"Kerberos.exe" Virus o Malware o posible Troyano?

Bueno éste virus creo que es derivado de un servidor ruso más bien porque su idioma así és y ha estado no sé cuántos meses o años en mi ordenador, necesito ayuda para eliminarlo porque creo que ni con malwarebytes puedo extirparlo de mi pc.

asd — ImgBB propiedades-real — ImgBB

Quiero añadir también que ni a su ubicación me deja acceder, que es lo que más me saca de quicio realmente. (acceso denegado siempre es el mensaje que me tira)

Hola @Luca y bienvenido al foro.

Te dejo algunos temas de interés y utilidad:

El archivo que marcas podría no ser una infección como tal. Según veo creo que es parte de software legítimo pero que podría haber sido instalado por malware.

:white_check_mark: Revisa el siguiente manual a detalle y ejecuta FRST:

  • No olvides ejecutarlo desde el escritorio.
  • Presta especial atención a las instrucciones de como pegar el reporte.

Nos traerías los reportes de FRST: Frst.txt y Adition.txt.

Saludos

NOTAS IMPORTANTES:

° Evite realizar procedimientos fuera de este tema a partir de este punto.

° NO descargue o instale mas programas mientras terminamos la desinfección.

° No vuelva a ejecutar ningún otro programa antivirus/antimalwares ni FRST hasta que vuelva con una respuesta.

Saludos

1 me gusta
Ejecutado por family (administrador) sobre FAMILY-PC (Coradir S.A. Coradir/ES10IS5) (01-07-2021 20:53:11)
Ejecutado desde C:\Users\family\Desktop
Perfiles cargados: family
Platform: Microsoft Windows 7 Professional  Service Pack 1 (X86) Idioma: Español (España, internacional)
Navegador predeterminado: Chrome
Modo de Inicio: Normal

==================== Procesos (Lista blanca) =================

(Si una entrada es incluida en el fixlist, el proceso será cerrado. El archivo no será movido.)

(Google LLC -> Google LLC) C:\Program Files\Google\Chrome\Application\chrome.exe <23>
(Google LLC -> Google LLC) C:\Program Files\Google\Update\1.3.36.82\GoogleCrashHandler.exe
(Intel Corporation - Software and Firmware Products -> Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation - Software and Firmware Products -> Intel Corporation) C:\Windows\System32\igfxpers.exe
(Intel Corporation - Software and Firmware Products -> Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Intel Corporation - Software and Firmware Products -> Intel Corporation) C:\Windows\System32\igfxtray.exe
(Malwarebytes Corporation -> Malwarebytes Corporation) C:\Program Files\Malwarebytes Anti-Malware\mbam.exe
(Malwarebytes Corporation -> Malwarebytes Corporation) C:\Program Files\Malwarebytes Anti-Malware\mbamscheduler.exe
(Malwarebytes Corporation -> Malwarebytes Corporation) C:\Program Files\Malwarebytes Anti-Malware\mbamservice.exe
(McAfee, LLC -> McAfee, LLC) C:\Program Files\McAfee\WebAdvisor\servicehost.exe
(McAfee, LLC -> McAfee, LLC) C:\Program Files\McAfee\WebAdvisor\uihost.exe
(Microsoft Corporation -> Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
(Oracle America, Inc. -> Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jucheck.exe
(Oracle America, Inc. -> Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
(Samsung Electronics Co., Ltd.) [Archivo no firmado] C:\Users\family\Downloads\Odin3_v1.84_tehnotone.com\Odin3_v1.84_tehnotone.com\Odin3 v1.84.exe
(Библиотека ресурсов для стека UserDataAccess) [Archivo no firmado] C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe

==================== Registro (Lista blanca) ===================

(Si una entrada es incluida en el fixlist, el elemento del registro será restaurado a su valor predeterminado o será eliminado. El archivo no será movido.)

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe [14690712 2015-11-06] (Realtek Semiconductor Corp -> Realtek Semiconductor)
HKLM\...\Run: [GfxServiceInstall] => C:\Windows\system32\GfxCUIServiceInstall.vbs [131 2013-11-04] (Microsoft Windows Hardware Compatibility Publisher -> )
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [646160 2019-12-11] (Oracle America, Inc. -> Oracle Corporation)
HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [280576 2017-10-18] (Microsoft Windows -> Microsoft Corporation)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files\Google\Chrome\Application\91.0.4472.124\Installer\chrmstp.exe [2021-07-01] (Google LLC -> Google LLC)

==================== Tareas programadas (Lista blanca) ============

(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)

Task: {25EA202B-DD5D-4EE2-842A-12F8E2E0A01A} - System32\Tasks\Games\UpdateCheck_S-1-5-21-1527882150-984863242-3188601428-1000 => {CA22F5B1-E06F-4A2B-94FC-21E87FE53781} C:\Windows\System32\gameux.dll [2576384 2012-12-07] (Microsoft Windows -> Microsoft Corporation)
Task: {58D44E09-C131-4D95-9967-9449CF5DD95E} - System32\Tasks\T-2-4-98-1227132799-1267735865-1356686311-9128\{ZI8HFHAE-C65X-BYQP-7K2K-181ZFGNS53QO} => C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe [528896 2020-12-23] (Библиотека ресурсов для стека UserDataAccess) [Archivo no firmado]
Task: {E691033E-A0DB-4640-8ECB-301963EA9DBB} - System1EdXCqE88a2fzATD5yvNCeJkh4Bgnzjtb3 => C:\Program Files\Google\Update\GoogleUpdate.exe [153168 2017-10-12] (Google Inc -> Google Inc.)
Task: {F5A9276B-4B4C-4A91-B81C-91D806DEF6C3} - System1EdXCqE88a2fzATD5yvNCeJkh4Bgnzjtb3re => C:\Program Files\Google\Update\GoogleUpdate.exe [153168 2017-10-12] (Google Inc -> Google Inc.)

