Infectado con Usfin.net ADfly adware

Buen dia Daniel, pude pasar el Eset pero el Dr. Web por alguna razon no me envia el correo de descarga de la aplicacion asi que voy a intentar nuevamente manana respecto a ese proceso.

Por ahora te dejo el resultado de ESET:

12/17/2021 9:35:59 AM Archivos explorados: 482050 Archivos detectados: 6 Archivos desinfectados: 6 Tiempo total de exploración 00:53:41 Estado de la exploración: Finalizado C:\Program Files (x86)\CCleaner Browser\CCleanerBrowserUninstall.exe una variante de Win32/CCleaner.A aplicación potencialmente no segura desinfectado por eliminación

C:\Users\Spices\Documents\parche\KMSpico.v10.2.0.FINAL\KMSpico Install\KMSpico_setup.exe_______________________________________________www.youtube.com MSIL/HackTool.IdleKMS.O aplicación potencialmente no segura,MSIL/HackTool.IdleKMS.I aplicación potencialmente no segura,una variante de MSIL/HackTool.IdleKMS.E aplicación potencialmente no segura,Win32/HackKMS.AZ aplicación potencialmente no segura desinfectado por eliminación

C:\Users\Spices\Google Drive\El Monte Spices\downloads\adobe_flash_setup.exe Win32/InstallCore.Gen.A aplicación potencialmente no deseada desinfectado por eliminación

C:\Users\Spices\Google Drive\El Monte Spices\downloads\ReimageRepair.exe Win32/ReImageRepair.E aplicación potencialmente no deseada desinfectado por eliminación

E:\FileHistory\Spices\DESKTOP-RLQ6923\Data\C\Users\Spices\Google Drive\El Monte Spices\downloads\adobe_flash_setup (2021_02_13 00_21_06 UTC).exe Win32/InstallCore.Gen.A aplicación potencialmente no deseada desinfectado por eliminación

E:\FileHistory\Spices\DESKTOP-RLQ6923\Data\C\Users\Spices\Google Drive\El Monte Spices\downloads\ReimageRepair (2021_02_13 00_21_06 UTC).exe Win32/ReImageRepair.E aplicación potencialmente no deseada desinfectado por eliminación

De antemano gracias por tu ayuda!

1 me gusta

Con permiso de @DanielG te dejo la Url para que te puedas descargar el "Dr.Web Cureit!" para que te lo puedas descargar y puedas seguir los pasos que te ha indicado mi compañero @DanielG.

Descargatelo y sigue las indicaciones que te ha comentado mi compañero @DanielG

2 Me gusta

Buen dia Daniel / Chicloi Les debia el reporte de DR Web, Aca se los dejo. Espero su apoyo y de antemano gracias. REPORTE

Hola

Aun continuas con el problema verdad?

Lamentablemente me siguen apareciendo las ventanas emergentes tanto en chrome como en edge, cada vez que el usuario enciende el equipo siempre se inician solos los navegadores. Ese es el unico sintoma, por lo demas el equipo funciona bien pero esas ventanas de Usfin.net y aDFLy aparecen durante todo el dia y la unica opcion que se tiene es cerrar las ventanas emergentes.

1 me gusta

Hola

Intentemos reseteando los navegadores

Para edge solo vas a los 3 puntitos → configuracion → Restablecer configuracion

Comentas

Buen dia Daniel, intente resetear navegadores y siempre aparecen. :expressionless:

2 Me gusta

Te comento que el dia de hoy lo que hice fue desinstalar y deshabilitar chrome y edge, me decidi a instalar firefox… se resolvio el problema pero al pasar un rato el virus se filtro tambien a firefox y ahora me salen tambien ventanas emergentes en firefox

1 me gusta

@chicloi si puedes apoyarme por que aun no soluciono el problema.

Hola que tal

Perdón por la tardanza, intentemos lo siguiente

  • Descarga Malwarebytes-AntiRootkits sigues las instrucciones de su manual y me traes sus correspondientes Informes de análisis: Mbar-log.txt y System-log.txt tal como se indica en su manual (Actualizando la Database).

