Credenciales desconocidas

ZHPCleaner (Tras Limpiar, no me aparecían los archivos en la segunda pantalla como en el tutorial)

Informe de ZHPCleaner

~ ZHPCleaner v2020.6.27.208 by Nicolas Coolman (2020/06/27)
~ Run by MIGUEL (Administrator)  (30/06/2020 19:05:05)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Certificate ZHPCleaner: Legal
~ Type : Reparar
~ Report : C:\Users\MIGUEL\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\MIGUEL\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Home Premium, 64-bit Service Pack 1 (Build 7601)

---\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados. (ADS)

---\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados. (Servicio)

---\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados. (Navegador)

---\  Hosts carpeta (1)
~ El archivo hosts es legítimo (1)

---\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados. (Tarea)

---\  Explorador ( Archivos, Carpetas ) (3)
MOVIDO archivo: C:\Users\MIGUEL\AppData\Local\Visicom Media  =>.SUP.VisicomMedia
MOVIDO archivo: C:\Program Files (x86)\QuickTime  =>Riskware.QuickTime
MOVIDO archivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime  =>Riskware.QuickTime

---\  Registro ( Claves, Valores, Datos) (0)
~ No malintencionados o innecesarios artículos encontrados. (Register)

---\  Resumen de elementos en su estación de trabajo (2)
https://nicolascoolman.eu/2017/03/18/superfluous-visicommedia/  =>.SUP.VisicomMedia
https://nicolascoolman.eu/2017/01/15/riskware-quicktime/  =>Riskware.QuickTime

---\ Limpieza adicional. (20)
~ Clave de registro Tracing borrados (20)
~ Quitar los antiguos informes de ZHPCleaner. (0)

---\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ Mozilla Firefox OK
~ Internet Explorer OK

---\ STATISTIQUES
~ Items escaneado : 1576
~ Items encontrado : 0
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 8/15

---\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto

~ End of clean in 00h00mn30s

---\  Reporte (2)
ZHPCleaner-[S]-30062020-19_02_33.txt
ZHPCleaner-[R]-30062020-19_05_35.txt

ZHPCleaner (Volví a hacer SCAN por confirmar)

~ ZHPCleaner v2020.6.27.208 by Nicolas Coolman (2020/06/27)
~ Run by MIGUEL (Administrator)  (30/06/2020 19:07:52)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Scanner
~ Report : C:\Users\MIGUEL\Desktop\ZHPCleaner (S).txt
~ Quarantine : C:\Users\MIGUEL\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : 
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Home Premium, 64-bit Service Pack 1 (Build 7601)


---\\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (1)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Registro ( Claves, Valores, Datos) (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\ Resultado de la reparación.
~ ninguna reparación hecha
~ Mozilla Firefox OK
~ Internet Explorer OK


---\\ STATISTIQUES
~ Items escaneado : 78542
~ Items encontrado : 0
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 8/15


---\\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto





~ End of search in 00h03mn21s

---\\  Reporte (3)
ZHPCleaner-[R]-30062020-19_05_35.txt
ZHPCleaner-[S]-30062020-19_02_33.txt
ZHPCleaner-[S]-30062020-19_11_13.txt

JRT

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 7 Home Premium x64 
Ran by MIGUEL (Administrator) on 30/06/2020 at 19:14:42,86
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 10 

Successfully deleted: C:\Users\MIGUEL\AppData\Roaming\Mozilla\Firefox\Profiles\uxh4ew0y.default\extensions\staged (Folder) 
Successfully deleted: C:\Windows\wininit.ini (File) 
Successfully deleted: C:\Users\MIGUEL\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7BB6TB1T (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\MIGUEL\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7KVO1Z2D (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\MIGUEL\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FNOBTW0V (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\MIGUEL\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G42OM68U (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7BB6TB1T (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7KVO1Z2D (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FNOBTW0V (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G42OM68U (Temporary Internet Files Folder) 



Registry: 3 

Successfully deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9F904093-6E18-4536-BF5F-B03689CF00F0} (Registry Key)
Successfully deleted: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9F904093-6E18-4536-BF5F-B03689CF00F0} (Registry Key)
Successfully deleted: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar\\{EF293C5A-9F37-49FD-91C4-2B867063FC54} (Registry Value) 




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 30/06/2020 at 19:15:18,01
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

MALWAREBYTES

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 30/6/20
Hora del análisis: 19:19
Archivo de registro: eb904d8a-baf5-11ea-bb99-00ff31d131ed.json

-Información del software-
Versión: 4.1.2.73
Versión de los componentes: 1.0.972
Versión del paquete de actualización: 1.0.26203
Licencia: Gratis

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: PC-MAIKI\MIGUEL

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 443496
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 14 min, 12 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Hola @SanMar

Disculpa, pero tengo que añadir otras dos cosas nuevas de esta noche que también me han dejado preocupado:

  • Recibí un correo de Spotify en el que me notificaban que habían iniciado sesión con mi cuenta desde La India. Yo no tengo cuenta de Spotify, pero hablando con el chat de ayuda de Spotify me han confirmado que sí se ha abierto una cuenta con mi correo y me han indicado un proceso para intentar resolverlo.

