Infectado con Usfin.net ADfly adware

Buen dia para todos!

Por favor necesito su apoyo para eliminar este adware, aparece en edge y en chrome:

IMAGEN

Yo soy de soporte tecnico y segun manefiesta el usuario esto sucedio luego de instalar un KMSpico para un office.

Ya use todos las herramientas necesarias, Malwarebytes, EsetSmartSecurity, Spybot, etc y siempre aparecen las ventanas emergentes.

Agradezco mucho su ayuda de antemano! Saludos!

1 me gusta

Hola que tal

Pega los reportes de las herramientas que utilizaste

Saludos

todas las herramientas me aparecen como que no hay infeccion de nada, cero resultados. Aparentemente la infeccion fue removida, sin embargo las ventanas siguen apareciendo automaticamente. Considero que ha quedado como el registro o algo asi por ahi en el sistema. Lo cual las herramientas no pudieron eliminar.

1 me gusta

Necesito los reportes para ver si se ejecutaron bien las herramientas, pero bueno. Quiero que realices lo siguiente

Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
  • Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
  • Si no encuentra nada, pulsa en Omitir Reparación.
  • El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
  • Para más información aquí te dejo su manual: Manual de Adwcleaner.
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

Descarga ZHPCleaner y lo ejecutas siguiendo su manual

  • Una ves que termine elimina todo lo que encuentre.
  • Se abrira un reporte pegamelo en tu proxima respuesta

Pegas los reportes y comentas como va todo

Saludos

2 Me gusta

Hola Daniel, gracias por tu apoyo, aqui estan los logs

-------------------------------

Malwarebytes AdwCleaner 8.3.1.0

-------------------------------

Build: 11-18-2021

Database: 2021-12-02.1 (Cloud)

Support:

-------------------------------

Mode: Scan

-------------------------------

Start: 12-16-2021

Duration: 00:00:13

OS: Windows 10 Pro

Scanned: 32022

Detected: 0

***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

ZHP CLEANER

ZHPCleaner v2021.12.12.343 by Nicolas Coolman (2021/12/12) ~ Run by Spices (Administrator) (16/12/2021 08:18:02) ~ Web: ~ Blog: ~ Facebook ~ State version : Version OK ~ Certificate ZHPCleaner: Legal ~ Type : Scan ~ Report : C:\Users\Spices\OneDrive\Documents\OneDrive\Desktop\ZHPCleaner (S).txt ~ Quarantine : C:\Users\Spices\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt ~ UAC : Activate ~ Boot Mode : Normal (Normal boot) Windows 10 Pro, 64-bit (Build 19043)

—\ Alternate Data Stream (ADS). (0) ~ No malicious or unnecessary items found. (ADS)

—\ Services (0) ~ No malicious or unnecessary items found. (Service)

—\ Browser internet (0) ~ No malicious or unnecessary items found. (Browser)

—\ Hosts file (1) ~ The hosts file is legitimate (21)

—\ Scheduled automatic tasks. (0) ~ No malicious or unnecessary items found. (Task)

—\ Explorer ( File, Folder) (7) FOUND file: C:\Users\Spices\AppData\Local\Google\Chrome\User Data\Profile 1\Preferences =>ChromiumPreference FOUND file: C:\Users\Spices\AppData\Local\Microsoft\Edge\User Data\Default\Preferences =>ChromiumPreference FOUND file: C:\Windows\Prefetch\KMSPICO2021.TMP-FCDF6C27.pf =>HackTool.KMSpico FOUND file: C:\Windows\Prefetch\KMSPICO_SETUP.EXE____________-72FEBBE7.pf =>HackTool.KMSpico FOUND file: C:\Windows\AutoKMS\AutoKMS.log =>HackTool.AutoKMS FOUND folder: C:\WINDOWS\AutoKMS\AutoKMS =>HackTool.AutoKMS FOUND folder: C:\WINDOWS\AutoKMS =>HackTool.AutoKMS

