Disculpen que de buenas a primeras mi primer Post sea el siguiente, comentarles que había pasado tiempo atrás con otra cuenta, pero me deshice del correo con el que me registre y aquí ando con uno nuevo.
Sucede que mi Sobrino utilizo mi PC y al revisar veo que no funciona como lo esperado, entonces vi que anduvo navegando en webs medias raras, de software y cosas para el Fortnite.
Ejecute paso a paso la Limpieza de la guía Guía de detección y eliminación de Malwares 2019 el Malwarebytes no me detecto nada, pero el scan con el Eset Online me dectecto 6 infecciones que fueron limpiadas.
Pero igual me queda una espinita de estar seguro que este limpia y no se si hay una limpieza o revision profunda para estar 100% seguros.
3.- Ejecutas respetando el orden los pasos con todos los programas cerrados incluido los navegadores
CCleaner
Usando su opción Limpiador de acuerdo su Manual:
Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Cuando lo instales destilda las casillas para no permitir la instalación de CcleanerBrowser.
NO necesitamos este reporte
AdwCleaner
Lo ejecutas.
Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar.
Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas.
Guarda el reporte que le aparecerá para copiarlo y pegarlo en tu próxima respuesta.
El informe también puede encontrarse en “C:\AdwCleaner\AdwCleaner.txt”
ZHPCleaner
Siguiendo su manual, lo instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.
Malwarebytes
No olvides actualizarlo.
Lee detenidamente su Manual
Realiza un Análisis Personalizado marcando todas las unidades
Pulsa en “Eliminar Seleccionados” para enviar lo encontrado a la cuarentena.
Reinicias el Sistema.
En el apartado del manual “Historial” >> Registros de Aplicación >> Scan Log/Registro de Análisis encontrarás el informe del MBAM, que debes copiar y pegar en tu próxima respuesta.
4.-Nota Importante:
En tu próxima respuesta debes pegar los reportes de AdwCleaner , ZHPCleaner y Malwarebytes.
~ ZHPCleaner v2020.1.12.169 by Nicolas Coolman (2020/01/12)
~ Run by Yorudey (Administrator) (19/01/2020 16:19:33)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Reparar
~ Report : C:\Users\Yorudey\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Yorudey\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit (Build 18362)
---\\ Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.
---\\ Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.
---\\ Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados.
---\\ Hosts carpeta (1)
~ El archivo hosts es legítimo (28)
---\\ Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.
---\\ Explorador ( Archivos, Carpetas ) (23)
MOVIDO carpeta: C:\Users\Yorudey\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk [Bad : C:\Users\Yorudey\AppData\Roaming\uTorrent\uTorrent.exe](.BitTorrent Inc..) =>BitTorrent (P2P)
MOVIDO carpeta: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd\36_0\128.png =>Adware.CrossRider
MOVIDO carpeta: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd\36_0\16.png =>Adware.CrossRider
MOVIDO carpeta: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd\36_0\19.png =>Adware.CrossRider
MOVIDO carpeta: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd\36_0\48.png =>Adware.CrossRider
MOVIDO carpeta: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd\36_0\background.html =>Adware.CrossRider
MOVIDO carpeta: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd\36_0\background.js =>Adware.CrossRider
MOVIDO carpeta: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd\36_0\images.js =>Adware.CrossRider
MOVIDO carpeta: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd\36_0\manifest.json =>Adware.CrossRider
MOVIDO carpeta: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd\36_0\options.html =>Adware.CrossRider
MOVIDO carpeta: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd\36_0\options.js =>Adware.CrossRider
MOVIDO carpeta: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd\36_0\_metadata\verified_contents.json =>Adware.CrossRider
MOVIDO archivo: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd =>Adware.CrossRider
MOVIDO archivo: C:\Users\Yorudey\AppData\Roaming\PDAppFlex =>Trojan.Elpman
