URL carga en 2do Plano - Firefox

Buenas tardes, y eso. Es molestoso despues de cargar una pagina cualquiera que en 2do plano se carga otra, pero gracias al antivirus lo detecta y bloquea. La url en cuestion es https://loungesrc.net, con diferentes IP cada vez. De pronto pueda que ya haya solucion, pero estuve buscando un rato en el foro pero no encontre. Alguien pueda echarme una mano.

Hola @DavidQCu Bienvenid@ al ForoSpyware!!!

Realiza los siguientes pasos, aunque hayas hecho alguno, sin cambiar el orden:

1) Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware, revisa en detalle el manual, para que sepas usarlo y configurarlo.

  • Realiza un Análisis personalizado, actualizando si te lo pide.
  • Pulsar en “Cuarentena seleccionado” para enviarlo a la cuarentena y Reinicias el sistema.
  • En el apartado del manual Historial de detecciones encontrarás el reporte de MBAM, clic en Exportar >> Copiar al portapapeles.

2) Descarga AdwCleaner | InfoSpyware en el escritorio.

  • Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus.
  • Cierra también todos los programas que tengas abiertos.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador".)
  • Pulsar en el botón Escanear, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar.
  • Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
  • Guardas el reporte que te aparecerá, para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también se puede encontrar en C:\AdwCleaner\AdwCleaner[C1].txt

3) Descarga CCleaner

  • Instala Ccleaner
  • Abres Ccleaner en la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine >> clic en ejecutar limpiador
  • Clic en la pestaña Registro >> clic en buscar problemas esperas que termine >> clic en Reparar Seleccionadas y haces una copia de seguridad
  • Vuelves a darle clic en buscar problemas hasta que no encuentre ninguno.

Pega los reportes de Malwarebytes y AdwCleaner y comentas como va el problema.

¿Cómo pegar reportes en el foro?

Un saludo

Que tal, he seguido los pasos en orden pero me sigue saliendo el problema. Adjunto los log de los programas, en otra respuesta te pondré los detalles del Troyano que me sale en navegador que lo detalla MalwareBytes

Resultados mbam.txt (23,1 KB)

Resultados_AdwCleaner[C00].txt (3,9 KB)

Aca los otros detalles de MalwareBytes desde Navegador

PD. Ademas veo que también me genera ese malware del otro navegador

InformeSitioWebBloqueado[01].txt (790 Bytes)

InformeSitioWebBloqueado[02].txt (798 Bytes)

Hola

En el reporte de Malwarebytes dice que no se tomaron acciones por parte del usuario y realizaste un análisis de amenazas en lugar de personalizado, ejecuta un análisis personalizado y manda todo lo que detecte a cuarentena.

Pon el reporte y comenta como sigue el problema.

Un saludo

Hola, lo hice tal cual estaba en tu primer mensaje y después del análisis se envío todo a cuarentena. Ahora me dices que haga un análisis personalizado. Pero no encuentro esa opción.

La acabo de encontrar, pero no hay mucha diferencia con la normal. Le agregue lo de los rootkits de pronto. Ahí deje la PC que haga el proceso. Ya van 3 horas y no encuentra nada, esta en 0 las detecciones. Acá, ya en la mañana veré que arrojo el análisis.

Hola

Si marcaste la opción rootkits te tardará bastantes horas, en cuanto termine pon el reporte, aunque no detecte nada y comentas como sigue para poder continuar.

Un saludo

Que tal, te cuento que al fin termino el scanner y aun sigue el problema, aunque el antivirus (veo que desde febrero está bloqueando ese Troyano, aunque no siempre lo ha reportado) y ahora el MalwareBytes me muestran que lo están bloqueando desde el navegador. Te adjunto el reporte y una captura del evento

Resultados mbam 2doAnalisis.txt (2,3 KB)

AlertaDespuuesScanner

Hola

Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus

Descarga Farbar Recovery Scan Tool.en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de tu equipo. :arrow_right: Como saber si Mi Windows es de 32 o 64 Bits ?.

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Pon los dos reportes generados.

Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).

Un saludo

Bueno, acá adjunto los reportes.

FRST.txt (57,1 KB)

Addition.txt (53,7 KB)

Buenas estimados, me quede a medias, ya pase el reporte que mas podria hacer para dar solucion al problema.

Hola

:arrow_forward: MUY Importante :arrow_backward: Realiza una copia de seguridad del registro :

  • Para hacerlo descarga :arrow_forward: DelFix.exe( en tu escritorio).

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).

  • Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO.

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

A continuación :warning: con los demás programas cerrados ve a :arrow_forward: Inicio :arrow_forward: Ejecutar :arrow_forward: y escribe Notepad.exe.

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKU\S-1-5-21-4086702095-999177479-789094387-1002\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-4086702095-999177479-789094387-1002\...\MountPoints2: U - "U:\sources\SetupError.exe" x64
HKU\S-1-5-21-4086702095-999177479-789094387-1002\...\MountPoints2: {0dea5145-0926-11e7-977a-c03fd5a1bd90} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4086702095-999177479-789094387-1002\...\MountPoints2: {4f32ef9b-cdb2-11e8-9781-c03fd5a1bd90} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4086702095-999177479-789094387-1002\...\MountPoints2: {60b6ffcd-0873-11e7-9779-c03fd5a1bd90} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4086702095-999177479-789094387-1002\...\MountPoints2: {8c8d3d37-96a0-11e4-973b-c03fd5a1bd90} - "G:\CMADownloader.exe" 
HKU\S-1-5-21-4086702095-999177479-789094387-1002\...\MountPoints2: {ca9aaded-d90b-11e4-973d-c03fd5a1bd90} - "G:\WD SmartWare.exe" autoplay=true
HKU\S-1-5-21-4086702095-999177479-789094387-1002\...\MountPoints2: {fb3742d6-5cec-11ea-979f-c03fd5a1bd90} - "I:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4086702095-999177479-789094387-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04282020130659286\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-4086702095-999177479-789094387-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04282020130659286\...\MountPoints2: U - "U:\sources\SetupError.exe" x64
HKU\S-1-5-21-4086702095-999177479-789094387-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04282020130659286\...\MountPoints2: {0dea5145-0926-11e7-977a-c03fd5a1bd90} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4086702095-999177479-789094387-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04282020130659286\...\MountPoints2: {4f32ef9b-cdb2-11e8-9781-c03fd5a1bd90} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4086702095-999177479-789094387-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04282020130659286\...\MountPoints2: {60b6ffcd-0873-11e7-9779-c03fd5a1bd90} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4086702095-999177479-789094387-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04282020130659286\...\MountPoints2: {8c8d3d37-96a0-11e4-973b-c03fd5a1bd90} - "G:\CMADownloader.exe" 
HKU\S-1-5-21-4086702095-999177479-789094387-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04282020130659286\...\MountPoints2: {ca9aaded-d90b-11e4-973d-c03fd5a1bd90} - "G:\WD SmartWare.exe" autoplay=true
HKU\S-1-5-21-4086702095-999177479-789094387-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-04282020130659286\...\MountPoints2: {fb3742d6-5cec-11ea-979f-c03fd5a1bd90} - "I:\HiSuiteDownLoader.exe" 
Task: {278F495B-639C-488E-ABC9-E21B522A7357} - \Optimize Start Menu Cache Files-S-1-5-21-4086702095-999177479-789094387-1001 -> No File <==== ATTENTION
CHR Extension: (Chrome YouTube Downloader) - C:\Users\David\AppData\Local\Google\Chrome\User Data\Default\Extensions\cbdjiinahkdjdcdlgfimlcolkjpbooja [2015-06-05] [UpdateUrl:hxxps://dl.dropbox.com/u/9278456/Chrome_YouTube_Downloader/update.xml] <==== ATTENTION
CHR Extension: (OUO.IO links skipper) - C:\Users\David\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhnjhlbdbophhjmehljnhpgoncngpfch [2017-01-31]
CHR Extension: (Chrome Media Router) - C:\Users\David\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2020-04-26]
CHR HKLM\...\Chrome\Extension: [dhancbnhabhandieicagelcddkdfgoif] - C:\Program Files\Allavsoft\Video Downloader Converter\extensions\3.16.6.6899\BVDChromeExt.crx [2018-12-07]
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx [2015-12-17]
AlternateDataStreams: C:\ProgramData:Duplicate$Photo$Cleaner [0]
AlternateDataStreams: C:\Users\All Users:Duplicate$Photo$Cleaner [0]
AlternateDataStreams: C:\ProgramData\Application Data:Duplicate$Photo$Cleaner [0]
HKU\S-1-5-21-4086702095-999177479-789094387-1002\Software\Classes\.exe:  =>  <==== ATTENTION



HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Guárdalo bajo el nombre de FIXLIST.TXT en el escritorio :arrow_backward: Esto es muy importante.

:o: Nota :o: Es importante que la herramienta FRST.exe (Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.


Y ahora usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) :arrow_forward: ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.

  • Ejecuta FRST.exe.(Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas -Ejecutar como Administrador-).
  • Presionar el botón FIX/Corregir y aguardar a que termine.
  • La Herramienta guardara el reporte de reparación en el escritorio (FIXLOG.TXT).

Pega el contenido de este fichero en tu próxima respuesta.

Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.

Un saludo

Que tal, procedí a realizar las recomendaciones y aún sigue el inconveniente. Adjunto el log del FIX

Fixlog.txt (13,2 KB)

Hola

Realizas lo siguiente:

Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.

Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

  • Este no da reporte cuando te encuentres al finalizar, si es que lo hace con alguna infección, tomas una imagen y la subes.

Como subir imágenes al Foro ?

Comenta como sigue el problema.

Un saludo

Al parecer ahí se soluciono, con Kasperski al parecer detecto una extensión de Firefox y la elimino, ya se reinicio el equipo y el antivirus y MalwareBytes no arrojan la alerta molestosa…

MUCHAS GRACIAS A TODOS, en especial a ti Daniela por el tiempo y paciencia !!

Adjunto los reportes que arrojaron los últimos programas

1 me gusta

Hola @DavidQCu

Sigue estos pasos, para eliminar las herramientas utilizadas:

Para hacerlo utiliza de nuevo/descarga >> DelFix.exe en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marca todas las casillas, y pulsas en Run

Se abrirá el informe (DelFix.txt), puedes cerrarlo.


Gracias a ti por confiar en ForoSpyware. Ha sido un placer ayudarte :handshake:

Nos alegramos que se te haya resuelto :+1: Damos el tema por solucionado.

Solucionado

Un saludo