• Registrarse
  • Iniciar sesión


  • Página 2 de 3 PrimeroPrimero 123 ÚltimoÚltimo
    Resultados 11 al 20 de 24

    Infectado con Adware.Elex.ShrtCln

    Hola. Aquí te dejo los reportes: HITMANPRO Código: HitmanPro 3.7.20.286 www.hitmanpro.com Computer name . . . . : JOSI-W1N10 Windows . . . . . . . : 10.0.0.15063.X64/4 User name . . . . ...

    1. #11
      Usuario Avatar de KEnSuKE
      Registrado
      ene 2006
      Ubicación
      España
      Mensajes
      72

      Re: Infectado con Adware.Elex.ShrtCln

      Hola.

      Aquí te dejo los reportes:

      HITMANPRO

      Código:
      HitmanPro 3.7.20.286
      www.hitmanpro.com
      
         Computer name . . . . : JOSI-W1N10
         Windows . . . . . . . : 10.0.0.15063.X64/4
         User name . . . . . . : JOSI-W1N10\JoSi-Win10
         UAC . . . . . . . . . : Enabled
         License . . . . . . . : Trial (31 days left)
      
         Scan date . . . . . . : 2017-11-21 18:37:33
         Scan mode . . . . . . : Normal
         Scan duration . . . . : 9m 24s
         Disk access mode  . . : Direct disk access (SRB)
         Cloud . . . . . . . . : Internet
         Reboot  . . . . . . . : No
      
         Threats . . . . . . . : 3
         Traces  . . . . . . . : 8
      
         Objects scanned . . . : 1.994.994
         Files scanned . . . . : 30.241
         Remnants scanned  . . : 644.552 files / 1.320.201 keys
      
      Malware _____________________________________________________________________
      
         C:\Program Files\KMSpico\AutoPico.exe
            Size . . . . . . . : 745.664 bytes
            Age  . . . . . . . : 584.9 days (2016-04-15 20:47:51)
            Entropy  . . . . . : 6.3
            SHA-256  . . . . . : 4A714D98CE40F5F3577C306A66CB4A6B1FF3FD01047C7F4581F8558F0BCDF5FA
            Needs elevation  . : Yes
            Product  . . . . . : AutoPico
            Publisher  . . . . : @ByELDI
            Description  . . . : AutoPico
            Version  . . . . . : 16.1.0.0
            RSA Key Size . . . : 1024
            LanguageID . . . . : 0
            Authenticode . . . : Valid
          > Kaspersky  . . . . : not-a-virus:RiskTool.Win32.ProcPatcher.aat
          > HitmanPro  . . . . : App/KMSActiv-A
            Fuzzy  . . . . . . : 93.0
            Startup
               C:\WINDOWS\system32\Tasks\AutoPico Daily Restart
      
         C:\Program Files\KMSpico\Service_KMS.exe
            Size . . . . . . . : 745.664 bytes
            Age  . . . . . . . : 584.9 days (2016-04-15 20:47:52)
            Entropy  . . . . . : 6.3
            SHA-256  . . . . . : 2B533757086499E224D5717F94A0F4C33E705398A7610219D82B9D3BC8763378
            Needs elevation  . : Yes
            Product  . . . . . : Service_KMS
            Publisher  . . . . : @ByELDI
            Description  . . . : Service_KMS
            Version  . . . . . : 17.1.0.0
            RSA Key Size . . . : 1024
            Service  . . . . . : Service KMSELDI
            LanguageID . . . . : 0
            Authenticode . . . : Valid
            Running processes  : 1332
          > Bitdefender  . . . : Application.GenericKD.6035511
          > Kaspersky  . . . . : not-a-virus:RiskTool.Win32.ProcPatcher.aat
          > HitmanPro  . . . . : App/KMSActiv-A
            Fuzzy  . . . . . . : 90.0
            Startup
               HKLM\SYSTEM\CurrentControlSet\Services\Service KMSELDI\
      
