Ransomware Nitro Discord

Ariana_Basile_Funes · 15 Enero, 2022 16:20

He estado observando la aplicación y ha vuelto ha enviar el mensaje, adjunto foto:

Chicloi · 15 Enero, 2022 18:18

El problema puede ser que dentro de ese programa haya una opción en la que manden ese tipo de notificación y que eso pase porque se haya podido actualizar dicho programa y por ello salga.

La notificación da el aviso aviso de que se debe de pagar el programa para 3 meses accediendo a una página web que es la que se refleja en dicha imagen.

Eso te lo tiene que seguir viendo mi compañero @Marr0n a ver qué opina él, sólo es la impresión que me da a mí. Intenta entrar a la configuración de Nitro a ver si te sale alguna opción de poder desactivar dicha notificación.

Puede seguir mi compañero @Marr0n.

Ariana_Basile_Funes · 15 Enero, 2022 18:29

La cosa es que discord es un programa gratuito, pero ofrece una opción de pago, es decir, como una especie de premium, en el que tienes más calidad de imagen, etc, dicha opción se llama Nitro y yo no estoy subcrita por tanto no puedo acceder a esa configuración. Lo de la opción de mandar este tipo de mensajes es lo que pense primero asi que busque en la propia apliación y también en google, y lo que descubrí es que es un malware que roba información de los usuarios a través del enlace,y investigando más encontre este artículo que habla del tema, os dejo por aquí la página donde lo leí: NitroHack en Discord: el nuevo malware que está circulando por la app. Lo encontre esta mañana, y en esta te da la solución de como arreglar el problema, solo que te pide que busques un archivo que no encuentro en mi portátil.

También he de decir que si fuera algún tipo de notificación en todo caso me lo mandarían a mi nada más, rollo spam, pero se lo manda a todos mis contactos cerca de 3-4 veces diarias.

Chicloi · 15 Enero, 2022 19:51

Le echo un vistazo a la página web que me has mandado a ver de qué se trata y te digo algo. Ok!

…

Sigue mi compañero @Marr0n con el tema. Ok!

Ariana_Basile_Funes · 15 Enero, 2022 23:33

Ahora a cambiado el tipo de texto, e incluso el enlace, me da un poco de miedo la verdad.

En esta imagen se aprecia que en cada momento se esta mandando el mensaje. También ha mandado este otro tipo de mensaje.

Marr0n · 20 Enero, 2022 17:59

Hola, buenas @Ariana_Basile_Funes

Primero de todo disculpa que haya tardado en responder @Ariana_Basile_Funes. Pues últimamente voy con muy poco tiempo para el foro y es normal. Pero seguiremos el caso hasta el final.

En primer lugar:

¿El FARBAR se ha acabado de ejecutar correctamente?

¿Es ese TODO el REPORTE que realmente tienes?

Lo digo ya que este se encuentra incompleto, pues debes de asegurarte que este finalice con una línea parecida a:

==== Final  Fixlog HH:MM:SS ====

¿El reporte finaliza con esta línea? Si la respuesta es sí, pues lo traes de nuevo.

Si la respuesta es NO, pues me comentas si el FARBAR pudo ejecutarse hasta el final o si la máquina se quedó colgada y la tuviste que parar o algo por el estilo.

Si no lo pudiste lanzar correctamente, pues lanzas este otro Script. Todo y que se parecen, pero no son iguales:

