PUADlManager:Win32/OfferCore - Windows Defender

Jorge_Concha_Mendez · 7 Septiembre, 2025 15:41

Buenos días, compañeros. Estaba buscando actualizar algunos drivers que tenía obsoletos, y Windows Defender me arrojó la siguiente alerta:

Detectado: PUADlManager:Win32/OfferCore

Elementos afectados:

file: C:\\Users\\JORGE\\AppData\\Local\\Opera Software\\Opera Stable\\Default\\Cache\\Cache_Data\\f_0049af

file: C:\\Users\\JORGE\\AppData\\Local\\Temp\\scoped_dir13808_116427398\\driveridentifier_setup.exe

file: C:\\Users\\JORGE\\Desktop\\driveridentifier_setup.exe

file: C:\\Users\\JORGE\\Downloads\\a8e600f4-dca5-45f0-9ae5-ae7e5f3385e6.tmp

webfile: C:\\Users\\JORGE\\Desktop\\driveridentifier_setup.exe|https://www.driveridentifier.com/files/driveridentifier_setup.exe|pid:4188,ProcessStart:134016963863540550

Descargue el Malwarebytes, y me encontró lo siguiente:

Malwarebytes

\-Detalles del registro-Fecha del análisis: 7/9/25Hora del análisis: 1:34Archivo de registro: a6e331c6-8bb4-11f0-93ae-38ca84b479c6.json

\-Información del software-Versión: 4.6.17.334Versión de los componentes: 1.0.2390Versión del paquete de actualización: 1.0.102677Licencia: Prueba

\-Información del sistema-SO: Windows 11 (Build 22631.5768)CPU: x64Sistema de archivos: NTFSUsuario: DESKTOP-R8T7REL\\JORGE

\-Resumen del análisis-Tipo de análisis: Análisis de amenazasAnálisis iniciado por:: ManualResultado: CompletadoObjetos analizados: 199250Amenazas detectadas: 8Amenazas en cuarentena: 8Tiempo transcurrido: 3 min, 56 seg

\-Opciones de análisis-Memoria: ActivadoInicio: ActivadoSistema de archivos: ActivadoArchivo: ActivadoRootkits: DesactivadoHeurística: ActivadoPUP: DetectarPUM: Detectar

\-Detalles del análisis-Proceso: 0(No hay elementos maliciosos detectados)

Módulo: 0(No hay elementos maliciosos detectados)

Clave del registro: 4RiskWare.IFEOHijack.KMS, HKLM\\SOFTWARE\\WOW6432NODE\\MICROSOFT\\WINDOWS NT\\CURRENTVERSION\\IMAGE FILE EXECUTION OPTIONS\\SPPEXTCOMOBJ.EXE, En cuarentena, 5442, 1077834, 1.0.102677, , ame, , ,RiskWare.IFEOHijack.KMS, HKLM\\SOFTWARE\\MICROSOFT\\WINDOWS NT\\CURRENTVERSION\\IMAGE FILE EXECUTION OPTIONS\\SPPEXTCOMOBJ.EXE, En cuarentena, 5442, 1077834, 1.0.102677, , ame, , ,RiskWare.IFEOHijack.KMS, HKLM\\SOFTWARE\\WOW6432NODE\\MICROSOFT\\WINDOWS NT\\CURRENTVERSION\\IMAGE FILE EXECUTION OPTIONS\\OSPPSVC.EXE, En cuarentena, 5442, 1077833, 1.0.102677, , ame, , ,RiskWare.IFEOHijack.KMS, HKLM\\SOFTWARE\\MICROSOFT\\WINDOWS NT\\CURRENTVERSION\\IMAGE FILE EXECUTION OPTIONS\\OSPPSVC.EXE, En cuarentena, 5442, 1077833, 1.0.102677, , ame, , ,

