Duda con limpieza

Jorge7945 · 5 Octubre, 2019 12:43

Buenas, hace una semana app el antivirus de windows defender encontró win32/beaureuws.A!ml en un ejecutable. Fué eliminado pero tengo dudas de algunos pasos a seguir para estar limpio, y busqué en el foro y pase adwcleaner, en el 1er analisis eliminé 2 de las amenazas que encontré ahí vá:

# -------------------------------
# Malwarebytes AdwCleaner 7.4.1.0
# -------------------------------
# Build:    09-05-2019
# Database: 2019-09-27.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    10-02-2019
# Duration: 00:00:05
# OS:       Windows 10 Home Single Language
# Cleaned:  2
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES
Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGDF-hp-commandandconqueralliances


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner_Debug.log - [15452 octets] - [02/10/2019 19:51:24]
AdwCleaner[S00].txt - [4429 octets] - [02/10/2019 19:53:46]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Jorge7945 · 5 Octubre, 2019 12:52

El segundo reporte es este del día de hoy:

# -------------------------------
# Malwarebytes AdwCleaner 7.4.1.0
# -------------------------------
# Build:    09-05-2019
# Database: 2019-10-03.2 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    10-05-2019
# Duration: 00:01:00
# OS:       Windows 10 Home Single Language
# Scanned:  35164
# Detected: 25


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Preinstalled Software ] *****

Preinstalled.HPRegistrationService   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP REGISTRATION SERVICE 
Preinstalled.HPRegistrationService   Folder   C:\ProgramData\HEWLETT-PACKARD\HP REGISTRATION SERVICE 
Preinstalled.HPRegistrationService   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D1E8F2D7-7794-4245-B286-87ED86C1893C} 
Preinstalled.HPSupportAssistant   Folder   C:\HP\SUPPORT 
Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP CUSTOMER FEEDBACK 
Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK 
Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS 
Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK 
Preinstalled.HPSupportAssistant   Folder   C:\Users\Jorge\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK 
Preinstalled.HPSupportAssistant   Folder   C:\Users\Jorge\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK 
Preinstalled.HPSupportAssistant   Folder   C:\Windows\System32\config\systemprofile\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK 
Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Classes\CLSID\{335F9A62-FE4B-40CD-B4ED-BB4DE21DC95D} 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{335F9A62-FE4B-40CD-B4ED-BB4DE21DC95D} 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{C0ABBA07-B636-47B8-B9E1-BB96D7CD4831} 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{C556057F-7E81-47E5-A747-C35D8530312D} 
Preinstalled.HPSureConnect   Folder   C:\Program Files\HPCOMMRECOVERY 
Preinstalled.HPWelcome   File   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Welcome.lnk 
Preinstalled.HPWelcome   Folder   C:\Program Files\HP\HP WELCOME 
Preinstalled.HPWelcome   Folder   C:\ProgramData\HP\HP WELCOME 
Preinstalled.HPWelcome   Folder   C:\Users\Jorge\AppData\Local\HP\HP WELCOME 
Preinstalled.HPWelcome   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\HPWelcome 


AdwCleaner_Debug.log - [30163 octets] - [02/10/2019 19:51:24]
AdwCleaner[S00].txt - [4429 octets] - [02/10/2019 19:53:46]
AdwCleaner[C00].txt - [1840 octets] - [02/10/2019 19:55:35]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########

y mi duda es si debo eliminar lo que apareció en el reporte o no ya que veo que son archivos de software pre instalado en el sistema , o sea viene de fabrica, y que pasos más a seguir si falta alguno… ni windows defender, superantispyware, malwarebytes o la herramienta de eliminación de software malintecionado de windows detectan algo

Jorge7945 · 5 Octubre, 2019 12:56

Este es de malwarebytes, fecha del 01 del 10, cuando windows defender detectó el virus anteriormente dicho:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 1/10/19
Hora del análisis: 12:48
Archivo de registro: eb40dbde-e462-11e9-a03e-ec8eb54c29d0.json

-Información del software-
Versión: 3.8.3.2965
Versión de los componentes: 1.0.627
Versión del paquete de actualización: 1.0.12725
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 18362.356)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-P3G4A71\Jorge

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 289318
Amenazas detectadas: 52
Amenazas en cuarentena: 52
Tiempo transcurrido: 12 min, 26 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 1
Trojan.MalPack.GS, C:\USERS\JORGE\APPDATA\LOCAL\8AE276F6-43D5-4DB9-9342-C127F22C3228\9084386953.EXE, En cuarentena, [7851], [740960],1.0.12725

Módulo: 1
Trojan.MalPack.GS, C:\USERS\JORGE\APPDATA\LOCAL\8AE276F6-43D5-4DB9-9342-C127F22C3228\9084386953.EXE, En cuarentena, [7851], [740960],1.0.12725

