oobelibMkey.log, posible virus?

Hola, hace un tiempo mirando las carpetas de mi PC me percaté de que en Appdata/Local había un archivo llamado oobelibMkey.log. Éste contenía texto aleatorio en dos párrafos. Como me parecía un archivo sospechoso, decidí eliminarlo de forma rudimentaria. El problema viene cuando al poco tiempo de haberlo eliminado ese mismo archivo volvió a aparecer solo, esta vez completamente en blanco, y cada vez que lo vuelvo a eliminar vuelve a aparecer. Ya he analizado el ordenador varias veces con Malwarebytes así como con otros programas y no me detectan nada. Tengo la sospecha de que esto podría ser un posible spyware. Gracias.

Hola @Sergio1

Bienvenido al Foro!!!

Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2

Buenas, aquí están los dos reportes: FRST.txt (41,8 KB) Addition.txt (42,3 KB)

Hola @Sergio1

Sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga DelFix en el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

2.- Desactiva Temporalmente tu antivirus.

3.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:

Start
CloseProcesses:
CreateRestorePoint:
2020-01-14 17:29 - 2020-01-14 17:29 - 000000000 _____ () C:\Users\Sergio\AppData\Local\oobelibMkey.log
HKU\S-1-5-21-2362281434-757630120-3276506830-1001\...\Run: [AdobeBridge] => [X]
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\79.0.3945.117\Installer\chrmstp.exe [2020-01-11] (Google LLC -> Google LLC)
BootExecute: autocheck autochk * bootdeletebootdelete
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
Task: {DD3ABE09-3083-4B44-922F-2451E7749A7E} - System32\Tasks\USER_ESRV_SVC_QUEENCREEK => "C:\Windows\System32\Wscript.exe" //B //NoLogo "C:\Program Files\Intel\SUR\QUEENCREEK\x64\task.vbs"
Task: C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job => C:\Windows\explorer.exe
CHR DefaultSearchURL: Default -> hxxps://ssl.gstatic.com/apps-notify/drive_96_1x.png
2020-01-07 17:09 - 2020-01-07 17:35 - 000000000 ____D C:\ProgramData\HitmanPro
2020-01-06 20:04 - 2020-01-06 20:04 - 000000000 ____D C:\Windows\LastGood.Tmp

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Nos comentas .


PD/ Comentarte ademas que el archivo volverá a generarse ya que es parte de AGS Helper >>> agshelper.exe <<< y este es parte de Adobe Systems

Salu2.

Buenas, aquí está el archivo: Fixlog.txt (9,7 KB)

Al hacer la copia de seguridad del registro, me ha dado un par de mensajes de error, pero le he dicho al programa que continúe.

También al reiniciarse el ordenador me he fijado que en Chrome, en la parte de arriba de la derecha donde debería aparecer la foto de usuario ahora aparece una especie de smiley, ¿es eso normal?

PD: Me habéis dicho que el archivo oobelibMkey.log volverá a generarse, ¿significa que no tengo que preocuparme por él?

Gracias

Hola @Sergio1

Si es normal, solo vuelve a loguearte en el navegador y aparecerá tu imagen.

Exacto.

Para eliminar las herramientas utilizadas:

Descargas/Ejecutas >> Delfix, desde tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Nos comentas si todo esta en orden para dar por Solucionado el tema.

Salu2.

Buenas,

En principio veo que todo está bien, sin embargo he notado algo aunque es una tontería.

Tengo Chrome en la barra de tareas, y cada vez que abro una ventana en ese programa, se me minimiza en un icono nuevo en vez del ya existente. El resto de programas de la barra sí se me abren en su icono, pero Chrome es el único que se abre en un icono nuevo.

Gracias.

Hola @Sergio1

Prueba lo siguiente:

1.- Exporta tus marcadores, si los necesitas.

Luego:

2.- Desinstala con Revo Uninstaller en su Modo Avanzado:

  • Google Chrome

Manual de Revo Uninstaller.


3.- Reinicias el equipo.

4.- Ejecutas Ccleaner como ya lo has hecho anteriormente pero ejecutando sus opciones Limpiador y registro como esta en su Manual.

5.- Reinstalas Google Chrome desde su página oficial.

Nos comentas como va.

Salu2

Buenas,

Acabo de realizar los pasos que me habéis recomendado y se ha solucionado el problema. Muchas gracias por todo.

1 me gusta

Hola @Sergio1

Gracias a ti por confiar en Forospyware!!!


Para otros problemas, ya sabes donde encontrarnos. :wink:

Tema Solucionado

Salu2.