(Si una entrada es incluida en el fixlist, el archivo de tarea (.job) será movido. El archivo que está siendo ejecutado por la tarea no será movido.)


==================== Internet (Lista blanca) ====================

(Si un elemento es incluido en el fixlist, y éste pertenece al registro, será eliminado o restaurado a su valor predeterminado.)

Tcpip\Parameters: [DhcpNameServer] 186.130.128.250 186.130.129.250
Tcpip\..\Interfaces\{F863A802-E817-42CB-B5D0-D6268CB03655}: [DhcpNameServer] 186.130.128.250 186.130.129.250

FireFox:
========
FF DefaultProfile: kri80lwi.default
FF ProfilePath: C:\Users\family\AppData\Roaming\Mozilla\Firefox\Profiles\kri80lwi.default [2021-01-11]
FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files\McAfee\WebAdvisor\e10ssaffplg.xpi
FF Extension: (McAfee® WebAdvisor) - C:\Program Files\McAfee\WebAdvisor\e10ssaffplg.xpi [2021-06-24] [UpdateUrl:hxxps://sadownload.mcafee.com/products/SA/Win/xpi/webadvisor/update.json]
FF Plugin: @java.com/DTPlugin,version=11.241.2 -> C:\Program Files\Java\jre1.8.0_241\bin\dtplugin\npDeployJava1.dll [2020-08-02] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.241.2 -> C:\Program Files\Java\jre1.8.0_241\bin\plugin2\npjp2.dll [2020-08-02] (Oracle America, Inc. -> Oracle Corporation)

Chrome: 
=======
CHR DefaultProfile: Profile 1
CHR Profile: C:\Users\family\AppData\Local\Google\Chrome\User Data\Guest Profile [2020-09-18]
CHR Profile: C:\Users\family\AppData\Local\Google\Chrome\User Data\Profile 1 [2021-07-01]
CHR Notifications: Profile 1 -> hxxps://web.telegram.org
CHR NewTab: Profile 1 ->  Not-active:"chrome-extension://eehomplahcbckmjpkfipepenaldfaiaf/ntp1.html"
CHR Extension: (Presentaciones) - C:\Users\family\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2019-12-14]
CHR Extension: (Safe Torrent Scanner) - C:\Users\family\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb [2021-07-01]
CHR Extension: (Documentos) - C:\Users\family\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aohghmighlieiainnegkcijnfilokake [2019-12-14]
CHR Extension: (Google Drive) - C:\Users\family\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\apdfllckaahabafndbhieahigkjlhalf [2020-10-26]
CHR Extension: (YouTube) - C:\Users\family\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2019-12-14]
CHR Extension: (FreeShoppingTool) - C:\Users\family\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\eehomplahcbckmjpkfipepenaldfaiaf [2020-08-01]
CHR Extension: (Hojas de cálculo) - C:\Users\family\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2019-12-14]
CHR Extension: (Documentos de Google sin conexión) - C:\Users\family\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2021-06-25]
CHR Extension: (Sistema de pagos de Chrome Web Store) - C:\Users\family\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2021-02-15]
CHR Extension: (Gmail) - C:\Users\family\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2020-10-23]
CHR Extension: (Chrome Media Router) - C:\Users\family\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2021-06-11]
CHR Profile: C:\Users\family\AppData\Local\Google\Chrome\User Data\System Profile [2021-06-01]
CHR HKLM\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]

==================== Servicios (Lista blanca) ===================

(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)

R2 MBAMScheduler; C:\Program Files\Malwarebytes Anti-Malware\mbamscheduler.exe [1809720 2014-04-03] (Malwarebytes Corporation -> Malwarebytes Corporation)
R2 MBAMService; C:\Program Files\Malwarebytes Anti-Malware\mbamservice.exe [857912 2014-04-03] (Malwarebytes Corporation -> Malwarebytes Corporation)
R2 McAfee WebAdvisor; C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe [748440 2021-06-24] (McAfee, LLC -> McAfee, LLC)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [680960 2013-05-27] (Microsoft Windows -> Microsoft Corporation)

===================== Controladores (Lista blanca) ===================

(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)

R3 accel; C:\Windows\System32\DRIVERS\ADXL345accel.sys [14336 2009-10-26] (Microsoft Windows Hardware Compatibility Publisher -> Intel Corporation)
R3 int0800; C:\Windows\System32\DRIVERS\flashud.sys [42496 2009-09-09] (Microsoft Windows Hardware Compatibility Publisher -> Intel Corporation)
R3 IPMLEBL; C:\Windows\System32\Drivers\ipmlebl.sys [10368 2009-10-21] (Microsoft Windows Hardware Compatibility Publisher -> Intel Corporation)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [23256 2014-04-03] (Malwarebytes Corporation -> Malwarebytes Corporation)
R3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [107736 2021-07-01] (Malwarebytes Corporation -> Malwarebytes Corporation)
R3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [51416 2014-04-03] (Malwarebytes Corporation -> Malwarebytes Corporation)
S3 RTSUER; C:\Windows\System32\Drivers\RtsUer.sys [295640 2015-09-24] (Realtek Semiconductor Corp -> Realsil Semiconductor Corporation)
R3 RTWlanE; C:\Windows\System32\DRIVERS\rtwlane_vista.sys [2577112 2014-04-01] (Realtek Semiconductor Corp -> Realtek Semiconductor Corporation)
S3 TPM; C:\Windows\System32\drivers\tpm.sys [18048 2008-02-10] (Microsoft Windows Hardware Compatibility Publisher -> Winbond Electronics Corp.)
R3 VKBD; C:\Windows\System32\DRIVERS\virkbd.sys [18432 2009-12-09] (Microsoft Windows Hardware Compatibility Publisher -> Intel Corporation)

==================== NetSvcs (Lista blanca) ===================

(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)


==================== Un mes (creado) (Lista blanca) =========

(Si una entrada es incluida en el fixlist, el archivo/carpeta será eliminado/a.)

