Processexplorer


#1

Hola, estoy ejecutando processexplorer y veo que me detecta como virus de virustotal WsAppService de Wondershare Passport, en teoría he desinstalado e eliminado todo registro de wondershare pero me sigue saliendo.

Pone que lo detecta como (CrowdStrike Falcon (ML)) win/malicious_confidence_100% (D)

otro en java update como (Yandex) Backdoor.SpyGate!

En otro equipo al abrir chrome me detécta tambien como (Trojan/w32Zpevdo ) otro en mi equipo no aparece nada de eso. Que por cierto al abrir chrome se come casi todos los recursos tanto de cpu como ram.

son falsos positivos o pueden ser…


#2

Hola @selohu,

Vamos a ver si podemos solucionar tu problema. Vamos a analizar tu equipo en busca de maleware. Sigue los pasos que indico en este mensaje:

Analizar PC en busca de Malewares


#3
[CODE][B]~~~~~~~~~~~| Inicio: [/B]

*IFS (InfoSpyware First Steps) v 1.3
*www.InfoSpyware.com | www.ForoSpyware.com
*Iniciado: 02/03/2019 a las 13h.15m.15s

[B]~~~~~~~~~~~|  Información del Sistema:[/B]

OS: Microsoft Windows 10 Home x86 
Idioma: Spanish (Spain, International Sort) (España|es-ES)
Permisos de Administrador / ON
Windows se Inició en   Modo Normal
Drive: C:\Windows (Install: \Device\HarddiskVolume2)

[B]~~~~~~~~~~~| Arquitectura Fisica:[/B]

CPU: SAMSUNG ELECTRONICS CO., LTD.
CPU Modelo: NC210/NC110                
Procesador: Intel(R) Atom(TM) CPU N570   @ 1.66GHz (x64-BasedPC)
Memoria RAM: 2 Gb. En Uso: 64 %
Video: Intel(R) Graphics Media Accelerator 3150 (Microsoft Corporation - WDDM 1.0)
Chip: Intel(R) Graphics Media Accelerator 3150 Capacidad video:256 MB (Internal)

[B]~~~~~~~~~~~| Unidades[/B]

C: [FIXED|NTFS|] - [297.10 Gb][199.5 Gb][98.4 Gb]
D: [FIXED|NTFS|Reservado para el sistema] - [0.1 Gb][0.1 Gb][0.0 Gb]
C:\ Fragmentación total 9.15% - Correcto
D:\ Fragmentación total 0.00% - Correcto

[B]~~~~~~~~~~~| Seguridad del SO[/B]

SafeBoot: Inicio en Modo seguro Correcto
Security Center: Correcto (Servicio Activo)
Windows Update: [COLOR=#FF0000][B]El servicio no está activo[/B][/COLOR] 
AV: Windows Defender *[COLOR=#FF0000][B]Protección Residente [OFF][/B][/COLOR] / Actualizado*
SP: Windows Defender *[COLOR=#FF0000][B]Protección Residente [OFF][/B][/COLOR] / Actualizado*
FW: Windows Firewall *Habilitado*

[B]~~~~~~~~~~~|  Update Check[/B]

Google Chrome Versión Instalada 72.0.3626.119

[B]~~~~~~~~~~~| Process List[/B] 

MsMpEng.exe (Windows Defender)

[B]~~~~~~~~~~~| Install Check[/B] 


CCleaner [5.53]

[B]~~~~~~~~~~~| Registry Check[/B]

HKLM\Run: [SecurityHealth] %windir%\system32\SecurityHealthSystray.exe
HKLM\Run: [ETDCtrl] %ProgramFiles%\Elantech\ETDCtrl.exe
HKLM\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
HKLM\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
HKCU\Run: [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR
Winlogon: Shell = explorer.exe
Winlogon: Userinit = explorer.exe

[HKCR\.\.open\command] -> No se pudo obtener la información. 