START
SystemRestore: On
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-1260977010-470958501-3818904763-1001\...\Run: [218457123] => C:\Users\usuario\AppData\Roaming\97474974\6159448661594486.exe (Ningún archivo)
HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
Task: {0D125C45-ADEF-4075-855C-0A473B6AB898} - System32\Tasks\Firefox Default Browser Agent AC787DF13E26A8E3 => C:\Users\usuario\AppData\Roaming\frbvshu.exe (Ningún archivo) <==== ATENCIÓN
Task: {261B7FF0-58AE-41B3-9C3D-63E6EEB66D68} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (Ningún archivo)
Task: {55BB7F24-8D9A-4CF1-B5FF-23354ED01A22} - System32\Tasks\AdvancedWindowsManager #5 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 114 -t 8080 (Ningún archivo) <==== ATENCIÓN
Task: {7E0D2878-C5B0-4B93-932D-D2D68D51C7D4} - System32\Tasks\AdvancedWindowsManager #6 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 115 -t 8080 (Ningún archivo) <==== ATENCIÓN
Task: {94B80F44-FBC9-4570-8290-9D9EEA134315} - System32\Tasks\AdvancedWindowsManager #4 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 113 -t 8080 (Ningún archivo) <==== ATENCIÓN
Task: {C5093BFD-5B89-4D55-9C80-83B82BBF329C} - System32\Tasks\AdvancedWindowsManager #2 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 111 -t 8080 (Ningún archivo) <==== ATENCIÓN
Task: {F6061277-C5CE-4337-B90A-7B346C6CF7C3} - System32\Tasks\AdvancedWindowsManager #1 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 110 -t 8080 (Ningún archivo) <==== ATENCIÓN
Task: {FB716E14-EF34-47D4-BC9E-C2575FA5E4D7} - System32\Tasks\AdvancedWindowsManager #3 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 112 -t 8080 (Ningún archivo) <==== ATENCIÓN
Task: {9313067E-4659-4547-AB76-EADEC8B3224D} - System32\Tasks\Opera scheduled Autoupdate 1602323397 => C:\Users\usuario\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Ningún archivo)
Task: {A25C4E7F-CD59-4E80-B8F1-80D84E29EDBF} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (Ningún archivo)
Task: {DE03F500-7FFB-44BB-B400-65CAC5D58B98} - System32\Tasks\Microsoft Windows Defender Update => C:\Program Files (x86)\7-Data Recovery Suite\7DataRecoverySuite.exe 6 (Ningún archivo)
Edge Extension: (Sin Nombre) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [no encontrado]
Edge Extension: (Sin Nombre) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [no encontrado]
Edge Extension: (Sin Nombre) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [no encontrado]
Edge Extension: (Sin Nombre) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [no encontrado]
S2 AdskLicensingService; "C:\Program Files (x86)\Common Files\Autodesk Shared\AdskLicensing\Current\AdskLicensingService\AdskLicensingService.exe" [X]
S2 FlexNet Licensing Service; "C:\Program Files (x86)\Common Files\Macrovision Shared\FlexNet Publisher\FNPLicensingService.exe" [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S2 SoundFlowPicker; C:\ProgramData\SoundFlowPicker\SoundFlowPicker.exe [X] <==== ATENCIÓN
S3 MBAMFarflt; system32\DRIVERS\farflt.sys [X]
S3 MBAMProtection; \??\C:\WINDOWS\system32\DRIVERS\mbam.sys [X]
S3 MBAMWebProtection; \SystemRoot\system32\DRIVERS\mwac.sys [X]
2022-01-14 06:57 - 2022-01-14 06:57 - 000000000 ___HD C:\$WinREAgent
2022-01-12 16:40 - 2022-01-12 17:04 - 000000000 ___HD C:\$SysReset
2022-01-10 23:24 - 2022-01-12 17:57 - 000000000 ___HD C:\ProgramData\Olhl
2022-01-10 20:54 - 2022-01-10 20:54 - 000351674 _____ C:\Users\usuario\AppData\LocalLow\ieK5Ky9PvaD.zip
2022-01-10 20:53 - 2022-01-10 20:53 - 000000000 ____D C:\Users\usuario\AppData\Local\Yandex
2022-01-10 20:53 - 2022-01-10 20:53 - 000000000 _____ C:\Users\usuario\AppData\Roaming\288.tmp
C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe
C:\Program Files (x86)\MaskVPN
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
FirewallRules: [{FA58CA32-B6AA-4FED-B1D4-214CDA6D02B7}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Ningún archivo
FirewallRules: [{2DEB88F4-45C1-4FFE-8CAA-FD5DE0B124B4}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Ningún archivo
FirewallRules: [{0DE06B36-2320-4C46-94D6-447D6D518FCF}] => (Allow) C:\Users\usuario\AppData\Roaming\uTorrent\uTorrent.exe => Ningún archivo
FirewallRules: [{0665FA97-6F88-4B40-B8F1-E9F22BBF0369}] => (Allow) C:\Users\usuario\AppData\Roaming\uTorrent\uTorrent.exe => Ningún archivo
FirewallRules: [{A9ADE77B-D11D-464C-BA54-AF2FEC813F63}] => (Allow) C:\Users\usuario\AppData\Local\Programs\Opera\71.0.3770.271\opera.exe => Ningún archivo
FirewallRules: [UDP Query User{6B438D47-7498-4992-A916-4269F9BAFDFB}C:\users\usuario\appdata\roaming\utorrent web\utweb.exe] => (Block) C:\users\usuario\appdata\roaming\utorrent web\utweb.exe => Ningún archivo
FirewallRules: [TCP Query User{C9EFB3F6-EB2A-4079-BCF2-860582673E54}C:\users\usuario\appdata\roaming\utorrent web\utweb.exe] => (Block) C:\users\usuario\appdata\roaming\utorrent web\utweb.exe => Ningún archivo
FirewallRules: [{DB9705CB-32F8-47EE-841F-1FC448824929}] => (Allow) C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe => Ningún archivo
FirewallRules: [{7F36E2C8-B20A-463D-A3CA-7ECE5CE8B9A3}] => (Allow) C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe => Ningún archivo
FirewallRules: [{EF5661F1-2F36-48CB-B109-B4224E899E59}] => (Allow) C:\Program Files\qBittorrent\qbittorrent.exe => Ningún archivo
FirewallRules: [{43413FD2-9C97-4B7A-8D9D-68787E6D7606}] => (Allow) C:\Program Files\qBittorrent\qbittorrent.exe => Ningún archivo
FirewallRules: [{0640E54B-027F-4C25-95F3-6154AACBCD66}] => (Allow) C:\Program Files\Chaos Group\Chaos Cosmos\cbservice.exe => Ningún archivo
FirewallRules: [{B08E496A-EFC0-4211-8EC6-58C7215E45C1}] => (Allow) C:\Program Files\Chaos Group\Chaos Cosmos\cbservice.exe => Ningún archivo
FirewallRules: [{4AB417F8-4F63-4D6E-BF71-214D8FA068C4}] => (Allow) LPort=20208
FirewallRules: [{DBE3AD76-498E-4B9C-B3A8-F5ECAD4C595B}] => (Allow) LPort=20208
FirewallRules: [{B7108B95-00BB-4ADA-8B50-399FE3266B23}] => (Allow) LPort=20208
FirewallRules: [{24F02AAF-32C8-4D47-9F70-C9D70AC3E9F4}] => (Allow) LPort=20208
FirewallRules: [{B49314AD-96CA-4F13-B92B-BC28CC89B6F1}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{3D1858EC-BC80-4152-A578-0518985BD519}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{F17864DE-0101-42CB-A779-CB7660E6076A}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{2178B8E8-82A9-450E-AA30-1ADFFABB04CD}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{2D5A9884-3CA4-4463-8B1B-174EDCEC8D5C}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{4D6EDC05-65FD-4A67-AF38-312AB8CDB2EB}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{1A516335-5F3B-4EA4-88EF-F14955BE6C4F}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{D70B3CD3-263F-47C2-B594-24F9A5C7E02F}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{5E2B2E63-7B33-4937-9D24-8FA0A92A1D4F}] => (Allow) C:\Program Files (x86)\MaskVPN\mask_svc.exe => Ningún archivo
FirewallRules: [{CB822901-FB23-4C09-84BF-D1520C01C6C2}] => (Allow) C:\Program Files (x86)\MaskVPN\MaskVPN.exe => Ningún archivo
FirewallRules: [{67D1AEE1-D13C-4CF4-AF56-57A46902E73E}] => (Allow) C:\Program Files (x86)\MaskVPN\MaskVPNUpdate.exe => Ningún archivo
FirewallRules: [{B9A1160C-191A-45FB-A516-DC80FDE1C82E}] => (Allow) C:\Program Files (x86)\MaskVPN\tunnle.exe => Ningún archivo
FirewallRules: [{EDF3C90D-D528-47FB-AB20-BE928A4897B6}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Ningún archivo
FirewallRules: [{3DC5D7FE-E1DE-4A8D-A7F9-9421F2CFA941}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Ningún archivo
FirewallRules: [{45B7DF74-1DD4-478D-9113-2C7F4002745E}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Ningún archivo

