Hola a todos. Antes que nada agradecer por tremendo trabajo que hacen todos. He leido un tema que es muy parecido al que paso a detallarles. Y realice la limpieza que le sugirieron a ese usuario. Me enviaron un mail pidendo bitcoins y me pasaron datos de un mail y una contraseña que utilice en alguna oportunidad. Me indicaron que habian dejado un keylogger en mi pc y que si no les transferia usd 1.900 en bitcoins les enviarion fotos a mis contactos,
Les pego los mensajes que dejaron los programas que uds indicaron correr.
Malwarebytes Anti-Malware
**Malwarebytes**
**www.malwarebytes.com**
**-Detalles del registro-**
**Fecha del análisis: 11/4/20**
**Hora del análisis: 0:48**
**Archivo de registro: 50ca8c12-7ba7-11ea-80c7-0090f589c0dd.json**
**-Información del software-**
**Versión: 4.1.0.56**
**Versión de los componentes: 1.0.867**
**Versión del paquete de actualización: 1.0.22272**
**Licencia: Prueba**
**-Información del sistema-**
**SO: Windows 7 Service Pack 1**
**CPU: x86**
**Sistema de archivos: NTFS**
**Usuario: wow-PC\wow**
**-Resumen del análisis-**
**Tipo de análisis: Análisis de amenazas**
**Análisis iniciado por:: Manual**
**Resultado: Completado**
**Objetos analizados: 173354**
**Amenazas detectadas: 27**
**Amenazas en cuarentena: 0**
**Tiempo transcurrido: 13 min, 33 seg**
**-Opciones de análisis-**
**Memoria: Activado**
**Inicio: Activado**
**Sistema de archivos: Activado**
**Archivo: Activado**
**Rootkits: Desactivado**
**Heurística: Activado**
**PUP: Detectar**
**PUM: Detectar**
**-Detalles del análisis-**
**Proceso: 1**
**PUP.Optional.ScreenShot, C:\PROGRAM FILES\SCREENSHOT\SSSVC.EXE, Sin acciones por parte del usuario, 3561, 392705, , , , **
**Módulo: 1**
**PUP.Optional.ScreenShot, C:\PROGRAM FILES\SCREENSHOT\SSSVC.EXE, Sin acciones por parte del usuario, 3561, 392705, , , , **
**Clave del registro: 11**
**PUP.Optional.WinYahoo, HKU\S-1-5-21-290574485-1855852075-2952791527-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, Sin acciones por parte del usuario, 242, 182758, , , , **
**PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, Sin acciones por parte del usuario, 242, 182758, 1.0.22272, , ame, **
**PUP.Optional.SearchManager, HKU\S-1-5-21-290574485-1855852075-2952791527-1001\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\PILPLLOABDEDFMIALNFCHJOMJMPJCOEJ, Sin acciones por parte del usuario, 431, 260991, , , , **
**PUP.Optional.SearchManager, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\pilplloabdedfmialnfchjomjmpjcoej, Sin acciones por parte del usuario, 431, 260991, 1.0.22272, , ame, **
**PUP.Optional.ScreenShot, HKLM\SOFTWARE\CLASSES\TYPELIB\{123FE8FD-9654-401F-BC63-8B26BDA25FEC}, Sin acciones por parte del usuario, 3561, 392705, , , , **
**PUP.Optional.ScreenShot, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SSSVC, Sin acciones por parte del usuario, 3561, 392705, 1.0.22272, , ame, **
**PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{95B7759C-8C7F-4BF1-B163-73684A933233}, Sin acciones por parte del usuario, 242, 182757, , , , **
**PUP.Optional.WinYahoo, HKLM\SOFTWARE\CLASSES\WtuServer.WtuServerObj, Sin acciones por parte del usuario, 242, 182757, , , , **
**PUP.Optional.WinYahoo, HKLM\SOFTWARE\CLASSES\WtuServer.WtuServerObj.1, Sin acciones por parte del usuario, 242, 182757, , , , **
**PUP.Optional.WinYahoo, HKU\S-1-5-21-290574485-1855852075-2952791527-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{95B7759C-8C7F-4BF1-B163-73684A933233}, Sin acciones por parte del usuario, 242, 182757, 1.0.22272, , ame, **
**PUP.Optional.MediaPlayAir, HKU\S-1-5-21-290574485-1855852075-2952791527-1001\SOFTWARE\UNDEFINED, Sin acciones por parte del usuario, 1312, 334354, 1.0.22272, , ame, **
**Valor del registro: 5**
**PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|URL, Sin acciones por parte del usuario, 242, 182758, 1.0.22272, , ame, **
**PUP.Optional.SearchManager, HKU\S-1-5-21-290574485-1855852075-2952791527-1001\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|PILPLLOABDEDFMIALNFCHJOMJMPJCOEJ, Sin acciones por parte del usuario, 431, 260991, , , , **
**PUP.Optional.ScreenShot, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SSSVC|IMAGEPATH, Sin acciones por parte del usuario, 3561, 392705, 1.0.22272, , ame, **
**PUP.Optional.WinYahoo, HKU\S-1-5-21-290574485-1855852075-2952791527-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{95B7759C-8C7F-4BF1-B163-73684A933233}|URL, Sin acciones por parte del usuario, 242, 182757, 1.0.22272, , ame, **
**PUP.Optional.MediaPlayAir, HKU\S-1-5-21-290574485-1855852075-2952791527-1001\SOFTWARE\UNDEFINED|JAVAPLUGIN.EXE, Sin