Alerta de Avast para PowerShell
Resuelto
North34
Mensajes publicados
20
Estado
Miembro
-
Malekal_morte- Mensajes publicados 178136 Fecha de registro Estado Moderador, Colaborador de seguridad Última intervención -
Malekal_morte- Mensajes publicados 178136 Fecha de registro Estado Moderador, Colaborador de seguridad Última intervención -
Hola a todos,
Después de una gran "verruga" hace 2 semanas en mi ordenador, todo está ahora en orden y funciona perfectamente, pero me queda solo una o dos veces al día una alerta de Avast sobre PowerShell.exe
http://img110.xooimage.com/files/6/b/9/powershell-53008c5.jpg
He visto bien esta publicación, pero no sé a quién dirigirme...
https://forums.commentcamarche.net/forum/affich-33395623-activite-suspecte-et-url-mal-de-powershell-exe
Estoy en Windows 10 Pro 64 bits
¡Gracias de antemano por su ayuda!
Después de una gran "verruga" hace 2 semanas en mi ordenador, todo está ahora en orden y funciona perfectamente, pero me queda solo una o dos veces al día una alerta de Avast sobre PowerShell.exe
http://img110.xooimage.com/files/6/b/9/powershell-53008c5.jpg
He visto bien esta publicación, pero no sé a quién dirigirme...
https://forums.commentcamarche.net/forum/affich-33395623-activite-suspecte-et-url-mal-de-powershell-exe
Estoy en Windows 10 Pro 64 bits
¡Gracias de antemano por su ayuda!
9 respuestas
Hola,
Comienza por esto:
Sigue el tutorial FRST. ( <i.t tu="" tiempo="" para="" leer="" atentamente="" todo="" est="" bien="" explicado=""> ).
Descarga y ejecuta el escaneo de FRST,
Espera a que termine el escaneo, un mensaje indicará que el análisis ha finalizado.
Se generarán tres informes de FRST:
Envía estos 3 informes al sitio https://pjjoint.malekal.com/ y regresa con los 3 enlaces de pjjoint que conducen a los informes aquí en una nueva respuesta para que podamos consultarlos.
--
Por favor presiona una tecla para continuar con la desinfección...</i.t>
Comienza por esto:
Sigue el tutorial FRST. ( <i.t tu="" tiempo="" para="" leer="" atentamente="" todo="" est="" bien="" explicado=""> ).
Descarga y ejecuta el escaneo de FRST,
Espera a que termine el escaneo, un mensaje indicará que el análisis ha finalizado.
Se generarán tres informes de FRST:
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envía estos 3 informes al sitio https://pjjoint.malekal.com/ y regresa con los 3 enlaces de pjjoint que conducen a los informes aquí en una nueva respuesta para que podamos consultarlos.
--
Por favor presiona una tecla para continuar con la desinfección...</i.t>
Gracias por tu rápida respuesta, aquí están los enlaces:
https://pjjoint.malekal.com/files.php?id=20170907_u8w9l15z5i11
https://pjjoint.malekal.com/files.php?id=FRST_20170907_x11k13s15c5o7
https://pjjoint.malekal.com/files.php?id=20170907_j5v12l12f7z14
https://pjjoint.malekal.com/files.php?id=20170907_u8w9l15z5i11
https://pjjoint.malekal.com/files.php?id=FRST_20170907_x11k13s15c5o7
https://pjjoint.malekal.com/files.php?id=20170907_j5v12l12f7z14
ouep infectado,
Aquí está la corrección a realizar con FRST. Puedes ayudarte de esta nota explicativa con capturas de pantalla.
Abre el bloc de notas: Tecla de Windows + R,
En el campo "Ejecutar", escribe notepad y OK.
Copia/Pega lo siguiente:
Una vez pegado el texto en el Bloc de notas,
Menú "Archivo" y luego "Guardar como",
A la izquierda, colócate en el Escritorio,
En el campo de abajo, nombre del archivo pon: fixlist.txt
Haz clic en "Guardar", esto creará fixlist.txt en el Escritorio.
