Hola, @Chicloi !
Agradezco por la bienvenida a la comunidad, por tomarte el tiempo de responder y por compartirme las reglas, ya las he leído y estoy emocionado de unirme a esta comunidad. ¡Gracias de nuevo por tu amabilidad!
Respondiendo a sus solicitudes:
*** Todo parece indicar que sí descargue algun software malisioso, no estoy seguro cual ya que mis descargas recientes involucran a un instalador de un launcher para juegos; Origin, y nmap ya que me encuentro realizando un curso en el que involucra su uso. Ambos descargados de su sitio oficial y recientemente analizados sus respectivos instaladores en el sitio de VirusTotal, no mostraron alertas rojas, no sé que tan confiable sean sus analisis del sitio por cierto… De ahí en fuera no estoy seguro de qué fue el detonante, eliminé nmap y origin por ahora, pero seguire tratando de recordar si me dejo algo más.
*** Sí, he realizado diferentes análisis con diferentes suites de seguridad, entre ellos, el que tengo ya en mi equipo; Windows defender. He usado además, como mencioné anteriormente, los softwares de la publicación del caso similar al mío y alguno extra que tenía al alcance. He de mencionar que ninguno refleja la amenaza de “Anagra” mas que Windows defender, los demas eliminaron varios archivos que, al menos yo, puedo considerar inofensivos pero entiendo que diferentes softwares los detectan como posibles amenazas, aún así, realice las acciones necesarias que ofrecian cada uno de los softwares “por si sí o por si no”.
Adjunto el análisis de cada uno de ellos, mencionando a que software corresponde:
Windows Defender
(Cabe mencionar que al intentar “iniciar las acciones” Windows defender nuevamente realiza un analisis, no muestra errores ni nada parecido).
Trojan:MSlL/Anagra.R!MTB
Nivel de alerta: Grave
Estado: Activo
Fecha: 05/04/2023 07:00 p. m.
Categoría: Caballo de Troya
Detalles: Este programa es peligroso y ejecuta comandos de un atacante.
Elementos afectados:
file: C:\ProgramData\Dllhost\dllhost.exe
file: C:\WlNDOWS\System32\Tasks\ActivationRu|e—>(UTF-16LE)
file: C:\WlNDOWS\System32\Tasks\AntiMalwareServiceExecutable-
>(UTF-16LE)
file: C:\WlNDOWS\System32\Tasks\dl|host—>(UTF-16LE)
file: C:\WlNDOWS\System32\Tasks\MicrosoftEdgeUpd-> (UTF-16LE)
file: C:\Wl NDOWS\System32\Tasks\NvStray—> (UTF-1 6LE)
file: C:\Wl NDOWS\System32\Tasks\0neDriveService- >EF-1 6LE)
file: C:\W|NDOWS\System32\Tasks\SecurityHealthSystray- >(UTF-16LE)
file: C:\WlNDOWS\System32\Tasks\\/lfindowsDefender-> (UTF-1 6LE)
file: C:\WlNDOWS\System32\Tasks\WmiPrvSE-:> (UTF-1 6LE)
process: pid:11212,ProcessStart:133252092000910184
process: pid:12224,ProcessStart:133252164000861071
process: pid:14496,ProcessStart:133252056000824621
process: pid:15880,ProcessStart:133252056000745557
process: pid:16668,ProcessStartz133252164001026168
process: pid:17340,ProcessStart:133252092000586191
process: pid:17676,ProcessStart:133252128000943862
process: pid:20192,ProcessStartz133252164000896400
process: pid:20516,ProcessStartz133252056000557490
process: pid:20596,ProcessStartz133252164001147645
process: pid:21004,ProcessStart:133252092000790449
process: pid:21492,ProcessStart:133252164000971928
process: pid:21832,ProcessStart:133252056000635936
process: pid:22140,ProcessStart:133252128000736051
