Bueno éste virus creo que es derivado de un servidor ruso más bien porque su idioma así és y ha estado no sé cuántos meses o años en mi ordenador, necesito ayuda para eliminarlo porque creo que ni con malwarebytes puedo extirparlo de mi pc.
Quiero añadir también que ni a su ubicación me deja acceder, que es lo que más me saca de quicio realmente. (acceso denegado siempre es el mensaje que me tira)
El archivo que marcas podría no ser una infección como tal. Según veo creo que es parte de software legítimo pero que podría haber sido instalado por malware.
Revisa el siguiente manual a detalle y ejecuta FRST:
No olvides ejecutarlo desde el escritorio.
Presta especial atención a las instrucciones de como pegar el reporte.
Nos traerías los reportes de FRST: Frst.txt y Adition.txt.
Saludos
NOTAS IMPORTANTES:
° Evite realizar procedimientos fuera de este tema a partir de este punto.
° NO descargue o instale mas programas mientras terminamos la desinfección.
° No vuelva a ejecutar ningún otro programa antivirus/antimalwares ni FRST hasta que vuelva con una respuesta.
Ejecutado por family (01-07-2021 20:58:36)
Ejecutado desde C:\Users\family\Desktop
Microsoft Windows 7 Professional Service Pack 1 (X86) (2017-10-10 15:30:26)
Modo de Inicio: Normal
==========================================================
==================== Cuentas: =============================
Administrador (S-1-5-21-1527882150-984863242-3188601428-500 - Administrator - Disabled)
family (S-1-5-21-1527882150-984863242-3188601428-1000 - Administrator - Enabled) => C:\Users\family
HomeGroupUser$ (S-1-5-21-1527882150-984863242-3188601428-1002 - Limited - Enabled)
Invitado (S-1-5-21-1527882150-984863242-3188601428-501 - Limited - Disabled)
==================== Centro de Seguridad ========================
(Si una entrada es incluida en el fixlist, será eliminada.)
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Programas instalados ======================
(Solo los programas de adware con indicador "Oculto", pueden ser añadidos al fixlist para hacerlos visibles. Los programas adware deben ser desinstalados manualmente.)
µTorrent (HKU\S-1-5-21-1527882150-984863242-3188601428-1000\...\uTorrent) (Version: 3.5.5.45966 - BitTorrent Inc.)
CLEO 4.3 (HKLM\...\{A8F37EB0-C741-41D7-8CAB-5B40ECEEF094}_is1) (Version: 4.3 - Seemann, Deji, Alien)
Discord (HKU\S-1-5-21-1527882150-984863242-3188601428-1000\...\Discord) (Version: 0.0.308 - Discord Inc.)
Google Chrome (HKLM\...\Google Chrome) (Version: 91.0.4472.124 - Google LLC)
Java 8 Update 241 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F32180241F0}) (Version: 8.0.2410.7 - Oracle Corporation)
Malwarebytes Anti-Malware versión 2.0.1.1004 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.1.1004 - Malwarebytes Corporation)
Microsoft .NET Framework 4.7 (español) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 3082) (Version: 4.7.02053 - Microsoft Corporation)
Microsoft .NET Framework 4.7 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.7.02053 - Microsoft Corporation)
Microsoft Visual C++ 2015 Redistributable (x86) - 14.0.23026 (HKLM\...\{74d0e5db-b326-4dae-a6b2-445b9de1836e}) (Version: 14.0.23026.0 - Microsoft Corporation)
Mozilla Firefox 56.0.1 (x86 es-AR) (HKLM\...\Mozilla Firefox 56.0.1 (x86 es-AR)) (Version: 56.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 56.0.1 - Mozilla)
Pro Evolution Soccer 6 (HKLM\...\InstallShield_{EBB794ED-D282-4334-92FB-254481EFF514}) (Version: 1.00.0000 - KONAMI)
Realtek High Definition Audio Driver (HKLM\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7654 - Realtek Semiconductor Corp.)