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Me comentas acerca de como ha ido todo lo del FRST.

Respecto a:

Ariana_Basile_Funes:

La cosa es que discord es un programa gratuito, pero ofrece una opción de pago, es decir, como una especie de premium, en el que tienes más calidad de imagen, etc, dicha opción se llama Nitro y yo no estoy subcrita por tanto no puedo acceder a esa configuración. Lo de la opción de mandar este tipo de mensajes es lo que pense primero asi que busque en la propia apliación y también en google, y lo que descubrí es que es un malware que roba información de los usuarios a través del enlace,y investigando más encontre este artículo que habla del tema, os dejo por aquí la página donde lo leí: NitroHack en Discord: el nuevo malware que está circulando por la app . Lo encontre esta mañana, y en esta te da la solución de como arreglar el problema, solo que te pide que busques un archivo que no encuentro en mi portátil.

También he de decir que si fuera algún tipo de notificación en todo caso me lo mandarían a mi nada más, rollo spam, pero se lo manda a todos mis contactos cerca de 3-4 veces diarias.

Desconnecta totalmente tu aplicativo de Discord de esta PC y de cualquier máquina que sospeches que pueda estar infectada.

Conectate desde otra red y otro dispositivo no infectado a tu cuenta de Discord, cambia las credenciales, activa el factor de doble autenticación 2FA y coméntalo a los de soporte de discord. Esto que te sucede, haver que te dicen. Recuerda de momento no conectare más a discord desde la máquina infectada, ni abras la aplicación.

Seguimos con el proceso de desinfección y más adelante con FRST y otras herramientas indagaremos sobre el “posible malware” de Discord que comentas. De todas formas haz todo el resto que te he comentado de Discord ya sí vamos en paralelo.

Salu2.

Ariana_Basile_Funes · 21 Enero, 2022 07:40

Lo volví a realizar y el final es ==== Final de Fixlog 08:34:40 ====

Resultados de la corrección de Farbar Recovery Scan Tool (x64) Versión: 15-01-2022
Ejecutado por usuario (21-01-2022 08:32:32) Run:1
Ejecutado desde C:\Users\usuario\Desktop
Perfiles cargados: usuario
Modo de Inicio: Normal
==============================================

fixlist contenido:
*****************
START
SystemRestore: On
CREATERESTOREPOINT:
CLOSEPROCESSES:
File: C:\Users\usuario\AppData\LocalLow\ieK5Ky9PvaD.zip;C:\Users\usuario\Desktop\kpr3714t.exe;C:\Users\usuario\AppData\Roaming\97474974\6159448661594486.exe;C:\Users\usuario\AppData\Roaming\frbvshu.exe;C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe;C:\Program Files (x86)\7-Data Recovery Suite\7DataRecoverySuite.exe
Folder: C:\Users\usuario\AppData\Roaming\97474974
Folder: C:\Program Files (x86)\AW Manager
Folder: C:\Program Files (x86)\7-Data Recovery Suite
Folder: C:\ProgramData\McInstTemp0103091642166420
Folder: C:\ProgramData\Olhl
Folder: C:\Users\usuario\AppData\Roaming\mejang
Folder: C:\Users\usuario\AppData\LocalLow\sG8rM8v
Folder: C:\Users\usuario\AppData\Local\HW1EB7DD35.ducky
Folder: C:\Program Files (x86)\MaskVPN

