Windows 8.1 Google Chrome - Servicio Registro Remoto cambia desde estado deshabilitado a automatico

paperalt · 22 Febrero, 2020 05:51

Saludos desde Santiago de Chile, mi nombre es Pablo y solicito de su ayuda y orientacion, bueno como dice el titulo de este posteo, desde una semana ya, me he dado cuenta, que el servicio de windows Registro Remoto se cambia automaticamente desde el estado deshabilitado a estado automatico para luego iniciarse automaticamente, esto me ocurre bajo el sistema operativo windows 8.1 single language español version 6.3.9600 64 bit con google chrome y eset nod antivirus version 8 con definiciones de virus actualizadas, he corrido antimalwares como malwarebytes, awdcleaner, microsoft malicious software removal tool, microsoft safety scanner, hijackthis pero por alguna razón no encuentran nada, pero sigue ocurriendo que por razones de seguridad detengo y luego desahibilito el registro remoto de windows, pero por arte de magia vuelve a estado automático y se inicia… y no se me ocurre ya que hacer y solo he pensado que podria existir alguna manera de saber que software o que otro servicio desencadenaria el cambio de estado deshabilitado a estado habilitado para luego iniciarse.

pregunta: ¿existe alguna manera de saber o hacerle un seguimiento a que proceso o que servicio provoca estos comportamientos de cambiar el estado deshabilitado de un servicio a automático?

MagnuM · 22 Febrero, 2020 07:37

Hola @paperalt

Hay una guía muy completa en este mismo foro. Me parece conveniente que la leas.

Aplica también para Windows 8.1

Te dejo el enlace: Los servicios de Windows 7

Saludos!

paperalt · 22 Febrero, 2020 14:48

Gracias MagnuM, lo leere nuevamente…

paperalt · 22 Febrero, 2020 23:49

La verdad que leyendo el tutorial de servicios, no he logrado solucionar el problema…

El problema es que por alguna razón, aún cuando defina tipo de inicio como deshabilitado luego de detener el servicio registro remoto, y luego tras reiniciar el equipo con windows 8.1 single al verificar los servicios mediante services.msc vuelve nuevamente al tipo de inicio automatico y estado iniciado. por alguna razon tras el reinicio el malware o algun programa u otro servicio me vuelve a cambiar el tipo de inicio de deshabilitado a automático y iniciando el servicio registro remoto, lo cual es un problema de seguridad.

cualquier idea o ayuda respecto a esto se agradece mucho,

DarkGhost · 23 Febrero, 2020 00:34

hola,

vamos a descartar que sea malware:

Descargá, Instalá y ejecutá Malwarebytes de ACÁ

Acá Tenes Su Manual

Hacé Un Analisis De Amenazas siguiendo los pasos de su manual y Eliminá Todo Lo Que Encuentre Incluidos Los Patch/Cracks

Pegá El Reporte, Lo Podés Sacar Del Programa Siguiendo Estos Pasos

luego…

Descargá y ejecutá AdwCleaner de ACÁ

Acá Tenes Su Manual

Apretá Donde Dice Analizar Ahora y Eliminá Todo Lo Que Encuentre

Pegá El Reporte, Lo Podés Sacar Del Programa En Las Pestaña Informes

En La Respuesta Los Ponés Así:

[code]
Acá Va El Informe
[/code]

saludos

paperalt · 12 Marzo, 2020 01:08

Gracias DarkGhost

aqui voy a pegar el informe de malwarebytes

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 10/3/20
Hora del análisis: 16:40
Archivo de registro: 0f0b0062-6307-11ea-9ca3-000000000000.json

-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.835
Versión del paquete de actualización: 1.0.20506
Licencia: Prueba

-Información del sistema-
SO: Windows 8.1
CPU: x64
Sistema de archivos: NTFS
Usuario: pablo

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Cancelado
Objetos analizados: 343370
Amenazas detectadas: 23
Amenazas en cuarentena: 0
Tiempo transcurrido: 4 hr, 24 min, 38 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 4
PUP.Optional.Iminent, C:\USERS\PABLO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Sin acciones por parte del usuario, 87, 455248, , , , 
PUP.Optional.ASK, C:\USERS\PABLO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Sin acciones por parte del usuario, 1, 454827, , , , 
PUP.Optional.Iminent, C:\USERS\PABLO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Sin acciones por parte del usuario, 87, 455248, , , , 
PUP.Optional.Iminent, C:\USERS\PABLO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Sin acciones por parte del usuario, 87, 455248, , , , 