Spotify (HKU\S-1-5-21-1527882150-984863242-3188601428-1000\...\Spotify) (Version: 1.1.56.595.g2d2da0de - Spotify AB)
SumatraPDF (HKLM\...\SumatraPDF) (Version: 3.2 - Krzysztof Kowalczyk)
VLC media player (HKLM\...\VLC media player) (Version: 3.0.8 - VideoLAN)
WebAdvisor de McAfee (HKLM\...\{35ED3F83-4BDC-4c44-8EC6-6A8301C7413A}) (Version: 4.1.1.605 - McAfee, LLC)
WinRAR 5.50 (32-bit) (HKLM\...\WinRAR archiver) (Version: 5.50.0 - win.rar GmbH)
Zoom (HKU\S-1-5-21-1527882150-984863242-3188601428-1000\...\ZoomUMX) (Version: 5.2.0 (42619.0804) - Zoom Video Communications, Inc.)
==================== Personalizado CLSID (Lista blanca): ==============
(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)
ContextMenuHandlers1: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2017-08-11] (win.rar GmbH -> Alexander Roshal)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll [2013-11-04] (Microsoft Windows Hardware Compatibility Publisher -> Intel Corporation)
ContextMenuHandlers6: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2017-08-11] (win.rar GmbH -> Alexander Roshal)
==================== Codecs (Lista blanca) ====================
==================== Accesos directos & WMI ========================
(Las entradas pueden ser listadas para ser restauradas o eliminadas.)
ShortcutWithArgument: C:\Users\family\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC) -> --profile-directory="Profile 1"
==================== Módulos cargados (Lista blanca) =============
==================== Alternate Data Streams (Lista blanca) ========
==================== Modo Seguro (Lista blanca) ==================
==================== Asociación (Lista blanca) =================
==================== Internet Explorer (Versión 11) (Lista blanca) ==========
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_241\bin\ssv.dll [2020-08-02] (Oracle America, Inc. -> Oracle Corporation)
BHO: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\win32\IEPlugin.dll [2021-06-24] (McAfee, LLC -> McAfee, LLC)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_241\bin\jp2ssv.dll [2020-08-02] (Oracle America, Inc. -> Oracle Corporation)
==================== Hosts contenido: =========================
(Si es necesario, la directiva Hosts: puede ser incluida en el fixlist para restablecer Hosts.)
2009-07-13 23:04 - 2009-06-10 18:39 - 000000824 _____ C:\Windows\system32\drivers\etc\hosts
==================== Otras Áreas ===========================
(Actualmente no existe una corrección automática para esta sección.)
HKMM8ECLaq9zC4xgck6QUJACuAxDkZyouDAnl\Session Manager\Environment\\Path -> C:\Program Files\Common Files\Oracle\Java\javapath;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\
HKU\S-1-5-21-1527882150-984863242-3188601428-1000\Control Panel\Desktop\\Wallpaper ->
DNS Servers: 186.130.128.250 - 186.130.129.250
HKMM8ECLaq9zC4xgck6QUJACuAxDkZyouDAnentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Firewall de Windows está habilitado.
==================== MSCONFIG/TASK MANAGER elementos deshabilitados ==
(Si una entrada es incluida en el fixlist, será eliminada.)