—\ Registry ( Key, Value, Data) (3) FOUND key: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A29CEAE99BA4B44AA12549884B2F90B [C:?Program Files (x86)\Common Files\Intuit\QuickBooks\QBWebConnector\Syncfusion.Shared.Windows.dll (Not File)] =>Adware.Sambreel FOUND key: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\30568C97527E0154D9BE4C0602F7AF65 [C:?Program Files (x86)\Common Files\Intuit\QuickBooks\QBWebConnector\Syncfusion.Tools.Windows.dll (Not File)] =>Adware.Sambreel FOUND key: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} [Piriform Software] =>Heuristic.Suspect

—\ Summary of the elements found (5) =>ChromiumPreference =>HackTool.KMSpico =>HackTool.AutoKMS =>Adware.Sambreel =>Heuristic.Suspect

—\ Result of repair ~ Any repair made ~ Google Chrome OK ~ Internet Explorer OK

—\ Statistics ~ Items scanned : 111721 ~ Items found : 14 ~ Items cancelled : 0 ~ Space saving (bytes) : 0 ~ Items options : 9/17

—\ OPTIONS NOT ACTIVES ~ Temporary file analysis ~ Temporary folder analysis ~ Empty Folder CLSID Analysis ~ Empty Other Folder Analysis ~ Empty LocalLow Folder Analysis ~ Empty Local Folder Analysis ~ Obsolete Installer File Analysis ~ Start browsers with extensions removed

~ End of search in 00h12mn14s

—\ Reports (0) ZHPCleaner-[S]-16122021-08_30_16.txT

1 me gusta

Con permiso de mi compañero @DanielG buenas @hectordj69 bienvenido al Foro de InfoSpyware, vamos a intentar solucionar tu problema, cuentame un poco cómo empezó el problema que me comentas.

Te descargaste algún programa de alguna página no fiable.

Desde cuando te está pasando dicho problema.

A la espera de tu respuesta.

Muchas gracias por tu respuesta… pues no es mi caso en particular, es de un usuario de la empresa a la cual yo doy soporte, segun me comenta el usuario de ese equipo todo paso luego de instalar un KMSpico para activar un office, sucedio hace aproximadamente 1 mes. Ya genere un reporte que me solicito Daniel (puedes ver mas arriba) si en un dado caso te sirve como mejor referencia. Aprecio mucho su ayuda.

1 me gusta

Buenas Compañero @DanielG si necesitas ayuda con esta reparación me puedes consultar y si lo deseas me puedo encargar yo de esta reparación, sólo si tu me lo comunicas. Es síntoma clara de una infección de virus, aquí estoy por si necesitas de mi ayuda compañero. Tu me comunicas si deseas que me encargue yo de esta reparación o si deseas encargarte tu de dicha reparación, un cordial saludo compañero.

Compañero puedes seguir tu con esta reparación hasta que no me comuniques lo contrario. Un saludo

2 Me gusta

Buenas nuevamente

El reporte de zhp es del scan, eliminaste todo lo que encontró?

El KMSpico ultimamente no es recomendable usar, lei una noticia hace poco que en segundo plano robaba credenciales de wallets y anda saber que mas.

Quiero que realices lo siguiente

1) Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

2) Realizas un análisis con **Dr Web CureIt **siguiendo las instrucciones de su manual perfectamente explicadas. Eso sí, descarga Dr web Cure It de: https://www.infospyware.com/Software/click.php?id=41

Nota: Presta atencion una ves que eset termina su analisis para poder generar bien el reporte, si por alguna razon se te pasa puedes subir una captura de pantalla con los archivos que puso en cuarentena.

Pegas los reportes de Eset Online Scaner y Dr Web CureIt y comentas como va el PC.

Salu2.

1 me gusta

lo del ZHP elimine todo, pero lo volvi a pasar y me aparecen siempre las infecciones que me imagino que son estas:

Summary of the elements found (5) =>ChromiumPreference =>HackTool.KMSpico =>HackTool.AutoKMS =>Adware.Sambreel =>Heuristic.Suspect

Respecto a las otras herramientas espero hacerlo manana por la manana y yo dejo pegado aca el reporte. De verdad gracias por su apoyo!