         C:\WINDOWS\SECOH-QAD.dll -> Quarantined
            Size . . . . . . . : 3.584 bytes
            Age  . . . . . . . : 584.9 days (2016-04-15 20:48:14)
            Entropy  . . . . . : 3.2
            SHA-256  . . . . . : 0398221231CFF97E1FDC03D357AC4610AFB8F3CDDE4C90A9EC4D7823B405699E
          > Kaspersky  . . . . : not-a-virus:NetTool.Win64.RPCHook.a
            Fuzzy  . . . . . . : 108.0
      
      
      Suspicious files ____________________________________________________________
      
         C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Desktop\FRST64.exe
            Size . . . . . . . : 2.391.552 bytes
            Age  . . . . . . . : 1.8 days (2017-11-19 22:16:52)
            Entropy  . . . . . : 7.6
            SHA-256  . . . . . : 888A791EFFF6E8E325ADA12671AE5A1D4F3EBEAD3B573161700BECF695167F86
            Needs elevation  . : Yes
            Fuzzy  . . . . . . : 24.0
               Program has no publisher information but prompts the user for permission elevation.
               Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
               Authors name is missing in version info. This is not common to most programs.
               Version control is missing. This file is probably created by an individual. This is not typical for most programs.
               Time indicates that the file appeared recently on this computer.
      
      
      Cookies _____________________________________________________________________
      
         C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
      ESET ONLINE

      19:03:24 # product=EOS
      # version=8
      # flags=0
      # ESETOnlineScanner_ESL.exe=2.0.19.0
      # EOSSerial=552e4221f1438e4784c3188d8c9bbd48
      # end=init
      # utc_time=2017-11-21 18:03:23
      # local_time=2017-11-21 19:03:23 (+0100, Hora estándar romance)
      # country="Spain"
      # osver=10.0.15063 NT
      19:04:59 Updating
      19:04:59 Update Init
      19:05:00 Update Download
      19:06:17 esets_scanner_reload returned 0
      19:06:17 g_uiModuleBuild: 35475
      19:06:17 Update Finalize
      19:06:17 Call m_esets_charon_send
      19:06:18 Call m_esets_charon_destroy
      19:06:18 Updated modules version: 35475
      19:06:28 Call m_esets_charon_setup_create
      19:06:28 Call m_esets_charon_create
      19:06:28 m_esets_charon_create OK
      19:06:28 Call m_esets_charon_start_send_thread
      19:06:28 Call m_esets_charon_setup_set
      19:06:28 m_esets_charon_setup_set OK
      19:06:28 Scanner engine: 35475
      22:42:58 # product=EOS
      # version=8
      # flags=0
      # ESETOnlineScanner_ESL.exe=2.0.19.0
      # EOSSerial=552e4221f1438e4784c3188d8c9bbd48
      # engine=35475
      # end=finished
      # remove_checked=true
      # archives_checked=true
      # unwanted_checked=false
      # unsafe_checked=true
      # antistealth_checked=true
      # sfx_checked=true
      # utc_time=2017-11-21 21:42:57
      # local_time=2017-11-21 22:42:57 (+0100, Hora estándar romance)
      # country="Spain"
      # lang=13322
      # osver=10.0.15063 NT
      # compatibility_mode_1=''
      # compatibility_mode=5893 16776573 100 94 16256 21433573 0 0
      # scanned=2
      # found=26
      # cleaned=26
      # scan_time=12998
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="una variante de MSIL/HackTool.IdleKMS.E aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\$WINDOWS.~BT\NewOS\Program Files\KMSpico\AutoPico.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="MSIL/HackTool.IdleKMS.I aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\$WINDOWS.~BT\NewOS\Program Files\KMSpico\KMSELDI.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="una variante de MSIL/HackTool.IdleKMS.E aplicación potencialmente no segura (desinfectado por eliminación (tras el próximo reinicio))" ac=C fn="C:\$WINDOWS.~BT\NewOS\Program Files\KMSpico\Service_KMS.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win64/HackKMS.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\$WINDOWS.~BT\NewOS\Windows\SECOH-QAD.dll"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win64/HackKMS.C aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\$WINDOWS.~BT\NewOS\Windows\SECOH-QAD.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="una variante de MSIL/HackTool.IdleKMS.E aplicación potencialmente no segura (desinfectado por eliminación (tras el próximo reinicio))" ac=C fn="C:\Program Files\KMSpico\Service_KMS.Vexe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Documents\Mis Descargas de FileHippo\ccsetup524.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Documents\Mis Descargas de FileHippo\ccsetup525.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Documents\Mis Descargas de FileHippo\ccsetup526.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Documents\Mis Descargas de FileHippo\ccsetup529.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Documents\Mis Descargas de FileHippo\ccsetup530.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Documents\Mis Descargas de FileHippo\ccsetup532.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Documents\Mis Descargas de FileHippo\rcsetup153.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Downloads\ccsetup534 (1).exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Downloads\ccsetup534 (2).exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Downloads\ccsetup534.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Downloads\ccsetup536.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Downloads\ccsetup537.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Downloads\dfsetup220.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Downloads\rcsetup152.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="varias amenazas,JS/Adware.Spigot.A aplicación,JS/Adware.Spigot.D aplicación (desinfectado por eliminación)" ac=C fn="F:\Documents and Settings\Kensuke\Configuración local\Temp\SearchProtectionSetup.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="una variante de Win32/Bundled.Toolbar.Ask.F aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="F:\Documents and Settings\Kensuke\Datos de programa\Sun\Java\jre1.7.0_45\java_sp.dll"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="una variante de Win32/Bundled.Toolbar.Ask.F aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="F:\Documents and Settings\Kensuke\Datos de programa\Sun\Java\jre1.7.0_51\java_sp.dll"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="F:\Documents and Settings\Kensuke\Escritorio\ccsetup411.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="F:\Documents and Settings\Kensuke\Mis documentos\Descargas\ccsetup404.exe"
      sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/OpenCandy aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="F:\Documents and Settings\Kensuke\Mis documentos\Descargas\PDFCreator-1_7_1_setup.exe"
      22:43:28 Call m_esets_charon_send
      22:43:28 Call m_esets_charon_destroy