2021-07-01 20:53 - 2021-07-01 20:56 - 000011228 _____ C:\Users\family\Desktop\FRST.txt
2021-07-01 20:52 - 2021-07-01 20:54 - 000000000 ____D C:\FRST
2021-07-01 20:50 - 2021-07-01 20:50 - 002013184 _____ (Farbar) C:\Users\family\Desktop\FRST.exe
2021-07-01 20:24 - 2021-07-01 20:24 - 000000000 ____D C:\Users\family\Downloads\Odin3_v1.84_tehnotone.com
2021-07-01 20:19 - 2021-07-01 20:19 - 000000000 ____D C:\Users\family\Downloads\SM-J200M_1_20180515214040_ms48gyfsk4
2021-07-01 19:25 - 2021-07-01 20:18 - 1090210686 _____ C:\Users\family\Downloads\SM-J200M_1_20180515214040_ms48gyfsk4.zip
2021-07-01 15:23 - 2021-07-01 15:24 - 000825472 _____ C:\Users\family\Downloads\Odin3_v1.84_tehnotone.com.zip
2021-07-01 15:23 - 2021-07-01 15:23 - 000825472 _____ C:\Users\family\Downloads\Sin confirmar 464757.crdownload
2021-06-28 17:02 - 2021-06-18 04:37 - 1798089114 _____ C:\Users\family\Desktop\Lu.2021.mkv
2021-06-28 16:27 - 2021-06-28 17:00 - 1789514194 _____ C:\Users\family\Desktop\Lu.2021.rar
2021-06-25 12:42 - 2021-06-25 12:42 - 002022608 _____ C:\Users\family\Downloads\lengua 2.pdf
2021-06-25 12:38 - 2021-06-25 12:38 - 000123705 _____ C:\Users\family\Downloads\lengua adry.pdf
2021-06-25 12:33 - 2021-06-25 12:33 - 007704390 _____ C:\Users\family\Downloads\escalas.rar
2021-06-25 12:24 - 2021-06-25 12:24 - 007704227 _____ C:\Users\family\Downloads\escalas.pdf
2021-06-16 20:15 - 2021-06-16 20:15 - 004744806 _____ C:\Users\family\Downloads\ACFrOgCtvod576TzrGYhR3IQOYA853-CMeBpngRpHuDZc04mNhlCIu2ms5LXtb5orsVZ57R57rNKO0u4SN7AsC-cxVwkGc1EdXCqE88a2fzATD5yvNCeJkh4Bgnzjtb346uvcXdLLHWQAoJMfjG_.pdf

==================== Un mes (modificado) ==================

(Si una entrada es incluida en el fixlist, el archivo/carpeta será eliminado/a.)

2021-07-01 20:48 - 2009-07-14 01:34 - 000025216 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2021-07-01 20:48 - 2009-07-14 01:34 - 000025216 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2021-07-01 18:48 - 2021-01-13 12:36 - 000107736 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2021-07-01 18:48 - 2009-07-14 01:53 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2021-07-01 15:45 - 2017-10-12 13:38 - 000002168 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
2021-06-30 18:42 - 2019-12-30 03:05 - 000000000 ____D C:\Users\family\AppData\Roaming\vlc

==================== SigCheck ============================

(No existe una corrección automática para los archivos que no pasan la verificación.)


LastRegBack: 2021-06-25 15:40
==================== Final de FRST.txt ========================````
Ejecutado por family (01-07-2021 20:58:36)
Ejecutado desde C:\Users\family\Desktop
Microsoft Windows 7 Professional  Service Pack 1 (X86) (2017-10-10 15:30:26)
Modo de Inicio: Normal
==========================================================


==================== Cuentas: =============================

Administrador (S-1-5-21-1527882150-984863242-3188601428-500 - Administrator - Disabled)
family (S-1-5-21-1527882150-984863242-3188601428-1000 - Administrator - Enabled) => C:\Users\family
HomeGroupUser$ (S-1-5-21-1527882150-984863242-3188601428-1002 - Limited - Enabled)
Invitado (S-1-5-21-1527882150-984863242-3188601428-501 - Limited - Disabled)

==================== Centro de Seguridad ========================

(Si una entrada es incluida en el fixlist, será eliminada.)

AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Programas instalados ======================

(Solo los programas de adware con indicador "Oculto", pueden ser añadidos al fixlist para hacerlos visibles. Los programas adware deben ser desinstalados manualmente.)