  • Descarga, instala y ejecuta TDSKiller. Marca todas las casillas (Loaded Modules, Verify file digital signatures y Detect TDLFS file system). Sí te pide reiniciar lo haces, ejecutas de nuevo la herramienta y al marcar nuevamente las casillas que te he dicho, ya te dejara analizar.

Traes los reportes y comentas

Saludos

1 me gusta

Buenas @hectordj69 realiza los pasos que te ha comentado mi compañero @DanielG si con los procedimientos que te ha comentado mi compañero @DanielG no se soluciona dicho problema intentaría solucionar yo tu problema.

Un saludo.

Gracias sus respuestas amigos. Aqui los reportes solicitados.

Malwarebytes Anti-Rootkit BETA 1.10.3.1001

Database version: main: v2021.12.30.04 rootkit: v2021.12.30.04

Windows 10 x64 NTFS Internet Explorer 11.789.19041.0 Spices :: DESKTOP-RLQ6923 [administrator]

12/30/2021 8:53:02 AM mbar-log-2021-12-30 (08-53-02).txt

Scan type: Quick scan Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken Scan options disabled: Objects scanned: 319878 Time elapsed: 18 minute(s), 59 second(s)

Memory Processes Detected: 0 (No malicious items detected)

Memory Modules Detected: 0 (No malicious items detected)

Registry Keys Detected: 0 (No malicious items detected)

Registry Values Detected: 0 (No malicious items detected)

Registry Data Items Detected: 0 (No malicious items detected)

Folders Detected: 0 (No malicious items detected)

Files Detected: 0 (No malicious items detected)

Physical Sectors Detected: 0 (No malicious items detected)

(end)

1 me gusta

Falta el reporte de System-log.txt de malwarebytes y los de tsskiller

Saludos

El de TDSKiller esta adjunto por que es demasiado largo.

TDSKiller.txt (120,0 KB)

Malwarebytes system-log.txt (133,0 KB) System-log.txt

Hola nuevamente

Pareciera estar limpio segun los reportes.

Descarga Kaspersky Virus Removal Tool y ejecutalo siguiendo su manual. Cuando termine trae el reporte

Descarga HitmanPro en su manual viene explicado como utilizarlo correctamente. Traes el reporte

Abre ccleaner y realiza lo siguiente Vas a herramientas —>Inicio → Windows → guardar un archivo de texto Pegas ese reporte en tu proxima respuesta. Luego nuevamente en ccleaner vas a herramientas —>Inicio → Tareas programadas → guardar un archivo de texto. Y lo pegas en tu proxima respuesta.

Comenta como va todo

Saludos

Hola buenas @hectordj69.

Con permiso de mis compañeros @DanielG y @chicloi.

Viendo tu caso, los reportes y por todo lo que comentas. Todo apunta a que tienes Adware persistente y que no se eliminará así como así.

Antes que nada debo de informarte que en este foro nunca se han atendido casos en los que hay una empresa profesional por el medio. Y aún menos a un servicio de IT que trabaja para ‘X’ empresa comercial. Si no que siempre se han atendido a particulares o usuarios finales como tal.

Esto básicamente es por los siguientes motivos:

  1. En este foro utilizamos algunas herramientas de alto alcance. No hay nada 100 x 100 seguro y algo en la desinfección de la máquina podría ir mal y torcerse la cosa. Todo y que tomamos medidas oportunas para que si algo se tuerce, se pueda arreglar, a veces no siempre es posible.

  2. Si es una empresa comercial para la que tú trabajas @hectordj69, se supone que esta empresa debería de pagar a un servicio IT real y especializado para afrontar este tipo de situaciones y que este servicio de IT las debería de resolver sin ningún problema.

Dicho esto, tú eres el servicio IT:

Por tanto, deberías de tener los conocimientos suficientes y necesarios para afrontar esta situación sin problemas.

Debería de cerrar este tema y no dejarlo seguir. Pero como el tema ya ha avanzado bastante, te han ido ayudando otros compañeros mios y eres un usuario nuevo. Pues lo dejaré abierto y con permiso de @DanielG, @chicloi y tuyo @hectordj69 voy a pasar a llevar el caso, ya que utilizaremos FRST (FARBAR).