      Según Malwarebytes después de esto, la cosa persiste:

      Malwarebytes
      www.malwarebytes.com

      -Detalles del registro-
      Fecha del análisis: 21/11/17
      Hora del análisis: 22:56
      Archivo de registro: d3a6a670-cf06-11e7-ab54-305a3a45b55a.json
      Administrador: Sí

      -Información del software-
      Versión: 3.3.1.2183
      Versión de los componentes: 1.0.236
      Versión del paquete de actualización: 1.0.3315
      Licencia: Gratis

      -Información del sistema-
      SO: Windows 10 (Build 15063.726)
      CPU: x64
      Sistema de archivos: NTFS
      Usuario: JOSI-W1N10\JoSi-Win10

      -Resumen del análisis-
      Tipo de análisis: Análisis de amenazas
      Resultado: Completado
      Objetos analizados: 435984
      Amenazas detectadas: 2
      Amenazas en cuarentena: 0
      (No hay elementos maliciosos detectados)
      Tiempo transcurrido: 14 min, 26 seg

      -Opciones de análisis-
      Memoria: Activado
      Inicio: Activado
      Sistema de archivos: Activado
      Archivo: Activado
      Rootkits: Activado
      Heurística: Activado
      PUP: Detectar
      PUM: Detectar

      -Detalles del análisis-
      Proceso: 0
      (No hay elementos maliciosos detectados)

      Módulo: 0
      (No hay elementos maliciosos detectados)

      Clave del registro: 0
      (No hay elementos maliciosos detectados)

      Valor del registro: 0
      (No hay elementos maliciosos detectados)

      Datos del registro: 0
      (No hay elementos maliciosos detectados)

      Secuencia de datos: 0
      (No hay elementos maliciosos detectados)

      Carpeta: 0
      (No hay elementos maliciosos detectados)

      Archivo: 2
      Adware.Elex.ShrtCln, C:\USERS\JOSI-WIN10.DESKTOP-CG8R3CA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sin acciones por parte del usuario, [2306], [454748],1.0.3315
      Adware.Elex.ShrtCln, C:\USERS\JOSI-WIN10.DESKTOP-CG8R3CA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sin acciones por parte del usuario, [2306], [454748],1.0.3315

      Sector físico: 0
      (No hay elementos maliciosos detectados)


      (end)

      Saludos y gracias por la paciencia.

