Malware indetectable - Google Chrome

Buenos días. Navegando por internet entre a una pagina y se me descargo el MCaffe solo, luego de eso lo desinstale, cuando abro google chrome nuevamente, me aparecía en el costado derecho cuando habría las opciones que mi navegador esta administrado por mi organización. Entonces empece la búsqueda por google, eso suele figurar cuando perteneces a una empresa o escuela, el cual no es mi caso porque es una computadora personal. Respecto al administrador google me da estas opciones: Tu administrador puede ser:

  • La persona que te ha facilitado tu nombre de usuario
  • Alguien del departamento de TI o del servicio de asistencia (de la empresa o el centro educativo)
  • La persona que administra tu servicio de correo electrónico o tu sitio web (en una empresa pequeña o asociación)

Que claramente no me ayudan, porque el dueño de la cuenta soy yo. Google también te informa que busques las politicas/policys que tu organización puede haber puesto y solo me figuraba como politica Quic​Allowed, entonces deshabilite el protocolo QUIC de google. Mientras hacia esto, realice búsquedas con Avast, Superantispyware y Malwarebytes, pero no encontraron nada. Desinstale google y borre la carpeta de usuario y volví a instalarlo y sigue como que una organización administra mi cuenta, luego puse la configuración original de google pero sigue la misma notificación. Estoy casi seguro que esta relacionado con ese Mcaffe que se instalo solo, pero los antivirus no detectan nada. Tambien pase AdwCleaner y el FRST64. Aca abajo paso los registros. el AdwCleaner encontró PUP.Optional.WebCompanion, pero no creo que este relacionado con el problema porque luego de ponerlo en cuarentena nada paso. También consulte en el foro de google chrome y revise varios topicos similares,pero en ninguno hay respuesta.Pienso que quizás el malware puede estar en la pc y no ser un problema de la cuenta, porque cuando deslogeo la cuenta, sigue diciendo que lo administra mi organización. Ya no se que hacer, desde ya muchas gracias. FRST64. FRST.txt (127,6 KB)

AdwCleaner AdwCleaner[S00].txt (1,9 KB)

Con Adwcleaner pone modo “scan”…diste a eliminar despues?

Si no es asi, elimina todo.

Con Frst…mira si te salio otro informe…Adittion.txt y lo pegas como se indica

Nota: Si el/los reportes solicitados no entraran en una sola respuesta porque superan la cantidad de caracteres permitidos, puedes utilizar dos o mas respuestas para pegarlos completamente.

Claro no había subido el otro informe porque no me lo permitía. Cuando analice con Adwcleaner puse eliminar.

Addition.txt (48,4 KB)

La única novedad que tuve fue que en el hilo de consulta que abrí en el foro de google chrome me indicaron como borrar la notificación que aparecía al costado al ir a opciones y cuando voy a policy de google ya no me figura QuicAllowed, pero no tengo seguridad de que lo que provoco eso se borro. Haciendo el paso 6 desde esta guía https://support.google.com/chrome/thread/2517326, pero no se si solo borro la notificación o el problema.

Esto es un bug de Avast que no ha sido resuelto

Con lo que te indico espero se resuelve, aunque no sea definitivo.

Bien… y ahora sigue estos pasos, MUY Importante ~ Realiza una copia de seguridad del registro :

  • Para hacerlo descarga Delfix en tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona "Ejecutar como Administrador.")

  • Atención, ahora marca/selecciona únicamente las casillas Registry Backup, las demás NO

  • Pulsar en Run.

Se abrirá el informe (Delfix.txt), guárdalo por si fuera necesario y cierra la herramienta.


En el equipo con los demas programas cerrados:

Inicio >>> Ejecutar >>>Escribes notepad.exe.

Ahora copia y pega estos archivos dentro del Notepad:


Start
CreateRestorePoint:
CloseProcesses:

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk [2020-04-24]
ShortcutTarget: $McRebootA5E6DEAA56$.lnk ->  (Ningún archivo)
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
CHR HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
ShortcutWithArgument: C:\Users\DeXuS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\[email protected] - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> --profile-directory="Profile 1"
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
AlternateDataStreams: C:\Users\DeXuS\Datos de programa:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\DeXuS\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.<<

Nota: Es importante que la Hta Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no no trabajara.

  • Ejecutas Frst.exe.

  • Presionas el botón Corregir y aguardas a que termine.

  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).

Lo pegas en tu próxima respuesta, comentado como va el problema

2 Me gusta

Este fue el Fixlog que me salio luego de reparar. Fixlog.txt (8,1 KB)

Y como va todo?,…

1 me gusta

La notificación de google chrome desapareció con el paso que me dieron en el foro. La computadora anda normalmente, mi miedo era que de hecho siguiera siendo controlado el google chrome por otra persona, pero si en los logs no figura ninguna otra novedad creo que es todo. Muchisimas gracias por toda la ayuda. Tengo una ultima duda, ¿hubo algunas entradas sospechosas o raras en los logs?, ¿esta entrada que significa : ShortcutWithArgument: C:\Users\DeXuS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\[email protected] - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> --profile-directory=“Profile 1”?. De vuelta muchas gracias por la ayuda, y a navegar con mas cuidado.

Como te dije, el problema es por Avast, aunque no tiene mas importancia,supongo en breve lo solucionaran,

Estos accesos directos, pueden ser añadidos por programas legítimos o por malware, para mostra publicidad,pero mejor quitarlos siempre,

Por lo demas, no habia nada peligroso

Para eliminar las herramientas usadas en la desinfección, realizas:

  • Descargas y Ejecutas >> Delfix, en tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >>;Ejecutar como Administrador.)

  • Marca solamente la casilla Remove Desinfection Tools

  • Pulsar en Run.

Se abrirá el informe (Delfix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Si queda alguna herramienta, la desinstalas desde panel de Windows y aquellas que no estén listadas, se eliminan directamente.


Me alegro de haberte podido ayudar! :+1:


TEMA SOLUCIONADO