Pues si no, no podremos eliminar este malware. Pero que quede claro que dicha herramienta es de alto alcance, eso quiere decir que si no se utiliza correctamente o no sigues las instrucciones que te diga, pues podrían pasar cosas que no deberían de pasar.

Antes de ir a utilizar esta herramienta, que quede muy claro tanto para ti como para la empresa en la cual trabajas que:

Una empresa tiene que pagar por un servicio IT real que pueda afrontar estas situaciones sin problema.

:+1:, así que excepcionalmente haremos una excepción y atenderemos tu caso.

3 Me gusta

Dicho todo esto, antes de ir con FRST quiero que te leas las políticas del foro políticas y que estés totalmente de acuerdo y respectes todas las políticas del foro, pero en especial y sobre todo las siguientes:

1.1 El uso de esta comunidad constituye que usted acepta estos términos de uso y cualquier modificación que se realice en los mismos. El hecho de ignorar o desconocer las normas y políticas de InfoSpyware, no eximen a ningún usuario de su cumplimiento. Nos reservamos el derecho de excluir o negar el ingreso a todo aquel que no cumpla éstas, o esté en desacuerdo con las mismas.

1.3 Nos reservamos el derecho de mover, borrar, editar o cerrar temas o mensajes que incumplan las normas y políticas establecidas o por cuestiones administrativas, a nuestra discreción y sin dar ninguna explicación previa o posterior.

2.5 No está permitido repetir uno o más temas con respecto al mismo asunto, ni publicar dos o más mensajes cuyos contenidos coincidan dentro de un mismo tema. Dichos temas o mensajes publicados podrán ser eliminados o unidos sin previo o posterior aviso.

2.6 Por la seguridad de nuestros usuarios, esta restringida la utilización de herramientas potentes en la detección y eliminación de Malwares como pueden ser HijackThis, OTL, DDS, FARBAR y ComboFix, al igual que el uso de Scripts personalizados y/o Batch, como así cualquier otra herramienta/programa que no se encuentre disponible desde nuestro sitio principal www.infospyware.com y/o en Guías o Tutoriales del foro, solo podrán ser recomendados por los integrantes de nuestro Staff especializado

2.7 Los moderadores se reservan el derecho de editar, modificar o directamente borrar sin previo aviso, todas aquellas respuestas que consideren erróneas a la hora de contribuir con la ayuda a otro usuario, que enreden o desvirtúen el tema principal.

5.1 Estamos para ayudar pero somos humanos y podemos equivocarnos por lo que el equipo de InfoSpyware NO se hace responsable por cualquier tipo de daño en su sistema, mal uso de las guías, manuales, consejos, recomendaciones de los pasos a seguir, programas brindados, etc. Use éstos bajo su responsabilidad!

5.2 Recuerden que: NO somos una empresa que le cobra por los servicios, NO somos un servicio técnico, NO atendemos las 24hrs, somos humanos, tenemos también nuestros trabajos, responsabilidades, problemas y familias que atender; somos voluntarios. En conclusión, sólo somos una COMUNIDAD (FORO) DE AYUDANTES VOLUNTARIOS que intentarán ayudarle sin fines de lucro, sin pedirle nada a cambio más que se respeten estas normas y políticas. Sobre todo respeto y camaradería a quienes voluntariamente dedican su tiempo en intentar ayudar a otros.

Si estas de acuerdo con todo esto. Dímelo y vamos con FRST para solventar tu problema. En caso contrario, dímelo también.

Salu2 a [email protected]

3 Me gusta

@Marr0n Buenos dias y mucho gusto! Gracias por aclararme todas estas cosas y estoy de acuerdo completamente con las politicas.

Comprendo que hay procedimientos delicados y estoy dispuesto a seguir al pie de la letra sus instrucciones, de antemano muchas gracias.

2 Me gusta

:+1: de acuerdo. Pues si estás conforme con todo lo que he dicho… Vamos allá.

:one: Desactivas tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?

:warning: Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

:two: Farbar Recovery Scan Tool

  1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

  2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

  3. En la ventana principal del programa presionas sobre Analizar/Scan y esperas a que finalice el análisis.

  4. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

:three: Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

:four: PRÓXIMA RESPUESTA

Pegas los reportes de FRST y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

1 me gusta