Clave del registro: 10
PUP.Optional.GarbageCleaner, HKU\S-1-5-21-2991047300-1511284177-1043468848-1001\SOFTWARE\GCleaner, En cuarentena, [1151], [676886],1.0.12725
Adware.ICLoader, HKLM\SOFTWARE\MICROSOFT\bestavicampaign563, En cuarentena, [479], [584322],1.0.12725
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{74728D75-6D71-405B-8E04-6360209A0E11}, Se eliminará al reiniciar, [3707], [601200],1.0.12725
Adware.Tuto4PC, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Multitimer_is1, En cuarentena, [2846], [474048],1.0.12725
Adware.ICLoader, HKLM\SOFTWARE\MICROSOFT\campaign9961, En cuarentena, [479], [518478],1.0.12725
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\TIME TRIGGER TASK, Se eliminará al reiniciar, [3707], [601202],1.0.12725
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{74728D75-6D71-405B-8E04-6360209A0E11}, Se eliminará al reiniciar, [3707], [601202],1.0.12725
Adware.ICLoader, HKLM\SOFTWARE\MICROSOFT\multitimercampaign84170, En cuarentena, [479], [518476],1.0.12725
Adware.ICLoader, HKLM\SOFTWARE\MICROSOFT\Speedycar, En cuarentena, [479], [518473],1.0.12725
Adware.ICLoader, HKLM\SOFTWARE\MICROSOFT\TechnologyDesktopnew, En cuarentena, [479], [518479],1.0.12725

Valor del registro: 1
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{74728D75-6D71-405B-8E04-6360209A0E11}|PATH, En cuarentena, [3707], [601200],1.0.12725

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 30
Adware.Tuto4PC, C:\PROGRAM FILES (X86)\MULTITIMER, En cuarentena, [2846], [474048],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\ElectronCash, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\InfiniteCoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\DigitalCoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\ElectrumLTC, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\GoldCoinGLD, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\FlorinCoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\MultiDoge, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\PrimeCoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\TerraCoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\Anoncoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\DashCore, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\Electrum, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\Ethereum, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\FreiCoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\Litecoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\MegaCoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\NameCoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\BBQCoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\Bitcoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\DevCoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\MinCoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\Exodus, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\Franko, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\IOCoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\IxCoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\YACoin, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\Zcash, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\ProgramData\HIMC4JCZHQB744BL86Q2D1W1V\files\Wallets\JAXX, En cuarentena, [840], [697276],1.0.12725
Spyware.StolenData.E, C:\PROGRAMDATA\HIMC4JCZHQB744BL86Q2D1W1V\FILES\Wallets, En cuarentena, [840], [697276],1.0.12725

Archivo: 9
Adware.Tuto4PC, C:\PROGRAM FILES (X86)\MULTITIMER\UNINS000.DAT, En cuarentena, [2846], [474048],1.0.12725
Adware.Tuto4PC, C:\Program Files (x86)\Multitimer\Multitimer.exe, En cuarentena, [2846], [474048],1.0.12725
Adware.Tuto4PC, C:\Program Files (x86)\Multitimer\unins000.exe, En cuarentena, [2846], [474048],1.0.12725
Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\TIME TRIGGER TASK, Se eliminará al reiniciar, [3707], [601202],1.0.12725
Trojan.MalPack.GS, C:\USERS\JORGE\APPDATA\LOCAL\8AE276F6-43D5-4DB9-9342-C127F22C3228\9084386953.EXE, En cuarentena, [7851], [740960],1.0.12725
PUP.Optional.Softomate, C:\$RECYCLE.BIN\S-1-5-21-2991047300-1511284177-1043468848-1001\$RHD11BE.EXE, Se eliminará al reiniciar, [618], [634167],1.0.12725
PUP.Optional.GarbageCleaner, C:\$RECYCLE.BIN\S-1-5-21-2991047300-1511284177-1043468848-1001\$RG958IE\GARBAGE CLEANER.EXE, Se eliminará al reiniciar, [1151], [695048],1.0.12725
PUP.Optional.DriverPack, C:\$RECYCLE.BIN\S-1-5-21-2991047300-1511284177-1043468848-1001\$RXKHTHL.EXE, Se eliminará al reiniciar, [572], [714326],1.0.12725
Trojan.MalPack.GS, C:\USERS\JORGE\APPDATA\LOCAL\TEMP\9084386953.EXE, En cuarentena, [7851], [740960],1.0.12725

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Ahora que pasos debo seguir? o está todo bien?

saludos

JavierHF · 5 Octubre, 2019 14:08

Hola @Jorge7945

Si YA no tienes el problema que encontró Windows Defender del “win32/beaureuws” poco más deberías hacer.

En cuanto al software preinstalado que informa AdwCleaner, quedará a elección de cada usuario el eliminarlo o NO, en algunos casos estos software son simplemente complementos que NO sirven para mucho y en otros son necesarios para el buen mantenimiento del sistema.

Cualquier duda nos comentas.

Saludos.

system · 20 Octubre, 2019 19:55

Este tema se cerró automáticamente 2 días después de la última publicación. No se permiten nuevas respuestas.