  • Al correo del trabajo accedo mediante OWA y me dijeron que tengo que confirmar el acceso cuando identifica el acceso “conexión SSL con certificado no válido”, que no había riesgo (?). El caso es que en los informes detallados de Kaspersky indica cuando hago esa excepción y hay uno a una hora que estoy casi seguro que no accedí.

Me estoy empezando a preocupar seriamente de que algo pase con mi equipo o red… :worried:

A ver si estas cosas os sirven para ayudarme. Muchas gracias de nuevo!!

Hola @maiki_h

Disculpa la demora en responderte.

El equipo no tiene nada grave ya.

Coloca tu/tus correos en el siguiente enlace:

https://haveibeenpwned.com

Y luego presiona pwned?

Yo creo que te estas poniendo paranoic, si de tu trabajo te dicen que es asi, yo que te puedo decir…es la forma de entrar a ese correo no hay otra.

Tu Office es original? Pagaste por el o lo tienes activado?

Y con respecto al tema original que es lo importante, las credenciales, según tus imágenes,

Te he comentado que pueden ser genéricas de Windows, no evites la actualización de Edge, aunque tu no lo uses, el sistema si lo hará y es mejor que lo tengas actualizado, ya que pronto el resto de los navegadores dejaran de tener soporte para Windows 7 .

Salu2

Efectivamente, da positivo en mi cuenta de correo: “Pwned on 1 breached site and found no pastes”

Ya cambié la contraseña en su momento cuando lo ví y ayer lo volví a hacer. No sé si sería conveniente dejar de usarla…

Sí, el Office es original, pagué por él. ¿Puede que el problema sea con mi dominio al que pertenece la cuenta de correo, que no tiene certificación?

Esta es la parte que más me interesaba oir si realmente ves que todo está en orden. Seguiré investigando a ver de dónde pueden venir esos cambios de publicidad en YouTube.

Muchas gracias!

Disculpa, pero me quedé pensando en esta frase… ¿Es sólo una forma de hablar o es que cosas leves si tiene todavía? :grin:

Si cambiaste, vigila como se comporta, y si no toca dejar de utilizarla y abrir otra con claves fuertes.

Exacto, puede venir de allí el problema, has intentado probar con una cuenta de Gmail por ejemplo, o si o si necesitas usar la de tu dominio?

Instalaste Ublock Origin en tus navegadores? Aun con el tienes problemas en Youtube?

:rofl: :rofl: :rofl: :rofl:

Es mi forma de hablar/escribir, traducido para mi lo grave serian infecciones que no tienes :upside_down_face: :upside_down_face:

Y lo que si tienes son los errores que has estado comentando, y que hemos descubierto por ejemplo tu correo tomado… :wink: :wink:

Salu2

Hola @SanMar

Gracias por los comentarios! Lo relativo al correo y al dominio estoy trabajando en ello para ponerle solución cuanto antes.

Respecto a lo de YouTube, que es lo que más intrigado me tiene, te aclaro:

  • No es con el navegador, es directamente a través de su app de android desde el móvil, con lo que uBlock no funciona ahí.

  • Me resulta demasiada casualidad que justo en los días que paso lo de Spotify (login desde la India), sucediera más lo de las publicidades “raras”. Sobre todo me aparecía siempre en primer lugar una con textos en hindi que se ponía casi inmediatamente en gris, como si estuviera restringido, con un texto invitando a unirse a ese canal para ver los contenidos. Luego ya empezaban a salir de otro tipo que tampoco aparecen nunca…

Sigo intentando ver si encuentro qué es lo que produce ese cambio o si se asocia a algo de algún dispositivo de la red. No sé, muy raro…

Última actualización:

La credencial vuelve a aparecer… Esta vez no ha coincidido con Windows Update.

La poco información que encuentro buscando el nombre/código de la credencial me lleva únicamente a foros en los que sin nombrar esas cifras hablan de credenciales sospechosas de Windows, no sé cuánta base tienen… Incluso varias veces se hace referencia a keyloggers.

Probé a la desesperada con programas que recomendaban para ese tema (Norton Power Eraser, MalwareFox…) pero nada, aunque supongo que eso es mas difícil de localizar.

¿Puede ser algo así? Porque entonces ya no sé cómo solucionarlo salvo con un formateo y ahora mismo eso es una opción que me gustaría evitar. ¿Alguna pista por ahí?

Hola @maiki_h

Disculpa la demora en la respuesta se me paso la notificación de tu mensaje,

Esto no es preciso, si tuvieras un keylogger, malwares y/o hasta un Rootkit te aseguro que lo hubiera visto.