    2. #12
      Moderadora Gral.
      Avatar de @Daniela
      Registrado
      abr 2011
      Ubicación
      España
      Mensajes
      24.351

      Re: Infectado con Adware.Elex.ShrtCln

      Hola

      Sigue estos pasos, MUY Importante ~ Realiza una copia de seguridad del registro :

      • Para hacerlo descarga >> DelFix en tu escritorio.
        • Doble clic para ejecutarlo.(Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.")
        • Marca unicamente la casilla "Create registry backup".
      • Pulsar en Run.

        Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.


      A continuación inicia tu equipo desde el >> Modo Seguro de Windows con función de red.

      Si tu SO es Windows 8/8.1/10 usa el 2º MÉTODO: de esta Faq de Windows 8 (aplicable a Windows 10) >> ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.


      Con los demás programas cerrados ve a >> Inicio >> Ejecutar >> y escribe notepad.exe.

      Ahora copia y pega estos archivos dentro del Notepad: (Se excluye la palabra código)

      Código:
      Start
      CreateRestorePoint:
      CloseProcesses:
      
      CHR Profile: C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\AppData\Local\Google\Chrome\User Data\Default [2017-11-19] 
      
      CMD: ipconfig /flushdns
      CMD: ipconfig /renew
      CMD: bitsadmin /reset /allusers
      RemoveProxy:
      EmptyTemp:
      Hosts:
      end
      • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

      Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

      ATENCION!!!! El siguiente Script de reparación fue hecho específicamente por un miembro del staff para este usuario, si tiene un problema similar por favor abra su propio tema para recibir ayuda personalizada. Usar Scripts de otros usuarios puede causar daños a su equipo

      • Ejecutas Frst.exe.
      • Presionas el botón Fix y aguardas a que termine.
      • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
      • Lo pegas en tu próxima respuesta.


      Pon el reporte y comenta como sigue el problema.

      Un saludo
      ✿◕‿◕✿ La impaciencia no es buena compañía ✿◕‿◕✿

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #13
      Usuario Avatar de KEnSuKE
      Registrado
      ene 2006
      Ubicación
      España
      Mensajes
      72

      Re: Infectado con Adware.Elex.ShrtCln

      Hola!
      Te pego el reporte de FRST:

      Fix result of Farbar Recovery Scan Tool (x64) Version: 22-11-2017
      Ran by JoSi-Win10 (22-11-2017 19:18:46) Run:2
      Running from C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Desktop
      Loaded Profiles: JoSi-Win10 (Available Profiles: JoSi-Win10)
      Boot Mode: Safe Mode (with Networking)
      ==============================================

      fixlist content:
      *****************
      Start
      CreateRestorePoint:
      CloseProcesses:

      CHR Profile: C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\AppData\Local\Google\Chrome\User Data\Default [2017-11-19]

      CMD: ipconfig /flushdns
      CMD: ipconfig /renew
      CMD: bitsadmin /reset /allusers
      RemoveProxy:
      EmptyTemp:
      Hosts:
      end
      *****************

      Error: Restore point can only be created in normal mode.
      Processes closed successfully.
      C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\AppData\Local\Google\Chrome\User Data\Default => moved successfully

      ========= ipconfig /flushdns =========


      Configuraci¢n IP de Windows

      Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

      ========= End of CMD: =========


      ========= ipconfig /renew =========


      Configuraci¢n IP de Windows


      Adaptador de Ethernet Ethernet:

      Sufijo DNS espec¡fico para la conexi¢n. . :
      V¡nculo: direcci¢n IPv6 local. . . : fe80::29f8:1668:93e5:f2bb%11
      Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.0.10
      MÂ*scara de subred . . . . . . . . . . . . : 255.255.255.0
      Puerta de enlace predeterminada . . . . . : 192.168.0.1

      ========= End of CMD: =========


      ========= bitsadmin /reset /allusers =========


      BITSADMIN version 3.0
      BITS administration utility.
      (C) Copyright 2000-2006 Microsoft Corp.

      BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
      Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

      Unable to connect to BITS - 0x8007043c
      El servicio no puede iniciarse en modo a prueba de errores

      ========= End of CMD: =========


      ========= RemoveProxy: =========

      HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
      HKU\S-1-5-21-1977722032-1609589620-2362224290-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
      HKU\S-1-5-21-1977722032-1609589620-2362224290-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully


      ========= End of RemoveProxy: =========

      C:\Windows\System32\Drivers\etc\hosts => moved successfully
      Hosts restored successfully.

      =========== EmptyTemp: ==========

      BITS transfer queue => 7888896 B
      DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 9638697 B
      Java, Flash, Steam htmlcache => 0 B
      Windows/system/drivers => 29360 B
      Edge => 0 B
      Chrome => 0 B
      Firefox => 26067396 B
      Opera => 0 B

      Temp, IE cache, history, cookies, recent:
      Default => 0 B
      Users => 0 B
      ProgramData => 0 B
      Public => 0 B
      systemprofile => 128 B
      systemprofile32 => 128 B
      LocalService => 0 B
      NetworkService => 7074 B
      JoSi-Win10.DESKTOP-CG8R3CA => 4649404 B

      RecycleBin => 0 B
      EmptyTemp: => 46 MB temporary data Removed.

      ================================


      The system needed a reboot.

      ==== End of Fixlog 19:18:57 ====

      Malwarebytes lo sigue detectando:

      Malwarebytes
      www.malwarebytes.com

      -Detalles del registro-
      Fecha del análisis: 22/11/17
      Hora del análisis: 19:31
      Archivo de registro: 69786fba-cfb3-11e7-a2ac-305a3a45b55a.json
      Administrador: Sí

      -Información del software-
      Versión: 3.3.1.2183
      Versión de los componentes: 1.0.236
      Versión del paquete de actualización: 1.0.3323
      Licencia: Gratis

      -Información del sistema-
      SO: Windows 10 (Build 15063.726)
      CPU: x64
      Sistema de archivos: NTFS
      Usuario: JOSI-W1N10\JoSi-Win10

      -Resumen del análisis-
      Tipo de análisis: Análisis de amenazas
      Resultado: Completado
      Objetos analizados: 436120
      Amenazas detectadas: 2
      Amenazas en cuarentena: 2
      Tiempo transcurrido: 11 min, 18 seg

      -Opciones de análisis-
      Memoria: Activado
      Inicio: Activado
      Sistema de archivos: Activado
      Archivo: Activado
      Rootkits: Activado
      Heurística: Activado
      PUP: Detectar
      PUM: Detectar

      -Detalles del análisis-
      Proceso: 0
      (No hay elementos maliciosos detectados)

      Módulo: 0
      (No hay elementos maliciosos detectados)

      Clave del registro: 0
      (No hay elementos maliciosos detectados)

      Valor del registro: 0
      (No hay elementos maliciosos detectados)

      Datos del registro: 0
      (No hay elementos maliciosos detectados)

      Secuencia de datos: 0
      (No hay elementos maliciosos detectados)

      Carpeta: 0
      (No hay elementos maliciosos detectados)

      Archivo: 2
      Adware.Elex.ShrtCln, C:\USERS\JOSI-WIN10.DESKTOP-CG8R3CA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [2306], [454748],1.0.3323
      Adware.Elex.ShrtCln, C:\USERS\JOSI-WIN10.DESKTOP-CG8R3CA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [2306], [454748],1.0.3323

      Sector físico: 0
      (No hay elementos maliciosos detectados)


      (end)

      Estaré fuera a partir de mañana hasta el próximo lunes.

      No podré continuar tus instrucciones hasta entonces.

      Gracias por tu trabajo y comprensión.

    4. #14
      Moderadora Gral.
      Avatar de @Daniela
      Registrado
      abr 2011
      Ubicación
      España
      Mensajes
      24.351

      Re: Infectado con Adware.Elex.ShrtCln

      Hola

      No te preocupes, cuando puedas lo realizas

      Resetear Google Chrome

      Nos comentas como sigue.