process: pid:22576,ProcessStart:133252092000789199
process: pid:22744,ProcessStart:133252056000714079
process: pid:23220,ProcessStart:133252164000871384
process: pid:23496,ProcessStart:133252092000579244
process: pid:24516,ProcessStart:133252092000626493
process: pid:24876,ProcessStart:133252128001069715
process: pid:25472,ProcessStart:133252056000806493
process: pid:25596,ProcessStart:133252092000611886
process: pid:25644,ProcessStart:133252128000790612
process: pid:25884,ProcessStart:133252056000501576
process: pid:26020,ProcessStart:133252092000770546
process: pid:27212,ProcessStart:133252128001216962
process: pid:29512,ProcessStart:133252128001123939
process: pid:29644,ProcessStart:1 33 2521 28000737267
process: pid:5128,ProcessStart:133251987002460928
process: pid:5352,ProcessStart:133252128000949534
process: pid:9240,ProcessStart:133252056000542846
process: pid:9464,ProcessStart:133252164001 167384
regkey: HKLM\SOFTWARE\Microsoft\Windows NRCurrentVersion
\Schedule\TaskCache\Tasks\{273D6607-2518-4438-9582-6EOFC707C839l
regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Schedule\TaskCache\Tasks\{4B1OBFOD-649A-4417-A8AD-8876507243 D5}
regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Schedule\TaskCache\Tasks\{512123F6-673A-4717-A97F-1324A20A16E8}
regkey: HKLM\SOFTWARRMicrosoffiWindows NT\CurrentVersion
\Schedule\TaskCache\Tasl<s\{5D74298F-C51E-47EE-BGED-FSO379624F44}
regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Schedule\TaskCache\TaskS\{A43946C3-3FD6-473D-800B-015C40430AZD}
regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Schedule\TaskCache\Tasks\{ABOD16FD-A5D1-4823-85AA-1E8306856306}
regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Schedule\TaskCache\Tasks\{868E81A8-C3D7-4C3A-980C-305098047341}
reokev: HKLM\SOFTWARE\MicrosomWindows NT\CurrentVersion
regkey: HKLM\SOFTWARE\Microsoft\\/Wndows NT\CurrentVersion
\Schedule\TaskCache\Tasks\{8COA71E4-607D-46E8-8F5F-01C008359451}
regkey: HKLM\SOFTWARE\Microsoft\\/Wndows NRCurrentVersion
\ScheduIe\TaskCache\Tasks\{FAE2EEAB-7BDA-dE7E-82C1-1228FEC1GDBC}
regkey: HKLM\SOFTWARE\Microsoft\\/lfindows NRCurrentVersion
\ScheduIe\TaskCache\Tree\ActivationRule
regkey: HKLM\SOFTWARE\Microsoft\Windows NRCurrentVersion
\Schedule\TaskCache\Tree\AntiMalwareServiceExecutable
regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Schedule\TaskCache\Tree\dllhost
regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Schedule\TaskCache\Tree\MicrosoftEdgeUpd
regkey: HKLM\SOFTWARE\Microsoft\Windows NnCurrentVersion
\Schedule\TaskCache\Tree\NvStray
regkey: HKLM\SOFI'WARE\Microsoft\l/lfindows NT\CurrentVersion
\Schedule\TaskCache\Tree\OneDriveService
regkey: HKLM\SOFI'WARE\Microsoft\l/lfindows NT\CurrentVersion
\Schedule\TaskCache\Tree\SecurityHealthSystray
regkey: HKLM\SOFI'WARE\Microsoft\l/lfindows NT\CurrentVersion
\Schedule\TaskCache\Tree\WindowsDefender
regkey: HKLM\SOFI'WARE\Microsoft\l/lfindows NT\CurrentVersion
\Schedule\TaskCache\Tree\WmiPrvSE
taskscheduler: C:\W|NDOWS\System32\Tasks\ActivationRule
taskscheduler: C:\W|NDOWS\System32\Tasks
\AntiMalwareServiceExecutable
taskscheduler: C:\WlNDOWS\System32\Tasks\dllhost
taskscheduler: C:\W|NDOWS\System32\Tasks\MicrosoftEdgeUpd
taskscheduler: C:\W|NDOWS\System32\Tasks\NvStray
taskscheduler: C:\WlNDOWS\System32\Tasks\0neDriveService