Vuelve a iniciar FRST y haz clic en el botón "Corregir / Fix"
Puede que sea necesario reiniciar (no obligatorio)
Aparecerá un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.
Reinicia la computadora.
--
Por favor, presiona una tecla para continuar con la desinfección...
Aquí está la corrección a realizar con FRST. Puedes ayudarte de esta nota explicativa con capturas de pantalla.
Abre el bloc de notas: Tecla de Windows + R,
En el campo "Ejecutar", escribe notepad y OK.
Copia/Pega lo siguiente:
CreateRestorePoint:
2017-08-16 08:41 - 2017-08-18 17:32 - 000000028 _____ C:\Users\conta\AppData\Roaming\kulerdata.json
Task: {BC2C53D6-3D23-46A5-9754-072E59FDF6C4} - System32\Tasks\7b2ba75c5155f25fd96a06a7da18137d => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File "C:\Windows\7b2ba75c5155f25fd96a06a7da18137d.ps1" <==== ATENCIÓN
Task: {4346FED9-39A2-430E-BF19-70DDD6593315} - \FXo7xbkbqR -> No hay archivo <==== ATENCIÓN
Task: {E8C37523-6BA0-4D4E-8E63-BD3DD6E607D3} - System32\Tasks\hueBZWkXtRq4 => huebzwkxtrq4.exe
2017-08-22 09:04 - 2017-08-22 09:21 - 000000000 ____D C:\Users\conta\AppData\Roaming\ed69f1c633754f758d09199a4d1bb378
2017-08-22 09:04 - 2017-08-22 09:20 - 000000000 ____D C:\Users\conta\AppData\Local\c75817af494a423cad8e24fc4d59d89a
2017-08-22 09:04 - 2017-08-22 09:20 - 000000000 ____D C:\ProgramData\3d239b3f01804119b59d727e33fa0dfa
2017-08-22 09:04 - 2017-08-22 09:04 - 000000290 __RSH C:\Users\conta\ntuser.pol
2017-08-22 09:03 - 2017-08-22 09:20 - 000000000 ____D C:\Program Files (x86)\dCHHaxjOpqUn
2017-08-22 09:02 - 2017-08-22 09:21 - 000000000 ____D C:\Users\conta\AppData\Roaming\3420b10bb5814b9982a5853a68b92d2f
2017-08-22 09:02 - 2017-08-22 09:20 - 000000000 ____D C:\Users\conta\AppData\Local\1bffd96240f945689e6ad388944dd638
2017-08-22 09:02 - 2017-08-22 09:20 - 000000000 ____D C:\ProgramData\79def16adc4b4af1bb694d2a2b46ce2d
2017-08-22 09:02 - 2017-08-22 09:04 - 000000322 _____ C:\Windows\Tasks\uuxHwpnMkRCRpJh.job
RemoveProxy:
Reboot:
Una vez pegado el texto en el Bloc de notas,
Menú "Archivo" y luego "Guardar como",
A la izquierda, colócate en el Escritorio,
En el campo de abajo, nombre del archivo pon: fixlist.txt
Haz clic en "Guardar", esto creará fixlist.txt en el Escritorio.
Vuelve a iniciar FRST y haz clic en el botón "Corregir / Fix"
Puede que sea necesario reiniciar (no obligatorio)
Aparecerá un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.
Reinicia la computadora.
--
Por favor, presiona una tecla para continuar con la desinfección...