[B]~~~~~~~~~~~| PUPs Check[/B]

HKLM\Software\Partner


[B]~~~~~~~~~~~| Listado 7 Días (Predeterminado)[/B]

[23/02/2019 19:20] - C:\Windows\system32\dllhost.exe.config
[01/03/2019 16:17] - C:\Windows\system32\events.dat
[23/02/2019 19:18] - C:\Windows\system32\Microsoft.VC80.CRT.manifest
[28/02/2019 18:30] - C:\Windows\WindowsUpdate.log
[02/03/2019 03:08] - C:\Windows\ZAM.krnl.trace
[01/03/2019 20:58] - C:\57F9D668E3C943C3.meta
[01/03/2019 20:58] - C:\57F9D668E3C943C3.vir
[01/03/2019 20:58] - C:\5E4E1474EDA44584.meta
[01/03/2019 20:58] - C:\5E4E1474EDA44584.reg
[01/03/2019 20:58] - C:\83F27101DE8FD07E.meta
[01/03/2019 20:58] - C:\92396569F1142B54.meta
[01/03/2019 20:58] - C:\92396569F1142B54.reg
[01/03/2019 20:58] - C:\D3CD3A559029B47F.meta
[01/03/2019 20:58] - C:\D3CD3A559029B47F.vir
[01/03/2019 20:58] - C:\F1AB4A3B6C80422D.meta
[02/03/2019 13:00] - C:\IFS.log
[01/03/2019 19:06] - C:\RogueKillerCMD32.exe
[02/03/2019 01:53] - C:\sh5ldr

[B]~~~~~~~~~~~| C:\Windows\Tasks:[/B]

[06/02/2019 20:39] - C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job

[B]~~~~~~~~~~~| End Report[/B]
*Finalizado 13:21:58
*Se limpiaron los archivos temporales
*[1599815] C:\Users\Pequeñito\Desktop\Nueva carpeta\IFS (1).exe
*Herramienta de Análisis e investigación [/CODE]

#4
Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 2/3/19
Hora del análisis: 13:30
Archivo de registro: e7cb2460-3ce6-11e9-a3d0-90a4de9ee626.json

-Información del software-
Versión: 3.7.1.2839
Versión de los componentes: 1.0.538
Versión del paquete de actualización: 1.0.9508
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 17763.316)
CPU: x86
Sistema de archivos: NTFS
Usuario: PEQUE\u00c3\u0091ITO\Peque\u00c3\u00b1ito

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 180935
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 10 min, 52 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

#5
02/03/2019 15:55:10
Archivos analizados: 131323
Archivos infectados: 0
Amenazas desinfectadas: 0
Tiempo total de análisis: 01:53:03
Estado del análisis: Finalizado

#6
# -------------------------------
# Malwarebytes AdwCleaner 7.2.7.0
# -------------------------------
# Build:    01-30-2019
# Database: 2019-02-28.3 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    03-02-2019
# Duration: 00:00:37
# OS:       Windows 10 Home
# Scanned:  31852
# Detected: 1


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

PUP.Optional.SpyHunter          C:\Users\Pequeñito\Desktop\SpyHunter-Installer.exe

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.


AdwCleaner[S00].txt - [2055 octets] - [12/09/2018 13:39:11]
AdwCleaner[C00].txt - [2015 octets] - [12/09/2018 13:40:09]
AdwCleaner[S01].txt - [1374 octets] - [26/09/2018 10:56:15]
AdwCleaner[S02].txt - [1738 octets] - [23/10/2018 09:37:39]
AdwCleaner[C02].txt - [1830 octets] - [23/10/2018 09:38:05]
AdwCleaner[S03].txt - [1860 octets] - [24/10/2018 18:32:52]
AdwCleaner[C03].txt - [1952 octets] - [24/10/2018 18:33:32]
AdwCleaner[S04].txt - [1676 octets] - [28/10/2018 08:27:24]
AdwCleaner[S05].txt - [1737 octets] - [29/10/2018 01:31:34]
AdwCleaner[S06].txt - [1801 octets] - [30/10/2018 11:40:41]
AdwCleaner[S07].txt - [1862 octets] - [31/10/2018 03:11:37]
AdwCleaner[S08].txt - [1928 octets] - [04/11/2018 13:48:49]
AdwCleaner[S09].txt - [1982 octets] - [16/02/2019 00:22:38]
AdwCleaner[S10].txt - [2539 octets] - [22/02/2019 19:08:04]
AdwCleaner[C10].txt - [2633 octets] - [22/02/2019 19:08:34]
AdwCleaner[S11].txt - [2165 octets] - [23/02/2019 04:24:23]
AdwCleaner[S12].txt - [2226 octets] - [28/02/2019 16:29:29]
AdwCleaner[S13].txt - [2287 octets] - [01/03/2019 18:36:52]
AdwCleaner[S14].txt - [2348 octets] - [01/03/2019 21:27:40]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S15].txt ##########