Valor del registro: 4RiskWare.IFEOHijack.KMS, HKLM\\SOFTWARE\\WOW6432NODE\\MICROSOFT\\WINDOWS NT\\CURRENTVERSION\\IMAGE FILE EXECUTION OPTIONS\\SPPEXTCOMOBJ.EXE|VERIFIERDLLS, En cuarentena, 5442, 1077834, 1.0.102677, , ame, , ,RiskWare.IFEOHijack.KMS, HKLM\\SOFTWARE\\MICROSOFT\\WINDOWS NT\\CURRENTVERSION\\IMAGE FILE EXECUTION OPTIONS\\SPPEXTCOMOBJ.EXE|VERIFIERDLLS, En cuarentena, 5442, 1077834, 1.0.102677, , ame, , ,RiskWare.IFEOHijack.KMS, HKLM\\SOFTWARE\\WOW6432NODE\\MICROSOFT\\WINDOWS NT\\CURRENTVERSION\\IMAGE FILE EXECUTION OPTIONS\\OSPPSVC.EXE|VERIFIERDLLS, En cuarentena, 5442, 1077833, 1.0.102677, , ame, , ,RiskWare.IFEOHijack.KMS, HKLM\\SOFTWARE\\MICROSOFT\\WINDOWS NT\\CURRENTVERSION\\IMAGE FILE EXECUTION OPTIONS\\OSPPSVC.EXE|VERIFIERDLLS, En cuarentena, 5442, 1077833, 1.0.102677, , ame, , ,

Datos del registro: 0(No hay elementos maliciosos detectados)

Secuencia de datos: 0(No hay elementos maliciosos detectados)

Carpeta: 0(No hay elementos maliciosos detectados)

Archivo: 0(No hay elementos maliciosos detectados)

Sector físico: 0(No hay elementos maliciosos detectados)

WMI: 0(No hay elementos maliciosos detectados)

(end)

Me gustaría que me ayuden a revisar si se logró mitigar la infección, o si mi equipo aún tiene algo.

Gracias

MRX_agy · 10 Septiembre, 2025 19:12

“SPPEXTCOMOBJ.exe” este es un archivo que se encuentra en el activador oficial de licencias de Windows aunque si parece como amenaza significa que algún software “de terceros“ (como KMSpico) ,que usaste alguna vez lo corrompió ,por qué no hay manera de que lo haga solo. Es un archivo que se reinicia junto con el pc asi que la amenaza es probable que todavía no esté contenida del todo revisa periódicamente si notas archivos que se eliminan de la nada o si hay algún problema como un lento inicio de tu pc esos son indicadores de que en efecto todavía tienes virus en tu pc. No creo que sea posible elimínar ese archivo (más que nada por qué nunca lo he hecho ) ya que podría corromperse el inicio de Windows o la activación de claves del mismo.

pstd: Activa Windows legal porfa (si todvia no lo tienes claro está )

Jorge_Concha_Mendez · 11 Septiembre, 2025 01:42

Muchas gracias por la respuesta! Sobre el otro virus que me saltó: PUADlManager:Win32/OfferCore

Podriamos revisar si continua en mi PC, para salir de dudas de si tengo otra infección. Gracias!

MIXU · 20 Septiembre, 2025 14:36

Hola buenas @Jorge_Concha_Mendez con permiso de @MRX_agy.

El tipo de análisis que has realizado es el Análisis de amenazas, tendremos que realizar un Análisis personalizado. Ya que si haces el de amenazas quedan muchas partes del sistema sin analizar y, por tanto, es probable que tengas malware y que no sea detectado.

Sigues con esto:

EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden, los pasos con todos los programas cerrados, incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente, haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente, clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

1. Analizar objetos en memoria

2. Analizar configuracion de inicio y registro

3. Analizar dentro de los archivos

Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Descarga Adwcleaner en el escritorio.

Desactiva tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8/10 u 11 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente, pulsa sobre el botón Iniciar Reparación.
Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
Si no encuentra nada, pulsa en Omitir Reparación.
El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
Para más información aquí te dejo su manual: Manual de Adwcleaner.
Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

3) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de Malwarebytes y AdwCleaner y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

No realices pasos/acciones que NOSOTROS no te hayamos indicado.

No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.

No instales NADA (programas/software/complementos/extensiones del navegador…).

No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).

No realices por tu cuenta otros procedimientos.

Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Jorge_Concha_Mendez · 24 Septiembre, 2025 03:44

Buenas noches, disculpen por la tardanza, adjunto los distintos reportes.