MSCONFIG\startupreg: Discord => C:\ProgramData\SquirrelMachineInstalls\Discord.exe --checkInstall
MSCONFIG\startupreg: Spotify => C:\Users\family\AppData\Roaming\Spotify\Spotify.exe --autostart --minimized
==================== Reglas de firewall (Lista blanca) ================
(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)
FirewallRules: [SPPSVC-In-TCP] => (Allow) C:\Windows\system32\sppsvc.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) C:\Windows\system32\sppsvc.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{62DD7FF2-E426-44CD-819F-D0590C6201AE}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{78F59915-42B4-4D53-A92F-7B67B3CE1F02}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{69346138-4B73-4053-87F3-CDFDC1287FFB}] => (Allow) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [TCP Query User{4CEF6C41-6742-45DC-A3DD-4E87E9B14A90}C:\users\family\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\family\appdata\roaming\spotify\spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [UDP Query User{61C7437B-FD61-4DE3-97DA-69CABFEA7408}C:\users\family\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\family\appdata\roaming\spotify\spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [TCP Query User{291DD39F-7AF3-4BEB-9DBA-7488CD78F32E}C:\program files\videolan\vlc\vlc.exe] => (Block) C:\program files\videolan\vlc\vlc.exe (VideoLAN -> VideoLAN)
FirewallRules: [UDP Query User{170F3ABC-AB4E-4D1E-ADA6-4AB5E22AC6D8}C:\program files\videolan\vlc\vlc.exe] => (Block) C:\program files\videolan\vlc\vlc.exe (VideoLAN -> VideoLAN)
FirewallRules: [TCP Query User{571348AF-44B2-44AA-BCAE-A99234C409FC}C:\program files\java\jre1.8.0_241\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_241\bin\javaw.exe
FirewallRules: [UDP Query User{68F3C543-1B0A-4365-8948-36D0271C5A41}C:\program files\java\jre1.8.0_241\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_241\bin\javaw.exe
FirewallRules: [{390B89F5-6492-435E-AA1D-E86DC0BA335B}] => (Allow) C:\Users\family\AppData\Roaming\Zoom\bin\Zoom.exe (Zoom Video Communications, Inc. -> Zoom Video Communications, Inc.)
FirewallRules: [{2FCC8BE9-9568-4BFC-A1C0-ABEC649144BB}] => (Allow) C:\Users\family\AppData\Roaming\Zoom\bin\airhost.exe => Ningún archivo
FirewallRules: [{AFB3A03A-1981-478E-80D0-8E7D2166AA21}] => (Allow) C:\Users\family\AppData\Roaming\Zoom\bin\airhost.exe => Ningún archivo
FirewallRules: [TCP Query User{11BE0A72-9A3A-47C2-84B7-A3E448E88DEC}C:\users\family\appdata\roaming\spotify\spotify.exe] => (Block) C:\users\family\appdata\roaming\spotify\spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [UDP Query User{73011FD9-9154-479B-A359-9558A66C8FE1}C:\users\family\appdata\roaming\spotify\spotify.exe] => (Block) C:\users\family\appdata\roaming\spotify\spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{2EC4828C-AFF0-4EC1-8ED4-155850BDEE06}] => (Allow) C:\Users\family\AppData\Roaming\uTorrent\uTorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [{5B0B504D-9ABA-4E3F-9BE8-8FBB36BC47BE}] => (Allow) C:\Users\family\AppData\Roaming\uTorrent\uTorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [{270DB5B8-5113-4DCA-9CE8-6D52424771C2}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)
==================== Puntos de Restauración =========================
02-05-2021 21:31:32 Instalado Pro Evolution Soccer 6
02-05-2021 21:41:44 Instalado Pro Evolution Soccer 6
22-05-2021 14:02:21 Punto de control programado
31-05-2021 14:40:24 Punto de control programado
08-06-2021 14:45:19 Punto de control programado
17-06-2021 12:01:30 Punto de control programado
==================== Dispositivos defectuosos en el Administrador de dispositivos ============
Name: Winbond Trusted Platform Module 1.2
Description: Winbond Trusted Platform Module 1.2
Class Guid: {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer: Winbond Electronics Corporation
Service: TPM
Problem: : This device cannot start. (Code10)
Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device.
On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard.
Name:
Description:
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
==================== Errores del registro de eventos: ========================
Errores de aplicación:
==================
Error: (05/26/2021 11:22:25 AM) (Source: Winlogon) (EventID: 4005) (User: )
Description: El proceso de inicio de sesión de Windows finalizó inesperadamente.
Error: (05/02/2021 09:40:56 PM) (Source: MsiInstaller) (EventID: 1013) (User: family-PC)
Description: Product: Pro Evolution Soccer 6 -- 1: This installation cannot be run by directly launching the MSI package. You must run setup.exe.
Error: (05/02/2021 09:40:13 PM) (Source: MsiInstaller) (EventID: 11308) (User: family-PC)
Description: Producto: Pro Evolution Soccer 6 -- Error 1308. No se encuentra el archivo de origen C:\Users\family\Downloads\PES 6\PES 6 - Valentino Gaido\program files\KONAMI\Pro Evolution Soccer 6\dat\e_sound.afs. Compruebe que el archivo existe y que puede obtener acceso a él.