acciones por parte del usuario, 1312, 334354, 1.0.22272, , ame, **
**Datos del registro: 2**
**PUP.Optional.WinYahoo, HKU\S-1-5-21-290574485-1855852075-2952791527-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|START PAGE, Sin acciones por parte del usuario, 242, 292990, 1.0.22272, , ame, **
**PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|START PAGE, Sin acciones por parte del usuario, 242, 293461, 1.0.22272, , ame, **
**Secuencia de datos: 0**
**(No hay elementos maliciosos detectados)**
**Carpeta: 1**
**PUP.Optional.ScreenShot, C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\SCREENSHOT, Sin acciones por parte del usuario, 3561, 392618, 1.0.22272, , ame, **
**Archivo: 6**
**PUP.Optional.SearchManager, C:\USERS\WOW\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sin acciones por parte del usuario, 431, 260991, , , , **
**PUP.Optional.ScreenShot, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ScreenShot\ScreenShot.lnk, Sin acciones por parte del usuario, 3561, 392618, , , , **
**PUP.Optional.ScreenShot, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ScreenShot\SSInst.lnk, Sin acciones por parte del usuario, 3561, 392618, , , , **
**PUP.Optional.ScreenShot, C:\PROGRAM FILES\SCREENSHOT\SSSVC.EXE, Sin acciones por parte del usuario, 3561, 392705, , , , **
**PUP.Optional.SearchManager.BITSRST, C:\USERS\WOW\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sin acciones por parte del usuario, 284, 628563, 1.0.22272, , ame, **
**PUP.Optional.SearchManager.BITSRST, C:\USERS\WOW\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sin acciones por parte del usuario, 284, 628563, 1.0.22272, , ame, **
**Sector físico: 0**
**(No hay elementos maliciosos detectados)**
**WMI: 0**
**(No hay elementos maliciosos detectados)**
**(end)**
Ejecute
AdwCleaner/InfoSpyware
**# -------------------------------**
**# Malwarebytes AdwCleaner 8.0.4.0**
**# -------------------------------**
**# Build: 04-03-2020**
**# Database: 2020-04-08.2 (Cloud)**
**# Support: https://www.malwarebytes.com/support**
**#**
**# -------------------------------**
**# Mode: Clean**
**# -------------------------------**
**# Start: 04-11-2020**
**# Duration: 00:00:04**
**# OS: Windows 7 Enterprise**
**# Cleaned: 2**
**# Failed: 0**
******* [ Services ] *******
**No malicious services cleaned.**
******* [ Folders ] *******
**No malicious folders cleaned.**
******* [ Files ] *******
**Deleted C:\ProgramData\Microsoft\Windows\Start Menu\ScreenShot.lnk**
******* [ DLL ] *******
**No malicious DLLs cleaned.**
******* [ WMI ] *******
**No malicious WMI cleaned.**
******* [ Shortcuts ] *******
**No malicious shortcuts cleaned.**
******* [ Tasks ] *******
**No malicious tasks cleaned.**
******* [ Registry ] *******
**Deleted HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0CE02FFA-A6B0-46F6-BA2F-BD32C3630126}**
******* [ Chromium (and derivatives) ] *******
**No malicious Chromium entries cleaned.**
******* [ Chromium URLs ] *******
**No malicious Chromium URLs cleaned.**
******* [ Firefox (and derivatives) ] *******
**No malicious Firefox entries cleaned.**
******* [ Firefox URLs ] *******
**No malicious Firefox URLs cleaned.**
******* [ Hosts File Entries ] *******
**No malicious hosts file entries cleaned.**
******* [ Preinstalled Software ] *******
**No Preinstalled Software cleaned.**
*****************************
**[+] Delete Tracing Keys**
**[+] Reset Winsock**
*****************************
**AdwCleaner[S00].txt - [1565 octets] - [11/04/2020 01:41:54]**
**########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########**
Ejecute CCleaner
Ejecute el limpiador dejandolo sin problemas Elimine los registros con problemas pero me quedo uno que no lo puedo eliminar
**Windows Registry Editor Version 5.00**
**[HKEY_CLASSES_ROOT\CLSID\{BFC006EE-B806-4C2A-A938-6D3344781512}]**
**[HKEY_CLASSES_ROOT\CLSID\{BFC006EE-B806-4C2A-A938-6D3344781512}\InprocServer32]**
**@=hex(2):25,00,43,00,6f,00,6d,00,6d,00,6f,00,6e,00,50,00,72,00,6f,00,67,00,72,\**
** 00,61,00,6d,00,46,00,69,00,6c,00,65,00,73,00,25,00,5c,00,6d,00,69,00,63,00,\**
** 72,00,6f,00,73,00,6f,00,66,00,74,00,20,00,73,00,68,00,61,00,72,00,65,00,64,\**
** 00,5c,00,69,00,6e,00,6b,00,5c,00,6d,00,72,00,61,00,75,00,74,00,2e,00,44,00,\**
** 4c,00,4c,00,00,00**
**"ThreadingModel"="Both"**
**[HKEY_CLASSES_ROOT\CLSID\{BFC006EE-B806-4C2A-A938-6D3344781512}\TypeLib]**
**@="{7CE75108-B7DA-4599-A714-B542A8555357}"**
Puede ser que haya eliminado un key logger ? Mi pc estuvo muy lenta antes de ejecutar estos software…
Diganme si necesitan que corra algun otro programa o quedo todo limpio.
Muchas gracias.