Sí, aquí está el contenido de Fixlog.txt después del reinicio:
Resultados de corrección de Farbar Recovery Scan Tool (x64) Versión: 20-08-2017
Ejecutado por conta (07-09-2017 11:54:47) Ejecución:1
Ejecutado desde C:\Users\conta\Desktop
Perfiles cargados: conta (Perfiles disponibles: conta)
Modo de arranque: Normal
==============================================
Contenido de fixlist:
Crear punto de restauración:
2017-08-16 08:41 - 2017-08-18 17:32 - 000000028 _____ C:\Users\conta\AppData\Roaming\kulerdata.json
Tarea: {BC2C53D6-3D23-46A5-9754-072E59FDF6C4} - System32\Tasks\7b2ba75c5155f25fd96a06a7da18137d => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File "C:\Windows\7b2ba75c5155f25fd96a06a7da18137d.ps1" <==== ATENCIÓN
Tarea: {4346FED9-39A2-430E-BF19-70DDD6593315} - \FXo7xbkbqR -> Sin archivo <==== ATENCIÓN
Tarea: {E8C37523-6BA0-4D4E-8E63-BD3DD6E607D3} - System32\Tasks\hueBZWkXtRq4 => huebzwkxtrq4.exe
2017-08-22 09:04 - 2017-08-22 09:21 - 000000000 ____D C:\Users\conta\AppData\Roaming\ed69f1c633754f758d09199a4d1bb378
2017-08-22 09:04 - 2017-08-22 09:20 - 000000000 ____D C:\Users\conta\AppData\Local\c75817af494a423cad8e24fc4d59d89a
2017-08-22 09:04 - 2017-08-22 09:20 - 000000000 ____D C:\ProgramData\3d239b3f01804119b59d727e33fa0dfa
2017-08-22 09:04 - 2017-08-22 09:04 - 000000290 __RSH C:\Users\conta\ntuser.pol
2017-08-22 09:03 - 2017-08-22 09:20 - 000000000 ____D C:\Program Files (x86)\dCHHaxjOpqUn
2017-08-22 09:02 - 2017-08-22 09:21 - 000000000 ____D C:\Users\conta\AppData\Roaming\3420b10bb5814b9982a5853a68b92d2f
2017-08-22 09:02 - 2017-08-22 09:20 - 000000000 ____D C:\Users\conta\AppData\Local\1bffd96240f945689e6ad388944dd638
2017-08-22 09:02 - 2017-08-22 09:20 - 000000000 ____D C:\ProgramData\79def16adc4b4af1bb694d2a2b46ce2d
2017-08-22 09:02 - 2017-08-22 09:04 - 000000322 _____ C:\Windows\Tasks\uuxHwpnMkRCRpJh.job
Eliminar Proxy:
Reiniciar:
El punto de restauración se creó con éxito.
C:\Users\conta\AppData\Roaming\kulerdata.json => movido(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{BC2C53D6-3D23-46A5-9754-072E59FDF6C4} => clave eliminada(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BC2C53D6-3D23-46A5-9754-072E59FDF6C4} => clave eliminada(s) con éxito
C:\Windows\System32\Tasks\7b2ba75c5155f25fd96a06a7da18137d => movido(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\7b2ba75c5155f25fd96a06a7da18137d => clave eliminada(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{4346FED9-39A2-430E-BF19-70DDD6593315} => clave eliminada(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4346FED9-39A2-430E-BF19-70DDD6593315} => clave eliminada(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FXo7xbkbqR => clave eliminada(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E8C37523-6BA0-4D4E-8E63-BD3DD6E607D3} => clave eliminada(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E8C37523-6BA0-4D4E-8E63-BD3DD6E607D3} => clave eliminada(s) con éxito
C:\Windows\System32\Tasks\hueBZWkXtRq4 => movido(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\hueBZWkXtRq4 => clave eliminada(s) con éxito
C:\Users\conta\AppData\Roaming\ed69f1c633754f758d09199a4d1bb378 => movido(s) con éxito
C:\Users\conta\AppData\Local\c75817af494a423cad8e24fc4d59d89a => movido(s) con éxito
C:\ProgramData\3d239b3f01804119b59d727e33fa0dfa => movido(s) con éxito
C:\Users\conta\ntuser.pol => movido(s) con éxito
C:\Program Files (x86)\dCHHaxjOpqUn => movido(s) con éxito
C:\Users\conta\AppData\Roaming\3420b10bb5814b9982a5853a68b92d2f => movido(s) con éxito
C:\Users\conta\AppData\Local\1bffd96240f945689e6ad388944dd638 => movido(s) con éxito
C:\ProgramData\79def16adc4b4af1bb694d2a2b46ce2d => movido(s) con éxito
C:\Windows\Tasks\uuxHwpnMkRCRpJh.job => movido(s) con éxito
========= Eliminar Proxy: =========
HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\\ => valor eliminado(s) con éxito
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valor eliminado(s) con éxito
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valor eliminado(s) con éxito
HKU\S-1-5-21-4086913352-2080678621-2803426076-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valor eliminado(s) con éxito
HKU\S-1-5-21-4086913352-2080678621-2803426076-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valor eliminado(s) con éxito
========= Fin de Eliminar Proxy: =========
El sistema tuvo que reiniciar.