#7

~ ZHPCleaner v2019.3.1.27 by Nicolas Coolman (2019/03/01) ~ Run by Pequeñito (Administrator) (02/03/2019 17:20:22) ~ Web: https://www.nicolascoolman.com ~ Blog: https://nicolascoolman.eu/ ~ Facebook : https://www.facebook.com/nicolascoolman1 ~ State version : Version OK ~ Certificate ZHPCleaner: Legal ~ Type : Reparar ~ Report : C:\Users\Pequeñito\Desktop\ZHPCleaner.txt ~ Quarantine : C:\Users\Pequeñito\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt ~ UAC : Activate ~ Boot Mode : Normal (Normal boot) Windows 10 Home, 32-bit (Build 17763) **---\ Alternate Data Stream (ADS). (0)** ~ No malintencionados o innecesarios artículos encontrados. (ADS) **---\ Servicios (0)** ~ No malintencionados o innecesarios artículos encontrados. (Servicio) **---\ Navegadores de Internet (0)** ~ No malintencionados o innecesarios artículos encontrados. (Navegador) **---\ Hosts carpeta (1)** ~ El archivo hosts es legítimo (21) **---\ Tareas automáticas programadas. (0)** ~ No malintencionados o innecesarios artículos encontrados. (Tarea) **---\ Explorador ( Archivos, Carpetas ) (6)** MOVIDO carpeta: C:\Windows\Prefetch\REIMAGE.EXE-4681D307.pf =>.SUP.ReimageRepair MOVIDO carpeta: C:\Windows\Prefetch\REIMAGEPACKAGE.EXE-B12E39E7.pf =>.SUP.ReimageRepair MOVIDO carpeta: C:\Windows\Prefetch\REIMAGEREPAIR.EXE-644F243E.pf =>.SUP.ReimageRepair MOVIDO carpeta: C:\Windows\Prefetch\REIMAGEREPAIR.EXE-F7F43001.pf =>.SUP.ReimageRepair MOVIDO archivo: C:\Users\Pequeñito\AppData\Local\Google\Chrome\User Data\Default\File System\000 =>.SUP.Temporary.Chrome MOVIDO archivo: C:\Users\Pequeñito\AppData\Local\Google\Chrome\User Data\Default\File System\001 =>.SUP.Temporary.Chrome **---\ Registro ( Claves, Valores, Datos) (0)** ~ No malintencionados o innecesarios artículos encontrados. (Register) **---\ Resumen de elementos en su estación de trabajo (2)** https://nicolascoolman.eu/2017/01/27/superfluous-reimagerepair/ =>.SUP.ReimageRepair https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Temporary.Chrome **---\ Limpieza adicional. (16)** ~ Clave de registro Tracing borrados (16) ~ Quitar los antiguos informes de ZHPCleaner. (0) **---\ Resultado de la reparación.** ~ Reparación llevada a cabo con éxito ~ falta este navegador! (Mozilla Firefox) ~ falta este navegador! (Opera Software) **---\ STATISTIQUES** ~ Items escaneado : 376 ~ Items encontrado : 0 ~ artículos cancelados : 0 ~ Items opciones : 12/12 ~ Ahorro de espacio (bytes) : 0 ~ End of clean in 00h00mn26s **---\ Reporte (2)** ZHPCleaner-[S]-02032019-17_13_54.txt ZHPCleaner-[R]-02032019-17_20_48.txt