µTorrent (HKU\S-1-5-21-1527882150-984863242-3188601428-1000\...\uTorrent) (Version: 3.5.5.45966 - BitTorrent Inc.)
CLEO 4.3 (HKLM\...\{A8F37EB0-C741-41D7-8CAB-5B40ECEEF094}_is1) (Version: 4.3 - Seemann, Deji, Alien)
Discord (HKU\S-1-5-21-1527882150-984863242-3188601428-1000\...\Discord) (Version: 0.0.308 - Discord Inc.)
Google Chrome (HKLM\...\Google Chrome) (Version: 91.0.4472.124 - Google LLC)
Java 8 Update 241 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F32180241F0}) (Version: 8.0.2410.7 - Oracle Corporation)
Malwarebytes Anti-Malware versión 2.0.1.1004 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.1.1004 - Malwarebytes Corporation)
Microsoft .NET Framework 4.7 (español) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 3082) (Version: 4.7.02053 - Microsoft Corporation)
Microsoft .NET Framework 4.7 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.7.02053 - Microsoft Corporation)
Microsoft Visual C++ 2015 Redistributable (x86) - 14.0.23026 (HKLM\...\{74d0e5db-b326-4dae-a6b2-445b9de1836e}) (Version: 14.0.23026.0 - Microsoft Corporation)
Mozilla Firefox 56.0.1 (x86 es-AR) (HKLM\...\Mozilla Firefox 56.0.1 (x86 es-AR)) (Version: 56.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 56.0.1 - Mozilla)
Pro Evolution Soccer 6 (HKLM\...\InstallShield_{EBB794ED-D282-4334-92FB-254481EFF514}) (Version: 1.00.0000 - KONAMI)
Realtek High Definition Audio Driver (HKLM\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7654 - Realtek Semiconductor Corp.)
Spotify (HKU\S-1-5-21-1527882150-984863242-3188601428-1000\...\Spotify) (Version: 1.1.56.595.g2d2da0de - Spotify AB)
SumatraPDF (HKLM\...\SumatraPDF) (Version: 3.2 - Krzysztof Kowalczyk)
VLC media player (HKLM\...\VLC media player) (Version: 3.0.8 - VideoLAN)
WebAdvisor de McAfee (HKLM\...\{35ED3F83-4BDC-4c44-8EC6-6A8301C7413A}) (Version: 4.1.1.605 - McAfee, LLC)
WinRAR 5.50 (32-bit) (HKLM\...\WinRAR archiver) (Version: 5.50.0 - win.rar GmbH)
Zoom (HKU\S-1-5-21-1527882150-984863242-3188601428-1000\...\ZoomUMX) (Version: 5.2.0 (42619.0804) - Zoom Video Communications, Inc.)

==================== Personalizado CLSID (Lista blanca): ==============

(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)

ContextMenuHandlers1: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2017-08-11] (win.rar GmbH -> Alexander Roshal)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll [2013-11-04] (Microsoft Windows Hardware Compatibility Publisher -> Intel Corporation)
ContextMenuHandlers6: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2017-08-11] (win.rar GmbH -> Alexander Roshal)

==================== Codecs (Lista blanca) ====================

==================== Accesos directos & WMI ========================

(Las entradas pueden ser listadas para ser restauradas o eliminadas.)

ShortcutWithArgument: C:\Users\family\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC) -> --profile-directory="Profile 1"

==================== Módulos cargados (Lista blanca) =============

==================== Alternate Data Streams (Lista blanca) ========

==================== Modo Seguro (Lista blanca) ==================

==================== Asociación (Lista blanca) =================

==================== Internet Explorer (Versión 11) (Lista blanca) ==========

BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_241\bin\ssv.dll [2020-08-02] (Oracle America, Inc. -> Oracle Corporation)
BHO: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\win32\IEPlugin.dll [2021-06-24] (McAfee, LLC -> McAfee, LLC)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_241\bin\jp2ssv.dll [2020-08-02] (Oracle America, Inc. -> Oracle Corporation)

==================== Hosts contenido: =========================

(Si es necesario, la directiva Hosts: puede ser incluida en el fixlist para restablecer Hosts.)

2009-07-13 23:04 - 2009-06-10 18:39 - 000000824 _____ C:\Windows\system32\drivers\etc\hosts

==================== Otras Áreas ===========================

(Actualmente no existe una corrección automática para esta sección.)

HKMM8ECLaq9zC4xgck6QUJACuAxDkZyouDAnl\Session Manager\Environment\\Path -> C:\Program Files\Common Files\Oracle\Java\javapath;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\
HKU\S-1-5-21-1527882150-984863242-3188601428-1000\Control Panel\Desktop\\Wallpaper -> 
DNS Servers: 186.130.128.250 - 186.130.129.250
HKMM8ECLaq9zC4xgck6QUJACuAxDkZyouDAnentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Firewall de Windows está habilitado.

==================== MSCONFIG/TASK MANAGER elementos deshabilitados ==

(Si una entrada es incluida en el fixlist, será eliminada.)

MSCONFIG\startupreg: Discord => C:\ProgramData\SquirrelMachineInstalls\Discord.exe --checkInstall
MSCONFIG\startupreg: Spotify => C:\Users\family\AppData\Roaming\Spotify\Spotify.exe --autostart --minimized