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-1260977010-470958501-3818904763-1001\...\Run: [218457123] => C:\Users\usuario\AppData\Roaming\97474974\6159448661594486.exe (Ningún archivo)
HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
Task: {0D125C45-ADEF-4075-855C-0A473B6AB898} - System32\Tasks\Firefox Default Browser Agent AC787DF13E26A8E3 => C:\Users\usuario\AppData\Roaming\frbvshu.exe (Ningún archivo) <==== ATENCIÓN
Task: {261B7FF0-58AE-41B3-9C3D-63E6EEB66D68} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (Ningún archivo)
Task: {55BB7F24-8D9A-4CF1-B5FF-23354ED01A22} - System32\Tasks\AdvancedWindowsManager #5 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 114 -t 8080 (Ningún archivo) <==== ATENCIÓN
Task: {7E0D2878-C5B0-4B93-932D-D2D68D51C7D4} - System32\Tasks\AdvancedWindowsManager #6 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 115 -t 8080 (Ningún archivo) <==== ATENCIÓN
Task: {94B80F44-FBC9-4570-8290-9D9EEA134315} - System32\Tasks\AdvancedWindowsManager #4 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 113 -t 8080 (Ningún archivo) <==== ATENCIÓN
Task: {C5093BFD-5B89-4D55-9C80-83B82BBF329C} - System32\Tasks\AdvancedWindowsManager #2 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 111 -t 8080 (Ningún archivo) <==== ATENCIÓN
Task: {F6061277-C5CE-4337-B90A-7B346C6CF7C3} - System32\Tasks\AdvancedWindowsManager #1 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 110 -t 8080 (Ningún archivo) <==== ATENCIÓN
Task: {FB716E14-EF34-47D4-BC9E-C2575FA5E4D7} - System32\Tasks\AdvancedWindowsManager #3 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 112 -t 8080 (Ningún archivo) <==== ATENCIÓN
Task: {9313067E-4659-4547-AB76-EADEC8B3224D} - System32\Tasks\Opera scheduled Autoupdate 1602323397 => C:\Users\usuario\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Ningún archivo)
Task: {A25C4E7F-CD59-4E80-B8F1-80D84E29EDBF} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (Ningún archivo)
Task: {DE03F500-7FFB-44BB-B400-65CAC5D58B98} - System32\Tasks\Microsoft Windows Defender Update => C:\Program Files (x86)\7-Data Recovery Suite\7DataRecoverySuite.exe 6 (Ningún archivo)
Edge Extension: (Sin Nombre) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [no encontrado]
Edge Extension: (Sin Nombre) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [no encontrado]
Edge Extension: (Sin Nombre) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [no encontrado]
Edge Extension: (Sin Nombre) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [no encontrado]
S2 AdskLicensingService; "C:\Program Files (x86)\Common Files\Autodesk Shared\AdskLicensing\Current\AdskLicensingService\AdskLicensingService.exe" [X]
S2 FlexNet Licensing Service; "C:\Program Files (x86)\Common Files\Macrovision Shared\FlexNet Publisher\FNPLicensingService.exe" [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S2 SoundFlowPicker; C:\ProgramData\SoundFlowPicker\SoundFlowPicker.exe [X] <==== ATENCIÓN
S3 MBAMFarflt; system32\DRIVERS\farflt.sys [X]
S3 MBAMProtection; \??\C:\WINDOWS\system32\DRIVERS\mbam.sys [X]
S3 MBAMWebProtection; \SystemRoot\system32\DRIVERS\mwac.sys [X]
2022-01-14 06:57 - 2022-01-14 06:57 - 000000000 ___HD C:\$WinREAgent
2022-01-12 16:40 - 2022-01-12 17:04 - 000000000 ___HD C:\$SysReset
2022-01-10 23:24 - 2022-01-12 17:57 - 000000000 ___HD C:\ProgramData\Olhl
2022-01-10 20:54 - 2022-01-10 20:54 - 000351674 _____ C:\Users\usuario\AppData\LocalLow\ieK5Ky9PvaD.zip
2022-01-10 20:53 - 2022-01-10 20:53 - 000000000 ____D C:\Users\usuario\AppData\Local\Yandex
2022-01-10 20:53 - 2022-01-10 20:53 - 000000000 _____ C:\Users\usuario\AppData\Roaming\288.tmp
C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe
C:\Program Files (x86)\MaskVPN
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
FirewallRules: [{FA58CA32-B6AA-4FED-B1D4-214CDA6D02B7}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Ningún archivo