#8

Bien. Su equipo estaba casi limpio de malewares. Vamos a hacer una limpieza de basura (usando CCleaner y otros dos programas):

Para limpiar la basura de su equipo, realiza los pasos de este mensaje del foro :


#9

Hola el reporte de Eset es el anterior a Malware, no sacó nada en absoluto. todo 0.

lo de ccleaner ya lo hice, no ha salido nada de registros… y poco en lo de limpiar al principio. Esos pasos fué lo último que hice ayer.

hay otra cosa que me pasa y es que no veo el escudo de win defender en la parte del reloj… No doy con ello para mostrarlo .

por último, lo de Zemana antimalware una vez que se analiza y se da ha limpiar… se supone que elimina lo que encuentra, no?. Es que en los resultados no veo como en malware o los antivirus… encntrados x y eliminados x, sólo los escaneados…

gracias.


#10

una curiosidad en Powershell, si quiero hacer algo, por probar un sfc /scannow … me sale esto.

Suggestion [3,General]: No se encontró el comando sfc, pero existe en la ubicación actual. Windows PowerShell no carga comandos de la ubicación actual de forma predeterminada. Si confía en este comando, escriba “.\sfc”. Vea “get-help about_Command_Precedence” para obtener información m ás detallada.

PS C:\WINDOWS\system32>


#11

Para eliminar algunas de las herramientas usadas, sigue estos pasos:

• Para hacerlo descarga >>DelFix en tu escritorio . Consulta su manual en caso necesario.

o Doble clic para ejecutarlo. (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador” )

o Marca la casilla “ Removed desinfection tools ".

• Pulsar en Run .

Al terminar Se abrirá un reporte llamado DelFix.txt , verifica que se hayan eliminado las herramientas usadas para desinfectar el Pc


Pues sobre el programa antivirus Zemana, no se decirte, porque no lo he usado.

En cuanto a tu antivirus Windows Defender ¿desde cuando te pasa? ¿Desde que instalastes las herramientas que te sugerí? Si es así, es normal. En cuento desactivas Windows Defender y se activa otro antivirus, su icono desaparece.

De todas formas aunque no veas el icono del escudo, sí que se está ejecutando. Eso lo compruebo en el informe de IFS que me han enviado, donde aparece un proceso llamado MsMpEng.exe, que es el proceso de Windows Defender.

Comprueba si tras desinstalar algunas de la herramientas instaladas, el problema se soluciona.

También comprueba si está activo: Para activarlo, ve a la ruta Inicio > Configuración > Actualización y Seguridad > Windows Defender > y activa Protección en tiempo real .


#12

me pasaba ya antes de las instalaciones anteriores, hay algunamanera de activar o visualizarlo?.

# DelFix v1.010 - Logfile created 03/03/2019 at 16:50:13
# Updated 26/04/2015 by Xplode
# Username : Pequeñito - PEQUEÑITO
# Operating System : Windows 10 Home  (32 bits)

~ Removing disinfection tools ...

Deleted : C:\FRST
Deleted : C:\AdwCleaner
Deleted : C:\RogueKillerCMD32.exe
Deleted : C:\Users\Pequeñito\Desktop\adwcleaner_7.2.7.0.exe
Deleted : C:\Users\Pequeñito\Desktop\Rkill.txt
Deleted : C:\Users\Pequeñito\Desktop\ZHPCleaner.txt

########## - EOF - ##########

#13

Comprueba si está activo: Para activarlo, ve a la ruta Inicio > Configuración > Actualización y Seguridad > Windows Defender > y activa Protección en tiempo real .

Y también puedes echar un vistazo a este video de youtube para ver si te soluciona el problema: