Virus?

Hola! Tengo tiempo sin instalar ni descargar nada, sin embargo hoy Malwares me dijo que bloqueo 2 intentos de exploit en el mismo minuto (de la protección en tiempo real). Lo cual me pareció muy extraño, no se si se trate de un falso positivo. Así que apreciria mucho su ayuda :slight_smile:

Adjunto el análisis completo de Malwares & el de adwcleaner como lo suelen indicar (Para este ultimo tuve que marcar un pre-instalado de dell para que me pudiera generar el reporte ya que no encontraba nada). También busque la carpeta de Sysnative pero dice que no existe, ni introduciendola manualmente

a1.txt (1,0 KB) a2.txt (1,0 KB) AdwCleaner[C00].txt (1,6 KB) malware.txt (1,5 KB)

Hola @Sam221

Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan/Analizar y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2

Hola SanMar, gracias por tu respuesta. Los adjuntoAddition.txt (40,8 KB) FRST.txt (107,0 KB)

Aprovecho para preguntar, es normal el “defaultuser100001”?. Se supone que solo tengo 1 usuario habilitado que es samco (como administrador)

Hola @Sam221

Ejecutaste FRST desde un lugar incorrecto:

  • Ejecutado desde D:\Downloads

Corta el ejecutable y pegalo en tu escritorio <<< Esto es Muy Importante.

Luego sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga DelFix en el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

2.- Desactiva Temporalmente tu antivirus.

3.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:

Start
CloseProcesses:
CreateRestorePoint:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
Task: {4B470502-39DE-4F70-BD0A-29F08CD82B58} - System32\Tasks\EOSv3 Scheduler onLogOn => D:\Downloads\esetonlinescanner_esl.exe [14562400 2020-03-07] (ESET, spol. s r.o. -> ESET spol. s r.o.)
Task: {ABA65DE4-645A-43CB-B64B-A6C4F6FC43E1} - System32\Tasks\EOSv3 Scheduler onTime => D:\Downloads\esetonlinescanner_esl.exe [14562400 2020-03-07] (ESET, spol. s r.o. -> ESET spol. s r.o.)
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
HKU\S-1-5-21-4286630145-3932354708-2530659942-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell17win10.msn.com/?pc=DCTE
SearchScopes: HKU\S-1-5-21-4286630145-3932354708-2530659942-1001 -> DefaultScope {98C513C9-1646-4B9F-AA60-41D4B1712793} URL = 
FF Extension: (Avast SafePrice | Comparaciones, ofertas y cupones) - C:\Users\samco\AppData\Roaming\Mozilla\Firefox\Profiles\yx2vxj7c.default\Extensions\[email protected] [2020-02-05]
FF Extension: (Avast Online Security) - C:\Users\samco\AppData\Roaming\Mozilla\Firefox\Profiles\yx2vxj7c.default\Extensions\[email protected] [2020-02-05]
FF Extension: (Avast SafePrice | Comparaciones, ofertas y cupones) - C:\Users\samco\AppData\Roaming\Mozilla\Firefox\Profiles\zjcvqqcw.default-release\Extensions\[email protected] [2020-02-26]
FF Extension: (Avast Online Security) - C:\Users\samco\AppData\Roaming\Mozilla\Firefox\Profiles\zjcvqqcw.default-release\Extensions\wr[email protected] [2020-02-26] [UpdateUrl:hxxps://firefoxext.avcdn.net/firefoxext/avast/aos/update.json]
FF Plugin-x32: @vlcstreamer.com/VLCStreamer Update;version=3 -> C:\Program Files (x86)\VLCStreamer\Update\1.3.99.0\npVLCStreamerUpdate3.dll [Ningún archivo]
FF Plugin-x32: @vlcstreamer.com/VLCStreamer Update;version=9 -> C:\Program Files (x86)\VLCStreamer\Update\1.3.99.0\npVLCStreamerUpdate3.dll [Ningún archivo]
CHR Extension: (Chrome Media Router) - C:\Users\samco\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2020-02-05]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
S3 HipShieldK; C:\WINDOWS\System32\drivers\HipShieldK.sys [218336 2017-10-10] (McAfee, Inc. -> McAfee, Inc.)
2020-03-07 21:25 - 2020-03-07 21:25 - 000000000 _____ C:\WINDOWS\invcol.tmp
2020-03-07 14:53 - 2020-03-08 17:43 - 000002952 _____ C:\WINDOWS\system32\Tasks\EOSv3 Scheduler onLogOn
2020-03-07 14:53 - 2020-03-08 17:43 - 000002572 _____ C:\WINDOWS\system32\Tasks\EOSv3 Scheduler onTime
2020-03-07 14:52 - 2020-03-07 14:52 - 000000665 _____ C:\Users\samco\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET Online Scanner.lnk
2020-03-07 14:52 - 2020-03-07 14:52 - 000000596 _____ C:\Users\samco\Desktop\ESET Online Scanner.lnk
2020-03-01 10:02 - 2020-03-01 10:02 - 000000000 ____D C:\Users\samco\AppData\LocalLow\Temp
2020-02-26 21:03 - 2020-02-26 21:03 - 000000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
2020-02-14 00:10 - 2020-02-14 00:10 - 000000000 ____D C:\Users\samco\AppData\Local\ESET
ContextMenuHandlers4: [MEGA (Context menu)] -> [CC]{0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Ningún archivo
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Ningún archivo
FirewallRules: [{6F5A655E-3387-4995-A748-B70BB535380B}] => (Allow) %systemroot%\system32\alg.exe Ningún archivo
FirewallRules: [{B014E30A-EE55-43D3-8178-C1D845FB96EB}] => (Allow) %systemroot%\system32\alg.exe Ningún archivo
FirewallRules: [{0B186124-ECDE-40A6-90EE-2560FB167856}] => (Allow) %systemroot%\system32\alg.exe Ningún archivo
FirewallRules: [{BE9D18B3-BEC1-45E1-87C5-E887D2E3BB63}] => (Allow) %systemroot%\system32\alg.exe Ningún archivo
FirewallRules: [{D29F20EB-7484-41DB-B243-9C3AA2FDC49E}] => (Allow) %systemroot%\system32\alg.exe Ningún archivo
FirewallRules: [{5EA8AF61-D307-490B-9A38-27C3265BA6D0}] => (Allow) %systemroot%\system32\alg.exe Ningún archivo
FirewallRules: [{88A1F03F-DA18-4DC9-9E21-2A490C5B1F42}] => (Allow) %systemroot%\system32\alg.exe Ningún archivo
FirewallRules: [{40C91476-D5A6-4BBB-8A15-AC6B2D23AB19}] => (Allow) %systemroot%\system32\alg.exe Ningún archivo
FirewallRules: [{6C77C044-262F-400B-84BE-CF5E2E33E4B8}] => (Allow) %systemroot%\system32\alg.exe Ningún archivo
FirewallRules: [{9C72DD3E-2BF5-4A18-B0CD-E10587F48E2F}] => (Allow) %systemroot%\system32\alg.exe Ningún archivo
D:\Downloads\esetonlinescanner_esl.exe
Folder: C:\WINDOWS\Sysnative
Folder: C:\WINDOWS\Sysnative\cscript