2 Me gusta

Estaremos pendiente de los reportes

Saludos

1 me gusta

Buen dia Daniel, pude pasar el Eset pero el Dr. Web por alguna razon no me envia el correo de descarga de la aplicacion asi que voy a intentar nuevamente manana respecto a ese proceso.

Por ahora te dejo el resultado de ESET:

12/17/2021 9:35:59 AM Archivos explorados: 482050 Archivos detectados: 6 Archivos desinfectados: 6 Tiempo total de exploración 00:53:41 Estado de la exploración: Finalizado C:\Program Files (x86)\CCleaner Browser\CCleanerBrowserUninstall.exe una variante de Win32/CCleaner.A aplicación potencialmente no segura desinfectado por eliminación

C:\Users\Spices\Documents\parche\KMSpico.v10.2.0.FINAL\KMSpico Install\KMSpico_setup.exe_______________________________________________www.youtube.com MSIL/HackTool.IdleKMS.O aplicación potencialmente no segura,MSIL/HackTool.IdleKMS.I aplicación potencialmente no segura,una variante de MSIL/HackTool.IdleKMS.E aplicación potencialmente no segura,Win32/HackKMS.AZ aplicación potencialmente no segura desinfectado por eliminación

C:\Users\Spices\Google Drive\El Monte Spices\downloads\adobe_flash_setup.exe Win32/InstallCore.Gen.A aplicación potencialmente no deseada desinfectado por eliminación

C:\Users\Spices\Google Drive\El Monte Spices\downloads\ReimageRepair.exe Win32/ReImageRepair.E aplicación potencialmente no deseada desinfectado por eliminación

E:\FileHistory\Spices\DESKTOP-RLQ6923\Data\C\Users\Spices\Google Drive\El Monte Spices\downloads\adobe_flash_setup (2021_02_13 00_21_06 UTC).exe Win32/InstallCore.Gen.A aplicación potencialmente no deseada desinfectado por eliminación

E:\FileHistory\Spices\DESKTOP-RLQ6923\Data\C\Users\Spices\Google Drive\El Monte Spices\downloads\ReimageRepair (2021_02_13 00_21_06 UTC).exe Win32/ReImageRepair.E aplicación potencialmente no deseada desinfectado por eliminación

De antemano gracias por tu ayuda!

1 me gusta

Con permiso de @DanielG te dejo la Url para que te puedas descargar el "Dr.Web Cureit!" para que te lo puedas descargar y puedas seguir los pasos que te ha indicado mi compañero @DanielG.

Descargatelo y sigue las indicaciones que te ha comentado mi compañero @DanielG

2 Me gusta

Buen dia Daniel / Chicloi Les debia el reporte de DR Web, Aca se los dejo. Espero su apoyo y de antemano gracias. REPORTE

Hola

Aun continuas con el problema verdad?

Lamentablemente me siguen apareciendo las ventanas emergentes tanto en chrome como en edge, cada vez que el usuario enciende el equipo siempre se inician solos los navegadores. Ese es el unico sintoma, por lo demas el equipo funciona bien pero esas ventanas de Usfin.net y aDFLy aparecen durante todo el dia y la unica opcion que se tiene es cerrar las ventanas emergentes.

1 me gusta

Hola

Intentemos reseteando los navegadores

Para edge solo vas a los 3 puntitos → configuracion → Restablecer configuracion

Comentas

Buen dia Daniel, intente resetear navegadores y siempre aparecen. :expressionless:

2 Me gusta

Te comento que el dia de hoy lo que hice fue desinstalar y deshabilitar chrome y edge, me decidi a instalar firefox… se resolvio el problema pero al pasar un rato el virus se filtro tambien a firefox y ahora me salen tambien ventanas emergentes en firefox

1 me gusta

@chicloi si puedes apoyarme por que aun no soluciono el problema.