FirewallRules: [{2DEB88F4-45C1-4FFE-8CAA-FD5DE0B124B4}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Ningún archivo
FirewallRules: [{0DE06B36-2320-4C46-94D6-447D6D518FCF}] => (Allow) C:\Users\usuario\AppData\Roaming\uTorrent\uTorrent.exe => Ningún archivo
FirewallRules: [{0665FA97-6F88-4B40-B8F1-E9F22BBF0369}] => (Allow) C:\Users\usuario\AppData\Roaming\uTorrent\uTorrent.exe => Ningún archivo
FirewallRules: [{A9ADE77B-D11D-464C-BA54-AF2FEC813F63}] => (Allow) C:\Users\usuario\AppData\Local\Programs\Opera\71.0.3770.271\opera.exe => Ningún archivo
FirewallRules: [UDP Query User{6B438D47-7498-4992-A916-4269F9BAFDFB}C:\users\usuario\appdata\roaming\utorrent web\utweb.exe] => (Block) C:\users\usuario\appdata\roaming\utorrent web\utweb.exe => Ningún archivo
FirewallRules: [TCP Query User{C9EFB3F6-EB2A-4079-BCF2-860582673E54}C:\users\usuario\appdata\roaming\utorrent web\utweb.exe] => (Block) C:\users\usuario\appdata\roaming\utorrent web\utweb.exe => Ningún archivo
FirewallRules: [{DB9705CB-32F8-47EE-841F-1FC448824929}] => (Allow) C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe => Ningún archivo
FirewallRules: [{7F36E2C8-B20A-463D-A3CA-7ECE5CE8B9A3}] => (Allow) C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe => Ningún archivo
FirewallRules: [{EF5661F1-2F36-48CB-B109-B4224E899E59}] => (Allow) C:\Program Files\qBittorrent\qbittorrent.exe => Ningún archivo
FirewallRules: [{43413FD2-9C97-4B7A-8D9D-68787E6D7606}] => (Allow) C:\Program Files\qBittorrent\qbittorrent.exe => Ningún archivo
FirewallRules: [{0640E54B-027F-4C25-95F3-6154AACBCD66}] => (Allow) C:\Program Files\Chaos Group\Chaos Cosmos\cbservice.exe => Ningún archivo
FirewallRules: [{B08E496A-EFC0-4211-8EC6-58C7215E45C1}] => (Allow) C:\Program Files\Chaos Group\Chaos Cosmos\cbservice.exe => Ningún archivo
FirewallRules: [{4AB417F8-4F63-4D6E-BF71-214D8FA068C4}] => (Allow) LPort=20208
FirewallRules: [{DBE3AD76-498E-4B9C-B3A8-F5ECAD4C595B}] => (Allow) LPort=20208
FirewallRules: [{B7108B95-00BB-4ADA-8B50-399FE3266B23}] => (Allow) LPort=20208
FirewallRules: [{24F02AAF-32C8-4D47-9F70-C9D70AC3E9F4}] => (Allow) LPort=20208
FirewallRules: [{B49314AD-96CA-4F13-B92B-BC28CC89B6F1}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{3D1858EC-BC80-4152-A578-0518985BD519}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{F17864DE-0101-42CB-A779-CB7660E6076A}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{2178B8E8-82A9-450E-AA30-1ADFFABB04CD}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{2D5A9884-3CA4-4463-8B1B-174EDCEC8D5C}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{4D6EDC05-65FD-4A67-AF38-312AB8CDB2EB}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{1A516335-5F3B-4EA4-88EF-F14955BE6C4F}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{D70B3CD3-263F-47C2-B594-24F9A5C7E02F}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.168.628.0_x86__zpdnekdrzrea0\Spotify.exe => Ningún archivo
FirewallRules: [{5E2B2E63-7B33-4937-9D24-8FA0A92A1D4F}] => (Allow) C:\Program Files (x86)\MaskVPN\mask_svc.exe => Ningún archivo
FirewallRules: [{CB822901-FB23-4C09-84BF-D1520C01C6C2}] => (Allow) C:\Program Files (x86)\MaskVPN\MaskVPN.exe => Ningún archivo
FirewallRules: [{67D1AEE1-D13C-4CF4-AF56-57A46902E73E}] => (Allow) C:\Program Files (x86)\MaskVPN\MaskVPNUpdate.exe => Ningún archivo
FirewallRules: [{B9A1160C-191A-45FB-A516-DC80FDE1C82E}] => (Allow) C:\Program Files (x86)\MaskVPN\tunnle.exe => Ningún archivo
FirewallRules: [{EDF3C90D-D528-47FB-AB20-BE928A4897B6}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Ningún archivo
FirewallRules: [{3DC5D7FE-E1DE-4A8D-A7F9-9421F2CFA941}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Ningún archivo
FirewallRules: [{45B7DF74-1DD4-478D-9113-2C7F4002745E}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Ningún archivo