taskscheduler: C:\WlNDOWS\System32\Tasks\SecurityHealthSystray
taskscheduler: C:\W|NDOWS\System32\Tasks\\MndowsDefender
taskscheduler: C:\W|NDOWS\System32\Tasks\WmiPrvSE
Malwarebytes
-Detalles del registro-
Fecha del análisis: 5/4/23
Hora del análisis: 18:08
Archivo de registro: 2f9ee628-d40f-11ed-ad3b-40b0344a0af6.json
-Información del software-
Versión: 4.5.25.256
Versión de los componentes: 1.0.1957
Versión del paquete de actualización: 1.0.67605
Licencia: Gratis
-Información del sistema-
SO: Windows 10 (Build 19045.2728)
CPU: x64
Sistema de archivos: NTFS
Usuario: BLAS\BLAS
-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 386798
Amenazas detectadas: 84
Amenazas en cuarentena: 84
Tiempo transcurrido: 39 min, 40 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 1
Trojan.Agent.E, C:\PROGRAMDATA\DLLHOST\DLLHOST.EXE, En cuarentena, 4194, 1082382, , , , , E72D497C94BB1ED882AC98931F70E82E, D2E371810E8C7B1E039A02A578B1AF0C6250665E85206B97A1ECB71AA5568443
Módulo: 1
Trojan.Agent.E, C:\PROGRAMDATA\DLLHOST\DLLHOST.EXE, En cuarentena, 4194, 1082382, , , , , E72D497C94BB1ED882AC98931F70E82E, D2E371810E8C7B1E039A02A578B1AF0C6250665E85206B97A1ECB71AA5568443
Clave del registro: 30
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLHOST.EXE, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLHOST.EXE, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\ActivationRule, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{4B10BF0D-649A-4417-A8AD-8B76507243D5}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{4B10BF0D-649A-4417-A8AD-8B76507243D5}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\AntiMalwareServiceExecutable, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{A43946C3-3FD6-473D-800B-015C40430A2D}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{A43946C3-3FD6-473D-800B-015C40430A2D}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\dllhost, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{5D74298F-C51E-47EE-B6ED-F50379624F44}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{5D74298F-C51E-47EE-B6ED-F50379624F44}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\MicrosoftEdgeUpd, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{512123F6-673A-4717-A97F-1324A2DA16EB}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{512123F6-673A-4717-A97F-1324A2DA16EB}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\NvStray, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{FAE2EEAB-7BDA-4E7E-B2C1-122BFEC16DBC}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{FAE2EEAB-7BDA-4E7E-B2C1-122BFEC16DBC}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\OneDriveService, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{AB0D16FD-A5D1-482B-85AA-1E8306B56306}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{AB0D16FD-A5D1-482B-85AA-1E8306B56306}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\SecurityHealthSystray, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{BC0A71E4-607D-46E8-BF5F-01C008359451}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{BC0A71E4-607D-46E8-BF5F-01C008359451}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\WindowsDefender, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{273D66D7-251B-4438-95B2-6E0FC707CB39}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{273D66D7-251B-4438-95B2-6E0FC707CB39}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\WmiPrvSE, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{B68E81A8-C3D7-4C3A-980C-B05098047341}, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{B68E81A8-C3D7-4C3A-980C-B05098047341}, En cuarentena, 4194, 1082382, , , , , ,
PUP.Optional.BundleInstaller, HKU\S-1-5-21-888831208-1218717682-3056800969-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\uTorrent, En cuarentena, 120, 1095972, , , , , ,
Valor del registro: 0
(No hay elementos maliciosos detectados)
Datos del registro: 0
(No hay elementos maliciosos detectados)
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 13
Spyware.StolenData.E, C:\PROGRAMDATA\5FHNC69Z9FTXWL9HGEH3Q54L6\FILES\Wallets, En cuarentena, 10855, 697276, 1.0.67605, , ame, , ,
RiskWare.Agent.E, C:\ProgramData\HostData\winSecurityHealthStray, En cuarentena, 6817, 1086312, , , , , ,
RiskWare.Agent.E, C:\ProgramData\HostData\RuntimeBrokerLogs, En cuarentena, 6817, 1086312, , , , , ,
RiskWare.Agent.E, C:\ProgramData\HostData\datafiles, En cuarentena, 6817, 1086312, , , , , ,
RiskWare.Agent.E, C:\ProgramData\HostData\tmp, En cuarentena, 6817, 1086312, , , , , ,
RiskWare.Agent.E, C:\PROGRAMDATA\HOSTDATA, En cuarentena, 6817, 1086312, 1.0.67605, , ame, , ,
HackTool.KMSpico, C:\PROGRAM FILES\KMSPICO, En cuarentena, 13782, 921550, 1.0.67605, , ame, , ,
Trojan.Agent.E, C:\ProgramData\Dllhost\winSecurityHealthStray, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, C:\ProgramData\Dllhost\RuntimeBrokerLogs, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, C:\ProgramData\Dllhost\datafiles, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, C:\ProgramData\Dllhost\bin, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, C:\ProgramData\Dllhost\tmp, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, C:\PROGRAMDATA\DLLHOST, En cuarentena, 4194, 1082382, 1.0.67605, , ame, , ,
Archivo: 39
RiskWare.Agent.E, C:\PROGRAMDATA\HOSTDATA\REPORTERROR.BIN, En cuarentena, 6817, 1086312, 1.0.67605, , ame, , ,
RiskWare.Agent.E, C:\ProgramData\HostData\config.json, En cuarentena, 6817, 1086312, , , , , A255F408BC0A2EDBD88F9425F7F6CE5B, 53DE4FD5E2CA23D0481C6C14387D720D5AC8581F94B00A0B18CFA45D72BCDF93
RiskWare.Agent.E, C:\ProgramData\HostData\dxdiag.bin, En cuarentena, 6817, 1086312, , , , , ,
RiskWare.Agent.E, C:\ProgramData\HostData\dxlog.log, En cuarentena, 6817, 1086312, , , , , ,
RiskWare.Agent.E, C:\ProgramData\HostData\logs.uce, En cuarentena, 6817, 1086312, , , , , 5A2812B775B17BC721EC808FE46CCCDC, 72E122375917D4465AF3BCD15D2DC5E0F6CB96A3A2F1FA5681D4FD512DE79BBA
RiskWare.Agent.E, C:\ProgramData\HostData\LogSystemData.log, En cuarentena, 6817, 1086312, , , , , ,
RiskWare.Agent.E, C:\ProgramData\HostData\SystemErrorReports.log, En cuarentena, 6817, 1086312, , , , , ,
RiskWare.Agent.E, C:\ProgramData\HostData\SystemInterrupts.tmp, En cuarentena, 6817, 1086312, , , , , ,
Trojan.Agent.E, C:\WINDOWS\SYSTEM32\TASKS\ActivationRule, En cuarentena, 4194, 1082382, , , , , D8EF867E2FBF6806D726E0A138DAA91F, 8D16B53C8ACE741CE21063119F372316BE67BD3DE7B807881457D7F16B45FC71
Trojan.Agent.E, C:\WINDOWS\SYSTEM32\TASKS\AntiMalwareServiceExecutable, En cuarentena, 4194, 1082382, , , , , 104BFDA38DF43C5CBE76A68855DB4674, 3BD4E905EB991E2121871BFFF9E4B5E905EF1CCFB22CE10767FF95930505AFBE
Trojan.Agent.E, C:\WINDOWS\SYSTEM32\TASKS\dllhost, En cuarentena, 4194, 1082382, , , , , C55CB1512B66AB3026F14485485F8008, 7AFAF9006AEA5DB7D8815525EFBC1CAB1C96337045A2B7ED0327F39C9B8B42F3
Trojan.Agent.E, C:\WINDOWS\SYSTEM32\TASKS\MicrosoftEdgeUpd, En cuarentena, 4194, 1082382, , , , , 541CA55A08C405BB466A801C00FF2517, 1D9D49F8937CFFA35E9BE21F59DAE02231DAF7338342A1CDBCDB59F0DB3C1115
Trojan.Agent.E, C:\WINDOWS\SYSTEM32\TASKS\NvStray, En cuarentena, 4194, 1082382, , , , , 5FFD57C5F48726E47F061E7CCB8D8F80, 8FA6F61051319C94DB9C67306C5C7943C565137040249225E25FB4C9EA3E8670
Trojan.Agent.E, C:\WINDOWS\SYSTEM32\TASKS\OneDriveService, En cuarentena, 4194, 1082382, , , , , 362B04E3092DAD0C5B875BDB3632E9E1, 72E9FFBD76096B1ECB648892EE455F91BC2610A6F840F5E8248368D577F8578D
Trojan.Agent.E, C:\WINDOWS\SYSTEM32\TASKS\SecurityHealthSystray, En cuarentena, 4194, 1082382, , , , , 85711BA6FF23D2458D23CF5E21214D2F, D794A70E31729653692A8C7AFD31DCA29192E4F5280DE583060409292FCE9862
Trojan.Agent.E, C:\WINDOWS\SYSTEM32\TASKS\WindowsDefender, En cuarentena, 4194, 1082382, , , , , 995F089D5B8DB198F188A596C91DB8DD, 14C97A985F97D0005F85A5428F5E5ED33482C7D445D05CEBA412A2946138724D
Trojan.Agent.E, C:\WINDOWS\SYSTEM32\TASKS\WmiPrvSE, En cuarentena, 4194, 1082382, , , , , 3F28F58F43C348B0C7FFE57E9B871A94, A5C891932F5BB56A02C6FB25A2B74B4363746A92BDCC2BD8FF72C7EBB4AAE256
Trojan.Agent.E, C:\PROGRAMDATA\DLLHOST\DLLHOST.EXE, En cuarentena, 4194, 1082382, 1.0.67605, , ame, , E72D497C94BB1ED882AC98931F70E82E, D2E371810E8C7B1E039A02A578B1AF0C6250665E85206B97A1ECB71AA5568443
Trojan.Agent.E, C:\ProgramData\Dllhost\dxdiag.bin, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, C:\ProgramData\Dllhost\dxlog.log, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, C:\ProgramData\Dllhost\LogSystemData.log, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, C:\ProgramData\Dllhost\ReportError.bin, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, C:\ProgramData\Dllhost\SystemErrorReports.log, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, C:\ProgramData\Dllhost\SystemInterrupts.tmp, En cuarentena, 4194, 1082382, , , , , ,
Trojan.Agent.E, C:\ProgramData\Dllhost\winlogson.exe, En cuarentena, 4194, 1082382, , , , , 5385A40C6AF4C73F43CFA5DE46B9F05A, 21BC43587DC1F19EC6271E69FE709B18FDEFDFBFC5971A3EDF00E92CB1B77995
RiskWare.DontStealOurSoftware, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 1621, 353143, 1.0.67605, , ame, , A7CE5334B5B11B05DC98864EA78DF1F6, 9FC34CEDFC079C07FC6AEC7311091357F7F7970B43E9D7451A700D7B1A488576
RiskWare.DontStealOurSoftware, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 1621, 543391, 1.0.67605, , ame, , A7CE5334B5B11B05DC98864EA78DF1F6, 9FC34CEDFC079C07FC6AEC7311091357F7F7970B43E9D7451A700D7B1A488576
RiskWare.MisusedLegit.E, C:\PROGRAMDATA\MSVCP140.DLL, En cuarentena, 13106, 820423, 1.0.67605, , ame, , 109F0F02FD37C84BFC7508D4227D7ED5, 334E69AC9367F708CE601A6F490FF227D6C20636DA5222F148B25831D22E13D4
Malware.AI.2514660307, C:\USERS\BLAS\APPDATA\ROAMING\4HWV32E7.EXE, En cuarentena, 1000000, -1780306989, 1.0.67605, 995DE4F21D50AE1095E2ABD3, dds, 02240198, 6986F1D3D40626F825B3EBF0415FC54C, 7E84D74990B3B4A9807B3072A2637C0C7035B2E9BC4F6E603B9F1766172FBF3E
RiskWare.MisusedLegit.E, C:\PROGRAMDATA\NSS3.DLL, En cuarentena, 13106, 820421, 1.0.67605, , ame, , BFAC4E3C5908856BA17D41EDCD455A51, E2935B5B28550D47DC971F456D6961F20D1633B4892998750140E0EAA9AE9D78
RiskWare.MisusedLegit.E, C:\PROGRAMDATA\MOZGLUE.DLL, En cuarentena, 13106, 820422, 1.0.67605, , ame, , 8F73C08A9660691143661BF7332C3C27, 3FE6B1C54B8CF28F571E0C5D6636B4069A8AB00B4F11DD842CFEC00691D0C9CD
RiskWare.MisusedLegit.E, C:\PROGRAMDATA\SOFTOKN3.DLL, En cuarentena, 13106, 820420, 1.0.67605, , ame, , A2EE53DE9167BF0D6C019303B7CA84E5, 43536ADEF2DDCC811C28D35FA6CE3031029A2424AD393989DB36169FF2995083
RiskWare.MisusedLegit.E, C:\PROGRAMDATA\FREEBL3.DLL, En cuarentena, 13106, 820418, 1.0.67605, , ame, , EF2834AC4EE7D6724F255BEAF527E635, A770ECBA3B08BBABD0A567FC978E50615F8B346709F8EB3CFACF3FAAB24090BA
RiskWare.MisusedLegit.E, C:\PROGRAMDATA\VCRUNTIME140.DLL, En cuarentena, 13106, 820419, 1.0.67605, , ame, , 7587BF9CB4147022CD5681B015183046, C40BB0319
9A2054DABFC7A8E01D6098E91DE7193619EFFBD0F142A7BF031C14D
PUP.Optional.BundleInstaller, C:\USERS\BLAS\APPDATA\ROAMING\UTORRENT\UPDATES\3.5.4_44632.EXE, En cuarentena, 120, 1095972, 1.0.67605, , ame, , 281CB81A552C458F09ABE4F3736BEDF3, 07A07BFE9DFEBC858C2B4F2A51065A9C260A61A5CB1D1E75799D1CF87A3CE167
PUP.Optional.BundleInstaller, C:\USERS\BLAS\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE, En cuarentena, 120, 1095972, 1.0.67605, , ame, , 281CB81A552C458F09ABE4F3736BEDF3, 07A07BFE9DFEBC858C2B4F2A51065A9C260A61A5CB1D1E75799D1CF87A3CE167
Spyware.PasswordStealer, C:\USERS\BLAS\APPDATA\LOCALLOW\XE1E6W4H.EXE, En cuarentena, 380, 1134322, 1.0.67605, D931685C4A28B4052E2AF696, dds, 02240198, 66B6EDA0882D3E51A7DF602A9B2E64B2, 78E2ABD83509FE2AD4085FAA99D2F7075339247DCD8F063C26B7FD6285D22D88
Malware.AI.4085142704, C:\USERS\BLAS\APPDATA\ROAMING\Microsoft\Windows\Start Menu\Programs\Saints Row The Third.lnk, En cuarentena, 1000000, -209824592, , , , , EEBA19DBD558FB5D358E62B7AAAFFFAD, 4FBDC4D72AA4D58E01602D97ADC533260BC228EC9D3E75B6159CCA006146C05E
Malware.AI.4085142704, C:\USERS\BLAS\DOCUMENTS\MY GAMES\SAINTS ROW THE THIRD\LAUNCHER.EXE, En cuarentena, 1000000, -209824592, 1.0.67605, 107C0CC32BD09877F37E54B0, dds, 02240198, B3CF44AC8B49BC4341E6044637EF12B8, 0BB10B6B586021461DD08DFFB1EE08C61F94BB3FF0531A08D93D96BCF54A500C
Sector físico: 0
(No hay elementos maliciosos detectados)
WMI: 0
(No hay elementos maliciosos detectados)
(end)
RogueKiller
Program : RogueKiller Anti-Malware
Version : 15.8.1.0
x64 : Yes
Program Date : Mar 3 2023
Location : C:\Program Files\RogueKiller\RogueKiller64.exe
Premium : No
Company : Adlice Software
Website : https://www.adlice.com/
Contact : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Operating System : Windows 10 (10.0.19045) 64-bit
64-bit OS : Yes
Startup : 0
WindowsPE : No
User : BLAS
User is Admin : Yes
Date : 2023/04/06 04:18:46
Type : Scan
Aborted : No
Scan Mode : Standard
Duration : 8217
Found items : 0
Total scanned : 190757
Signatures Version : 20221213_101756
Truesight Driver : Yes
Updates Count : 12
Arguments : -minimize
************************* Warnings *************************
************************* Updates *************************
BlueStacks 5 (64-bit), version 5.4.50.1009
[+] Available Version : 5.11.1.1002
[+] Size : 1.99 GB
[+] Wow6432 : No
[+] Portable : No
CPUID CPU-Z 1.91 (64-bit), version 1.91
[+] Available Version : 2.05
[+] Size : 4.52 MB
[+] Wow6432 : No
[+] Portable : No
[+] update_location : C:\Program Files\CPUID\CPU-Z\
Mozilla Firefox (x64 es-MX) (64-bit), version 100.0
[+] Available Version : 111.0.1
[+] Size : 208 MB
[+] Wow6432 : No
[+] Portable : No
[+] update_location : C:\Program Files\Mozilla Firefox
Mozilla Thunderbird (x64 en-US) (64-bit), version 102.0.3
[+] Available Version : 102.9.1
[+] Size : 225 MB
[+] Wow6432 : No
[+] Portable : No
[+] update_location : C:\Program Files\Mozilla Thunderbird
VLC media player (64-bit), version 3.0.14
[+] Available Version : 3.0.18
[+] Wow6432 : No
[+] Portable : No
[+] update_location : C:\Program Files\VideoLAN\VLC
WinRAR 6.00 (64-bit) (64-bit), version 6.00.0
[+] Available Version : 6.21
[+] Wow6432 : No
[+] Portable : No
[+] update_location : C:\Program Files\WinRAR\
Java 8 Update 181 (64-bit) (64-bit), version 8.0.1810.13
[+] Available Version : 8.0.3330.0
[+] Size : 36.5 MB
[+] Wow6432 : No
[+] Portable : No
[+] update_location : C:\Program Files\Java\jre1.8.0_181\
Java 8 Update 241 (64-bit) (64-bit), version 8.0.2410.7
[+] Available Version : 8.0.3330.0
[+] Size : 119 MB
[+] Wow6432 : No
[+] Portable : No
[+] update_location : C:\Program Files\Java\jre1.8.0_241\
Java 8 Update 251 (64-bit) (64-bit), version 8.0.2510.8
[+] Available Version : 8.0.3330.0
[+] Size : 120 MB
[+] Wow6432 : No
[+] Portable : No
[+] update_location : C:\Program Files\Java\jre1.8.0_251\
Oracle VM VirtualBox 6.1.32 (64-bit), version 6.1.32
[+] Available Version : 7.0.6
[+] Size : 218 MB
[+] Wow6432 : No
[+] Portable : No
CherryTree versión 0.99.47.0 (64-bit), version 0.99.47.0
[+] Available Version : 0.99.55.0
[+] Size : 377 MB
[+] Wow6432 : No
[+] Portable : No
[+] update_location : C:\Program Files\CherryTree\
Mp3tag v2.54 (32-bit), version v2.54
[+] Available Version : 3.20
[+] Wow6432 : Yes
[+] Portable : No
************************* Processes *************************
************************* Modules *************************
************************* Services *************************
************************* Scheduled Tasks *************************
************************* Registry *************************
************************* WMI *************************
************************* Hosts File *************************
is_too_big : No
hosts_file_path : C:\Windows\System32\drivers\etc\hosts
************************* Filesystem *************************
************************* Web Browsers *************************
************************* Antirootkit *************************
Eset Online Scaner
09/04/2023 14:15:16 p. m.
Archivos explorados: 841634
Archivos detectados: 3
Archivos desinfectados: 3
Tiempo total de exploración 12:53:40
Estado de la exploración: Finalizado
C:\Users\BLAS\AppData\Roaming\Opera Software\Opera Stable\Extensions\neacgcjokggofibnbfapeaejhclmpple\1.5.3_0\js\contentScripts\contentScript.js JS/Chromex.Agent.AP troyano desinfectado por eliminación
C:\Users\BLAS\Documents\wnetwatcher\WNetWatcher.exe una variante de Win32/WNetWatcher.A aplicación potencialmente no segura desinfectado por eliminación
C:\Windows\System32\drivers\etc\hosts Win32/Qhost troyano desinfectado por eliminación
Dr.Web Cureit!
Start curing
-----------------------------------------------------------------------------
C:\Users\BLAS\Documents\Copias Whatsapp\WhatsApp\Media\WhatsApp Documents\amortizacion.exe - deleted - 58187 ms
C:\Users\BLAS\Documents\My Games\In\IN.exe - deleted - 7743 ms
C:\Users\BLAS\Documents\My Games\Gnarled Hag\Gnarled Hag.exe - deleted - 553 ms
C:\Users\BLAS\Documents\My Games\Gnarled Hag\Gnarled Hag2.exe - deleted - 6633 ms
C:\Users\BLAS\Documents\Rainmeter\Skins\@Backup\Fountain of Colors\@Resources\addons\RainRGB4.exe - deleted - 882 ms
C:\Users\BLAS\Documents\Rainmeter\Skins\Fountain of Colors\@Resources\addons\RainRGB4.exe - deleted - 493 ms
Total 166411441181 bytes in 156301 files scanned (175498 objects)
Total 151224 files (170265 objects) are clean
Total 6 files are infected
Total 6 files are neutralized
Total 5225 files are raised error condition
Scan time is 01:54:21.074
UsbFix Antivirus Free
# ----------------------------------------------------
#
# ----------------------------------------------------
# Versión : 11.009
# Base de datos :
# Contacto : https://www.usb-antivirus.com/es/contacto
# ----------------------------------------------------
# Tipo de escaneo : Full
# Usuario : BLAS (Administrador)
# Dispositivo : BLAS
# Comenzó : 06/04/2023 17:05:55
# ----------------------------------------------------
------------ | Discos analizados |
C:\ NTFS (49GB/915GB) [Fixed]
D:\ NTFS (2GB/15GB) [Fixed]
------------ | Elemento(s) infectado(s) |
Borrado! C:\Kedw\kingston\cudart32_60.dll
Borrado! C:\Kedw\kingston\libeay32.dll
Borrado! C:\Kedw\kingston\minergate-cli.exe
Borrado! C:\Kedw\kingston\msvcp110.dll
Borrado! C:\Kedw\kingston\msvcr110.dll
Borrado! C:\Kedw\kingston\platforms\qwindows.dll
Borrado! C:\Kedw\kingston
Borrado! C:\Kedw\kingston
Borrado! C:\Users\BLAS\AppData\Roaming\1K7263hk.exe
----Fin de la transmision :P-
Agradezco de nuevo la ayuda y el interes en este problema, espero la información no sea abrumadora. Intenté eliminar este malware por mi cuenta pero al parecer está mas allá de mis conocimientos. Sigo atento a su respuesta, de ser posible me gustaria saber la correcta interpretación de algun detalle importante en los registros ¡muchas gracias!
SI ALGÚN PROGRAMA DE LOS QUE SE LE DIGA EN ESTE TEMA YA LOS TUVIERA INSTALADO EN SU ORDENADOR, NO HACE FALTA QUE LO INSTALE DE NUEVO, SIMPLEMENTE SIGA SU MANUAL QUE SE LE DEJA JUNTO AL PROGRAMA.
SI ALGÚN PROGRAMA DE LOS QUE SE LE INDIQUEN EN ESTE FORO LE PIDE REINICIAR! PROCEDES! PERO SÓLO SI SE LO SOLICITA EL DICHO PROGRAMA.
EN BUSCA / ELIMINACIÓN DE MALWARE
Como usted ya tiene instalado el siguiente programa en su ordenador: 
no hace falta que lo instale usted de nuevo el dicho programa sólo ejecuta: usted el dicho programa: 
Descargue el programa de la siguiente Url: Le dejo “2 Url de Descarga” por si uno no le funciona el proceso de Instalación pueda probar con la segunda Url de Descarga:
Le aparecerá una pantalla similar a esta, dejar TODAS las opciones marcadas que te salgan a ti. Para ELIMINAR todas las INFECCIONES clikea en la pestaña que pone: Finalizar. (Tal y cómo se muestra en la pantalla):
Para enviarme el Informe que ha generado el programa cuando haya finalizado por completo de Analizar siga estos pasos que se reflejan a continuación:
Cuando finalice el 
un click en la siguiente pestaña: 
de la lista de opciones que ofrece el programa: 
tal y como se muestra en la siguiente pantalla:
para abrir el cuadro del ´´REPORTE´´ que genera para que me lo pueda enviar usted, tal y como se refleja en la siguiente pantalla:
