Deteccion de algo en el registro con AdwCleaner

Buenas!

Resulta que hoy al hacer mi revision rutinaria de seguridad del pc, al ir a pasar el AdwCleaner, me ha detectado un par de cositas en el registro. Al ver el log, me he fijado que era de software, y ponia VLC (por lo que deduzco que es el Videolan).

Lo he pasado a cuarentena, eliminado y reiniciado el pc. Al ir a pasarlo de nuevo, me aparecia limpio. Decir que despues de eso, por si acaso he escaneado el pc con el antivirus (uso el Karpersky Total Security de pago, con todo actualizado), pasado el ccleaner, el Superantispyware y, de nuevo, el AdwCleaner, todo bien. Aparte, el analisis de procesos ocultos me dice que no se han detectado amenazas.

El pc va bien y todo normal.

Esto es lo que me aparecia, los numeros que hay entre ambas llaves, son el mismo, deduzco que son del videolan tambien:

***** [ Registry ] *****

Deleted HKLM\Software\Classes\TypeLib{DF2BBE39-40A8-433B-A279-073F48DA94B6}

Deleted HKLM\Software\Wow6432Node\Classes\TypeLib{DF2BBE39-40A8-433B-A279-073F48DA94B6}

Tengo que hacer algo mas? Porque yo me agobio mucho con estas cosas.

Hola, buenas @Lari

Pon todo el reporte entero de AdwareCleaner.

Salu2.

No se como se pegan reportes, he hecho copy paste

-------------------------------

Malwarebytes AdwCleaner 8.1.0.0

-------------------------------

Build: 02-15-2021

Database: 2021-03-03.1 (Cloud)

Support: https://www.malwarebytes.com/support

-------------------------------

Mode: Clean

-------------------------------

Start: 03-03-2021

Duration: 00:00:00

OS: Windows 10 Pro

Cleaned: 2

Failed: 0

***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted HKLM\Software\Classes\TypeLib{DF2BBE39-40A8-433B-A279-073F48DA94B6}

Deleted HKLM\Software\Wow6432Node\Classes\TypeLib{DF2BBE39-40A8-433B-A279-073F48DA94B6}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


[+] Delete Tracing Keys [+] Reset Winsock


AdwCleaner[S00].txt - [1405 octets] - [20/12/2020 13:20:13]

AdwCleaner[S01].txt - [1466 octets] - [15/01/2021 13:06:37]

AdwCleaner[S02].txt - [1527 octets] - [21/01/2021 14:44:55]

AdwCleaner[S03].txt - [1588 octets] - [29/01/2021 16:56:04]

AdwCleaner[S04].txt - [1649 octets] - [06/02/2021 15:54:58]

AdwCleaner[S05].txt - [1710 octets] - [07/02/2021 18:37:41]

AdwCleaner[S06].txt - [1771 octets] - [07/02/2021 18:43:16]

AdwCleaner[S07].txt - [1832 octets] - [14/02/2021 12:46:01]

AdwCleaner[S08].txt - [1893 octets] - [15/02/2021 18:35:44]

AdwCleaner[S09].txt - [1953 octets] - [15/02/2021 18:36:29]

AdwCleaner[S10].txt - [2014 octets] - [15/02/2021 19:05:55]

AdwCleaner[S11].txt - [2075 octets] - [15/02/2021 19:07:13]

AdwCleaner[S12].txt - [2136 octets] - [21/02/2021 12:42:00]

AdwCleaner[S13].txt - [2197 octets] - [23/02/2021 12:59:53]

AdwCleaner[S14].txt - [2258 octets] - [27/02/2021 12:39:53]

AdwCleaner[S15].txt - [2498 octets] - [03/03/2021 16:56:09]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C15].txt ##########

Esto iba antes de ambos deleted, perdon por el doble post:

PUP.Optional.VLCPlusPlayer.DE HKLM\Software\Classes\TypeLib{DF2BBE39-40A8-433B-A279-073F48DA94B6}

PUP.Optional.VLCPlusPlayer.DE HKLM\Software\Wow6432Node\Classes\TypeLib{DF2BBE39-40A8-433B-A279-073F48DA94B6}

Como ves, es del videolan; es la primera vez que me lo detecta. Y de hecho me lo instalaron en la tienda donde compré el pc, asi que como minimo es legitimo.

Decirte tambien, que los analisis sucesivos que he hecho no me ha vuelto a detectar nada.

Hola @Lari

OK, después ya te enseñaré.

OK.

OK. He estado investigando y parece ser que es un falso positivo de AdwCleaner, que en principio parece ser que ya está arreglado y ya no debería detectarse más. Todo y que en tu caso al tenerlo en la Cuarentena pues ya no será detectado nunca más. Por lo que he visto, dicho falso positivo hace muy poco que apareció y parece ser que ya está resuelto.

¿Cómo notas/encuentras el ordenador en estado/forma general actualmente? ¿Va bien?

De todas formas no he visto nada más extraño en el log, aparte del posible “falso positivo” pero de todas formas haz esto:

0) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
  • Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
  • Si no encuentra nada, pulsa en Omitir Reparación.
  • El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
  • Para más información aquí te dejo su manual: Manual de Adwcleaner.
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

1) Descarga JunkwareRemoval Tool en el escritorio.

  • Ejecuta JRT.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Presiona cualquier tecla para continuar y espera pacientemente a que termine su proceso.
  • Al finalizar, se guardará el siguiente registro en el escritorio: JRT.txt.

2) Descarga, instala y ejecuta ZHP Cleaner siguiendo su manual, lo descargas, instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

Si hace falta, siempre podemos restaurar la Cuarentena de AdwCleaner y ya esta.

Me traes los logs de: AdwCleaner, JRT y ZHP Cleaner y respondes a las preguntas que te haya realizado.

Salu2.

El pc va perfecto, de hecho a diario sale limpio lo de los procesos ocultos del kaspersky, y los analisis de vulnerabilidades y completos que he hecho salen limpios, el superantispyware sale limpio tambien y el adwcleaner no ha vuelto a detectar nada.

OK. De todas formas por favor haz lo que te he comentado y así, si todo sale OK. Pues te haré una recomendación final y damos el tema por solventado.

Espero los logs-

Salu2.

Una cosa, el ultimo, el ZHP, la pagina no esta disponible y al googlear me ha salido otra pagina nueva: Téléchargez ZHPCleaner (Gratuit) - Zone Antimalware

Hola @Lari OK tomo nota para que se cambie en el manual.

Descárgalo de: ZHPCLEANER.

Salu2.

Vale, ya he hecho los dos primeros, para el tercero una ventanita me recomienda que cree un punto de restauracion, o algo asi me ha parecido leer, pero no estoy segura de saber hacerlo; te puedo enviar el archivo que me ha generado que es solo el scanner a ver como lo ves?

Pasa algo si no lo creo y sigo adelante?

OK. Pues envía el log que dices. Yo te digo el que y finalmente realizas la limpieza.

Salu2.

Estos son, los adjunto.AdwCleaner[S28].txt (3,1 KB) JRT.txt (1,1 KB) ZHP.txt (2,4 KB)

Respecto AdwCleaner >> está limpio.

Respecto JRT >> lo que ha detectado no tiene mayor importancia.

Respecto ZHPCleaner >> lo que ha detectado no tiene mayor importancia, de todas formas realiza la reparación. Me traes el nuevo log.

Te daré unas recomendaciones y ya estaremos. Pues no veo que tu máquina tenga malware exactamente como tal.

Salu2.

Al ir a pasar el scanner de nuevo no ha detectado nada, te envio de todas maneras el scanner nuevo ZHP.txt (2,0 KB)

Hola @Lari

Respecto ZHPCleaner >> está limpio.

0) Descarga IFS

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Cierra todos los programas que tengas abiertos.
  • Ejecuta IFS.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar, y espera a que se realice el proceso. Puede tardar varios minutos.
  • Al terminar se abrirá un informe, lo adjuntas en tu próxima respuesta (puedes encontrarlo en C:\IFS.log).
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

1) Ve al cuadro de búsqueda de Inicio de Windows y escribe cmd clic derecho sobre este y seleccionas Ejecutar como administrador. Allí escribes: sfc /scannow y presionas ENTER. Esperas a que finalice (puede tardar un buen rato), mientras se esté ejecutando, no hagas nada de nada con el PC.

Cuando finalice me traes el log que generará. Normalmente suele estar en:

Captura de pantalla de 2021-02-11 01-33-56

También traes una captura de pantalla del cmd cuando el comando haya acabado de ejecutarse.

Comentas como funciona en general tu ordenador respecto al problema inicial planteado.

Salu2.

Hola de nuevo. Yo te agradezco mucho todos tus consejos, pero al ser el problema inicial un falso positivo, salir el resto de pruebas limpias e irme el pc bien, no estoy segura de querer hacerle mas cosas al pc.

