Problema con Chrome y Notepad sospechoso

Lo primero buenas noches a todos, soy nuevo por aquí. Hace un tiempo tuve problemas con un troyano que se me metío en Chrome (una barra rusa) pero creo que ya está limpio. Ahora estoy un poco mosqueado porque la batería de mi portátil no me dura mucho y veo que los ventiladores se ponen en funcionamiento sin hacer nada… he visto que el mayor causante de la bajada de batería es el Bloc de notas ¿?. Os adjunto mi log por si podéis revisarlo. Muchas gracias. HiJackThis.txt (50,0 KB)

Hola @Jarlok bienvenido al foro!!!

HiJackThis ya no lo usamos, se quedó desactualizado.

Realiza los siguientes pasos, aunque hayas hecho alguno, sin cambiar el orden:

1) Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware, revisa en detalle el manual, para que sepas usarlo y configurarlo.

  • Realiza un Análisis personalizado, actualizando si te lo pide.
  • Pulsar en “Cuarentena seleccionado” para enviarlo a la cuarentena y Reinicias el sistema.
  • En el apartado del manual Historial de detecciones encontrarás el reporte de MBAM, clic en Exportar >> Copiar al portapapeles.

2) Descarga AdwCleaner | InfoSpyware en el escritorio.

  • Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus.
  • Cierra también todos los programas que tengas abiertos.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador".)
  • Pulsar en el botón Escanear, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar.
  • Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
  • Guardas el reporte que te aparecerá, para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también se puede encontrar en C:\AdwCleaner\AdwCleaner[C1].txt

3) Descarga CCleaner

  • Instala Ccleaner
  • Abres Ccleaner en la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine >> clic en ejecutar limpiador
  • Clic en la pestaña Registro >> clic en buscar problemas esperas que termine >> clic en Reparar Seleccionadas y haces una copia de seguridad
  • Vuelves a darle clic en buscar problemas hasta que no encuentre ninguno.

Pega los reportes de Malwarebytes y AdwCleaner y comentas como va el problema.

¿Cómo pegar reportes en el foro?

Un saludo

Muchas gracias! Pasé el Malwarebytes y me encontró unos cuantos malwares… :frowning: Adjunto el informe. El adwcleaner me encontró solo 1 pero además era del sistema (programa del trackpad). log malware.txt (6,1 KB) log AdwCleaner.txt (4,2 KB)

Saludos!

Hola

Como sigue el problema.

Un saludo

Parece que bastante mejor, seguiré pasando el Malwarebytes cada poco para asegurarme. Ahora mismo no me ha encontrado nada. Muchas gracias!

Hola

Vamos a ver si queda algo más.

Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus

Descarga Farbar Recovery Scan Tool.en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de tu equipo. :arrow_right: Como saber si Mi Windows es de 32 o 64 Bits ?.

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Pon los dos reportes generados.

Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).

Un saludo

Envío el resultado del Farbar. Gracias.Addition.txt (58,7 KB) FRST.txt (125,6 KB)

Hola

Conoces estas carpetas? Las has creado tu?

C:\DB5C4B72F199

C:\6AFA7189E597

C:\4F5B88FF73D8

Un saludo

No, nos los he creado yo… son ficheros no carpetas… Te adjunto pantallazo.

Gracias.

Hola

No descargaste y ejecutaste FRST desde el escritorio como te indiqué, muévelo allí si no fallará el paso siguiente.

:arrow_forward: MUY Importante :arrow_backward: Realiza una copia de seguridad del registro :

  • Para hacerlo descarga :arrow_forward: DelFix.exe( en tu escritorio).

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).

  • Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO.

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

A continuación :warning: con los demás programas cerrados ve a :arrow_forward: Inicio :arrow_forward: Ejecutar :arrow_forward: y escribe Notepad.exe.