==================== Reglas de firewall (Lista blanca) ================

(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) C:\Windows\system32\sppsvc.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) C:\Windows\system32\sppsvc.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{62DD7FF2-E426-44CD-819F-D0590C6201AE}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{78F59915-42B4-4D53-A92F-7B67B3CE1F02}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [{69346138-4B73-4053-87F3-CDFDC1287FFB}] => (Allow) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [TCP Query User{4CEF6C41-6742-45DC-A3DD-4E87E9B14A90}C:\users\family\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\family\appdata\roaming\spotify\spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [UDP Query User{61C7437B-FD61-4DE3-97DA-69CABFEA7408}C:\users\family\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\family\appdata\roaming\spotify\spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [TCP Query User{291DD39F-7AF3-4BEB-9DBA-7488CD78F32E}C:\program files\videolan\vlc\vlc.exe] => (Block) C:\program files\videolan\vlc\vlc.exe (VideoLAN -> VideoLAN)
FirewallRules: [UDP Query User{170F3ABC-AB4E-4D1E-ADA6-4AB5E22AC6D8}C:\program files\videolan\vlc\vlc.exe] => (Block) C:\program files\videolan\vlc\vlc.exe (VideoLAN -> VideoLAN)
FirewallRules: [TCP Query User{571348AF-44B2-44AA-BCAE-A99234C409FC}C:\program files\java\jre1.8.0_241\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_241\bin\javaw.exe
FirewallRules: [UDP Query User{68F3C543-1B0A-4365-8948-36D0271C5A41}C:\program files\java\jre1.8.0_241\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_241\bin\javaw.exe
FirewallRules: [{390B89F5-6492-435E-AA1D-E86DC0BA335B}] => (Allow) C:\Users\family\AppData\Roaming\Zoom\bin\Zoom.exe (Zoom Video Communications, Inc. -> Zoom Video Communications, Inc.)
FirewallRules: [{2FCC8BE9-9568-4BFC-A1C0-ABEC649144BB}] => (Allow) C:\Users\family\AppData\Roaming\Zoom\bin\airhost.exe => Ningún archivo
FirewallRules: [{AFB3A03A-1981-478E-80D0-8E7D2166AA21}] => (Allow) C:\Users\family\AppData\Roaming\Zoom\bin\airhost.exe => Ningún archivo
FirewallRules: [TCP Query User{11BE0A72-9A3A-47C2-84B7-A3E448E88DEC}C:\users\family\appdata\roaming\spotify\spotify.exe] => (Block) C:\users\family\appdata\roaming\spotify\spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [UDP Query User{73011FD9-9154-479B-A359-9558A66C8FE1}C:\users\family\appdata\roaming\spotify\spotify.exe] => (Block) C:\users\family\appdata\roaming\spotify\spotify.exe (Spotify AB -> Spotify Ltd)
FirewallRules: [{2EC4828C-AFF0-4EC1-8ED4-155850BDEE06}] => (Allow) C:\Users\family\AppData\Roaming\uTorrent\uTorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [{5B0B504D-9ABA-4E3F-9BE8-8FBB36BC47BE}] => (Allow) C:\Users\family\AppData\Roaming\uTorrent\uTorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [{270DB5B8-5113-4DCA-9CE8-6D52424771C2}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)

==================== Puntos de Restauración =========================

02-05-2021 21:31:32 Instalado Pro Evolution Soccer 6
02-05-2021 21:41:44 Instalado Pro Evolution Soccer 6
22-05-2021 14:02:21 Punto de control programado
31-05-2021 14:40:24 Punto de control programado
08-06-2021 14:45:19 Punto de control programado
17-06-2021 12:01:30 Punto de control programado

==================== Dispositivos defectuosos en el Administrador de dispositivos ============

Name: Winbond Trusted Platform Module 1.2
Description: Winbond Trusted Platform Module 1.2
Class Guid: {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer: Winbond Electronics Corporation
Service: TPM
Problem: : This device cannot start. (Code10)
Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device.
On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard.

Name: 
Description: 
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Errores del registro de eventos: ========================

Errores de aplicación:
==================
Error: (05/26/2021 11:22:25 AM) (Source: Winlogon) (EventID: 4005) (User: )
Description: El proceso de inicio de sesión de Windows finalizó inesperadamente.

Error: (05/02/2021 09:40:56 PM) (Source: MsiInstaller) (EventID: 1013) (User: family-PC)
Description: Product: Pro Evolution Soccer 6 -- 1: This installation cannot be run by directly launching the MSI package. You must run setup.exe.

Error: (05/02/2021 09:40:13 PM) (Source: MsiInstaller) (EventID: 11308) (User: family-PC)
Description: Producto: Pro Evolution Soccer 6 -- Error 1308. No se encuentra el archivo de origen C:\Users\family\Downloads\PES 6\PES 6 - Valentino Gaido\program files\KONAMI\Pro Evolution Soccer 6\dat\e_sound.afs. Compruebe que el archivo existe y que puede obtener acceso a él.

Error: (05/02/2021 09:40:12 PM) (Source: MsiInstaller) (EventID: 11308) (User: family-PC)
Description: Producto: Pro Evolution Soccer 6 -- Error 1308. No se encuentra el archivo de origen C:\Users\family\Downloads\PES 6\PES 6 - Valentino Gaido\program files\KONAMI\Pro Evolution Soccer 6\dat\e_sound.afs. Compruebe que el archivo existe y que puede obtener acceso a él.

Error: (05/02/2021 09:40:09 PM) (Source: MsiInstaller) (EventID: 11308) (User: family-PC)
Description: Producto: Pro Evolution Soccer 6 -- Error 1308. No se encuentra el archivo de origen C:\Users\family\Downloads\PES 6\PES 6 - Valentino Gaido\program files\KONAMI\Pro Evolution Soccer 6\dat\e_sound.afs. Compruebe que el archivo existe y que puede obtener acceso a él.

Error: (05/02/2021 09:40:08 PM) (Source: MsiInstaller) (EventID: 11308) (User: family-PC)
Description: Producto: Pro Evolution Soccer 6 -- Error 1308. No se encuentra el archivo de origen C:\Users\family\Downloads\PES 6\PES 6 - Valentino Gaido\program files\KONAMI\Pro Evolution Soccer 6\dat\e_sound.afs. Compruebe que el archivo existe y que puede obtener acceso a él.