Resultados de corrección de Farbar Recovery Scan Tool (x64) Versión: 20-08-2017
Ejecutado por conta (07-09-2017 11:54:47) Ejecución:1
Ejecutado desde C:\Users\conta\Desktop
Perfiles cargados: conta (Perfiles disponibles: conta)
Modo de arranque: Normal
==============================================
Contenido de fixlist:
Crear punto de restauración:
2017-08-16 08:41 - 2017-08-18 17:32 - 000000028 _____ C:\Users\conta\AppData\Roaming\kulerdata.json
Tarea: {BC2C53D6-3D23-46A5-9754-072E59FDF6C4} - System32\Tasks\7b2ba75c5155f25fd96a06a7da18137d => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File "C:\Windows\7b2ba75c5155f25fd96a06a7da18137d.ps1" <==== ATENCIÓN
Tarea: {4346FED9-39A2-430E-BF19-70DDD6593315} - \FXo7xbkbqR -> Sin archivo <==== ATENCIÓN
Tarea: {E8C37523-6BA0-4D4E-8E63-BD3DD6E607D3} - System32\Tasks\hueBZWkXtRq4 => huebzwkxtrq4.exe
2017-08-22 09:04 - 2017-08-22 09:21 - 000000000 ____D C:\Users\conta\AppData\Roaming\ed69f1c633754f758d09199a4d1bb378
2017-08-22 09:04 - 2017-08-22 09:20 - 000000000 ____D C:\Users\conta\AppData\Local\c75817af494a423cad8e24fc4d59d89a
2017-08-22 09:04 - 2017-08-22 09:20 - 000000000 ____D C:\ProgramData\3d239b3f01804119b59d727e33fa0dfa
2017-08-22 09:04 - 2017-08-22 09:04 - 000000290 __RSH C:\Users\conta\ntuser.pol
2017-08-22 09:03 - 2017-08-22 09:20 - 000000000 ____D C:\Program Files (x86)\dCHHaxjOpqUn
2017-08-22 09:02 - 2017-08-22 09:21 - 000000000 ____D C:\Users\conta\AppData\Roaming\3420b10bb5814b9982a5853a68b92d2f
2017-08-22 09:02 - 2017-08-22 09:20 - 000000000 ____D C:\Users\conta\AppData\Local\1bffd96240f945689e6ad388944dd638
2017-08-22 09:02 - 2017-08-22 09:20 - 000000000 ____D C:\ProgramData\79def16adc4b4af1bb694d2a2b46ce2d
2017-08-22 09:02 - 2017-08-22 09:04 - 000000322 _____ C:\Windows\Tasks\uuxHwpnMkRCRpJh.job
Eliminar Proxy:
Reiniciar:
El punto de restauración se creó con éxito.