MOVIDO archivo: C:\Program Files (x86)\Bethesda =>.SUP.Empty
MOVIDO archivo: C:\Program Files (x86)\Popcorn Time =>.SUP.PopcornTime
MOVIDO archivo: C:\Program Files (x86)\SexyCube =>.SUP.Empty
MOVIDO archivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Untitled Goose Game =>.SUP.MaxStart
MOVIDO archivo: C:\Users\Yorudey\AppData\Local\PopcornTime =>.SUP.PopcornTime
MOVIDO archivo: C:\Program Files (x86)\QuickTime =>Riskware.QuickTime
MOVIDO archivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime =>Riskware.QuickTime
MOVIDO archivo: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd\36_0 =>Adware.CrossRider
MOVIDO archivo: C:\Users\Yorudey\AppData\Local\Google\Chrome\User Data\Default\Extensions\afjaicccalbbickikgdegaihmajaidpd\36_0\_metadata =>Adware.CrossRider
---\\ Registro ( Claves, Valores, Datos) (14)
BORRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{fa6a9950-7c37-48ca-92ec-b0105e7825d4}\\DhcpNameServer [Bad : 186.32.188.33 186.32.188.32] =>Hijacker.Browser
BORRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer [Bad : 186.32.188.33 186.32.188.32] =>Hijacker.Browser
BORRADOS clave*: [X64] HKLM\SOFTWARE\029c4619-0385-5543-9426-46f9987161d9 [] =>Adware.CrossRider
BORRADOS clave*: HKEY_USERS\S-1-5-21-3812456334-1740610062-835106083-1001\SOFTWARE\PopcornTime [] =>.SUP.PopcornTime
BORRADOS clave**: HKCU\Software\PopcornTime [] =>.SUP.PopcornTime
BORRADOS clave*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent [BitTorrent Inc.] =>BitTorrent (P2P)
BORRADOS clave*: [X64] HKLM\SOFTWARE\Classes\bi [bi] =>Adware.FilesFrog
BORRADOS clave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0305A7E180E9370449C654D08786E372 [02:\Software\Microsoft\Windows Kits\Installed Roots\10.0.15063.0\Installed Options\OptionId.UWPManaged (Not File)] =>PUP.Optional.WpManager
BORRADOS clave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0630D25DD5987F00B6A0CE8FF9637EF9 [02:\Software\Microsoft\IpOverUsbSdk\RPCSurrogate03\LocalAddress (Not File)] =>SUP.Optional.PCSpeedUp
BORRADOS clave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\06C64C0CDFB44B5B799CB2AE94026E00 [02:\Software\Microsoft\IpOverUsbSdk\RPCSurrogate07\DestinationAddress (Not File)] =>SUP.Optional.PCSpeedUp
BORRADOS clave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0A303BBA2F90DF5F230AA200542CC36A [C:\Program Files (x86)\Windows Kits\10\Source\10.0.15063.0\ucrt\stdlib\lsearch.cpp] =>PUP.Optional.LinkiDoo
BORRADOS clave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0B02399EE0D80B854D7EC4486CD01F5F [02:\Software\Microsoft\IpOverUsbSdk\RPCSurrogate05\DestinationAddress (Not File)] =>SUP.Optional.PCSpeedUp
BORRADOS clave^: [X64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\KMSAuto [] =>HackTool.WinActivator
BORRADOS clave*: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{9D780EF7-E999-4F2B-8063-5F5866CC3028}_is1 [Grabiobot] =>PUP.Optional.Rabio
---\\ Resumen de elementos en su estación de trabajo (14)
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/ =>BitTorrent (P2P)
https://nicolascoolman.eu/2017/03/11/pup-optional-crossrider/ =>Adware.CrossRider
https://nicolascoolman.eu/2017/09/23/trojan-elpman/ =>Trojan.Elpman
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Empty
https://nicolascoolman.eu/2017/02/26/superfluous-popcorntime/ =>.SUP.PopcornTime
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.MaxStart
https://nicolascoolman.eu/2017/01/15/riskware-quicktime/ =>Riskware.QuickTime
https://nicolascoolman.eu/2017/11/10/hijacker-browser-3/ =>Hijacker.Browser
https://nicolascoolman.eu/2017/10/13/adware-filesfrog/ =>Adware.FilesFrog
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/ =>PUP.Optional.WpManager
https://nicolascoolman.eu/2017/03/05/superfluous-pcspeeduppro/ =>SUP.Optional.PCSpeedUp
https://www.nicolascoolman.com/fr/pup-linkidoo/ =>PUP.Optional.LinkiDoo
https://nicolascoolman.eu/2017/01/13/hacktool-winactivator/ =>HackTool.WinActivator
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/ =>PUP.Optional.Rabio
---\\ Limpieza adicional. (7)
~ Clave de registro Tracing borrados (7)
~ Quitar los antiguos informes de ZHPCleaner. (0)
---\\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK
~ Opera OK
~ El sistema ha sido reiniciado.
