SECPH-QAD.dll

Buenas tardes, mi hermano quizo ayudar a una amiga a activar el Office a través de KMS Pico, y en vez de instalarlo uso una versión portable, cuando la ejecuto comenzo a escuchar “automatic defense procedures initiated” un montón de veces (solo tenia windows defender) y apagó la pc. Encendio con normalidad, algo lenta porque es un disco duro, e inmediatamente pasamos windows defender y malwarebytes (que ahora que estoy viendo es 3.6, no la versión actual) y lo único que detecto fue ese archivo además del programa que elimine manualmente.

Ya lo envie a cuarentena gracias al malware bytes ya que windows defender no lo hacía. Hay algo más que deba hacer? Gracias! (aun no reinicie la pc, espero su respuesta primero :smile: )

Adjunto el reporte de malwarebytes

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 15/1/22
Hora del análisis: 13:24
Archivo de registro: a7d9f7d0-761f-11ec-8298-74d4357507cb.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.463
Versión del paquete de actualización: 1.0.24304
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 19041.1466)
CPU: x64
Sistema de archivos: NTFS
Usuario: Dami\u00c3\u00a1n-PC\Dami\u00c3\u00a1n

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 360220
Amenazas detectadas: 1
Amenazas en cuarentena: 1
Tiempo transcurrido: 1 hr, 16 min, 21 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 1
RiskWare.AutoKMS, C:\WINDOWS\SECOH-QAD.DLL, Se eliminará al reiniciar, [7129], [947069],1.0.24304

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Hola @Damianv64 que gusto saludarte revisando tu caso comentas que analizaste con windows defender y malwarebytes me gustaría que hiciéramos el siguiente procedimiento para descartar algún otro malware.

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

  • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

1. Analizar objetos en memoria

2. Analizar configuracion de inicio y registro

3. Analizar dentro de los archivos

  • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
  • Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
  • Si no encuentra nada, pulsa en Omitir Reparación.
  • El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
  • Para más información aquí te dejo su manual: Manual de Adwcleaner.
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

3) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de Malwarebytes y AdwCleaner y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Buenas, ya hice todo, tiene buena pinta, gracias!

Adjunto los reportes

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 16/1/22
Hora del análisis: 8:53
Archivo de registro: e8548fac-76c2-11ec-b136-74d4357507cb.json

-Información del software-
Versión: 4.5.0.152
Versión de los componentes: 1.0.1538
Versión del paquete de actualización: 1.0.49881
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19043.1466)
CPU: x64
Sistema de archivos: NTFS
Usuario: Damián-PC\Damián

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 1254655
Amenazas detectadas: 10
Amenazas en cuarentena: 10
Tiempo transcurrido: 6 hr, 55 min, 2 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 10
CrackTool.Agent, D:\ADOBE ILLUSTRATOR CC 2017 V22.0.0 X64\ACTIVADOR\AMT EMULATOR 0.9.2.RAR, En cuarentena, 5774, 445980, 1.0.49881, 9082695A2E6099F583AC763F, dds, 01600459, 522AA0D40216167E0A28CF17038A7751, D60A52A955A718C3E9C9D157AF0FA49132064AAD980536FD6F7E65320A5825AA
Generic.Malware/Suspicious, D:\PENDRIVE 30 09 2020\3DP_CHIP_LITE_V2008.EXE, En cuarentena, 0, 392686, 1.0.49881, , shuriken, , 93DCCF9ED00D6CE5AE5B2418D708D224, C79FC13A326355C606332E29AC093FD6870D1154C3C72D127321CE03FF9E59BB
Generic.Malware/Suspicious, D:\PENDRIVE 30 09 2020\3DP_CHIP_LITE_V2009.EXE, En cuarentena, 0, 392686, 1.0.49881, , shuriken, , 67A678C1A658B1A28B37120D4C8386D5, C7BE9824A83B06E7F5A0BA51673E10FB0A6E2FF35D6F137CF0186FC21370CABD
Malware.Heuristic.1003, D:\PROGRAM FILES (X86)\ELECTRONIC ARTS\ALICE MADNESS RETURNS - THE COMPLETE COLLECTION\GAME\ALICE2\BINARIES\WIN32\RLD.DLL, En cuarentena, 1000001, 0, 1.0.49881, 0000000000000000000003EB, dds, 01600459, 5514B0BB1E2E04C97D1FB1FBC4CB8F08, 907B0F30D17C9B6AE1A77A2B6F56401463BF27186B9CA706F4187D99FF15425F
Malware.Heuristic.1003, D:\SAMURAI.SHODOWN.V.SPECIAL\CRACK ONLINE\STEAM_API.DLL, En cuarentena, 1000001, 0, 1.0.49881, 0000000000000000000003EB, dds, 01600459, 6A796C90DF769BBD9028D75B00724394, 120BE46B5A8D2E0C5E65064DF086F8A57C38CBFDC9765BD9DB19263783D3A744
Malware.Heuristic.1003, D:\SAMURAI.SHODOWN.V.SPECIAL\SAMURAI SHODOWN V SPECIAL\STEAM_API.DLL, En cuarentena, 1000001, 0, 1.0.49881, 0000000000000000000003EB, dds, 01600459, 6A796C90DF769BBD9028D75B00724394, 120BE46B5A8D2E0C5E65064DF086F8A57C38CBFDC9765BD9DB19263783D3A744
Malware.AI.3476172872, C:\N++\ONLINEFIX.DLL, En cuarentena, 1000000, 0, 1.0.49881, 88783E66C19EFD2FCF323048, dds, 01600459, 3A3A93B25D15CEB7DACB2DCF0A04B4D9, 740B74A7024E96E07028899E6155A5BD30A5D23C258C90AEC74B99D53E6A51D4
Malware.Heuristic.1003, C:\SUPER BOMBERMAN R\SUPERBOMBERMANR_DATA\PLUGINS\STEAM_API.DLL, En cuarentena, 1000001, 0, 1.0.49881, 0000000000000000000003EB, dds, 01600459, 6A796C90DF769BBD9028D75B00724394, 120BE46B5A8D2E0C5E65064DF086F8A57C38CBFDC9765BD9DB19263783D3A744
Malware.Sandbox.7, C:\USERS\DAMIáN\APPDATA\LOCAL\TACTICSTECHNOLOGY\SUPERNOVA\VERSIONS\0.0.0\SUPERNOVA LAUNCHER.EXE, En cuarentena, 7, 0, 1.0.49881, 7, dds, 01600459, A35D5F372F46820311C59840EBA6FFFB, EAD1DCFD124FE9005917B375EBC950A9770C49C218236EDA7B46C680C015354F
Malware.Heuristic.1003, C:\USERS\DAMIáN\DOWNLOADS\NE RO BY ELDE1026\NE.RO.BY.ELDE1026\BURNINGROMPORTABLE\APP\BURNINGROM\FFMPEG\AVCODEC-56.DLL, En cuarentena, 1000001, 0, 1.0.49881, 0000000000000000000003EB, dds, 01600459, BBFF950C167C1C690B29CA9A1BEEB7A3, 927694B94A19A0155A062104D16978DED818179CDBF5E7E267FCABA48EBCF560