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-330376748-2503763202-164087153-1001\...\RunOnce: [Application Restart #2] => C:\Program Files (x86)\ASUS\Giftbox\Asusgiftbox.exe  --no-displaying-insecure-content --disable-devtools --disable-raf-throttling --user-data-dir="C:\Users\Xaka\AppData\Local\ASUS GIFTBOX\User Data" - (la entrada de datos tiene 122 más caracteres).
HKU\S-1-5-21-330376748-2503763202-164087153-1001\...\MountPoints2: {2821a622-5f94-11e9-ad3a-a402b924986a} - "E:\HiSuiteDownLoader.exe" 
CHR HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
Task: {CC9C4AFF-83C7-47AA-9E5D-7A6BA72A94B3} - \Microsoft\Windows\UNP\RunCampaignManager -> Ningún archivo <==== ATENCIÓN
Tcpip\..\Interfaces\{167ca93f-3d08-45d7-a212-174e9c5c4e92}: [DhcpNameServer] 30.50.1.1 30.50.1.2
Tcpip\..\Interfaces\{fb20e9cd-3c54-465d-b703-ede2c2f7a08e}: [DhcpNameServer] 103.86.99.99 103.86.96.96 103.86.96.100 103.86.99.100
HKU\S-1-5-21-330376748-2503763202-164087153-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://es.yahoo.com/?fr=fp-comodo&type=81_138430009005_80.0.3987.87_u_hp
SearchScopes: HKU\S-1-5-21-330376748-2503763202-164087153-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
FF Extension: (Synology Download Manager) - C:\Users\Xaka\AppData\Roaming\Mozilla\Firefox\Profiles\zu0kr79t.default-esr\Extensions\{b17c0686-033c-4d03-b526-b16c99998c98}.xpi [2020-03-01]
FF HKU\S-1-5-21-330376748-2503763202-164087153-1001\...\Firefox\Extensions: [acewebextension_u[email protected]] - C:\Users\Xaka\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => no encontrado
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [Ningún archivo]
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Ningún archivo]
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Ningún archivo]
FF Plugin HKU\S-1-5-21-330376748-2503763202-164087153-1001: @acestream.net/acestreamplugin,version=3.1.28 -> C:\Users\Xaka\AppData\Roaming\ACEStream\player\npace_plugin.dll [Ningún archivo]
CHR HKU\S-1-5-21-330376748-2503763202-164087153-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx [2017-11-01]
S2 Asus WebStorage Windows Service; "C:\Program Files (x86)\ASUS\WebStorage\2.2.6.547\AsusWSWinService.exe" [X]
2020-04-11 22:44 - 2020-04-11 22:44 - 000000112 ____H C:\DB5C4B72F199
2020-04-11 22:44 - 2020-04-11 22:44 - 000000112 ____H C:\6AFA7189E597
2020-04-11 22:44 - 2020-04-11 22:44 - 000000112 ____H C:\4F5B88FF73D8
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Xaka\AppData\Local\MEGAsync\ShellExtX64.dll -> Ningún archivo
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Xaka\AppData\Local\MEGAsync\ShellExtX64.dll -> Ningún archivo
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Xaka\AppData\Local\MEGAsync\ShellExtX64.dll -> Ningún archivo
ShellIconOverlayIdentifiers: [!AsusWSShellExt_B] -> {6D4133E5-0742-4ADC-8A8C-9303440F7191} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Xaka\AppData\Local\MEGAsync\ShellExtX64.dll -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Xaka\AppData\Local\MEGAsync\ShellExtX64.dll -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Xaka\AppData\Local\MEGAsync\ShellExtX64.dll -> Ningún archivo
ContextMenuHandlers1: [ASZip] -> {d03d3e68-0f44-3d45-b15f-bcfd8a8b4c7e} =>  -> Ningún archivo
ContextMenuHandlers1: [ASZip64] -> {d03d3e78-0f44-3d45-b15f-bcfd8a8b4c7e} =>  -> Ningún archivo
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Xaka\AppData\Local\MEGAsync\ShellExtX64.dll -> Ningún archivo
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Xaka\AppData\Local\MEGAsync\ShellExtX64.dll -> Ningún archivo
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Xaka\AppData\Local\MEGAsync\ShellExtX64.dll -> Ningún archivo
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Xaka\AppData\Local\MEGAsync\ShellExtX64.dll -> Ningún archivo
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Ningún archivo
ContextMenuHandlers6: [ASZip] -> {d03d3e68-0f44-3d45-b15f-bcfd8a8b4c7e} =>  -> Ningún archivo
ContextMenuHandlers6: [ASZip64] -> {d03d3e78-0f44-3d45-b15f-bcfd8a8b4c7e} =>  -> Ningún archivo
FirewallRules: [UDP Query User{8CEA85A8-CBC7-4D8E-958F-CB16631B53A0}C:\program files (x86)\emule\emule.exe] => (Allow) C:\program files (x86)\emule\emule.exe Ningún archivo
FirewallRules: [TCP Query User{DF2FC4CC-1202-4A4F-A0C9-5E74813A65BA}C:\program files (x86)\emule\emule.exe] => (Allow) C:\program files (x86)\emule\emule.exe Ningún archivo
FirewallRules: [UDP Query User{569C0267-4863-4AC0-A715-7FD422491CF0}C:\program files (x86)\emuletorrent\emuletorrent.exe] => (Allow) C:\program files (x86)\emuletorrent\emuletorrent.exe Ningún archivo
FirewallRules: [TCP Query User{7F138CC7-76B6-4FCA-8013-D6D8D2A873C3}C:\program files (x86)\emuletorrent\emuletorrent.exe] => (Allow) C:\program files (x86)\emuletorrent\emuletorrent.exe Ningún archivo
FirewallRules: [{F893938C-3955-4894-A287-40ACB4A366CA}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe Ningún archivo
FirewallRules: [{202C185A-24A1-416E-B654-A7864752BCBB}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe Ningún archivo
FirewallRules: [{2B8D8E68-94C4-40B1-BFED-7560FE8A75D5}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe Ningún archivo
FirewallRules: [{D17BD618-0785-4618-B54F-67D36C349551}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe Ningún archivo
FirewallRules: [{31D6C1B9-FE4A-46F4-B78F-15E4D108E73D}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe Ningún archivo
FirewallRules: [{6818E410-AD15-4354-9200-D83A29C61210}] => (Allow) C:\Program Files (x86)\Origin Games\FIFA 17 DEMO\FIFASetup\fifaconfig.exe Ningún archivo
FirewallRules: [{AC7D0C0F-F1CD-4F7B-A0CE-8C11AA4CE9B0}] => (Allow) C:\Program Files (x86)\Origin Games\FIFA 17 DEMO\FIFASetup\fifaconfig.exe Ningún archivo
FirewallRules: [{49EFF0E3-9933-4AD8-9FC3-AEB60449E50B}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe Ningún archivo
FirewallRules: [{C41420C0-B749-42BC-95B0-BB90761E01B1}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe Ningún archivo
FirewallRules: [{B4609078-176F-4EF3-B800-EFF422019B1C}] => (Allow) C:\Program Files\Intel Corporation\Intel WiDi\WiDiApp.exe Ningún archivo
FirewallRules: [{1BC3A757-9C37-46F8-8C2E-77CE27ABCCD6}] => (Allow) C:\Program Files\Intel Corporation\Intel WiDi\WiDiAppOld.exe Ningún archivo
FirewallRules: [{028D9156-864C-480C-801C-3FEDE324FB76}] => (Allow) C:\Program Files\Intel Corporation\Intel WiDi\Next\WirelessDisplay.exe Ningún archivo
FirewallRules: [{D45C3FC7-ECA2-4BA0-A048-CDA5EA3CC99A}] => (Allow) C:\Program Files\Intel Corporation\Intel WiDi\SmartAgentTest.exe Ningún archivo
FirewallRules: [{370969A5-D9CC-46C7-9B74-98DA64364C4B}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Ningún archivo
FirewallRules: [{9BDBF691-6567-4A69-A614-ADD9AB8F144D}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Ningún archivo
FirewallRules: [TCP Query User{8AA1AB5C-3C55-43ED-9C64-727AE2AB50A1}C:\program files (x86)\steam\steamapps\common\total war warhammer\warhammer.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\total war warhammer\warhammer.exe Ningún archivo
FirewallRules: [UDP Query User{5571006D-9BEE-4AB9-8F6C-06368E940DBB}C:\program files (x86)\steam\steamapps\common\total war warhammer\warhammer.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\total war warhammer\warhammer.exe Ningún archivo
FirewallRules: [{CCBA0ED7-D59C-4A6E-A64A-6A527B361DDB}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Total War WARHAMMER\launcher\launcher.exe Ningún archivo
FirewallRules: [{FF7E4066-361F-464D-93A7-1C262FA2A2CA}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Total War WARHAMMER\launcher\launcher.exe Ningún archivo
FirewallRules: [TCP Query User{5C87DBBC-F460-4798-B991-8B5D07E2AFDF}C:\program files (x86)\origin games\fifa 17 demo\fifa17_demo.exe] => (Allow) C:\program files (x86)\origin games\fifa 17 demo\fifa17_demo.exe Ningún archivo
FirewallRules: [UDP Query User{71DA76CA-DD56-49A9-BF61-48C9B857A04F}C:\program files (x86)\origin games\fifa 17 demo\fifa17_demo.exe] => (Allow) C:\program files (x86)\origin games\fifa 17 demo\fifa17_demo.exe Ningún archivo
FirewallRules: [TCP Query User{2C002DE0-CE91-4AC1-AD37-740F39EE9949}C:\program files (x86)\mozilla firefox\firefox.exe] => (Allow) C:\program files (x86)\mozilla firefox\firefox.exe Ningún archivo
FirewallRules: [UDP Query User{1D43155A-0B5D-4791-9E2D-0C169330D2C3}C:\program files (x86)\mozilla firefox\firefox.exe] => (Allow) C:\program files (x86)\mozilla firefox\firefox.exe Ningún archivo


HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Guárdalo bajo el nombre de FIXLIST.TXT en el escritorio :arrow_backward: Esto es muy importante.

:o: Nota :o: Es importante que la herramienta FRST.exe (Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.


Y ahora usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) :arrow_forward: ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.

  • Ejecuta FRST.exe.(Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas -Ejecutar como Administrador-).
  • Presionar el botón FIX/Corregir y aguardar a que termine.
  • La Herramienta guardara el reporte de reparación en el escritorio (FIXLOG.TXT).

Pega el contenido de este fichero en tu próxima respuesta.

Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.

Un saludo

A ver si ahora está bien. Un saludo.Fixlog.txt (24,5 KB)

Hola

Comenta si sigue todo bien.

Un saludo

De momento parece que va todo bien. Muchas gracias.

1 me gusta

Hola @Jarlok

Sigue estos pasos, para eliminar las herramientas utilizadas:

Para hacerlo utiliza de nuevo/descarga >> DelFix.exe en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marca todas las casillas, y pulsas en Run

Se abrirá el informe (DelFix.txt), puedes cerrarlo.


Gracias a ti por confiar en ForoSpyware. Ha sido un placer ayudarte :handshake:

Nos alegramos que se te haya resuelto :+1: Damos el tema por solucionado.

Solucionado

Un saludo