      Un saludo
      ✿◕‿◕✿ La impaciencia no es buena compañía ✿◕‿◕✿

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #15
      Usuario Avatar de KEnSuKE
      Registrado
      ene 2006
      Ubicación
      España
      Mensajes
      72

      Re: Infectado con Adware.Elex.ShrtCln

      Hola!
      Ya de vuelta.
      He reseteado Google Chrome como ponía en el tutorial, pero todo sigue igual...

      Malwarebytes
      www.malwarebytes.com

      -Detalles del registro-
      Fecha del análisis: 28/11/17
      Hora del análisis: 19:02
      Archivo de registro: 4a68ff9c-d466-11e7-aea7-305a3a45b55a.json
      Administrador: Sí

      -Información del software-
      Versión: 3.3.1.2183
      Versión de los componentes: 1.0.236
      Versión del paquete de actualización: 1.0.3366
      Licencia: Gratis

      -Información del sistema-
      SO: Windows 10 (Build 16299.64)
      CPU: x64
      Sistema de archivos: NTFS
      Usuario: JOSI-W1N10\JoSi-Win10

      -Resumen del análisis-
      Tipo de análisis: Análisis de amenazas
      Resultado: Completado
      Objetos analizados: 426515
      Amenazas detectadas: 2
      Amenazas en cuarentena: 2
      Tiempo transcurrido: 13 min, 34 seg

      -Opciones de análisis-
      Memoria: Activado
      Inicio: Activado
      Sistema de archivos: Activado
      Archivo: Activado
      Rootkits: Activado
      Heurística: Activado
      PUP: Detectar
      PUM: Detectar

      -Detalles del análisis-
      Proceso: 0
      (No hay elementos maliciosos detectados)

      Módulo: 0
      (No hay elementos maliciosos detectados)

      Clave del registro: 0
      (No hay elementos maliciosos detectados)

      Valor del registro: 0
      (No hay elementos maliciosos detectados)

      Datos del registro: 0
      (No hay elementos maliciosos detectados)

      Secuencia de datos: 0
      (No hay elementos maliciosos detectados)

      Carpeta: 0
      (No hay elementos maliciosos detectados)

      Archivo: 2
      Adware.Elex.ShrtCln, C:\USERS\JOSI-WIN10.DESKTOP-CG8R3CA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [2305], [454748],1.0.3366
      Adware.Elex.ShrtCln, C:\USERS\JOSI-WIN10.DESKTOP-CG8R3CA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [2305], [454748],1.0.3366

      Sector físico: 0
      (No hay elementos maliciosos detectados)


      (end)

      Saludos.

    6. #16
      Moderadora Gral.
      Avatar de @Daniela
      Registrado
      abr 2011
      Ubicación
      España
      Mensajes
      24.351

      Re: Infectado con Adware.Elex.ShrtCln

      Hola

      Sigue estos pasos, MUY Importante ~ Realiza una copia de seguridad del registro :

      • Para hacerlo descarga >> DelFix en tu escritorio.
        • Doble clic para ejecutarlo.(Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.")
        • Marca unicamente la casilla "Create registry backup".
      • Pulsar en Run.

        Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.


      A continuación inicia tu equipo desde el >> Modo Seguro de Windows con función de red.

      Si tu SO es Windows 8/8.1/10 usa el 2º MÉTODO: de esta Faq de Windows 8 (aplicable a Windows 10) >> ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.


      Con los demás programas cerrados ve a >> Inicio >> Ejecutar >> y escribe notepad.exe.

      Ahora copia y pega estos archivos dentro del Notepad: (Se excluye la palabra código)

      Código:
      Start
      CreateRestorePoint:
      CloseProcesses:
      
      C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\appdata\Local\Google\Chrome
      
      CMD: ipconfig /flushdns
      CMD: ipconfig /renew
      CMD: bitsadmin /reset /allusers
      RemoveProxy:
      EmptyTemp:
      Hosts:
      end
      • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

      Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.




