Credenciales desconocidas

Eliminar Malwares
42

Hola @SanMar

Lamento mucho decir que acabé formateando y reinstalando Windows… :worried:

Me entró un ataque paranoico y, sin información y con urgencia de tiempo si quería volver a tener el equipo a tiempo para poder seguir trabajando hoy, no podía esperar más. Igual no era buena idea, pero estaba un poco desesperado… Todo lo veo peligroso y no me fío de nada ni aún ahora al haberlo reinstalado…

1 me gusta
43

Hola @maiki_h

Es que lamentablemente si son credenciales genéricas de Windows te volverán a aparecer… :upside_down_face: :upside_down_face:

Aunque esperemos que no, prueba el equipo dos o tres dias y vuelves y nos comentas para cerrar el tema.

Salu2

44

Hola de nuevo @SanMar

Parece que lo de las credenciales puede venir del Google Earth Pro! Hoy he tenido que instalarlo otra vez, y ahí estaban de nuevo. Lo iré chequeando de todas formas a ver si desaprecen mientras no lo uso y cuando no lo necesite lo desinstalaré para confirmarlo.

De todas formas sigo preocupado con lo de los anuncios “raros”, que han vuelto, y también con mi hosting, que me ha comunicado que se habían producido intentos de acceso tanto a mi correo como a la web (a la web parece que es más o menos habitual).

Tras el formateo sólo he instalado los programas necesarios para trabajar (oficiales, de pago), el Kaspersky, Firefox, el correo y todas la update de Windows que me ha pedido. Te agradecería enormemente si me pudieras echar una mano para revisar que el equipo se encuentra ahora en orden y poderme quedar un poco más tranquilo, que últimamente casi me da miedo usarlo… :worried:

Muchas gracias por todo!!

45

Hola @maiki_h

Habiendo Formateado tu equipo se eliminan todos los malwares, aunque tu ya no tenias.

Al menos ya descubriste el problema de las Credenciales.

Paso 1:

Desconecta el equipo de internet, apaga el Router, desconecta el cable y o Wifi, Resetea el Router.

Paso 2: Descarga y ejecuta nuevamente FRST tal como lo hiciste en el Post

Nos comentas.

Salu2

46

Por confirmar, en el momento que pase el FRST, ¿debe estar conectado a internet o no?

47

Prueba desconectado de internet.

Salu2

48

@SanMar Sin conexión, el FRST me daba un error de actualización al abrirlo, así que te añado los archivos con y sin conexión, por si hubiera diferencia. Los adjunto porque me indica que tienen más carácteres de los permitidos.

Cualquier cosa, me dices.

FRST_SinRed.txt (210,3 KB) FRST_ConRed.txt (210,2 KB) Addition_SinRed.txt (28,7 KB) Addition_ConRed.txt (28,7 KB)

Gracias!

49

Hola @maiki_h

No se ven infecciones solo algunas entradas a eliminar.

Como ya sabes con mucha atención sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga/Ejecuta DelFix desde el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego ve a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start::
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
FF Plugin: @microsoft.com/GENUINE -> disabled [Ningún archivo]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Ningún archivo]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2020-07-04] <==== ATENCIÓN (Apunta a archivo *.cfg)
FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2020-07-04] <==== ATENCIÓN
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
2020-07-04 18:41 - 2020-07-04 18:41 - 000000000 _____ () C:\Users\MIGUEL\AppData\Local\oobelibMkey.log
CustomCLSID: HKU\S-1-5-21-1059820620-460483542-3296835825-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\MIGUEL\AppData\Local\Microsoft\OneDrive\18.151.0729.0013\amd64\FileSyncShell64.dll => Ningún archivo
CustomCLSID: HKU\S-1-5-21-1059820620-460483542-3296835825-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\MIGUEL\AppData\Local\Microsoft\OneDrive\18.151.0729.0013\amd64\FileSyncShell64.dll => Ningún archivo
CustomCLSID: HKU\S-1-5-21-1059820620-460483542-3296835825-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\MIGUEL\AppData\Local\Microsoft\OneDrive\18.151.0729.0013\amd64\FileSyncShell64.dll => Ningún archivo
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
End::
  • Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.- Inicie su ordenador en >>> Modo Seguro >>> Aplicable a Windows 10. o Windows 7.

  • Ejecute Frst.exe o Frst64.exe. según el caso.
  • Presione el botón Fix/Corregir y aguarde a que termine.
  • La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
  • Reinicia y lo pega en su próxima respuesta.