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
*****************

SystemRestore: On => completado
El punto de restauración fue creado correctamente.
Procesos cerrados correctamente.

========================= File: C:\Users\usuario\AppData\LocalLow\ieK5Ky9PvaD.zip;C:\Users\usuario\Desktop\kpr3714t.exe;C:\Users\usuario\AppData\Roaming\97474974\6159448661594486.exe;C:\Users\usuario\AppData\Roaming\frbvshu.exe;C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe;C:\Program Files (x86)\7-Data Recovery Suite\7DataRecoverySuite.exe ========================

C:\Users\usuario\AppData\LocalLow\ieK5Ky9PvaD.zip
Archivo no firmado
MD5: 009057041DF0AE4BDA3B6E97FE49C2B6
Fecha de creación y modificación: 2022-01-10 20:54 - 2022-01-10 20:54
Tamaño: 000351674
Atributos: ----A
Nombre de la compañía: 
Interno Nombre: 
Original Nombre: 
Producto: 
Descripción: 
Archivo Versión: 
Producto Versión: 
Copyright: 
VirusTotal: 0

"C:\Users\usuario\Desktop\kpr3714t.exe" => no encontrado
"C:\Users\usuario\AppData\Roaming\97474974\6159448661594486.exe" => no encontrado
"C:\Users\usuario\AppData\Roaming\frbvshu.exe" => no encontrado
"C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe" => no encontrado
"C:\Program Files (x86)\7-Data Recovery Suite\7DataRecoverySuite.exe" => no encontrado
====== Final de File: ======


========================= Folder: C:\Users\usuario\AppData\Roaming\97474974 ========================


====== Final de Folder: ======


========================= Folder: C:\Program Files (x86)\AW Manager ========================

no encontrado.

====== Final de Folder: ======


========================= Folder: C:\Program Files (x86)\7-Data Recovery Suite ========================

2021-09-20 20:36 - 2008-06-12 09:07 - 001724416 ____A [DC12267BEDAB34EE5CDC681197F0697C] (Microsoft Corporation) C:\Program Files (x86)\7-Data Recovery Suite\GdiPlus.dll
2021-09-20 20:36 - 2021-09-20 20:36 - 000006861 ____A [54E4E434F802B59E2F82743D5FE55F18] () C:\Program Files (x86)\7-Data Recovery Suite\unins000.dat
2021-09-20 20:36 - 2021-09-20 20:36 - 002571095 ____A [9AEFF1CF74F62F4FE1E5C4C68FF1DC13] () C:\Program Files (x86)\7-Data Recovery Suite\unins000.exe

====== Final de Folder: ======


========================= Folder: C:\ProgramData\McInstTemp0103091642166420 ========================

no encontrado.

====== Final de Folder: ======


========================= Folder: C:\ProgramData\Olhl ========================


====== Final de Folder: ======


========================= Folder: C:\Users\usuario\AppData\Roaming\mejang ========================


====== Final de Folder: ======


========================= Folder: C:\Users\usuario\AppData\LocalLow\sG8rM8v ========================


====== Final de Folder: ======


========================= Folder: C:\Users\usuario\AppData\Local\HW1EB7DD35.ducky ========================

C:\Users\usuario\AppData\Local\HW1EB7DD35.ducky = Archivo

====== Final de Folder: ======


========================= Folder: C:\Program Files (x86)\MaskVPN ========================

no encontrado.