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)
# -------------------------------
# Malwarebytes AdwCleaner 8.3.1.0
# -------------------------------
# Build:    11-18-2021
# Database: 2021-12-02.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    01-16-2022
# Duration: 00:00:03
# OS:       Windows 10 Pro
# Cleaned:  36
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mipony
Deleted       C:\Users\Damián\AppData\Roaming\mipony

***** [ Files ] *****

Deleted       C:\Users\Damián\AppData\Roaming\Mozilla\Firefox\Profiles\oiq5ml40.default\invalidprefs.js

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

Deleted       C:\Windows\System32\Tasks\PRODUCT UPDATER

***** [ Registry ] *****

Deleted       HKCU\Software\Lavasoft\Web Companion
Deleted       HKCU\Software\Microsoft\Internet Explorer\Main|Start Page
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted       HKCU\Software\drpsu
Deleted       HKCU\Software\infoSiw
Deleted       HKCU\Software\win
Deleted       HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7D44BAE4-5EF0-4B7D-AB8E-B05711BB4588}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Product Updater
Deleted       HKLM\Software\Classes\Interface\{2BEF239C-752E-4001-8048-F256E0D8CD93}
Deleted       HKLM\Software\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Deleted       HKLM\Software\Classes\Interface\{49C00A51-6E59-41FE-B3FA-2D2157FAD67B}
Deleted       HKLM\Software\Classes\Interface\{6DFF5DBA-AE3A-46DB-B301-ECFFC6DB2982}
Deleted       HKLM\Software\Classes\Interface\{DE34CD67-F1C8-4001-9A23-B8A68F63F377}
Deleted       HKLM\Software\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Deleted       HKLM\Software\Classes\TypeLib\{81CA8FCD-1420-4A07-B47D-B30F3DDA79E1}
Deleted       HKLM\Software\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Deleted       HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Opera GX Browser Assistant
Deleted       HKLM\Software\Wow6432Node\Lavasoft\Web Companion
Deleted       HKLM\Software\Wow6432Node\\Classes\AppID\NCTAudioCDGrabber2.DLL
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{5EB0259D-AB79-4AE6-A6E6-24FFE21C3DA4}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{8BF0126F-A5B7-4720-ABB2-2414A0AF5474}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}
Deleted       HKLM\Software\Wow6432Node\\Classes\Interface\{2BEF239C-752E-4001-8048-F256E0D8CD93}
Deleted       HKLM\Software\Wow6432Node\\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Deleted       HKLM\Software\Wow6432Node\\Classes\Interface\{49C00A51-6E59-41FE-B3FA-2D2157FAD67B}
Deleted       HKLM\Software\Wow6432Node\\Classes\Interface\{6DFF5DBA-AE3A-46DB-B301-ECFFC6DB2982}
Deleted       HKLM\Software\Wow6432Node\\Classes\Interface\{DE34CD67-F1C8-4001-9A23-B8A68F63F377}
Deleted       HKLM\Software\Wow6432Node\\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Deleted       HKLM\Software\Wow6432Node\\Classes\TypeLib\{81CA8FCD-1420-4A07-B47D-B30F3DDA79E1}
Deleted       HKLM\Software\Wow6432Node\\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [4961 octets] - [16/01/2022 19:28:32]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

buen día @Damianv64 los resultados de los análisis muestran que todo se mando a cuarentena y se limpio el ordenador por lo cual debería de funcionar perfectamente por favor indícame como funciona la PC, quedo a la orden.

saludos

Todo correcto, gracias!

Me da gusto, cualquier duda quedo a la orden.