Proceso "G" y "MainWindow" al apagar ordenador

Hol@ buenas a todos, soy nuevo en este foro , aunque he leído ciertos temas aquí, los cuales me han sido de ayuda (según recuerdo); yendo al grano, pues he tenido una duda con unos procesos sospechosos, hace tiempo, cuando apague mi laptop con Windows 10, me encontré con la sorpresa de un proceso o programa en ejecución llamado “G”, el cual no se terminaba de cerrar o quitar, traté de tomarle foto mediante mi smartphone, pero no fui rápido al hacerlo (esto le ha pasado a usuario en el foro. Link: Proceso "g"), aunque al dia siguiente o días después, me tomó por sorpresa otro proceso llamado “MainWindow”, a cual si le pude tomar foto (Link: https://imgur.com/a/ZLvmd3K), inmediatamente; además estoy preocupado más , porque no he encontrado nada de información de tales, e incluso, esto me había ocurrido otras veces, anteriormente, pero con procesos con diversos nombres los cuales son raros y/o incoherentes, en otras palabras, no son procesos comunes del sistema.

¿Me pueden decir, la procedencia de estos procesos, y si son maliciosos?

Hola @OscarGamer74, Bienvenido al Foro!!!

Vamos a ver si el equipo tiene infecciones.

Realiza los siguientes pasos, aunque hayas hecho alguno, sin cambiar el orden:

1) Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware, revisa en detalle el manual, para que sepas usarlo y configurarlo.

• Realiza un Análisis personalizado, actualizando si te lo pide.
• Pulsar en “Cuarentena seleccionado” para enviarlo a la cuarentena y Reinicias el sistema.
• En el apartado del manual Historial de detecciones encontrarás el reporte de MBAM, clic en Exportar >> Copiar al portapapeles.

2) Descarga AdwCleaner | InfoSpyware en el escritorio.

• Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus.
• Cierra también todos los programas que tengas abiertos.
• Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador".)
• Pulsar en el botón Escanear, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar.
• Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
• Guardas el reporte que te aparecerá, para copiarlo y pegarlo en tu próxima respuesta.
• El informe también se puede encontrar en C:\AdwCleaner\AdwCleaner[C1].txt

3) Descarga CCleaner

• Instala Ccleaner
• Abres Ccleaner en la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine >> clic en ejecutar limpiador
• Clic en la pestaña Registro >> clic en buscar problemas esperas que termine >> clic en Reparar Seleccionadas y haces una copia de seguridad
• Vuelves a darle clic en buscar problemas hasta que no encuentre ninguno.

Pega los reportes de Malwarebytes y AdwCleaner y comentas como va el problema.

¿Cómo pegar reportes en el foro?

Un saludo

Hola, buenos días , muchas gracias por la respuesta, perdón por la tardanza pero he estado corriendo el Análisis Personalizado por una gran cantidad de tiempo, en el cual, indiqué que MalwareBytes, tiene que escanear totalmente mi disco duro donde he escaneado más de 1 millón de archivos y/o elementos, en aprox. casi 15 h (lo he corrido toda la noche), no sé cuánto tiempo más tengo que esperar (además he pausado varias veces el escaneo, para poder utilizar mi laptop correctamente, sin inconvenientes) porque solo he encontrado 6 detecciones, los cuales, espero que no sean “falsos-positivos” porque tengo en mi laptop, varios juegos pirata o cracks, aún así:

¿Dejo terminar el escaneo de mi disco duro totalmente, o ya lo termino?

Un saludo

Captura de pantalla (204)1920×1080 1010 KB

P.D. Ya había utilizado MalwareBytes anteriormente, y con un análisis de amenazas, me detectó 4 “malware”, que investigué que eran probables “falsos-positivos” porque eran cracks. Aunque este lo desinstalé, pero guarde el informe.

Hola

Es conveniente que esperes a que termine de analizar y de seguido, continua con los demás pasos.