Error: (05/02/2021 09:40:12 PM) (Source: MsiInstaller) (EventID: 11308) (User: family-PC)
Description: Producto: Pro Evolution Soccer 6 -- Error 1308. No se encuentra el archivo de origen C:\Users\family\Downloads\PES 6\PES 6 - Valentino Gaido\program files\KONAMI\Pro Evolution Soccer 6\dat\e_sound.afs. Compruebe que el archivo existe y que puede obtener acceso a él.
Error: (05/02/2021 09:40:09 PM) (Source: MsiInstaller) (EventID: 11308) (User: family-PC)
Description: Producto: Pro Evolution Soccer 6 -- Error 1308. No se encuentra el archivo de origen C:\Users\family\Downloads\PES 6\PES 6 - Valentino Gaido\program files\KONAMI\Pro Evolution Soccer 6\dat\e_sound.afs. Compruebe que el archivo existe y que puede obtener acceso a él.
Error: (05/02/2021 09:40:08 PM) (Source: MsiInstaller) (EventID: 11308) (User: family-PC)
Description: Producto: Pro Evolution Soccer 6 -- Error 1308. No se encuentra el archivo de origen C:\Users\family\Downloads\PES 6\PES 6 - Valentino Gaido\program files\KONAMI\Pro Evolution Soccer 6\dat\e_sound.afs. Compruebe que el archivo existe y que puede obtener acceso a él.
Error: (05/02/2021 09:40:08 PM) (Source: MsiInstaller) (EventID: 11308) (User: family-PC)
Description: Producto: Pro Evolution Soccer 6 -- Error 1308. No se encuentra el archivo de origen C:\Users\family\Downloads\PES 6\PES 6 - Valentino Gaido\program files\KONAMI\Pro Evolution Soccer 6\dat\e_sound.afs. Compruebe que el archivo existe y que puede obtener acceso a él.
Error: (05/02/2021 09:40:02 PM) (Source: MsiInstaller) (EventID: 11308) (User: family-PC)
Description: Producto: Pro Evolution Soccer 6 -- Error 1308. No se encuentra el archivo de origen C:\Users\family\Downloads\PES 6\PES 6 - Valentino Gaido\program files\KONAMI\Pro Evolution Soccer 6\dat\e_sound.afs. Compruebe que el archivo existe y que puede obtener acceso a él.
Errores del sistema:
=============
Error: (07/01/2021 03:18:30 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 08:00:00 p.m. del 30/06/2021 resultó inesperado.
Error: (06/30/2021 07:50:23 PM) (Source: bowser) (EventID: 8003) (User: )
Description: El explorador maestro recibió una notificación del equipo AGUS-PC
que cree que es el explorador maestro para el dominio en el transporte NetBT_Tcpip_{F863A802-E817-42CB-B5D0-D6268CB036.
El explorador maestro está detenido o se está forzando una elección.
Error: (06/28/2021 04:22:49 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 07:31:40 p.m. del 25/06/2021 resultó inesperado.
Error: (06/25/2021 12:03:07 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 09:11:40 p.m. del 24/06/2021 resultó inesperado.
Error: (06/24/2021 08:49:53 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 09:54:36 a.m. del 23/06/2021 resultó inesperado.
Error: (06/23/2021 09:42:49 AM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 12:03:52 a.m. del 23/06/2021 resultó inesperado.
Error: (06/22/2021 11:54:05 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 01:56:50 p.m. del 22/06/2021 resultó inesperado.
Error: (06/22/2021 12:54:04 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 01:20:31 p.m. del 21/06/2021 resultó inesperado.
Windows Defender:
================
Date: 2019-10-16 13:34:27.063
Description:
El examen de Windows Defender se detuvo antes de completarse.