Error: (05/02/2021 09:40:08 PM) (Source: MsiInstaller) (EventID: 11308) (User: family-PC)
Description: Producto: Pro Evolution Soccer 6 -- Error 1308. No se encuentra el archivo de origen C:\Users\family\Downloads\PES 6\PES 6 - Valentino Gaido\program files\KONAMI\Pro Evolution Soccer 6\dat\e_sound.afs. Compruebe que el archivo existe y que puede obtener acceso a él.

Error: (05/02/2021 09:40:02 PM) (Source: MsiInstaller) (EventID: 11308) (User: family-PC)
Description: Producto: Pro Evolution Soccer 6 -- Error 1308. No se encuentra el archivo de origen C:\Users\family\Downloads\PES 6\PES 6 - Valentino Gaido\program files\KONAMI\Pro Evolution Soccer 6\dat\e_sound.afs. Compruebe que el archivo existe y que puede obtener acceso a él.


Errores del sistema:
=============
Error: (07/01/2021 03:18:30 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 08:00:00 p.m. del ‎30/‎06/‎2021 resultó inesperado.

Error: (06/30/2021 07:50:23 PM) (Source: bowser) (EventID: 8003) (User: )
Description: El explorador maestro recibió una notificación del equipo AGUS-PC
que cree que es el explorador maestro para el dominio en el transporte NetBT_Tcpip_{F863A802-E817-42CB-B5D0-D6268CB036.
El explorador maestro está detenido o se está forzando una elección.

Error: (06/28/2021 04:22:49 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 07:31:40 p.m. del ‎25/‎06/‎2021 resultó inesperado.

Error: (06/25/2021 12:03:07 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 09:11:40 p.m. del ‎24/‎06/‎2021 resultó inesperado.

Error: (06/24/2021 08:49:53 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 09:54:36 a.m. del ‎23/‎06/‎2021 resultó inesperado.

Error: (06/23/2021 09:42:49 AM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 12:03:52 a.m. del ‎23/‎06/‎2021 resultó inesperado.

Error: (06/22/2021 11:54:05 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 01:56:50 p.m. del ‎22/‎06/‎2021 resultó inesperado.

Error: (06/22/2021 12:54:04 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: El cierre anterior del sistema a las 01:20:31 p.m. del ‎21/‎06/‎2021 resultó inesperado.


Windows Defender:
================
Date: 2019-10-16 13:34:27.063
Description: 
El examen de Windows Defender se detuvo antes de completarse.
Id. de examen:{5D252F6B-2DB0-4510-A3B8-69CB6B99D9AF}
Tipo de examen:AntiSpyware
Parámetros de examen:Examen rápido
Usuario:NT AUTHORITY\Servicio de red

==================== Información de la memoria =========================== 

BIOS: Phoenix Technologies Ltd. SPCDV10L.86A.0047.2014.0410.1644 04/10/2014
Placa base: Intel Corporation Intel powered classmate PC
Procesador: Intel(R) Atom(TM) CPU N2600 @ 1.60GHz
Porcentaje de memoria en uso: 92%
RAM física total: 2028.37 MB
RAM física disponible: 157.66 MB
Virtual total: 4056.74 MB
Virtual disponible: 1764.17 MB

==================== Unidades ================================

Drive c: () (Fixed) (Total:148.95 GB) (Free:60.84 GB) NTFS

\\?\Volume{b85f21f9-adce-11e7-bdb5-806e6f6e6963}\ (Reservado para el sistema) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS

==================== MBR & Tabla de particiones ====================

==========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 149.1 GB) (Disk ID: CBDFBABD)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=149 GB) - (Type=07 NTFS)

==================== Final  Addition.txt =======================````

¿Le puedo dar a “corregir” o espero su respuesta mejor?

Hola nuevamente,

La idea sería esperar mi respuesta ya que no indique el usar la opción Fix y entre las notas recomiendo evitar pasos fuera de los dados en este tema. Vamos a revisar a detalle puesto que el archivo parece ser parte de windows.

Realiza lo siguiente:

:one: Deshabilita nuevamente tu antivirus: ¿Cómo deshabilitar temporalmente su Antivirus?

:two: En el equipo, con los demás programas cerrados abra el notepad; puede abrirlo en la barra de búsqueda de windows y escribiendo notepad.exe

Posteriormente, copie y pegue este script de reparación dentro del Notepad comenzando en Start y terminando en End:

Start

Folder:C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4
VirusTotal:C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe
File:C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe

CMD: ipconfig /flushdns
CMD: ipconfig /renew
End
  • Vaya a Archivo y selecciona Guardar Como.
  • Guardelo bajo el nombre de fixlist.txt en el escritorio al igual que FRST. Esto es muy importante.

:warning: El anterior Script de reparación fue hecho específicamente por un miembro del Staff para este usuario, si tiene un problema similar por favor abra su propio tema para recibir ayuda personalizada. Usar Scripts de otros usuarios puede causar daños a su equipo

  • Ejecute Frst.exe. y presione el botón Fix / Corregir
  • Espere pacientemente a que termine y no use el equipo. Al terminar el equipo podría reiniciarse
  • La Herramienta guardara el reporte en su escritorio (Fixlog.txt).

Nos traerías el reporte de FixLog. Para poder confirmarte que es el archivo misterioso. Al terminar puedes volver a activar tu antivirus.

Saludos

1 me gusta

Sí claro, sólo pregunte no hice uso de la opción aún, ya con su respuesta voy a seguir a paso lo que me indico, muchas gracias.