Un saludo

Hola @Daniela, buenas , aquí están los reportes de MalwareBytes y AdwCleaner, solo me he encontrado con probables “falsos-positivos”. No sé si quieras también los del CCleaner.

MalwareBytes:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 20/5/20
Hora del análisis: 18:29
Archivo de registro: af249df2-9af1-11ea-bad3-9828a63b242e.json

-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.920
Versión del paquete de actualización: 1.0.24168
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 18362.720)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-EJ1KJ7P\Oscar Delgado

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 1523946
Amenazas detectadas: 6
Amenazas en cuarentena: 6
Tiempo transcurrido: 26 hr, 51 min, 40 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 6
HackTool.Patcher, C:\$RECYCLE.BIN\S-1-5-21-3605355356-2454836236-1298990873-1001\$RZX3W47\RESOURCES\ASP_V2_0_P.EXE, En cuarentena, 7548, 473286, 1.0.24168, 000000000000000000000003, dds, 00728569
HackTool.Patcher, C:\$RECYCLE.BIN\S-1-5-21-3605355356-2454836236-1298990873-1001\$R5MYOTS.7Z, En cuarentena, 7548, 473286, 1.0.24168, 000000000000000000000003, dds, 00728569
PUP.Optional.GameHack, C:\PROGRAM FILES\CHEAT ENGINE 7.0\STANDALONEPHASE1.DAT, En cuarentena, 7911, 393793, 1.0.24168, , ame, 
CrackTool.Agent, C:\USERS\OSCAR DELGADO\DOCUMENTS\MIS ARCHIVOS\USB\MIS DOCUMENTOS\ACTIVADOR CREATIVE CLOUD\ACTIVADOR ADOBECC 2018\AMTEMU.V0.9.2-PAINTER.EXE, En cuarentena, 5978, 445980, 1.0.24168, 000000000000000000000003, dds, 00728569
HackTool.Patcher, C:\USERS\OSCAR DELGADO\DOWNLOADS\GENP.V2.5\RESOURCES\ASP_V2_0_P.EXE, En cuarentena, 7548, 473286, 1.0.24168, 7, dds, 00728569
HackTool.Patcher, C:\USERS\OSCAR DELGADO\DOWNLOADS\ADOBE CC ACTIVADOR.7Z, En cuarentena, 7548, 473286, 1.0.24168, 000000000000000000000003, dds, 00728569

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

AdwCleaner [C00]:

# -------------------------------
# Malwarebytes AdwCleaner 8.0.4.0
# -------------------------------
# Build:    04-03-2020
# Database: 2020-05-19.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    05-21-2020
# Duration: 00:00:01
# OS:       Windows 10 Home Single Language
# Cleaned:  2
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\ProgramData\IObit\Advanced SystemCare
Deleted       C:\Users\Oscar Delgado\AppData\Roaming\IObit\Advanced SystemCare

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [5697 octets] - [21/05/2020 23:45:29]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

AdwCleaner [S00]:

# -------------------------------
# Malwarebytes AdwCleaner 8.0.4.0
# -------------------------------
# Build:    04-03-2020
# Database: 2020-05-19.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    05-21-2020
# Duration: 00:00:45
# OS:       Windows 10 Home Single Language
# Scanned:  31863
# Detected: 35


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

PUP.Optional.AdvancedSystemCare C:\ProgramData\IObit\Advanced SystemCare
PUP.Optional.AdvancedSystemCare C:\Users\Oscar Delgado\AppData\Roaming\IObit\Advanced SystemCare