====== Final de Folder: ======

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => eliminado correctamente
"HKU\S-1-5-21-1260977010-470958501-3818904763-1001\Software\Microsoft\Windows\CurrentVersion\Run\\218457123" => eliminado correctamente
HKLM\SOFTWARE\Policies\Google => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{0D125C45-ADEF-4075-855C-0A473B6AB898}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0D125C45-ADEF-4075-855C-0A473B6AB898}" => eliminado correctamente
C:\WINDOWS\System32\Tasks\Firefox Default Browser Agent AC787DF13E26A8E3 => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Firefox Default Browser Agent AC787DF13E26A8E3" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{261B7FF0-58AE-41B3-9C3D-63E6EEB66D68}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{261B7FF0-58AE-41B3-9C3D-63E6EEB66D68}" => eliminado correctamente
C:\WINDOWS\System32\Tasks\GoogleUpdateTaskMachineUA => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineUA" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{55BB7F24-8D9A-4CF1-B5FF-23354ED01A22}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{55BB7F24-8D9A-4CF1-B5FF-23354ED01A22}" => eliminado correctamente
C:\WINDOWS\System32\Tasks\AdvancedWindowsManager #5 => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdvancedWindowsManager #5" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7E0D2878-C5B0-4B93-932D-D2D68D51C7D4}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7E0D2878-C5B0-4B93-932D-D2D68D51C7D4}" => eliminado correctamente
C:\WINDOWS\System32\Tasks\AdvancedWindowsManager #6 => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdvancedWindowsManager #6" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{94B80F44-FBC9-4570-8290-9D9EEA134315}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{94B80F44-FBC9-4570-8290-9D9EEA134315}" => eliminado correctamente
C:\WINDOWS\System32\Tasks\AdvancedWindowsManager #4 => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdvancedWindowsManager #4" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C5093BFD-5B89-4D55-9C80-83B82BBF329C}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C5093BFD-5B89-4D55-9C80-83B82BBF329C}" => eliminado correctamente
C:\WINDOWS\System32\Tasks\AdvancedWindowsManager #2 => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdvancedWindowsManager #2" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F6061277-C5CE-4337-B90A-7B346C6CF7C3}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F6061277-C5CE-4337-B90A-7B346C6CF7C3}" => eliminado correctamente
C:\WINDOWS\System32\Tasks\AdvancedWindowsManager #1 => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdvancedWindowsManager #1" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FB716E14-EF34-47D4-BC9E-C2575FA5E4D7}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FB716E14-EF34-47D4-BC9E-C2575FA5E4D7}" => eliminado correctamente
C:\WINDOWS\System32\Tasks\AdvancedWindowsManager #3 => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdvancedWindowsManager #3" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{9313067E-4659-4547-AB76-EADEC8B3224D}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9313067E-4659-4547-AB76-EADEC8B3224D}" => eliminado correctamente
C:\WINDOWS\System32\Tasks\Opera scheduled Autoupdate 1602323397 => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera scheduled Autoupdate 1602323397" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{A25C4E7F-CD59-4E80-B8F1-80D84E29EDBF}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A25C4E7F-CD59-4E80-B8F1-80D84E29EDBF}" => eliminado correctamente
C:\WINDOWS\System32\Tasks\GoogleUpdateTaskMachineCore => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineCore" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DE03F500-7FFB-44BB-B400-65CAC5D58B98}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DE03F500-7FFB-44BB-B400-65CAC5D58B98}" => eliminado correctamente
C:\WINDOWS\System32\Tasks\Microsoft Windows Defender Update => movido correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft Windows Defender Update" => eliminado correctamente
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => eliminado correctamente
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\BookReader_B171F20233094AC88D05A8EF7B9763E8 => eliminado correctamente
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => eliminado correctamente
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => eliminado correctamente
AdskLicensingService => Servicio detenido correctamente.
HKLM\System\CurrentControlSet\Services\AdskLicensingService => eliminado correctamente
AdskLicensingService => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\FlexNet Licensing Service => eliminado correctamente
FlexNet Licensing Service => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\gupdate => eliminado correctamente
gupdate => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\gupdatem => eliminado correctamente
gupdatem => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\SoundFlowPicker => eliminado correctamente
SoundFlowPicker => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\MBAMFarflt => eliminado correctamente
MBAMFarflt => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\MBAMProtection => eliminado correctamente
MBAMProtection => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\MBAMWebProtection => eliminado correctamente
MBAMWebProtection => servicio eliminado correctamente
C:\$WinREAgent => movido correctamente
C:\$SysReset => movido correctamente
C:\ProgramData\Olhl => movido correctamente
C:\Users\usuario\AppData\LocalLow\ieK5Ky9PvaD.zip => movido correctamente
C:\Users\usuario\AppData\Local\Yandex => movido correctamente
C:\Users\usuario\AppData\Roaming\288.tmp => movido correctamente
"C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe" => no encontrado
"C:\Program Files (x86)\MaskVPN" => no encontrado
C:\ProgramData\Reprise => ":wupeogjxlctlfudivq`qsp`29hfm" ADS eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{FA58CA32-B6AA-4FED-B1D4-214CDA6D02B7}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{2DEB88F4-45C1-4FFE-8CAA-FD5DE0B124B4}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{0DE06B36-2320-4C46-94D6-447D6D518FCF}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{0665FA97-6F88-4B40-B8F1-E9F22BBF0369}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{A9ADE77B-D11D-464C-BA54-AF2FEC813F63}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\UDP Query User{6B438D47-7498-4992-A916-4269F9BAFDFB}C:\users\usuario\appdata\roaming\utorrent web\utweb.exe" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\TCP Query User{C9EFB3F6-EB2A-4079-BCF2-860582673E54}C:\users\usuario\appdata\roaming\utorrent web\utweb.exe" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{DB9705CB-32F8-47EE-841F-1FC448824929}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{7F36E2C8-B20A-463D-A3CA-7ECE5CE8B9A3}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{EF5661F1-2F36-48CB-B109-B4224E899E59}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{43413FD2-9C97-4B7A-8D9D-68787E6D7606}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{0640E54B-027F-4C25-95F3-6154AACBCD66}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{B08E496A-EFC0-4211-8EC6-58C7215E45C1}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{4AB417F8-4F63-4D6E-BF71-214D8FA068C4}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{DBE3AD76-498E-4B9C-B3A8-F5ECAD4C595B}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{B7108B95-00BB-4ADA-8B50-399FE3266B23}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{24F02AAF-32C8-4D47-9F70-C9D70AC3E9F4}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{B49314AD-96CA-4F13-B92B-BC28CC89B6F1}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{3D1858EC-BC80-4152-A578-0518985BD519}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{F17864DE-0101-42CB-A779-CB7660E6076A}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{2178B8E8-82A9-450E-AA30-1ADFFABB04CD}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{2D5A9884-3CA4-4463-8B1B-174EDCEC8D5C}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{4D6EDC05-65FD-4A67-AF38-312AB8CDB2EB}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{1A516335-5F3B-4EA4-88EF-F14955BE6C4F}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{D70B3CD3-263F-47C2-B594-24F9A5C7E02F}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{5E2B2E63-7B33-4937-9D24-8FA0A92A1D4F}" => no encontrado
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{CB822901-FB23-4C09-84BF-D1520C01C6C2}" => no encontrado
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{67D1AEE1-D13C-4CF4-AF56-57A46902E73E}" => no encontrado
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{B9A1160C-191A-45FB-A516-DC80FDE1C82E}" => no encontrado
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{EDF3C90D-D528-47FB-AB20-BE928A4897B6}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{3DC5D7FE-E1DE-4A8D-A7F9-9421F2CFA941}" => eliminado correctamente
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{45B7DF74-1DD4-478D-9113-2C7F4002745E}" => eliminado correctamente

========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows

No se puede realizar ninguna operaci¢n en WSSVPNTap0901 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local 2 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local* 1 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local* 2 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de red Bluetooth mientras los medios
est‚n desconectados.