      • Ejecutas Frst.exe.
      • Presionas el botón Fix y aguardas a que termine.
      • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
      • Lo pegas en tu próxima respuesta.


      Pon el reporte y comenta como sigue el problema.

      Un saludo
      ✿◕‿◕✿ La impaciencia no es buena compañía ✿◕‿◕✿

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #17
      Usuario Avatar de KEnSuKE
      Registrado
      ene 2006
      Ubicación
      España
      Mensajes
      72

      Re: Infectado con Adware.Elex.ShrtCln

      Hola!

      Te pongo el reporte de Frst:

      Fix result of Farbar Recovery Scan Tool (x64) Version: 29-11-2017
      Ran by JoSi-Win10 (29-11-2017 18:53:50) Run:3
      Running from C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\Desktop
      Loaded Profiles: JoSi-Win10 (Available Profiles: JoSi-Win10)
      Boot Mode: Safe Mode (with Networking)
      ==============================================

      fixlist content:
      *****************
      Start
      CreateRestorePoint:
      CloseProcesses:

      C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\appdata\Local\Google\Chrome

      CMD: ipconfig /flushdns
      CMD: ipconfig /renew
      CMD: bitsadmin /reset /allusers
      RemoveProxy:
      EmptyTemp:
      Hosts:
      end
      *****************

      Error: Restore point can only be created in normal mode.
      Processes closed successfully.
      C:\Users\JoSi-Win10.DESKTOP-CG8R3CA\appdata\Local\Google\Chrome => moved successfully

      ========= ipconfig /flushdns =========


      Configuraci¢n IP de Windows

      Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

      ========= End of CMD: =========


      ========= ipconfig /renew =========


      Configuraci¢n IP de Windows


      Adaptador de Ethernet Ethernet:

      Sufijo DNS espec¡fico para la conexi¢n. . :
      V¡nculo: direcci¢n IPv6 local. . . : fe80::29f8:1668:93e5:f2bb%11
      Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.0.10
      MÂ*scara de subred . . . . . . . . . . . . : 255.255.255.0
      Puerta de enlace predeterminada . . . . . : 192.168.0.1

      ========= End of CMD: =========


      ========= bitsadmin /reset /allusers =========


      BITSADMIN version 3.0
      BITS administration utility.
      (C) Copyright 2000-2006 Microsoft Corp.

      BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
      Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

      Unable to connect to BITS - 0x8007043c
      El servicio no puede iniciarse en modo a prueba de errores

      ========= End of CMD: =========


      ========= RemoveProxy: =========

      HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
      HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
      HKU\S-1-5-21-1977722032-1609589620-2362224290-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
      HKU\S-1-5-21-1977722032-1609589620-2362224290-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully


      ========= End of RemoveProxy: =========

      C:\Windows\System32\Drivers\etc\hosts => moved successfully
      Hosts restored successfully.

      =========== EmptyTemp: ==========

      BITS transfer queue => 6053888 B
      DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 6390054 B
      Java, Flash, Steam htmlcache => 0 B
      Windows/system/drivers => 15436184 B
      Edge => 566361 B
      Chrome => 0 B
      Firefox => 37836561 B
      Opera => 0 B

      Temp, IE cache, history, cookies, recent:
      Default => 6656 B
      Users => 0 B
      ProgramData => 0 B
      Public => 0 B
      systemprofile => 0 B
      systemprofile32 => 0 B
      LocalService => 0 B
      NetworkService => 10068 B
      JoSi-Win10.DESKTOP-CG8R3CA => 17149080 B

      RecycleBin => 0 B
      EmptyTemp: => 79.6 MB temporary data Removed.

      ================================


      The system needed a reboot.

      ==== End of Fixlog 18:54:04 ====

      Malwarebytes sigue detectando los archivos.