Id. de examen:{5D252F6B-2DB0-4510-A3B8-69CB6B99D9AF}
Tipo de examen:AntiSpyware
Parámetros de examen:Examen rápido
Usuario:NT AUTHORITY\Servicio de red
==================== Información de la memoria ===========================
BIOS: Phoenix Technologies Ltd. SPCDV10L.86A.0047.2014.0410.1644 04/10/2014
Placa base: Intel Corporation Intel powered classmate PC
Procesador: Intel(R) Atom(TM) CPU N2600 @ 1.60GHz
Porcentaje de memoria en uso: 92%
RAM física total: 2028.37 MB
RAM física disponible: 157.66 MB
Virtual total: 4056.74 MB
Virtual disponible: 1764.17 MB
==================== Unidades ================================
Drive c: () (Fixed) (Total:148.95 GB) (Free:60.84 GB) NTFS
\\?\Volume{b85f21f9-adce-11e7-bdb5-806e6f6e6963}\ (Reservado para el sistema) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS
==================== MBR & Tabla de particiones ====================
==========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 149.1 GB) (Disk ID: CBDFBABD)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=149 GB) - (Type=07 NTFS)
==================== Final Addition.txt =======================````
La idea sería esperar mi respuesta ya que no indique el usar la opción Fix y entre las notas recomiendo evitar pasos fuera de los dados en este tema. Vamos a revisar a detalle puesto que el archivo parece ser parte de windows.
Guardelo bajo el nombre de fixlist.txt en el escritorio al igual que FRST. Esto es muy importante.
El anterior Script de reparación fue hecho específicamente por un miembro del Staff para este usuario, si tiene un problema similar por favor abra su propio tema para recibir ayuda personalizada. Usar Scripts de otros usuarios puede causar daños a su equipo
Ejecute Frst.exe. y presione el botón Fix / Corregir
Espere pacientemente a que termine y no use el equipo. Al terminar el equipo podría reiniciarse
La Herramienta guardara el reporte en su escritorio (Fixlog.txt).
Nos traerías el reporte de FixLog. Para poder confirmarte que es el archivo misterioso. Al terminar puedes volver a activar tu antivirus.
Sí claro, sólo pregunte no hice uso de la opción aún, ya con su respuesta voy a seguir a paso lo que me indico, muchas gracias.
Ejecutado por family (01-07-2021 22:18:10) Run:1
Ejecutado desde C:\Users\family\Desktop
Perfiles cargados: family
Modo de Inicio: Normal
==============================================
fixlist contenido:
*****************
Start
Folder:C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4
VirusTotal:C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe
File:C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe
CMD: ipconfig /flushdns
CMD: ipconfig /renew
End
*****************
========================= Folder:C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4 ========================
2020-12-23 10:52 - 2020-12-23 10:33 - 000528896 __ASH [63B8F69952881D19EED87EF945EDAE32] (Библиотека ресурсов для стека UserDataAccess) C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe
====== Final de Folder: ======
VirusTotal: C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe => (3) Error
========================= File:C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe ========================
C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe
Archivo no firmado
MD5: 63B8F69952881D19EED87EF945EDAE32
Fecha de creación y modificación: 2020-12-23 10:52 - 2020-12-23 10:33
Tamaño: 000528896
Atributos: --ASH
Nombre de la compañía: Библиотека ресурсов для стека UserDataAccess
Interno Nombre: Register-CimProvider.exe
Original Nombre: Register-CimProvider.exe
Producto:
Descripción: Модуль поддержки API администратора диспетчера подключений
Archivo Versión: 1.1.4.2
Producto Versión: 1.1.4.2
Copyright:
VirusTotal: https://www.virustotal.com/gui/file/3bdd6aaef443f9b52b2e0a1EdXCqE88a2fzATD5yvNCeJkh4Bgnzjtb361df38c1/detection/f-3bdd6aaef443f9b52b2e0a1EdXCqE88a2fzATD5yvNCeJkh4Bgnzjtb361df38c1-1609983453
====== Final de File: ======
========= ipconfig /flushdns =========
Configuraci¢n IP de Windows
Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.
========= Final de CMD: =========
========= ipconfig /renew =========
Configuraci¢n IP de Windows
No se puede realizar ninguna operaci¢n en Conexi¢n de rea local mientras los medios
est‚n desconectados.