Si pueden ser credenciales dudosas, ya que no podemos obtener información cierta de ellas.

Te dejo info:

Prueba alguno de los tres métodos a partir de Eliminar o administrar credenciales de Windows a ver si obtienes mas información o bien puedes eliminarla.

Eso si porfis toma capturas y subes la imagen así no quedamos con las dudas… :wink: :wink:

Nos comentas.

Edito:

MUY Mal recuerda que hacer pasos de mas especialmente instalar programas que en nada ayudan al problema, suman mas complicaciones.

Salu2

Hola @SanMar

Lamento mucho decir que acabé formateando y reinstalando Windows… :worried:

Me entró un ataque paranoico y, sin información y con urgencia de tiempo si quería volver a tener el equipo a tiempo para poder seguir trabajando hoy, no podía esperar más. Igual no era buena idea, pero estaba un poco desesperado… Todo lo veo peligroso y no me fío de nada ni aún ahora al haberlo reinstalado…

1 me gusta

Hola @maiki_h

Es que lamentablemente si son credenciales genéricas de Windows te volverán a aparecer… :upside_down_face: :upside_down_face:

Aunque esperemos que no, prueba el equipo dos o tres dias y vuelves y nos comentas para cerrar el tema.

Salu2

Hola de nuevo @SanMar

Parece que lo de las credenciales puede venir del Google Earth Pro! Hoy he tenido que instalarlo otra vez, y ahí estaban de nuevo. Lo iré chequeando de todas formas a ver si desaprecen mientras no lo uso y cuando no lo necesite lo desinstalaré para confirmarlo.

De todas formas sigo preocupado con lo de los anuncios “raros”, que han vuelto, y también con mi hosting, que me ha comunicado que se habían producido intentos de acceso tanto a mi correo como a la web (a la web parece que es más o menos habitual).

Tras el formateo sólo he instalado los programas necesarios para trabajar (oficiales, de pago), el Kaspersky, Firefox, el correo y todas la update de Windows que me ha pedido. Te agradecería enormemente si me pudieras echar una mano para revisar que el equipo se encuentra ahora en orden y poderme quedar un poco más tranquilo, que últimamente casi me da miedo usarlo… :worried:

Muchas gracias por todo!!

Hola @maiki_h

Habiendo Formateado tu equipo se eliminan todos los malwares, aunque tu ya no tenias.

Al menos ya descubriste el problema de las Credenciales.

Paso 1:

Desconecta el equipo de internet, apaga el Router, desconecta el cable y o Wifi, Resetea el Router.

Paso 2: Descarga y ejecuta nuevamente FRST tal como lo hiciste en el Post

Nos comentas.

Salu2

Por confirmar, en el momento que pase el FRST, ¿debe estar conectado a internet o no?

Prueba desconectado de internet.

Salu2

@SanMar Sin conexión, el FRST me daba un error de actualización al abrirlo, así que te añado los archivos con y sin conexión, por si hubiera diferencia. Los adjunto porque me indica que tienen más carácteres de los permitidos.

Cualquier cosa, me dices.

FRST_SinRed.txt (210,3 KB) FRST_ConRed.txt (210,2 KB) Addition_SinRed.txt (28,7 KB) Addition_ConRed.txt (28,7 KB)

Gracias!

Hola @maiki_h

No se ven infecciones solo algunas entradas a eliminar.

Como ya sabes con mucha atención sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga/Ejecuta DelFix desde el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego ve a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start::
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
FF Plugin: @microsoft.com/GENUINE -> disabled [Ningún archivo]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Ningún archivo]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2020-07-04] <==== ATENCIÓN (Apunta a archivo *.cfg)
FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2020-07-04] <==== ATENCIÓN
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
2020-07-04 18:41 - 2020-07-04 18:41 - 000000000 _____ () C:\Users\MIGUEL\AppData\Local\oobelibMkey.log
CustomCLSID: HKU\S-1-5-21-1059820620-460483542-3296835825-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\MIGUEL\AppData\Local\Microsoft\OneDrive\18.151.0729.0013\amd64\FileSyncShell64.dll => Ningún archivo
CustomCLSID: HKU\S-1-5-21-1059820620-460483542-3296835825-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\MIGUEL\AppData\Local\Microsoft\OneDrive\18.151.0729.0013\amd64\FileSyncShell64.dll => Ningún archivo
CustomCLSID: HKU\S-1-5-21-1059820620-460483542-3296835825-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\MIGUEL\AppData\Local\Microsoft\OneDrive\18.151.0729.0013\amd64\FileSyncShell64.dll => Ningún archivo
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
End::
  • Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.- Inicie su ordenador en >>> Modo Seguro >>> Aplicable a Windows 10. o Windows 7.

  • Ejecute Frst.exe o Frst64.exe. según el caso.
  • Presione el botón Fix/Corregir y aguarde a que termine.
  • La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
  • Reinicia y lo pega en su próxima respuesta.

Nos comentas…

Salu2