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.AcerCareCenter   Folder   C:\Program Files (x86)\ACER\CARE CENTER 
Preinstalled.AcerCareCenter   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{BB561179-B23E-4E86-B13F-D031A4FC9815}  
Preinstalled.AcerCareCenter   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AA9031F0-B437-4168-8BDA-140CA53BDE70}  
Preinstalled.AcerCareCenter   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BB561179-B23E-4E86-B13F-D031A4FC9815}  
Preinstalled.AcerCareCenter   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ACCAgent 
Preinstalled.AcerCareCenter   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ACCBackgroundApplication 
Preinstalled.AcerCareCenter   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{7409ED35-2013-4F8D-9C06-61B70E807660} 
Preinstalled.AcerCareCenter   Task   C:\Windows\System32\Tasks\ACCAGENT 
Preinstalled.AcerCareCenter   Task   C:\Windows\System32\Tasks\ACCBACKGROUNDAPPLICATION 
Preinstalled.AcerConfigurationManager   Folder   C:\Program Files (x86)\ACER\AMUNDSEN\2.1.16258 
Preinstalled.AcerConfigurationManager   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BA0BE315-BF82-406A-8356-16B93316CBFE}  
Preinstalled.AcerConfigurationManager   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AcerCMUpdateTask2.1.16258 
Preinstalled.AcerConfigurationManager   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{414D554E-4453-454E-0201-000000016258} 
Preinstalled.AcerConfigurationManager   Task   C:\Windows\System32\Tasks\ACERCMUPDATETASK2.1.16258 
Preinstalled.AcerJumpstart   Folder   C:\Program Files (x86)\ACER\ACER JUMPSTART 
Preinstalled.AcerJumpstart   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{353B4583-ED04-4DF2-A1D6-A5A3EF5C4EBF} 
Preinstalled.AcerQuickAccess   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2BF19503-87F0-4805-B781-85D6305B3BF2}  
Preinstalled.AcerQuickAccess   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6263EBC7-6BAE-47B7-BC38-D9B54134B19E}  
Preinstalled.AcerQuickAccess   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Power Button 
Preinstalled.AcerQuickAccess   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Quick Access 
Preinstalled.AcerQuickAccess   Task   C:\Windows\System32\Tasks\POWER BUTTON 
Preinstalled.AcerQuickAccess   Task   C:\Windows\System32\Tasks\QUICK ACCESS 
Preinstalled.AcerQuickAccessService   Folder   C:\Program Files\ACER\QUICK ACCESS SERVICE 
Preinstalled.AcerQuickAccessService   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{AB25551C-74EF-4BAB-9989-891517FCF9FF} 
Preinstalled.AcerUEIPFramework   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8BCB6C33-BFCD-4056-A733-9554A5BC54BE}  
Preinstalled.AcerUEIPFramework   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EC564F46-0BD9-4C21-B9E0-868776364445}  
Preinstalled.AcerUEIPFramework   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\UEIPInvitation 
Preinstalled.AcerUEIPFramework   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\UbtFrameworkService 
Preinstalled.AcerUEIPFramework   Task   C:\Windows\System32\Tasks\UBTFRAMEWORKSERVICE 
Preinstalled.AcerUEIPFramework   Task   C:\Windows\System32\Tasks\UEIPINVITATION 
Preinstalled.AcerUpdater   Folder   C:\ProgramData\ACER\ACER UPDATER 
Preinstalled.UserExperienceImprovementProgramService   Folder   C:\Program Files\ACER\USER EXPERIENCE IMPROVEMENT PROGRAM SERVICE\FRAMEWORK 
Preinstalled.UserExperienceImprovementProgramService   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E9495FD3-F73D-4D33-A104-047F9E8BE6C7} 



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

Hola

Como sigue el problema por el que iniciaste el tema.

Un saludo

Hola buenas @Daniela , no he visto de nuevo al proceso G ni MainWindow, desde que escaneé, pero si los encuentro de nuevo, avisaré.

Aunque, uno de los archivos que encontró MalwareBytes, no sé de qué lugar provino fue el siguiente:

No conozco ese archivo .7Z, lo único que dice es que era un malware de “HackTool.Patcher” llamado “$R5MYOTS”, trataré de recuperar tal archivo y ponerlo en VirusTotal.

Importante: Tal archivo, no aparece en la Papelera de Reciclaje, sino que desaparece, pero cuando le realizo un escaneo a la carpeta, si aparece el archivo y como amenaza, además la puedo volver a poner de nuevo en Cuarentena, mientras que, no puedo manipular el archivo, para analizarlo en VirusTotal.