Adaptador desconocido WSSVPNTap0901:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador desconocido Conexi¢n de  rea local 2:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de LAN inal mbrica Conexi¢n de  rea local* 1:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de LAN inal mbrica Conexi¢n de  rea local* 2:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de LAN inal mbrica Wi-Fi:

   Sufijo DNS espec¡fico para la conexi¢n. . : 
   V¡nculo: direcci¢n IPv6 local. . . : fe80::50e:2305:e4f:5e22%20
   Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.90.31
   M scara de subred . . . . . . . . . . . . : 255.255.252.0
   Puerta de enlace predeterminada . . . . . : 192.168.89.1

Adaptador de Ethernet Conexi¢n de red Bluetooth:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

========= Final de CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

{B4C00714-8E08-4603-B37F-D4AC541F6FC1} canceled.
1 out of 1 jobs canceled.

========= Final de CMD: =========


========= netsh winsock reset =========


El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.


========= Final de CMD: =========


========= netsh advfirewall reset =========

Aceptar


========= Final de CMD: =========


========= netsh advfirewall set allprofiles state ON =========

Aceptar


========= Final de CMD: =========


========= netsh int ipv4 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


========= netsh int ipv6 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-21-1260977010-470958501-3818904763-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-1260977010-470958501-3818904763-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente


========= Final de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => movido correctamente
Hosts restaurado correctamente.

=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 59321543 B
Java, Flash, Steam htmlcache => 113816000 B
Windows/system/drivers => 404081840 B
Edge => 179294 B
Chrome => 159744 B
Firefox => 1191856467 B
Opera => 140091 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 3480664 B
systemprofile32 => 3480664 B
LocalService => 3533636 B
NetworkService => 3533636 B
usuario => 644180330 B

RecycleBin => 1478586401 B
EmptyTemp: => 3.6 GB datos temporales eliminados.

================================


El sistema necesita reiniciarse.

==== Final de Fixlog 08:34:40 ====

En cuanto a la aplicación he eliminado mi cuenta y también he dessitalado el programa asegurandome que no queda ningún archivo residuo.

Ya me comentas si el informe es corrrecto para ejecutar el otro script.

Marr0n · 21 Enero, 2022 19:29

Hola buenas @Ariana_Basile_Funes

Ahora sí que se ha lanzado correctamente, perfecto

Respecto al reporte, todo ha ido bien. Pero aún no hemos acabado.

Ok. Para desinstalarlo hubiese sido mejor usar el RevoUninstaller, ya que en caso contrario es probable que hayan quedado restos varios del programa dentro del sistema operativo.

¿Hablaste con los de soporte de Discord?

Para poder seguir necesito logs frescos de FARBAR, así que vuelves a repetir esto y los traes:

Marr0n:

EN BUSCA / ELIMINACIÓN DE MALWARE

Desactivas tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). ¿Cómo saber si mi Windows es de 32 o 64 bits.?

Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

Farbar Recovery Scan Tool

Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

En la ventana principal del programa presionas sobre Analizar/Scan y esperas a que finalice el análisis.

Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

PRÓXIMA RESPUESTA

Pegas los reportes de FRST.txt y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

No realices pasos/acciones que NOSOTROS no te hayamos indicado.

No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.

No instales NADA (programas/software/complementos/extensiones del navegador…).

No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).

No realices por tu cuenta otros procedimientos.

Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Ariana_Basile_Funes · 24 Enero, 2022 07:32

Sii para desistalarlo use el RevoUnistaller ya que lo tenía lo use. En cuanto a los de soporte de discord todavía no he podido contactar porque ando ocupada con la escuela. Quiza esta tarde lo intente.

Marr0n · 24 Enero, 2022 13:54

Hola buenas @Ariana_Basile_Funes

Ok, perfecto pues, perfecto No pensaba que lo tuvieras.

OK, perfecto también. Nos comentas.

Recuerda traer los logs de Farbar.

Salu2.

Marr0n · 16 Febrero, 2022 09:57

Hola, buenas @Ariana_Basile_Funes

¿Pudiste realizar algún avance?

Salu2.

Ariana_Basile_Funes · 16 Febrero, 2022 10:24

Que va, estoy liada con proyectos finales del grado superior y no puedo tener el ordenador ejecutando análisis. A ver cuando para semana blanca si puedo avanzar algo.

Marr0n · 16 Febrero, 2022 10:26

Ok perfecto @Ariana_Basile_Funes.

Por aquí te esperamos.

Que te vayan

Créeme, me recuerdas ami con esto de: proyectos finales del grado superior o similares.

Salu2.