---\\ STATISTIQUES
~ Items escaneado : 5149
~ Items encontrado : 0
~ artículos cancelados : 0
~ Items opciones : 8/15
~ Ahorro de espacio (bytes) : 0
~ End of clean in 00h00mn55s
---\\ Reporte
ZHPCleaner-[R]-19012020-16_20_28.txt
Reporte de Malwarebytes
Malwarebytes
-Detalles del registro-
Fecha del análisis: 19/1/20
Hora del análisis: 16:24
Archivo de registro: 863fdf42-3b0a-11ea-8e0f-e0d55e298ae9.json
-Información del software-
Versión: 4.0.4.49
Versión de los componentes: 1.0.793
Versión del paquete de actualización: 1.0.17956
Licencia: Prueba
-Información del sistema-
SO: Windows 10 (Build 18362.592)
CPU: x64
Sistema de archivos: NTFS
Usuario: YORUDEY-PC\Yorudey
-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 1182643
Amenazas detectadas: 2
Amenazas en cuarentena: 2
Tiempo transcurrido: 1 hr, 31 min, 11 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)
Módulo: 0
(No hay elementos maliciosos detectados)
Clave del registro: 0
(No hay elementos maliciosos detectados)
Valor del registro: 0
(No hay elementos maliciosos detectados)
Datos del registro: 0
(No hay elementos maliciosos detectados)
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 0
(No hay elementos maliciosos detectados)
Archivo: 2
Generic.Malware/Suspicious, C:\USERS\Yorudey\DOCUMENTS\DISCORD CANTA\GREEDFALL.V1.0-V20191002.PLUS.16.TRAINER-FLING.RAR, En cuarentena, 0, 392686, 1.0.17956, , shuriken,
RiskWare.GameHack.Generic, C:\USERS\Yorudey\DOCUMENTS\KAPPA\479_RESIDENT_EVIL_7.ZIP, En cuarentena, 12809, 339459, 1.0.17956, , ame,
Sector físico: 0
(No hay elementos maliciosos detectados)
WMI: 0
(No hay elementos maliciosos detectados)
(end)
Gracias, la limpieza la acabo de terminar y no he podido notar si ha habido alguna mejora, de igual forma estaria informando muchas gracias por la ayuda.
20/1/2020 7:04:12 a. m.
Archivos analizados: 1004283
Archivos infectados: 14
Amenazas desinfectadas: 10
Tiempo total de análisis 03:42:54
Estado del análisis: Finalizado
C:\Program Files (x86)\IObit\IObit Uninstaller\Backup\IObitUninstaler.exe una variante de Win32/IObit.AE aplicación potencialmente indeseable Ha ocurrido un error mientras se estaba desinfectando (Acceso denegado).
C:\Program Files (x86)\IObit\IObit Uninstaller\Feedback.exe una variante de Win32/IObit.AF aplicación potencialmente indeseable Ha ocurrido un error mientras se estaba desinfectando (Acceso denegado).
C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe una variante de Win32/IObit.AE aplicación potencialmente indeseable Ha ocurrido un error mientras se estaba desinfectando (Acceso denegado).
C:\Users\Yorudey\Desktop\Definitivamente es Porno\Cthulhu\The.Outer.Worlds.v1.0.Plus.28.Trainer-FLiNG.rar una variante de Win64/GameHack.CT aplicación potencialmente peligrosa eliminado
C:\Users\Yorudey\Desktop\rdr2_online_mod_menu_[unknowncheats.me]_\Alwayskaffa RDR2 V2.7 MENU\rdr2_cheat.dll una variante de Win32/Packed.VMProtect.AB Troyano no se ha podido desinfectar - archivo eliminado
C:\Users\Yorudey\Desktop\The Outer Worlds v1.0 Plus 28 Trainer.exe una variante de Win64/GameHack.CT aplicación potencialmente peligrosa no se ha podido desinfectar - archivo eliminado
C:\Users\Yorudey\Downloads\Green Screen Memes\Kingdom Come Deliverance v1.2-v1.9 Plus 16 Trainer.exe una variante de Win64/GameHack.CT aplicación potencialmente peligrosa no se ha podido desinfectar - archivo eliminado
C:\Users\Yorudey\Downloads\Green Screen Memes\KINGDOM.COME.D.V1.9.PLUS16TRN.FLING (1).ZIPd una variante de Win64/GameHack.CT aplicación potencialmente peligrosa eliminado
C:\Users\Yorudey\Downloads\Green Screen Memes\KINGDOM.COME.D.V1.9.PLUS16TRN.FLING (2).ZIPd una variante de Win64/GameHack.CT aplicación potencialmente peligrosa eliminado
C:\Users\Yorudey\Downloads\Green Screen Memes\KINGDOM.COME.D.V1.9.PLUS16TRN.FLING.ZIP una variante de Win64/GameHack.CT aplicación potencialmente peligrosa eliminado
C:\Users\Yorudey\Downloads\Green Screen Memes\KINGDOM.COME.D.V1.9.PLUS16TRN.FLING.ZIPd una variante de Win64/GameHack.CT aplicación potencialmente peligrosa eliminado
C:\Users\Yorudey\Downloads\Green Screen Memes\Remnant.From.the.Ashes.v214.Plus.18.Trainer-FLiNG.rar una variante de Win64/GameHack.CT aplicación potencialmente peligrosa eliminado
D:\Juegos\Steam\steamapps\common\Forager\Imguigml.dll una variante de Win32/GameHack.DVJ aplicación potencialmente peligrosa no se ha podido desinfectar - archivo eliminado
Ubicaciones de inicio automático una variante de Win32/IObit.AE aplicación potencialmente indeseable archivo comprimido dañado