Además, he tratado de cambiar opciones o configuraciones, para que me mostrara, todos los archivos ocultos, e incluso los protegidos por Windows. Se me hace extraño, que no pueda manipular el archivo, con todo y configuraciones para mostrar todos los archivos.

¿Qué será lo que está pasando?

EDIT: Pude obtener el archivo por CMD.

Hola @Daniela tengo una acontecimiento importante que tengo que decirte . Al apagar mi ordenador, me apareció de nuevo el proceso G, más otro proceso sin nombre alguno (le pude tomar captura mediante mi teléfono), así que no se me ha quitado tal proceso sospechoso, eso es muy extraño, y hubo otro además; los cuales no se terminaban, al apagarlo.

Link a las fotos: (Fotos)

En una pagina de Omicrono explican que es el proceso G: https://www.elespanol.com/omicrono/software/20191127/app-misteriosa-evita-puedas-apagar-windows/447205589_0.html

El por qué del error de la aplicación “G”

Según ha informado Microsoft, el error no proviene de ningún malware . Más bien está relacionado con elementos internos de Windows 10 que se acarrean de versiones anteriores del sistema operativo de Redmond.

A través de Raymond Chen, un veterano empleado con más de 20 años de experiencia, Microsoft ha explicado el origen del fallo y una posible causa.

Concretamente se trata de una mala interpretación de caracteres de texto en el sistema Unicode en lugar del apropiado ANSI. Este último es el que se suele usar en el primer carácter del nombre de una aplicación y es por ello que aparece la solitaria “G”.

La cadena de caracteres completa sería “GDI + Hook Windows”, pero el título se corta y muestra al usuario simplemente la “G”. Esta letra por sí sola no significa nada en el sistema operativo y eso es precisamente lo que hizo saltar todas las alarmas.

El error aparece cuando Windows necesita recurrir a la herramienta de solución de apagado del sistema operativo. Esta función solo entra en acción cuando un programa está impidiendo cerrar nuestra sesión o apagar el equipo y utiliza cualquier ventana disponible para hacernos llegar el mensaje del error.

Microsoft no ha conseguido dar con un arreglo sencillo que pueda distribuirse a través de Windows Update rápidamente. Un método muy utilizado en anteriores fallos importantes que daría por finiquitado el caso de la “G” en pocos días.

En resumen, se trata de una especie de bug y tal vez por eso no siempre aparece y no aparece en todos los equipos y es probable que no haya sido arreglado hasta la fecha

Saludos

Increíble @JCTecn1cal, muchas gracias por tu respuesta , así que simplemente era un bug, asombroso, pensé que era algún tipo de rootkit muy escondido.

Aunque, te tengo una pregunta, también los nuevos procesos “MainWindow” y uno sin nombre, podrían ser parte del bug .

Si vamos leyendo lo anteriormente expuesto, la G significa “GDI + Hook Windows” que es una función que solo se ejecuta cuando un programa nos impide cerrar nuestra sesión o apagar el equipo.

El hecho de que G tampoco permite cerrar o apagar el equipo significa que la función esta tratando de resolver los problemas originados por el programa para lograr un cierre o apagado correctos

Lo que se puede hacer es dar clic al botón Cancelar para averiguar que proceso o programa realmente nos esta dando problemas y tratar de cerrarlos adecuadamente de forma manual. Aunque G por si mismo no sea un malware esto no significa que el proceso que G esta tratando de terminar no pueda estar relacionado con ellos. Cosa de la cual estoy muy seguro la compañera Daniela podra darte una mejor idea

Saludos

Muchas gracias, marcaré tu respuesta como solución . Yo ya había entendido todo sobre el proceso G, y muchas gracias por la aclaración, más extensa .

Aunque, quién sabe, cuál fue tal proceso “MainWindow” y el otro que no poseía nombre.