C:\Users\conta\AppData\Roaming\kulerdata.json => movido(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{BC2C53D6-3D23-46A5-9754-072E59FDF6C4} => clave eliminada(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BC2C53D6-3D23-46A5-9754-072E59FDF6C4} => clave eliminada(s) con éxito
C:\Windows\System32\Tasks\7b2ba75c5155f25fd96a06a7da18137d => movido(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\7b2ba75c5155f25fd96a06a7da18137d => clave eliminada(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{4346FED9-39A2-430E-BF19-70DDD6593315} => clave eliminada(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4346FED9-39A2-430E-BF19-70DDD6593315} => clave eliminada(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FXo7xbkbqR => clave eliminada(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E8C37523-6BA0-4D4E-8E63-BD3DD6E607D3} => clave eliminada(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E8C37523-6BA0-4D4E-8E63-BD3DD6E607D3} => clave eliminada(s) con éxito
C:\Windows\System32\Tasks\hueBZWkXtRq4 => movido(s) con éxito
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\hueBZWkXtRq4 => clave eliminada(s) con éxito
C:\Users\conta\AppData\Roaming\ed69f1c633754f758d09199a4d1bb378 => movido(s) con éxito
C:\Users\conta\AppData\Local\c75817af494a423cad8e24fc4d59d89a => movido(s) con éxito
C:\ProgramData\3d239b3f01804119b59d727e33fa0dfa => movido(s) con éxito
C:\Users\conta\ntuser.pol => movido(s) con éxito
C:\Program Files (x86)\dCHHaxjOpqUn => movido(s) con éxito
C:\Users\conta\AppData\Roaming\3420b10bb5814b9982a5853a68b92d2f => movido(s) con éxito
C:\Users\conta\AppData\Local\1bffd96240f945689e6ad388944dd638 => movido(s) con éxito
C:\ProgramData\79def16adc4b4af1bb694d2a2b46ce2d => movido(s) con éxito
C:\Windows\Tasks\uuxHwpnMkRCRpJh.job => movido(s) con éxito
========= Eliminar Proxy: =========
HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\\ => valor eliminado(s) con éxito
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valor eliminado(s) con éxito
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valor eliminado(s) con éxito
HKU\S-1-5-21-4086913352-2080678621-2803426076-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valor eliminado(s) con éxito
HKU\S-1-5-21-4086913352-2080678621-2803426076-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valor eliminado(s) con éxito
========= Fin de Eliminar Proxy: =========
El sistema tuvo que reiniciar.
Fin de Fixlog 11:54:59
Realiza una limpieza Malwarebytes - Tutorial de Malwarebytes Anti-Malware versión gratuita
--
Por favor, presione una tecla para continuar la desinfección...
--
Por favor, presione una tecla para continuar la desinfección...
Acabo de pasar ADW Cleaner Malwarebytes, aquí están los registros después de la limpieza:
# AdwCleaner 7.0.2.1 - Archivo de registro creado el Vie Sep 07 10:21:48 2017
# Actualizado el 2017/29/08 por Malwarebytes
# Ejecutándose en Windows 10 Pro (X64)
# Modo: limpieza
# Soporte: https://www.malwarebytes.com/support/
No se eliminaron servicios maliciosos.
No se eliminaron carpetas maliciosas.
No se eliminaron archivos maliciosos.
No se limpiaron DLLs maliciosas.
No se limpiaron WMI maliciosos.
No se limpiaron accesos directos maliciosos.
No se eliminaron tareas maliciosas.
Eliminado: [Key] - HKLM\SOFTWARE\Microsoft\PrAmNP
Eliminado: [Key] - HKU\S-1-5-21-4086913352-2080678621-2803426076-1002\Software\Microsoft\PrAmNP
Eliminado: [Key] - HKCU\Software\Microsoft\PrAmNP
Eliminado: [Key] - HKLM\SOFTWARE\Microsoft\PrIncub
Eliminado: [Key] - HKLM\SOFTWARE\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d}
Eliminado: [Key] - HKU\S-1-5-21-4086913352-2080678621-2803426076-1002\Software\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d}
Eliminado: [Key] - HKCU\Software\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d}
No se eliminaron entradas maliciosas de Firefox.
# AdwCleaner 7.0.2.1 - Archivo de registro creado el Vie Sep 07 10:21:48 2017
# Actualizado el 2017/29/08 por Malwarebytes
# Ejecutándose en Windows 10 Pro (X64)
# Modo: limpieza
# Soporte: https://www.malwarebytes.com/support/
- [ Servicios ] *****
No se eliminaron servicios maliciosos.
- [ Carpetas ] *****
No se eliminaron carpetas maliciosas.
- [ Archivos ] *****
No se eliminaron archivos maliciosos.
- [ DLL ] *****
No se limpiaron DLLs maliciosas.
- [ WMI ] *****
No se limpiaron WMI maliciosos.
- [ Accesos directos ] *****
No se limpiaron accesos directos maliciosos.
- [ Tareas ] *****
No se eliminaron tareas maliciosas.