Este es el reporte del Malwarebytes

Malwarebytes
-Detalles del registro-
Fecha del análisis: 23/9/25
Hora del análisis: 22:14
Archivo de registro: 8d0ebdcc-98f4-11f0-bae7-3c55767921a0.json

\-Información del software-
Versión: 4.6.17.334
Versión de los componentes: 1.0.2390
Versión del paquete de actualización: 1.0.103201
Licencia: Gratis

\-Información del sistema-
SO: Windows 11 (Build 22631.5909)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-R8T7REL\\JORGE

\-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 481511
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 6 min, 0 seg

\-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

\-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)

(end)

Y este es el reporte del AdwCleaner

# -------------------------------

# Malwarebytes AdwCleaner 8.6.0.613

# -------------------------------

# Build:    08-19-2025

# Database: 2025-08-19.3 (Local)

# Support:  https://www.malwarebytes.com/support

# 

# -------------------------------

# Mode: Clean

# -------------------------------

# Start:    09-23-2025

# Duration: 00:00:00

# OS:       Windows 11 (Build 22631.5909)

# Cleaned:  1

# Failed:   0

\*\*\*\*\* \[ Services \] \*\*\*\*\*

No malicious services cleaned.

\*\*\*\*\* \[ Folders \] \*\*\*\*\*

No malicious folders cleaned.

\*\*\*\*\* \[ Files \] \*\*\*\*\*

No malicious files cleaned.

\*\*\*\*\* \[ DLL \] \*\*\*\*\*

No malicious DLLs cleaned.

\*\*\*\*\* \[ WMI \] \*\*\*\*\*

No malicious WMI cleaned.

\*\*\*\*\* \[ Shortcuts \] \*\*\*\*\*

No malicious shortcuts cleaned.

\*\*\*\*\* \[ Tasks \] \*\*\*\*\*

No malicious tasks cleaned.

\*\*\*\*\* \[ Registry \] \*\*\*\*\*

No malicious registry entries cleaned.

\*\*\*\*\* \[ Chromium (and derivatives) \] \*\*\*\*\*

No malicious Chromium entries cleaned.

\*\*\*\*\* \[ Chromium URLs \] \*\*\*\*\*

No malicious Chromium URLs cleaned.

\*\*\*\*\* \[ Firefox (and derivatives) \] \*\*\*\*\*

No malicious Firefox entries cleaned.

\*\*\*\*\* \[ Firefox URLs \] \*\*\*\*\*

No malicious Firefox URLs cleaned.

\*\*\*\*\* \[ Hosts File Entries \] \*\*\*\*\*

No malicious hosts file entries cleaned.

\*\*\*\*\* \[ Preinstalled Software \] \*\*\*\*\*

Deleted       Preinstalled.HPSupportAssistant   Folder   C:\\ProgramData\\HEWLETT-PACKARD\\HP SUPPORT FRAMEWORK




\[+\] Delete Tracing Keys
\[+\] Reset Winsock

AdwCleaner\[S00\].txt - \[1644 octets\] - \[30/03/2025 17:51:25\]
AdwCleaner\[C00\].txt - \[1858 octets\] - \[30/03/2025 17:51:43\]
AdwCleaner\[S01\].txt - \[1766 octets\] - \[03/09/2025 19:06:26\]
AdwCleaner\[C01\].txt - \[1980 octets\] - \[03/09/2025 19:06:44\]
AdwCleaner\[S02\].txt - \[1894 octets\] - \[07/09/2025 01:00:02\]
AdwCleaner\[C02\].txt - \[1897 octets\] - \[07/09/2025 01:00:41\]
AdwCleaner\[S03\].txt - \[2711 octets\] - \[07/09/2025 01:40:25\]
AdwCleaner\[C03\].txt - \[2624 octets\] - \[07/09/2025 01:40:57\]
AdwCleaner\[S04\].txt - \[1910 octets\] - \[07/09/2025 01:41:17\]
AdwCleaner\[S05\].txt - \[2035 octets\] - \[07/09/2025 01:47:16\]
AdwCleaner\[S06\].txt - \[2096 octets\] - \[23/09/2025 22:22:48\]

########## EOF - C:\\AdwCleaner\\Logs\\AdwCleaner\[C06\].txt ##########

La laptop ha funcionado bien estos días; sin embargo, hubo una noche, hace unos dos días en la que encima del reloj (abajo a la derecha, en la barra de tareas) habia un objeto invisible, porque intentaba mover algo a esa zona, y me salia un simbolo de bloqueado, y esto invisible estaba superpuesto a todo lo que esté en la pantalla porque, por ejemplo, cuando estaba en youtube, y queria hacer click en algo que esté en esa zona, no podia. Reinicie la laptop, y desaparecio, pero me parecio raro.