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix*Corregir y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Nos comentas .

Salu2.

Hola! Adjunto todo aquí nuevamente, gracias nuevamente

Addition.txt (41,2 KB) DelFix.txt (249 Bytes) Fixlog.txt (16,7 KB) FRST.txt (107,9 KB)

Hola @Sam221

Realiza lo siguiente:

1.- Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.

2.- Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

  • Este no da reporte cuando te encuentres, si es que lo hace con alguna infección, tomas una imagen y la subes.

Como subir imágenes al Foro ?

Salu2

Hola! Adjunto todo aquí:

a.txt (1,0 KB)

Hola @Sam221

Pudiste pasar el Eset Online? Detecto algo?

Continúan las detecciones del exploit?

Nos comentas.

Salu2

Hola! Si, Esset detecto las extensiones de avast, pero no pudo elimiarlas (archivo a.txt del mensaje anterior).

En cuanto a la detección del exploit, solo sucedio 2 veces seguidas la primera vez (antes de hacer el post), pero desde entonces no ha vuelto a suceder …

Hola @Sam221

Perfecto, del teléfono no lo había visto. :upside_down_face:

Perfecto, prueba el equipo unas 24 hs, reinicia, también apaga el equipo y vuelve encenderlo y vuelves por aquí a comentar si ya esta resuelto el problema.

Salu2

1 me gusta

Hola SanMar, jamás volvió a suceder. Llegaste a detectar algo irregular en los logs? o nunca hubo virus?

Hola @Sam221

Con FRST eliminamos varias entradas y Kaspersky detecto y elimino una extensión problemática.


Para eliminar las herramientas utilizadas:

Descargas/Ejecutas >> Delfix, desde tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Nos comentas si todo esta en orden para dar por Solucionado el tema.

Salu2.