Realmente lo paso mal cuando tengo que hacer cosas de este tipo al pc por si hago algo mal o sin querer y meto la pata

OK pues entonces @Lari en principio podrías quitar de la Cuarentena las dos detecciones que detectó AdwCleaner. En principio son falsos positivos y no suponen mayor peligro, todo y que otra persona junto conmigo lo hemos estado investigando un poco, parece ser que no son malware y si estas se encuentran en la Cuarentena de AdwCleaner el VLC sigue trabajando correctamente. Malwarebytes ya está informada y están estudiando el caso, puedes quitarlas y si en un tiempo (1 mes aprox.) haces un nuevo análisis y este las detecta. Pues las pones en la Cuarentena.

:one: Para tener el sistema operativo un poco más fortificado y prevenir futuras infecciones a nivel de usuario común, así como una serie de buenas praxis en cuanto a un buen nivel de seguridad de vida digital yo te recomendaría/te diría que hicieses lo siguiente:

  1. Mantén siempre que se pueda tu sistema operativo actualizado.

  2. Asegúrate de tener actualizados todos los programas/software que tengas en tu PC/dispositivos.

  3. Tener activado siempre el firewall de tu sistema operativo.

  4. Tener un antivirus o antimalware comercial de reputación y prestigio contrastados o bien uno gratuito.

  5. Utiliza contraseñas robustas, que tengan palabras poco conocidas. De una longitud de como mínimo 10 o más dígitos y que tengan (mayúsculas, minúsculas, números y símbolos especiales siempre que sea posible). Modifícalas, cámbialas cada ‘X’ tiempo, utiliza siempre que sea posible factor de doble autentificación y no utilices la misma, password para diferentes servicios.

  6. Siempre que conectes dispositivos externos en tu PC asegúrate que estén libres de malware. Para ello puedes realizar un análisis como el que te indiqué con Malwarebytes Anti-Malware, pero solo con dicho dispositivo que vayas a conectar. Después también deberías de realizar un análisis con UsbFix tal y como te indiqué y finalmente vacunar dichos dispositivos en caso de que no los hayas vacunado ya con este.

  7. Vigilar mucho cuando instalas programas gratuitos descargados de fuentes no oficiales y aveces si son de fuentes oficiales también debes de vigilar. Pues se aprovechan de que el usuario instala dando todo el rato en Siguiente y deja marcadas/desmarcadas casillas las que harán que el instalador del programa instale malware de tipo Adware entre otros para lucrarse económicamente del quipo infectado.

  8. Cuando te conectes en redes wifi o similares públicas (hoteles, restaurantes, aeropuertos, etc). No utilices/te conectes a servicios/cuentas personales y si lo haces pues contratas una VPN de pago (nunca gratuita, ya que te llevaras sorpresas desagradables).

  9. Nunca jamás de los jamases descargues software o sistemas operativos de tipo comercial/de pago pirateado/crackeado para ahorrar dinero. Pues la gran mayoría de este software de pago crackeado y de forma gratuita trae como regalo fabulosos y maravillosos malwares.

  10. Desconfía siempre de cualquier comunicación no esperada, incluso si proceden de remitentes conocidos. Como por ejemplo: he recibido un correo de fulanito de tal que lo conozco, pero no lo esperaba y el email tiene un formato extraño, faltas de ortografía, dice algo muy genérico, pero nada concreto, dice alguna cosas sin sentido o que no cuadra, adjunta ficheros sobretodo .rar o .zip. En estos casos contrasta siempre la información con la persona que te lo envía (el correo, comunicación). Pues los ciberdelincuentes siempre utilizarán todas las tácticas que puedan de ingeniería social para comprometer tu seguridad.

Finalmente, desinstalaremos todas las herramientas que hemos utilizado de desinfección y de varios tipos, para ello descargas DelFix en tu escritorio.

Haces doble click para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

Seleccionas la casilla de Remove desinfection tools, y presionas en Run.

Traes el log de DelFix en tu próxima respuesta.

Adwcleaner >> lo eliminará delfix.

JRT >> lo eliminas manualmente del sitio en el que lo descargaste.

ZHP Cleaner >> miras su manual y lo eliminas según el apartado Desinstalación.

Salu2.

De hecho tras el ultimo reporte subido, lo eliminé todo, el zhp segun el manual, el jrt manualmente y el adwcleaner manualmente con carpeta de logs incluida.

De todas maneras lo he hecho para comprobar que todo iba bien, y una cosa, en cuanto el delfix acaba, se elimina solo? Porque ha desaparecido del escritorio.

Solo me ha quedado el reporte en el disco C: , que ponia esto bajo los datos del sistema operativo y eso: removing desinfection tools…

Y no ponia nada mas

Esta publicación fue reportada por la comunidad y se encuentra oculta temporalmente.

Esta publicación fue reportada por la comunidad y se encuentra oculta temporalmente.