Buenas! Recien abriendo Glary Utilities vi que tenia en el inicio del sistema una entrada sospechosa.
Al parecer agregaria algunos comandos al registro de Windows, pero no soy ningún experto. Este es registro que figura al inicio:
Cuando uso la opcion de editar entrada me figura esto:
Y la linea de comandos es la siguiente:
REG ADD “HKEY_CLASSES_ROOT\CLSID{018D5C66-4533-4307-9B53-224DE2ED1FE6}” /F /V “System.IsPinnedToNameSpaceTree” /T REG_DWORD /D “00000000” & REG ADD “HKEY_CLASSES_ROOT\Wow6432Node\CLSID{018D5C66-4533-4307-9B53-224DE2ED1FE6}” /F /V “System.IsPinnedToNameSpaceTree” /T REG_DWORD /D “00000000”
Bueno, no se si podran reconocer esa entrada, pero espero me puedan decir si esas lineas que se agregaron al registro (supongo) son daniñas, y si es asi como revertirlas.
Por el momento ya la deshabilité, pero ya con que se haya ejecutado una sola vez ya el cambio lo hace supongo.
Gracias!
Hola @Cherno.
Sigue los siguientes pasos, leyendo atentamente cada paso, y nos pegas los reportes. Todas las amenazas que se detectan, mandas a Cuarentena.
1) Actualiza y ejecuta Malwarebytes’ Anti-Malware,
Manual Malwarebytes , para que sepas usarlo y configurarlo.
- Realiza un Análisis Personalizado, haciendo click en la sección “ Analizar ” y seguidamente haciendo click “ Analisis personalizado ” en y luego click en “ Configurar análisis ”, marcando Todas las casillas incluida la de rootkits y unidades que se muestran.
- Pulsar en “Eliminar Seleccionados” para enviarlo a la cuarentena y Reinicias el sistema.
- Para acceder posteriormente al informe del análisis : Informes >> Registro de análisis >> Pulsar en >> Exportar >> Copiar al Portapapeles, y lo pegas en tu respuesta
2) Descarga Adwcleaner en el escritorio.
- Desactiva tu antivirus
**Como deshabilitar temporalmente un antivirus **y cualquier programa de seguridad.
- Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
- Pulsar en el botón Analizar Ahora, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Iniciar Reparacion.
- Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
- Si no encuentra nada, pulsamos “Omitir Reparación”
- El log lo encontramos en la pestaña “Informes”, volviendo a abrir el programa, si es necesario o en"C:\AdwCleaner\Logs\AdwCleaner[C0].txt"
Puedes mirar su manual >> Manual de Adwcleaner
3) Descarga Ccleaner . Aqui tienes manual para que sepas configurar y usarlo.
Instalalo y ejecútalo. En la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine > clic en ejecutar limpiador. Clic en la pestaña Registro > clic en buscar problemas esperas que termine > clic en Reparar Seleccionadas y haces una copia de seguridad.
Pega los reportes de Malwarebytes, AdwCleaner y comentas como va el problema.
NOTA IMPORTANTE
Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo :
- No realices pasos/acciones que NOSOTROS no te hayamos indicado
- No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
- No instales NADA(programas/software/complementos/extensiones del navegador…)
- No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…)
- No realices por tu cuenta otros procedimientos.
- Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.
Muy Importante Coloca el reporte pedido por el usuario que lo asiste como se muestra en la siguiente imagen:
Saludos
Hola! Te dejo los reportes. Encontró un solo archivo infectado (o sospechoso mejor dicho), pero era del lector de PDF. De todas formas lo metí en la cuarentena.
Googlie “malware.heuristic.1003” y segun lei por ahí era un falso positivo, pero no se.
Malwarebytes
www.malwarebytes.com
-Detalles del registro-
Fecha del análisis: 28/6/21
Hora del análisis: 18:05
Archivo de registro: 989b5552-d854-11eb-845e-f02f74cb3e02.json
-Información del software-
Versión: 4.4.0.117
Versión de los componentes: 1.0.1344
Versión del paquete de actualización: 1.0.42389
Licencia: Prueba
-Información del sistema-
SO: Windows 10 (Build 19043.1052)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-F8H57MS\Cherno
-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 390787
Amenazas detectadas: 1
Amenazas en cuarentena: 0
Tiempo transcurrido: 1 hr, 25 min, 22 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)
Módulo: 0
(No hay elementos maliciosos detectados)
Clave del registro: 0
(No hay elementos maliciosos detectados)
Valor del registro: 0
(No hay elementos maliciosos detectados)
Datos del registro: 0
(No hay elementos maliciosos detectados)
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 0
(No hay elementos maliciosos detectados)
Archivo: 1
Malware.Heuristic.1003, C:\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PDF EDITOR\PLUGINS\PHC.DLL, Sin acciones por parte del usuario, 1000001, 921341, 1.0.42389, 0000000000000000000003EB, dds, 01310115, 80AE55ACA9C157DFD8542CA715F51E2C, 94B1E70F0694622B167B23B8064721D43679DD441E6C54BC03DED7F5091E0244
Sector físico: 0
(No hay elementos maliciosos detectados)
WMI: 0
(No hay elementos maliciosos detectados)
(end)
# -------------------------------
# Malwarebytes AdwCleaner 8.2.0.0
# -------------------------------
# Build: 03-22-2021
# Database: 2021-05-17.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 06-28-2021
# Duration: 00:00:07
# OS: Windows 10 Pro
# Scanned: 31981
# Detected: 0
***** [ Services ] *****
No malicious services found.
***** [ Folders ] *****
No malicious folders found.
***** [ Files ] *****
No malicious files found.
***** [ DLL ] *****
No malicious DLLs found.
***** [ WMI ] *****
No malicious WMI found.
***** [ Shortcuts ] *****
No malicious shortcuts found.
***** [ Tasks ] *****
No malicious tasks found.
***** [ Registry ] *****
No malicious registry entries found.
***** [ Chromium (and derivatives) ] *****
No malicious Chromium entries found.
***** [ Chromium URLs ] *****
No malicious Chromium URLs found.
***** [ Firefox (and derivatives) ] *****
No malicious Firefox entries found.
***** [ Firefox URLs ] *****
No malicious Firefox URLs found.
***** [ Hosts File Entries ] *****
No malicious hosts file entries found.
***** [ Preinstalled Software ] *****
No Preinstalled Software found.
########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########
Hola
¿Sigue apareciendo el archivo en el inicio?
Saludos.
Si, desactivado (porque ya lo habia desactivado) pero aparece.
Puedes abrir la ubicacion del archivo? Si lo puedes, ve a VirusTotal, y lo subes. Y nos indicas si detectaron algo los AV o nos pasas el enlace.
Saludos.
Hola buenas, compañeros.
Con permiso de @Cherno y de @Facundo.
Me cuelo un momento en el tema por el siguiente motivo: Como se puede ver claramente en el reporte de Malwarebytes:
Malware.Heuristic.1003, C:\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PDF EDITOR\PLUGINS\PHC.DLL, Sin acciones por parte del usuario, 1000001, 921341, 1.0.42389, 0000000000000000000003EB, dds, 01310115, 80AE55ACA9C157DFD8542CA715F51E2C, 94B1E70F0694622B167B23B8064721D43679DD441E6C54BC03DED7F5091E0244
No ha sido eliminado por el usuario. En este caso el hecho de no haber eliminado PHC.DLL es correcto. Pues en este caso concreto PHC.DLL es un F.P., en caso contrario si que se hubiese tenido que poner en Cuarentena.
Simplemente quería aportar esto.
Salu2.
1 me gusta
