Publicidad ads en navegadores

Saludos Leyendo por estos foros, creo que se me ha instalado algún malware en el equipo. En los resultados de búsqueda en distintos navegadores sale publicidad no deseada. Pasando el FSRT me da lo siguiente: Flexera Software LLC -> InstallShield Software Corporation) [Archivo no firmado] C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\iKernel.exe Lo que no sé como eliminarlo, ya que el usuario que dió con la solución no entendí bien cómo hacerlo: Ad (publicidad sospechosa) En las búsquedas de Google

Adjunto los logs del FRST

Addition.txt (34,9 KB) FRST.txt (201,6 KB)

Me acabo de dar cuenta que no me deja escribir en el buscador de la barra de tareas. Supongo será por el malware. Incluso en el cuadro de diálogo de configuración de windows no deja escribir nada.

Hola compañero,Bienvenido al foro!

Voy a hacerle un reporte a sobre este tema a los moderadores del foro, entre los que se encuentra @SanMar a ver si puede explicártelo mejor.

Un saludo!

Actualizo info. Borré manualmente C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\iKernel.exe, todo installshield y la publicidad ya no aparecía. No sé si habrá quedado algo por ahí, espero respuesta por si he de hacer algo más.

Hola @Angel_Casanova

Vuelve a ejecutar FRST y nos pegas sus reportes frescos.

Ademas comenta si tienes sincronizado tu navegador Google Chrome con otros dispositivos.

Salu2

Si, el navegador Chrome lo tengo sincronizado a la cuenta Gmail con el dispositivo móvil. Los nuevos reportes del FRST: Addition.txt (35,5 KB) FRST.txt (203,2 KB)

Hola @Angel_Casanova

Como ya debes saber el uso de antivirus pirateados es totalmente desaconsejado como has podido observar no te protegen de nada.

Si al finalizar, lo deseas te ayudo para cambiar de AV.

Paso 1:

Sigue los puntos en el orden exacto como se describe:

1. Abre tu Chrome.
2. Ve a Configuración > Personas > Sincronización y servicios de Google (o, de forma alternativa, ingresa lo siguiente en la barra de direcciones: chrome://settings/syncSetup)
3. En la página, haz clic en los datos de Sincronización de Chrome como primer paso (esto se abrirá en una nueva pestaña, deja esta página y la nueva pestaña.)
4. Luego haz clic en “Desactivar” como segundo paso.

Captura%20de%20pantalla%20(88)708×393 49.8 KB

5. Cuando hagas clic en “Desactivar” aparecerá la siguiente pantalla, haz clic en “Desactivar”.

Importante: No marques esta casilla, ya que esto también borrará tus datos de Chrome localmente (incluidos los marcadores, la configuración, las aplicaciones, etc.)

6. En la nueva pestaña que todavía está abierta, aquí es donde se encuentran los datos de Chrome en el servidor (como alternativa, ve a la siguiente URL: https://chrome.google.com/sync)
7. ¡¡¡REFRESCA esa página !! - Debido a que desde que cerró Chrome, si no actualiza, la sincronización no funcionará y obtendrá el error: “Esta página de configuración de Chrome ya no está disponible”
8. Inicia sesión con tus credenciales de Chrome allí.
9. Desplázate hacia abajo hasta la parte inferior de la página y haz clic en RESTABLECER SINCRONIZACIÓN.

10. Cierra tu navegador Chrome.
11. NO habilites aun la sincronización, hasta que terminemos con la desinfección.

Paso 2:

Con mucha atención realizas lo siguiente:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

• Descarga/Ejecuta DelFix desde el escritorio de Windows.
• Clic Derecho, “Ejecutar como Administrador”.
• En la ventana principal, marca solamente la casilla “Create Registry Backup”.
• Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego ve a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start::
CloseProcesses:
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files\Google\Chrome\Application\86.0.4240.198\Installer\chrmstp.exe [2020-11-12] (Google LLC -> Google LLC)
GroupPolicy: Restricción ? <==== ATENCIÓN
HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
Task: {31C57BA5-E880-457D-A9E5-013BCDEEED33} - System32\Tasks\Optimize Thumbnail Cache => C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\isupdate.exe
Task: {C08E3C3E-3D6B-4C6F-BED9-45DC52FAB0C0} - System32\Tasks\InstallShield® Setup Engine Kernel => C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\iKernel.exe
C:\Program Files (x86)\Common Files\installshield\engine
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== ATENCIÓN (Restricción - ProxySettings)
AutoConfigURL: [HKLM] => hxxp://127.0.0.1:86/
AutoConfigURL: [HKLM-x32] => hxxp://127.0.0.1:86/
AutoConfigURL: [{2261915C-ADA3-429A-BCDA-539998DBD30A}] => hxxp://127.0.0.1:86/
Hosts: 27.122.12.226 hk-002.whiskergalaxy.com   #added by Windscribe, do not modify.
ManualProxies: 0hxxp://127.0.0.1:86/
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restricción <==== ATENCIÓN
FF Plugin HKU\S-1-5-21-2873243708-2116610979-1280463503-1000: @jlgplayer3.julegame.com -> C:\Users\Usuario\AppData\Local\JuleGame\jlgplayer\npjlgplayer3.dll [Ningún archivo]
2020-11-07 20:08 - 2020-11-11 13:43 - 000003810 _____ C:\WINDOWS\system32\Tasks\Optimize Thumbnail Cache
2020-11-07 20:08 - 2020-11-11 13:43 - 000003450 _____ C:\WINDOWS\system32\Tasks\InstallShield® Setup Engine Kernel
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Ningún archivo
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Ningún archivo
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Ningún archivo
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Ningún archivo
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Ningún archivo
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Ningún archivo
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Ningún archivo

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
End::

• Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.- Inicie su ordenador en >>> Modo Seguro >>> Aplicable a Windows 10. o Windows 7.

• Ejecute Frst.exe o Frst64.exe. según el caso.
• Presione el botón Fix/Corregir y aguarde a que termine.
• La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
• Reinicia y lo pega en su próxima respuesta.

Nos comentas…

Salu2

Perdona SanMar, pero el NOD32 lo tengo desde hace más de una década y con licencia. El hecho que se le haya colado un malware si que me desconcierta. Seguiré tus instrucciones y ya comentaré, gracias.

CapturalicenciaNOD32637×805 88.4 KB

Hecho. Subo el log:

Fixlog.txt (9,9 KB)

Hola @Angel_Casanova

El Fix se ejecuto correctamente.

Comenta como sigue el problema?

Salu2

En principio parece solucionado. Muchas gracias por la atención.

Hola @Angel_Casanova

No se me apure…

Para eliminar las herramientas utilizadas:

Descargas/Ejecutas >> Delfix, desde tu escritorio.

• Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
• Marca las casilla Remove disinfection tools y Purgue Sistem Restore
• Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Salu2.