Archivo: 19
Trojan.Agent, C:\USERS\PABLO\DESKTOP\ELISTARA OLD.EXE, Sin acciones por parte del usuario, 489, 407390, 1.0.20506, B28B2042CF90A1CB65566623, dds, 00625820
Generic.Malware/Suspicious, C:\USERS\PABLO\DESKTOP\PCHUNTER64.EXE, Sin acciones por parte del usuario, 0, 392686, 1.0.20506, , shuriken, 
Generic.Malware/Suspicious, C:\USERS\PABLO\DOWNLOADS\PROCESSHACKER-2.39-BIN.ZIP, Sin acciones por parte del usuario, 0, 392686, 1.0.20506, , shuriken, 
Generic.Malware/Suspicious, C:\USERS\PABLO\DOWNLOADS\PCHUNTER_FREE.ZIP, Sin acciones por parte del usuario, 0, 392686, 1.0.20506, , shuriken, 
Generic.Malware/Suspicious, C:\USERS\PABLO\DOWNLOADS\PCHUNTER_FREE (1).ZIP, Sin acciones por parte del usuario, 0, 392686, 1.0.20506, , shuriken, 
Generic.Malware/Suspicious, C:\USERS\PABLO\DESKTOP\SOSPECHOSO\PCHUNTER32.EXE, Sin acciones por parte del usuario, 0, 392686, 1.0.20506, , shuriken, 
PUP.Optional.Iminent, C:\Users\pablo\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, Sin acciones por parte del usuario, 87, 455248, , , , 
PUP.Optional.Iminent, C:\Users\pablo\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000372.ldb, Sin acciones por parte del usuario, 87, 455248, , , , 
PUP.Optional.Iminent, C:\Users\pablo\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000374.log, Sin acciones por parte del usuario, 87, 455248, , , , 
PUP.Optional.Iminent, C:\Users\pablo\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000375.ldb, Sin acciones por parte del usuario, 87, 455248, , , , 
PUP.Optional.Iminent, C:\Users\pablo\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, Sin acciones por parte del usuario, 87, 455248, , , , 
PUP.Optional.Iminent, C:\Users\pablo\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, Sin acciones por parte del usuario, 87, 455248, , , , 
PUP.Optional.Iminent, C:\Users\pablo\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, Sin acciones por parte del usuario, 87, 455248, , , , 
PUP.Optional.Iminent, C:\Users\pablo\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, Sin acciones por parte del usuario, 87, 455248, , , , 
PUP.Optional.Iminent, C:\Users\pablo\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, Sin acciones por parte del usuario, 87, 455248, , , , 
PUP.Optional.Iminent, C:\USERS\PABLO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sin acciones por parte del usuario, 87, 455248, 1.0.20506, , ame, 
PUP.Optional.ASK, C:\USERS\PABLO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sin acciones por parte del usuario, 1, 454827, 1.0.20506, , ame, 
PUP.Optional.Iminent, C:\USERS\PABLO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sin acciones por parte del usuario, 87, 455248, 1.0.20506, , ame, 
PUP.Optional.Iminent, C:\USERS\PABLO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sin acciones por parte del usuario, 87, 455248, 1.0.20506, , ame, 

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

aqui va el del programa AWDCLeaner

# -------------------------------
# Malwarebytes AdwCleaner 8.0.3.0
# -------------------------------
# Build:    03-03-2020
# Database: 2020-03-09.2 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    03-10-2020
# Duration: 00:00:13
# OS:       Windows 8.1 Single Language
# Cleaned:  12
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

Deleted       StartWeb

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.LenovoEnergyManager   Folder   C:\Program Files (x86)\LENOVO\ENERGY MANAGER
Deleted       Preinstalled.LenovoEnergyManager   Folder   C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\LENOVO\ENERGY MANAGER
Deleted       Preinstalled.LenovoEnergyManager   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Energy Manager
Deleted       Preinstalled.LenovoEnergyManager   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Lenovo Utility
Deleted       Preinstalled.LenovoEnergyManager   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Lenovo Utility
Deleted       Preinstalled.LenovoEnergyManager   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\InstallShield_{AC768037-7079-4658-AC24-2897650E0ABE}
Deleted       Preinstalled.LenovoEnergyManager   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{AC768037-7079-4658-AC24-2897650E0ABE}
Deleted       Preinstalled.LenovoIMController   Folder   C:\Program Files\LENOVO\IMCONTROLLER
Deleted       Preinstalled.LenovoIMController   Folder   C:\ProgramData\LENOVO\IMCONTROLLER
Deleted       Preinstalled.LenovoIMController   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Lenovo Dependency Package_is1
Deleted       Preinstalled.LenovoIMController   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0788641D-D31A-478D-BB34-C41564AE9F93}


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [9587 octets] - [22/02/2020 03:41:57]
AdwCleaner[C00].txt - [5868 octets] - [22/02/2020 03:45:18]
AdwCleaner[S01].txt - [4938 octets] - [10/03/2020 01:17:50]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########

DarkGhost · 12 Marzo, 2020 01:19

Hola @paperalt.

Debes Eliminar Todo Lo que El Programa Detecte

Cuentame cómo sigue el problema planteado

Saludos

paperalt · 12 Marzo, 2020 01:32

Gracias DarkGhost por tu respuesta, lo elimine todo sin embargo tras cambiar una y otra vez el Tipo de inicio del servicio Registro Remoto regsvc de Automatico a Deshabilitado tras el reinicio de la maquina vuelve a Tipo de inicio automatico y estado inicado… entonces quisiera saber si existe alguna forma de saber que proceso o malware esta cambiando el tipo de inicio de deshabilitado a automatico para pasar a estado iniciado…

otros datos

servira el process explorer o el process monitor?

gracias

DarkGhost · 12 Marzo, 2020 11:42

hola @paperalt.

no los he utilizado, por lo tanto no sé hasta que punto te seran utiles.

en cuanto a:

entra a servicios > dale click derecho y elige propiedades. enviame una captura sin tocar nada. (solo de la pestaña general y la pestaña Dependencias)

saludos

paperalt · 12 Marzo, 2020 18:09

Saludos DarkGhost y Gracias por tu respuesta, adjunto capturas de pantalla. pestaña general pestaña dependencias

DarkGhost · 12 Marzo, 2020 21:06

Hola, realiza los pasos de la siguiente guía:

Guía de detección y eliminación de Malwares 2020

Nos estamos quedando sin Opciones…

Saludos

paperalt · 14 Marzo, 2020 18:32

Gracias, DarkGhost… hare todos los pasos y bueno seguiré investigando e intentando…debe existir alguna forma creo yo de averiguar que proceso genera el cambio en el tipo de inicio del registro remoto… debe existir alguna herramienta para ver que proceso inicia el servicio o que proceso altera el registro de windows…