- [ Registro ] *****
Eliminado: [Key] - HKLM\SOFTWARE\Microsoft\PrAmNP
Eliminado: [Key] - HKU\S-1-5-21-4086913352-2080678621-2803426076-1002\Software\Microsoft\PrAmNP
Eliminado: [Key] - HKCU\Software\Microsoft\PrAmNP
Eliminado: [Key] - HKLM\SOFTWARE\Microsoft\PrIncub
Eliminado: [Key] - HKLM\SOFTWARE\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d}
Eliminado: [Key] - HKU\S-1-5-21-4086913352-2080678621-2803426076-1002\Software\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d}
Eliminado: [Key] - HKCU\Software\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d}
- [ Firefox (y derivados) ] *****
No se eliminaron entradas maliciosas de Firefox.
-
C:/AdwCleaner/AdwCleaner[C0].txt - [8878 B] - [2017/8/22 8:22:7]
C:/AdwCleaner/AdwCleaner[C1].txt - [1432 B] - [2017/8/22 10:9:44]
C:/AdwCleaner/AdwCleaner[S0].txt - [10154 B] - [2017/8/22 8:21:27]
C:/AdwCleaner/AdwCleaner[S1].txt - [1328 B] - [2017/8/22 10:9:26]
C:/AdwCleaner/AdwCleaner[S2].txt - [1212 B] - [2017/8/23 6:38:12]
C:/AdwCleaner/AdwCleaner[S3].txt - [2086 B] - [2017/8/31 7:6:59]
C:/AdwCleaner/AdwCleaner[S4].txt - [1974 B] - [2017/9/7 10:21:31]
########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt ##########
¿Crees que todo está resuelto?
-
Ok, Malwarebyes pasado, ninguna amenaza identificada:
Malwarebytes Anti-Malware
www.malwarebytes.org
Fecha del análisis: 07/09/2017
Hora del análisis: 14:04
Archivo de registro:
Administrador: Sí
Versión: 2.2.1.1043
Base de datos de programas maliciosos: v2017.09.07.05
Base de datos de rootkits: v2017.08.02.01
Licencia: Gratuita
Protección contra programas maliciosos: Desactivada
Protección contra sitios web maliciosos: Desactivada
Autoprotección: Desactivada
Sistema operativo: Windows 10
Procesador: x64
Sistema de archivos: NTFS
Usuario: conta
Tipo de análisis: Análisis de amenazas
Resultado: Terminado
Objetos analizados: 261292
Tiempo transcurrido: 2 min, 0 s
Memoria: Activada
Inicio: Activado
Sistema de archivos: Activado
Archivos: Activado
Rootkits: Desactivado
Heurística: Activada
PUP: Activado
PUM: Activado
Procesos: 0
(Ningún elemento malicioso detectado)
Módulos: 0
(Ningún elemento malicioso detectado)
Claves del Registro: 0
(Ningún elemento malicioso detectado)
Valores del Registro: 0
(Ningún elemento malicioso detectado)
Datos del Registro: 0
(Ningún elemento malicioso detectado)
Directorios: 0
(Ningún elemento malicioso detectado)
Archivos: 0
(Ningún elemento malicioso detectado)
Sectores físicos: 0
(Ningún elemento malicioso detectado)
(fin)
Malwarebytes Anti-Malware
www.malwarebytes.org
Fecha del análisis: 07/09/2017
Hora del análisis: 14:04
Archivo de registro:
Administrador: Sí
Versión: 2.2.1.1043
Base de datos de programas maliciosos: v2017.09.07.05
Base de datos de rootkits: v2017.08.02.01
Licencia: Gratuita
Protección contra programas maliciosos: Desactivada
Protección contra sitios web maliciosos: Desactivada
Autoprotección: Desactivada
Sistema operativo: Windows 10
Procesador: x64
Sistema de archivos: NTFS
Usuario: conta
Tipo de análisis: Análisis de amenazas
Resultado: Terminado
Objetos analizados: 261292
Tiempo transcurrido: 2 min, 0 s
Memoria: Activada
Inicio: Activado
Sistema de archivos: Activado
Archivos: Activado
Rootkits: Desactivado
Heurística: Activada
PUP: Activado
PUM: Activado
Procesos: 0
(Ningún elemento malicioso detectado)
Módulos: 0
(Ningún elemento malicioso detectado)
Claves del Registro: 0
(Ningún elemento malicioso detectado)
Valores del Registro: 0
(Ningún elemento malicioso detectado)
Datos del Registro: 0
(Ningún elemento malicioso detectado)
Directorios: 0
(Ningún elemento malicioso detectado)
Archivos: 0
(Ningún elemento malicioso detectado)
Sectores físicos: 0
(Ningún elemento malicioso detectado)
(fin)
perfecto, cambia todas tus contraseñas.