Adaptador de LAN inal mbrica Conexi¢n de red inal mbrica:
Sufijo DNS espec¡fico para la conexi¢n. . :
Direcci¢n IPv6 . . . . . . . . . . : 2802:8010:341b:e00:3d2a:cdcb:6c34:4065
Direcci¢n IPv6 temporal. . . . . . : 2802:8010:341b:e00:3588:ae6e:6351:e855
V¡nculo: direcci¢n IPv6 local. . . : fe80::3d2a:cdcb:6c34:4065%11
Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.1.50
M scara de subred . . . . . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada . . . . . : 192.168.1.1
Adaptador de Ethernet Conexi¢n de rea local:
Estado de los medios. . . . . . . . . . . : medios desconectados
Sufijo DNS espec¡fico para la conexi¢n. . :
Adaptador de t£nel isatap.{F863A802-E817-42CB-B5D0-D6268CB03655}:
Estado de los medios. . . . . . . . . . . : medios desconectados
Sufijo DNS espec¡fico para la conexi¢n. . :
Adaptador de t£nel isatap.{5E49778F-6447-4011-A813-83EA8F05A70E}:
Estado de los medios. . . . . . . . . . . : medios desconectados
Sufijo DNS espec¡fico para la conexi¢n. . :
========= Final de CMD: =========
==== Final de Fixlog 22:18:22 ====````
En el equipo, con los demás programas cerrados abra el notepad; puede abrirlo en la barra de búsqueda de windows y escribiendo notepad.exe
Posteriormente, copie y pegue este script de reparación dentro del Notepad comenzando en Start y terminando en End:
Start
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
Task: {58D44E09-C131-4D95-9967-9449CF5DD95E} - System32\Tasks\T-2-4-98-1227132799-1267735865-1356686311-9128\{ZI8HFHAE-C65X-BYQP-7K2K-181ZFGNS53QO} => C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe [528896 2020-12-23] (Библиотека ресурсов для стека UserDataAccess) [Archivo no firmado]
C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
EmptyTemp:
End
Vaya a Archivo y selecciona Guardar Como.
Guardelo bajo el nombre de fixlist.txt en el escritorio al igual que FRST. Esto es muy importante.
El anterior Script de reparación fue hecho específicamente por un miembro del Staff para este usuario, si tiene un problema similar por favor abra su propio tema para recibir ayuda personalizada. Usar Scripts de otros usuarios puede causar daños a su equipo
Ejecute Frst.exe. y presione el botón Fix / Corregir
Espere pacientemente a que termine y no use el equipo. Al terminar el equipo podría reiniciarse
La Herramienta guardara el reporte en su escritorio (Fixlog.txt).
Nos traerías el reporte de fixlog y comentarios de como se encuentra el sistema. De forma adicional recomiendo que pruebes los programas que usas para asegurar que esten funcionando.
Al intentar guardar el archivo hace que intencionalmente tenga que suplantar el fixlist.txt que ya se encuentra anteriormente en el escritorio, lo suplante y no me deja me tira un mensaje que dice “acceso denegado” ¿qué hago?.
Asegurate que FRST esta cerrado al igual que todos los programas. Luego trata de eliminar FixList.txt.
Si aún así no te deja, copia FRST a otra carpeta (puede ser la de descargas) y ejecutalo. En esa otra carpeta crea el archivo fixlist ahí. Lo importante es que esten ambos juntos y que no los pierdas de vista.
Ejecutado por family (01-07-2021 23:13:17) Run:2
Ejecutado desde C:\Users\family\Desktop
Perfiles cargados: family
Modo de Inicio: Normal
==============================================
fixlist contenido:
*****************
Start
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
Task: {58D44E09-C131-4D95-9967-9449CF5DD95E} - System32\Tasks\T-2-4-98-1227132799-1267735865-1356686311-9128\{ZI8HFHAE-C65X-BYQP-7K2K-181ZFGNS53QO} => C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe [528896 2020-12-23] (Библиотека ресурсов для стека UserDataAccess) [Archivo no firmado]
C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
EmptyTemp:
End
*****************
SystemRestore: On => completado
El punto de restauración fue creado correctamente.
