación.
~ ninguna reparación hecha
~ Mozilla Firefox OK
~ Internet Explorer OK


---\\ STATISTIQUES
~ Items escaneado : 78542
~ Items encontrado : 0
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 8/15


---\\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto





~ End of search in 00h03mn21s

---\\  Reporte (3)
ZHPCleaner-[R]-30062020-19_05_35.txt
ZHPCleaner-[S]-30062020-19_02_33.txt
ZHPCleaner-[S]-30062020-19_11_13.txt

maiki_h · 30 Junio, 2020 18:13

JRT

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 7 Home Premium x64 
Ran by MIGUEL (Administrator) on 30/06/2020 at 19:14:42,86
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 10 

Successfully deleted: C:\Users\MIGUEL\AppData\Roaming\Mozilla\Firefox\Profiles\uxh4ew0y.default\extensions\staged (Folder) 
Successfully deleted: C:\Windows\wininit.ini (File) 
Successfully deleted: C:\Users\MIGUEL\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7BB6TB1T (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\MIGUEL\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7KVO1Z2D (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\MIGUEL\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FNOBTW0V (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\MIGUEL\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G42OM68U (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7BB6TB1T (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7KVO1Z2D (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FNOBTW0V (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G42OM68U (Temporary Internet Files Folder) 



Registry: 3 

Successfully deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9F904093-6E18-4536-BF5F-B03689CF00F0} (Registry Key)
Successfully deleted: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9F904093-6E18-4536-BF5F-B03689CF00F0} (Registry Key)
Successfully deleted: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar\\{EF293C5A-9F37-49FD-91C4-2B867063FC54} (Registry Value) 




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 30/06/2020 at 19:15:18,01
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

maiki_h · 30 Junio, 2020 18:13

MALWAREBYTES

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 30/6/20
Hora del análisis: 19:19
Archivo de registro: eb904d8a-baf5-11ea-bb99-00ff31d131ed.json

-Información del software-
Versión: 4.1.2.73
Versión de los componentes: 1.0.972
Versión del paquete de actualización: 1.0.26203
Licencia: Gratis

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: PC-MAIKI\MIGUEL

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 443496
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 14 min, 12 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

maiki_h · 30 Junio, 2020 23:52

Hola @SanMar

Disculpa, pero tengo que añadir otras dos cosas nuevas de esta noche que también me han dejado preocupado:

Recibí un correo de Spotify en el que me notificaban que habían iniciado sesión con mi cuenta desde La India. Yo no tengo cuenta de Spotify, pero hablando con el chat de ayuda de Spotify me han confirmado que sí se ha abierto una cuenta con mi correo y me han indicado un proceso para intentar resolverlo.
Al correo del trabajo accedo mediante OWA y me dijeron que tengo que confirmar el acceso cuando identifica el acceso “conexión SSL con certificado no válido”, que no había riesgo (?). El caso es que en los informes detallados de Kaspersky indica cuando hago esa excepción y hay uno a una hora que estoy casi seguro que no accedí.

Me estoy empezando a preocupar seriamente de que algo pase con mi equipo o red…

A ver si estas cosas os sirven para ayudarme. Muchas gracias de nuevo!!

SanMar · 2 Julio, 2020 03:57

Hola @maiki_h

Disculpa la demora en responderte.

El equipo no tiene nada grave ya.

Coloca tu/tus correos en el siguiente enlace:

https://haveibeenpwned.com

Y luego presiona pwned?

Yo creo que te estas poniendo paranoic, si de tu trabajo te dicen que es asi, yo que te puedo decir…es la forma de entrar a ese correo no hay otra.

Tu Office es original? Pagaste por el o lo tienes activado?

Y con respecto al tema original que es lo importante, las credenciales, según tus imágenes,

Te he comentado que pueden ser genéricas de Windows, no evites la actualización de Edge, aunque tu no lo uses, el sistema si lo hará y es mejor que lo tengas actualizado, ya que pronto el resto de los navegadores dejaran de tener soporte para Windows 7 .

Salu2

maiki_h · 2 Julio, 2020 05:59

Efectivamente, da positivo en mi cuenta de correo: “Pwned on 1 breached site and found no pastes”

Ya cambié la contraseña en su momento cuando lo ví y ayer lo volví a hacer. No sé si sería conveniente dejar de usarla…

Sí, el Office es original, pagué por él. ¿Puede que el problema sea con mi dominio al que pertenece la cuenta de correo, que no tiene certificación?

Esta es la parte que más me interesaba oir si realmente ves que todo está en orden. Seguiré investigando a ver de dónde pueden venir esos cambios de publicidad en YouTube.

Muchas gracias!

maiki_h · 2 Julio, 2020 14:07

Disculpa, pero me quedé pensando en esta frase… ¿Es sólo una forma de hablar o es que cosas leves si tiene todavía?

SanMar · 3 Julio, 2020 04:50

Si cambiaste, vigila como se comporta, y si no toca dejar de utilizarla y abrir otra con claves fuertes.

Exacto, puede venir de allí el problema, has intentado probar con una cuenta de Gmail por ejemplo, o si o si necesitas usar la de tu dominio?

Instalaste Ublock Origin en tus navegadores? Aun con el tienes problemas en Youtube?

Es mi forma de hablar/escribir, traducido para mi lo grave serian infecciones que no tienes

Y lo que si tienes son los errores que has estado comentando, y que hemos descubierto por ejemplo tu correo tomado…

Salu2

maiki_h · 3 Julio, 2020 09:15

Hola @SanMar

Gracias por los comentarios! Lo relativo al correo y al dominio estoy trabajando en ello para ponerle solución cuanto antes.

Respecto a lo de YouTube, que es lo que más intrigado me tiene, te aclaro:

No es con el navegador, es directamente a través de su app de android desde el móvil, con lo que uBlock no funciona ahí.
Me resulta demasiada casualidad que justo en los días que paso lo de Spotify (login desde la India), sucediera más lo de las publicidades “raras”. Sobre todo me aparecía siempre en primer lugar una con textos en hindi que se ponía casi inmediatamente en gris, como si estuviera restringido, con un texto invitando a unirse a ese canal para ver los contenidos. Luego ya empezaban a salir de otro tipo que tampoco aparecen nunca…

Sigo intentando ver si encuentro qué es lo que produce ese cambio o si se asocia a algo de algún dispositivo de la red. No sé, muy raro…