Hola! Hoy volvío a suceder 3 veces seguidas (en cuestión de 1 minuto). Adjunto los logs. Durante este tiempo no he descargado ni instalado ningun ejecutable (Estoy completamente seguro)

a1.txt (1,0 KB) a2.txt (1,0 KB) a3.txt (1,0 KB)

Eso fue hoy, sin embargo ayer hice un analisis completo con avast, kaspersky y malwarebytes y no encontro nada.

Hola @Sam221

Vuelve a descargar y ejecutar FRST como la primera vez, y nos colocas sus reportes nuevos.

Salu2

1 me gusta

Hola, lo adjunto aquí,

Saludos

Addition.txt (38,8 KB) FRST.txt (136,1 KB)

Hola? :frowning:

Volvió a suceder el domingo (ayer), pero solo 1 vez

Hola @Sam221

Disculpa la demora tuve unos días complicadisimos.

Antes de continuar unas consultas:

Cual es tu navegador predeterminado? Brave?

Usas Google Chrome sincronizado con otros dispositivos?

Nos comentas.

Salu2

No hay problema, aprecio mucho tu tiempo!

Brave es el predeterminado, pero también uso opera, firefox y chrome (chrome tiene sincronización activa con la cuenta de google, pero no con otros dispositivos como tal)

Hice un escaneo con Kaspersky & Malwarebytes en modo seguro & no encontro nada …

Por otro lado he visto que siempre se ejecuta casi a la misma hora, pero en tareas programadas no veo nada raro. Incluso las ejecute todas para ver si se disparaba la alerta pero no sucedío. Leí algo sobre que podía ser los programas de dell que los detectaba de esa manera, así que los desintale todo y veamos si vuelve a suceder …

Hola @Sam221

Si aparecen prueba lo siguiente:

Paso 1: Desinstala con Revo Uninstaller en su Modo Avanzado:

  • Navegador Brave

Manual de Revo Uninstaller.

Paso 2:

Sigue los pasos a continuación en el orden exacto como se describe:

  1. Abre tu Chrome.
  2. Ve a Configuración > Personas > Sincronización y servicios de Google (o, de forma alternativa, ingresa lo siguiente en la barra de direcciones: chrome://settings/syncSetup)
  3. En la página, haz clic en los datos de Sincronización de Chrome como primer paso (esto se abrirá en una nueva pestaña, deja esta página y la nueva pestaña.)
  4. Luego haz clic en “Desactivar” como segundo paso.


  1. Cuando hagas clic en “Desactivar” aparecerá la siguiente pantalla, haz clic en “Desactivar”.

Captura%20de%20pantalla%20(89)

Importante: No marques esta casilla, ya que esto también borrará tus datos de Chrome localmente (incluidos los marcadores, la configuración, las aplicaciones, etc.)

  1. En la nueva pestaña que todavía está abierta, aquí es donde se encuentran los datos de Chrome en el servidor (como alternativa, ve a la siguiente URL: https://chrome.google.com/sync)
  2. ¡¡¡REFRESCA esa página !! - Debido a que desde que cerró Chrome, si no actualiza, la sincronización no funcionará y obtendrá el error: “Esta página de configuración de Chrome ya no está disponible”
  3. Inicia sesión con tus credenciales de Chrome allí.
  4. Desplázate hacia abajo hasta la parte inferior de la página y haz clic en RESTABLECER SINCRONIZACIÓN.

Captura%20de%20pantalla%20(90)


  1. Cierra tu navegador Chrome.
  2. NO habilites la sincronización, ya que primero debes realizar otro escaneo con Malwarebytes para reparar Chrome.
  3. Realiza una nueva exploración con Malwarebytes y deja que elimine lo que ha encontrado .
  4. Reiniciar en caso de que solicite reiniciar.
  5. Si tienes varios sistemas operativos, ejecuta Malwarebytes primero antes de volver a iniciar sesión en Chrome. Esto para asegurarse de que el malware también se elimine de la (s) otra (s) PC (s). Si no se limpia, volverá a sincronizar el malware de la PC “no limpiada” con el servidor y luego con la PC limpia.**

Verifica después de un próximo escaneo que la detección ya no ocurre. Si los resultados vuelven a estar limpios, puedes habilitar Sincronización de Chrome nuevamente.

Primero te pedirá tu nombre de usuario para iniciar sesión. Una vez hecho esto, debería habilitar automáticamente la sincronización nuevamente.

Nos comentas.


Pd: Disculpa si a veces tardo en responder, es que la Internet de mi pueblo es muy mala, y con esto del jodido coronavirus, esta cada vez peor con todos en cuarentena conectados a la red al mismo tiempo…:-1:

Salu2

2 Me gusta