Nos comentas…

Salu2

50

Fixlog.txt

Resultados de la corrección de Farbar Recovery Scan Tool (x64) Versión: 08-07-2020 01
Ejecutado por MIGUEL (09-07-2020 10:19:16) Run:1
Ejecutado desde C:\Users\MIGUEL\Desktop
Perfiles cargados: MIGUEL
Modo de Inicio: Safe Mode (minimal)
==============================================

fixlist contenido:
*****************
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
FF Plugin: @microsoft.com/GENUINE -> disabled [Ning�n archivo]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Ning�n archivo]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2020-07-04] <==== ATENCI�N (Apunta a archivo *.cfg)
FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2020-07-04] <==== ATENCI�N
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
2020-07-04 18:41 - 2020-07-04 18:41 - 000000000 _____ () C:\Users\MIGUEL\AppData\Local\oobelibMkey.log
CustomCLSID: HKU\S-1-5-21-1059820620-460483542-3296835825-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\MIGUEL\AppData\Local\Microsoft\OneDrive\18.151.0729.0013\amd64\FileSyncShell64.dll => Ning�n archivo
CustomCLSID: HKU\S-1-5-21-1059820620-460483542-3296835825-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\MIGUEL\AppData\Local\Microsoft\OneDrive\18.151.0729.0013\amd64\FileSyncShell64.dll => Ning�n archivo
CustomCLSID: HKU\S-1-5-21-1059820620-460483542-3296835825-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\MIGUEL\AppData\Local\Microsoft\OneDrive\18.151.0729.0013\amd64\FileSyncShell64.dll => Ning�n archivo
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:

*****************

Procesos cerrados correctamente.
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => eliminado correctamente
HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE => eliminado correctamente
HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/GENUINE => eliminado correctamente
C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js => movido correctamente
C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg => movido correctamente
HKLM\System\CurrentControlSet\Services\gdrv => eliminado correctamente
gdrv => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\MSICDSetup => eliminado correctamente
MSICDSetup => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\NTIOLib_1_0_C => eliminado correctamente
NTIOLib_1_0_C => servicio eliminado correctamente
C:\Users\MIGUEL\AppData\Local\oobelibMkey.log => movido correctamente
HKU\S-1-5-21-1059820620-460483542-3296835825-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E} => eliminado correctamente
HKU\S-1-5-21-1059820620-460483542-3296835825-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C} => eliminado correctamente
HKU\S-1-5-21-1059820620-460483542-3296835825-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E} => eliminado correctamente
"CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"" => eliminado correctamente
"BVTFilter" => eliminado correctamente
"BVTConsumer" => eliminado correctamente

========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

No se puede vaciar la cach‚ de resoluci¢n de DNS: Error de una funci¢n durante la ejecuci¢n.


========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows


========= Final de CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.

BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

Unable to connect to BITS - 0x8007042c
No se puede iniciar el servicio o grupo de dependencia.



========= Final de CMD: =========


========= netsh winsock reset =========


El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.


========= Final de CMD: =========


========= netsh advfirewall reset =========


Error al intentar ponerse en contacto con el servicio Firewall de Windows. Aseg£rese de que el servicio se est  ejecutando e intente la solicitud de nuevo.


========= Final de CMD: =========


========= netsh advfirewall set allprofiles state ON =========


Error al intentar ponerse en contacto con el servicio Firewall de Windows. Aseg£rese de que el servicio se est  ejecutando e intente la solicitud de nuevo.


========= Final de CMD: =========


========= netsh int ipv4 reset =========

No hay valores configurados por el usuario para restablecer.


========= Final de CMD: =========


========= netsh int ipv6 reset =========

No hay valores configurados por el usuario para restablecer.


========= Final de CMD: =========


========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-21-1059820620-460483542-3296835825-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-1059820620-460483542-3296835825-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente


========= Final de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => movido correctamente
Hosts restaurado correctamente.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 44949416 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 13140386 B
Edge => 0 B
Chrome => 0 B
Firefox => 642856267 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 66356 B
systemprofile32 => 132584 B
LocalService => 198812 B
NetworkService => 265040 B
MIGUEL => 887326644 B

RecycleBin => 0 B
EmptyTemp: => 1.5 GB datos temporales eliminados.

================================


El sistema necesita reiniciarse.

==== Final de Fixlog 10:19:23 ====
51

Hola @maiki_h

Para eliminar las herramientas utilizadas:

Descargas/Ejecutas >> Delfix, desde tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Nos comentas si todo esta en orden con respecto a tu consulta original (Credenciales) para dar por Solucionado el tema.

Salu2.

52

Gracias @sanmar

El tema de las credenciales, como te comenté, parece que está aclarado. Por lo que, si os parece, podéis dar el tema por cerrado, iré viendo cómo evolucionan el resto de cosas que comenté también por aquí.

53

Hola @maiki_h

Perfecto, fue la consulta original por la que abriste este tema.

Cualquier duda puedes abrir una nueva consulta relacionado con el nuevo problema.

Para otros problemas, ya sabes donde encontrarnos. :wink:

Tema Solucionado

Salu2.