Ejecutado por family (01-07-2021 22:18:10) Run:1
Ejecutado desde C:\Users\family\Desktop
Perfiles cargados: family
Modo de Inicio: Normal

==============================================

fixlist contenido:
*****************
Start

Folder:C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4
VirusTotal:C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe
File:C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe

CMD: ipconfig /flushdns
CMD: ipconfig /renew
End
*****************


========================= Folder:C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4 ========================

2020-12-23 10:52 - 2020-12-23 10:33 - 000528896 __ASH [63B8F69952881D19EED87EF945EDAE32] (Библиотека ресурсов для стека UserDataAccess) C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe

====== Final de Folder: ======

VirusTotal: C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe => (3) Error

========================= File:C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe ========================

C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe
Archivo no firmado
MD5: 63B8F69952881D19EED87EF945EDAE32
Fecha de creación y modificación: 2020-12-23 10:52 - 2020-12-23 10:33
Tamaño: 000528896
Atributos: --ASH
Nombre de la compañía: Библиотека ресурсов для стека UserDataAccess
Interno Nombre: Register-CimProvider.exe
Original Nombre: Register-CimProvider.exe
Producto: 
Descripción: Модуль поддержки API администратора диспетчера подключений
Archivo Versión: 1.1.4.2
Producto Versión: 1.1.4.2
Copyright: 
VirusTotal: https://www.virustotal.com/gui/file/3bdd6aaef443f9b52b2e0a1EdXCqE88a2fzATD5yvNCeJkh4Bgnzjtb361df38c1/detection/f-3bdd6aaef443f9b52b2e0a1EdXCqE88a2fzATD5yvNCeJkh4Bgnzjtb361df38c1-1609983453

====== Final de File: ======


========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows

No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local mientras los medios
est‚n desconectados.

Adaptador de LAN inal mbrica Conexi¢n de red inal mbrica:

   Sufijo DNS espec¡fico para la conexi¢n. . : 
   Direcci¢n IPv6 . . . . . . . . . . : 2802:8010:341b:e00:3d2a:cdcb:6c34:4065
   Direcci¢n IPv6 temporal. . . . . . : 2802:8010:341b:e00:3588:ae6e:6351:e855
   V¡nculo: direcci¢n IPv6 local. . . : fe80::3d2a:cdcb:6c34:4065%11
   Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.1.50
   M scara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : 192.168.1.1

Adaptador de Ethernet Conexi¢n de  rea local:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.{F863A802-E817-42CB-B5D0-D6268CB03655}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.{5E49778F-6447-4011-A813-83EA8F05A70E}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

========= Final de CMD: =========


==== Final de Fixlog 22:18:22 ====````

Hola nuevamente,

Bueno no hay mucha información de dicho archivo. Dudo que sea infección pero parece ser basura. Si te parece vamos a proceder a eliminarlo.

Realiza lo siguiente ahora:

:one: Crea una copia de seguridad del registro con Registry Backup, no importa si es la versión portable o instalable:

Tweaking Registry Backup

  • Después de instalar o descomprimir ejecuta el programa (de ser portable es el ejecutable TweakingRegistryBackup.exe).
  • Asegurate que en la pestaña Registry Backup este todo moarcado.
  • En Backup Name puedes dejarlo por defecto o asignar algún nombre
  • Presiona el botón BackUp now

:two: Deshabilita nuevamente tu antivirus: ¿Cómo deshabilitar temporalmente su Antivirus?

:three: En el equipo, con los demás programas cerrados abra el notepad; puede abrirlo en la barra de búsqueda de windows y escribiendo notepad.exe

Posteriormente, copie y pegue este script de reparación dentro del Notepad comenzando en Start y terminando en End:

Start
SystemRestore: On
CreateRestorePoint:
CloseProcesses:

Task: {58D44E09-C131-4D95-9967-9449CF5DD95E} - System32\Tasks\T-2-4-98-1227132799-1267735865-1356686311-9128\{ZI8HFHAE-C65X-BYQP-7K2K-181ZFGNS53QO} => C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe [528896 2020-12-23] (Библиотека ресурсов для стека UserDataAccess) [Archivo no firmado]
C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers 
EmptyTemp:
End
  • Vaya a Archivo y selecciona Guardar Como.
  • Guardelo bajo el nombre de fixlist.txt en el escritorio al igual que FRST. Esto es muy importante.

:warning: El anterior Script de reparación fue hecho específicamente por un miembro del Staff para este usuario, si tiene un problema similar por favor abra su propio tema para recibir ayuda personalizada. Usar Scripts de otros usuarios puede causar daños a su equipo

  • Ejecute Frst.exe. y presione el botón Fix / Corregir
  • Espere pacientemente a que termine y no use el equipo. Al terminar el equipo podría reiniciarse
  • La Herramienta guardara el reporte en su escritorio (Fixlog.txt).

Nos traerías el reporte de fixlog y comentarios de como se encuentra el sistema. De forma adicional recomiendo que pruebes los programas que usas para asegurar que esten funcionando.

Saludos

1 me gusta

Al intentar guardar el archivo hace que intencionalmente tenga que suplantar el fixlist.txt que ya se encuentra anteriormente en el escritorio, lo suplante y no me deja me tira un mensaje que dice “acceso denegado” ¿qué hago?.

Hola nuevamente,

Asegurate que FRST esta cerrado al igual que todos los programas. Luego trata de eliminar FixList.txt.

Si aún así no te deja, copia FRST a otra carpeta (puede ser la de descargas) y ejecutalo. En esa otra carpeta crea el archivo fixlist ahí. Lo importante es que esten ambos juntos y que no los pierdas de vista.

Saludos

1 me gusta

Por último el archivo txt contiene caracteres unicode uso ésa codificación en vez de ansi así no se pierden dichos caracteres?