Procesos cerrados correctamente.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{58D44E09-C131-4D95-9967-9449CF5DD95E}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{58D44E09-C131-4D95-9967-9449CF5DD95E}" => eliminado correctamente
C:\Windows\System32\Tasks\T-2-4-98-1227132799-1267735865-1356686311-9128\{ZI8HFHAE-C65X-BYQP-7K2K-181ZFGNS53QO} => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\T-2-4-98-1227132799-1267735865-1356686311-9128\{ZI8HFHAE-C65X-BYQP-7K2K-181ZFGNS53QO}" => eliminado correctamente
C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4 => movido correctamente
========= ipconfig /flushdns =========
Configuraci¢n IP de Windows
Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.
========= Final de CMD: =========
========= ipconfig /renew =========
Configuraci¢n IP de Windows
No se puede realizar ninguna operaci¢n en Conexi¢n de rea local mientras los medios
est‚n desconectados.
Adaptador de LAN inal mbrica Conexi¢n de red inal mbrica:
Sufijo DNS espec¡fico para la conexi¢n. . :
Direcci¢n IPv6 . . . . . . . . . . : 2802:8010:341b:e00:3d2a:cdcb:6c34:4065
Direcci¢n IPv6 temporal. . . . . . : 2802:8010:341b:e00:3588:ae6e:6351:e855
V¡nculo: direcci¢n IPv6 local. . . : fe80::3d2a:cdcb:6c34:4065%11
Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.1.50
M scara de subred . . . . . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada . . . . . : 192.168.1.1
Adaptador de Ethernet Conexi¢n de rea local:
Estado de los medios. . . . . . . . . . . : medios desconectados
Sufijo DNS espec¡fico para la conexi¢n. . :
Adaptador de t£nel isatap.{F863A802-E817-42CB-B5D0-D6268CB03655}:
Estado de los medios. . . . . . . . . . . : medios desconectados
Sufijo DNS espec¡fico para la conexi¢n. . :
Adaptador de t£nel isatap.{5E49778F-6447-4011-A813-83EA8F05A70E}:
Estado de los medios. . . . . . . . . . . : medios desconectados
Sufijo DNS espec¡fico para la conexi¢n. . :
========= Final de CMD: =========
========= bitsadmin /reset /allusers =========
BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.
BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.
0 out of 0 jobs canceled.
========= Final de CMD: =========
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 63363973 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 7947293 B
Edge => 0 B
Chrome => 960002464 B
Firefox => 24387025 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 66228 B
Public => 66228 B
ProgramData => 66228 B
systemprofile => 29634459 B
LocalService => 29700687 B
NetworkService => 30072801 B
family => 244023949 B
RecycleBin => 9447275676 B
EmptyTemp: => 10.1 GB datos temporales Eliminados.
================================
El sistema necesita reiniciarse.
==== Final de Fixlog 23:17:33 ====````
Todo va bien, el archivo ése fue eliminado sólo quería saber detalladamente qué era ése archivo o algo relacionado con ello. Otra duda que me queda es que si descubrió otro tipo de archivo raro en el txt que mandé anteriormente, y también lo que es “personal” por así decirlo en el txt querría saber si sería tan amable de ocultarlo por ej la dirección ip.
El archivo que se elimino es el que tenías dudas. No es un archivo como tal malicioso pero podría haber sido parte de alguna infección que quedo eliminada.
Dejo la página de VirusTotal que identifique usando el MD5 del archivo:
Respecto a los datos de los reportes comentar que en estos reportes no hay realmente información que sea delicada. Lo más parecido es que si el nombre del usuario es el suyo, pues sería el asunto.
En cuanto a la IP que aparece en los reportes es la ip privada o local. Cientos de equipos pueden tener la misma. La que podría ser peligrosa es la pública. Esto ya que la ip privada no es accesible fuera de tu hogar.
Como tal yo no podría eliminar la información pero puede reportar el tema para que un moderador le ayude para pedirle eliminar lo que considere pertinente. Para esto puede hacer clic sobre los tres puntos en cualquier respuesta, presionar la bandera y elegir la ultima opción de Notificar a los moderadores
Como paso final descarga la siguiente herramienta:
Listo, nada más que agregar lo único y necesario son las gracias que quiero darle, desde ya que esté bien y es sorprendente lo confiable que es el forospyware.