Para no volver a caer.
A leer - Programas no deseados / PUPs: Dossier Adwares/PUPs: programas indeseables y parásitos
(Sobre todo activa las detecciones LPIs para detectar programas parásitos y publicitarios)
1) Cómo protegerse de scripts maliciosos en Windows
2) Firewall de Windows: los buenos ajustes
--
Por favor, presione una tecla para continuar con la desinfección...
Para no volver a caer.
A leer - Programas no deseados / PUPs: Dossier Adwares/PUPs: programas indeseables y parásitos
(Sobre todo activa las detecciones LPIs para detectar programas parásitos y publicitarios)
1) Cómo protegerse de scripts maliciosos en Windows
2) Firewall de Windows: los buenos ajustes
--
Por favor, presione una tecla para continuar con la desinfección...
Erratum...esta mañana, al salir del modo de suspensión de Windows, nuevamente un bloqueo de Avast:
http://img110.xooimage.com/files/6/b/9/powershell-53008c5.jpg
http://img110.xooimage.com/files/6/b/9/powershell-53008c5.jpg
Nada dañino visible en los informes.
¿Tienes detecciones sistemáticas o solo una desde la corrección?
Para eliminar algunos restos:
Aquí está la corrección a realizar con FRST. Puedes ayudarte de esta nota explicativa con capturas de pantalla.
Abre el Bloc de notas: Tecla de Windows + R,
En el campo "Ejecutar", escribe notepad y OK.
Copia/pega dentro lo siguiente:
Una vez que el texto esté pegado en el Bloc de notas,
Menú "Archivo" y luego "Guardar como",
A la izquierda, colócate en el Escritorio,
En el campo de abajo, nombre del archivo pon: fixlist.txt
Haz clic en "Guardar", esto creará fixlist.txt en el Escritorio.
Reinicia FRST y haz clic en el botón "Corregir / Fix"
Es posible que sea necesario un reinicio (no obligatorio)
Aparecerá un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.
Reinicia el ordenador.
Por favor, presiona una tecla para continuar con la desinfección...
¿Tienes detecciones sistemáticas o solo una desde la corrección?
Para eliminar algunos restos:
Aquí está la corrección a realizar con FRST. Puedes ayudarte de esta nota explicativa con capturas de pantalla.
Abre el Bloc de notas: Tecla de Windows + R,
En el campo "Ejecutar", escribe notepad y OK.
Copia/pega dentro lo siguiente:
CreateRestorePoint:
RemoveProxy:
Task: {4E5369BA-183B-4F78-8D02-245E8243F246} - \{7A797947-0D0A-7F05-7E11-090B787A117F} -> No hay archivo <==== ATENCIÓN
Task: {93A2A611-8E5A-4B2E-9798-E12FBE7858E2} - \Complete Security 2010 Lite -> No hay archivo <==== ATENCIÓN
Reboot:
Una vez que el texto esté pegado en el Bloc de notas,
Menú "Archivo" y luego "Guardar como",
A la izquierda, colócate en el Escritorio,
En el campo de abajo, nombre del archivo pon: fixlist.txt
Haz clic en "Guardar", esto creará fixlist.txt en el Escritorio.
Reinicia FRST y haz clic en el botón "Corregir / Fix"
Es posible que sea necesario un reinicio (no obligatorio)
Aparecerá un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.
Reinicia el ordenador.
Por favor, presiona una tecla para continuar con la desinfección...