Bueno respecto a eso, los que hay no hay problema que se pierdan.

Pero puedes usar la opción de guardar como Unicode o UTF8 según te de la opción:

Saludos

1 me gusta
Ejecutado por family (01-07-2021 23:13:17) Run:2
Ejecutado desde C:\Users\family\Desktop
Perfiles cargados: family
Modo de Inicio: Normal

==============================================

fixlist contenido:
*****************
Start
SystemRestore: On
CreateRestorePoint:
CloseProcesses:

Task: {58D44E09-C131-4D95-9967-9449CF5DD95E} - System32\Tasks\T-2-4-98-1227132799-1267735865-1356686311-9128\{ZI8HFHAE-C65X-BYQP-7K2K-181ZFGNS53QO} => C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4\kerberos.exe [528896 2020-12-23] (Библиотека ресурсов для стека UserDataAccess) [Archivo no firmado]
C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers 
EmptyTemp:
End
*****************

SystemRestore: On => completado
El punto de restauración fue creado correctamente.
Procesos cerrados correctamente.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{58D44E09-C131-4D95-9967-9449CF5DD95E}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{58D44E09-C131-4D95-9967-9449CF5DD95E}" => eliminado correctamente
C:\Windows\System32\Tasks\T-2-4-98-1227132799-1267735865-1356686311-9128\{ZI8HFHAE-C65X-BYQP-7K2K-181ZFGNS53QO} => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\T-2-4-98-1227132799-1267735865-1356686311-9128\{ZI8HFHAE-C65X-BYQP-7K2K-181ZFGNS53QO}" => eliminado correctamente
C:\Users\family\AppData\Roaming\msil_system.web.entity_b77a5c561934e089_10.0.18362.1_none_8718dcbd8fcff3c4 => movido correctamente

========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows

No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local mientras los medios
est‚n desconectados.

Adaptador de LAN inal mbrica Conexi¢n de red inal mbrica:

   Sufijo DNS espec¡fico para la conexi¢n. . : 
   Direcci¢n IPv6 . . . . . . . . . . : 2802:8010:341b:e00:3d2a:cdcb:6c34:4065
   Direcci¢n IPv6 temporal. . . . . . : 2802:8010:341b:e00:3588:ae6e:6351:e855
   V¡nculo: direcci¢n IPv6 local. . . : fe80::3d2a:cdcb:6c34:4065%11
   Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.1.50
   M scara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : 192.168.1.1

Adaptador de Ethernet Conexi¢n de  rea local:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.{F863A802-E817-42CB-B5D0-D6268CB03655}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.{5E49778F-6447-4011-A813-83EA8F05A70E}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

========= Final de CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.

BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

0 out of 0 jobs canceled.

========= Final de CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 63363973 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 7947293 B
Edge => 0 B
Chrome => 960002464 B
Firefox => 24387025 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 66228 B
Public => 66228 B
ProgramData => 66228 B
systemprofile => 29634459 B
LocalService => 29700687 B
NetworkService => 30072801 B
family => 244023949 B

RecycleBin => 9447275676 B
EmptyTemp: => 10.1 GB datos temporales Eliminados.

================================


El sistema necesita reiniciarse.

==== Final de Fixlog 23:17:33 ====````

Hola nuevamente,

Prueba el equipo y verifica que todo este funcionando bien.

Si no hay mayor problema solo restaría si quedan dudas para dar los pasos finales y dar el tema por solucionado.

Saludos

1 me gusta

Todo va bien, el archivo ése fue eliminado sólo quería saber detalladamente qué era ése archivo o algo relacionado con ello. Otra duda que me queda es que si descubrió otro tipo de archivo raro en el txt que mandé anteriormente, y también lo que es “personal” por así decirlo en el txt querría saber si sería tan amable de ocultarlo por ej la dirección ip.

Hola nuevamente,

El archivo que se elimino es el que tenías dudas. No es un archivo como tal malicioso pero podría haber sido parte de alguna infección que quedo eliminada.

Dejo la página de VirusTotal que identifique usando el MD5 del archivo:

Reporte de VirusTotal

Respecto a los datos de los reportes comentar que en estos reportes no hay realmente información que sea delicada. Lo más parecido es que si el nombre del usuario es el suyo, pues sería el asunto.

En cuanto a la IP que aparece en los reportes es la ip privada o local. Cientos de equipos pueden tener la misma. La que podría ser peligrosa es la pública. Esto ya que la ip privada no es accesible fuera de tu hogar.

IP publica y privada

Como tal yo no podría eliminar la información pero puede reportar el tema para que un moderador le ayude para pedirle eliminar lo que considere pertinente. Para esto puede hacer clic sobre los tres puntos en cualquier respuesta, presionar la bandera y elegir la ultima opción de Notificar a los moderadores

:white_check_mark: Como paso final descarga la siguiente herramienta:

KpRm | toolslib

  • Ejecútala, acepta el declaimer.
  • Asegurate de que solo este marcada la opción de Delete Tools/ Eliminar herramientas.
  • Presiona en Run / Ejecutar.

Con esto limpiaremos el equipo de las herramientas usadas.

Por lo demás comentenos si restan más dudas/problemas o si considera que se puede dar el tema por solucionado.

Saludos

1 me gusta

Listo, nada más que agregar lo único y necesario son las gracias que quiero darle, desde ya que esté bien y es sorprendente lo confiable que es el forospyware. :love_you_gesture:

1 me gusta

Este tema se cerró automáticamente 2 días después de la última publicación. No se permiten nuevas respuestas.