      Malwarebytes
      www.malwarebytes.com

      -Detalles del registro-
      Fecha del análisis: 29/11/17
      Hora del análisis: 19:14
      Archivo de registro: 1fd5e698-d531-11e7-8ad3-305a3a45b55a.json
      Administrador: Sí

      -Información del software-
      Versión: 3.3.1.2183
      Versión de los componentes: 1.0.236
      Versión del paquete de actualización: 1.0.3374
      Licencia: Gratis

      -Información del sistema-
      SO: Windows 10 (Build 16299.64)
      CPU: x64
      Sistema de archivos: NTFS
      Usuario: JOSI-W1N10\JoSi-Win10

      -Resumen del análisis-
      Tipo de análisis: Análisis de amenazas
      Resultado: Completado
      Objetos analizados: 426280
      Amenazas detectadas: 2
      Amenazas en cuarentena: 2
      Tiempo transcurrido: 13 min, 16 seg

      -Opciones de análisis-
      Memoria: Activado
      Inicio: Activado
      Sistema de archivos: Activado
      Archivo: Activado
      Rootkits: Activado
      Heurística: Activado
      PUP: Detectar
      PUM: Detectar

      -Detalles del análisis-
      Proceso: 0
      (No hay elementos maliciosos detectados)

      Módulo: 0
      (No hay elementos maliciosos detectados)

      Clave del registro: 0
      (No hay elementos maliciosos detectados)

      Valor del registro: 0
      (No hay elementos maliciosos detectados)

      Datos del registro: 0
      (No hay elementos maliciosos detectados)

      Secuencia de datos: 0
      (No hay elementos maliciosos detectados)

      Carpeta: 0
      (No hay elementos maliciosos detectados)

      Archivo: 2
      Adware.Elex.ShrtCln, C:\USERS\JOSI-WIN10.DESKTOP-CG8R3CA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [2305], [454748],1.0.3374
      Adware.Elex.ShrtCln, C:\USERS\JOSI-WIN10.DESKTOP-CG8R3CA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [2305], [454748],1.0.3374

      Sector físico: 0
      (No hay elementos maliciosos detectados)


      (end)

      Saludos!

    8. #18
      Moderadora Gral.
      Avatar de @Daniela
      Registrado
      abr 2011
      Ubicación
      España
      Mensajes
      24.351

      Re: Infectado con Adware.Elex.ShrtCln

      Hola

      Descarga Google Chrome pero no lo instales todavía.

      Guarda los marcadores de Google Chrome ¿Cómo exportar e importar marcadores en Google Chrome?

      Desinstala Google Chrome con Revo Uninstaller en modo avanzado.

      • Ejecuta Ccleaner en la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine > clic en ejecutar limpiador
      • clic en la pestaña Registro > clic en buscar problemas esperas que termine > clic en Reparar Seleccionadas y haces una copia de seguridad
      • Vuelves a darle clic en buscar problemas hasta que no encuentre ninguno.


      Reinicia el equipo.

      Realiza un análisis con Malwarebytes antes de volver a instalar Chrome.

      Instala Google Chrome.

      Comenta como sigue.

      Un saludo
      ✿◕‿◕✿ La impaciencia no es buena compañía ✿◕‿◕✿

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    9. #19
      Usuario Avatar de KEnSuKE
      Registrado
      ene 2006
      Ubicación
      España
      Mensajes
      72

      Re: Infectado con Adware.Elex.ShrtCln

      Hola!

      Creo que tenemos algún avance.
      Después de desinstalar Google Chrome con Revo y limpiar con Ccleaner he pasado el Antimalwarebytes y todo limpio:

      Malwarebytes
      www.malwarebytes.com

      -Detalles del registro-
      Fecha del análisis: 1/12/17
      Hora del análisis: 19:46
      Archivo de registro: fbc674d2-d6c7-11e7-ab34-305a3a45b55a.json
      Administrador: Sí

      -Información del software-
      Versión: 3.3.1.2183
      Versión de los componentes: 1.0.236
      Versión del paquete de actualización: 1.0.3391
      Licencia: Gratis

      -Información del sistema-
      SO: Windows 10 (Build 16299.64)
      CPU: x64
      Sistema de archivos: NTFS
      Usuario: JOSI-W1N10\JoSi-Win10

      -Resumen del análisis-
      Tipo de análisis: Análisis de amenazas
      Resultado: Completado
      Objetos analizados: 323596
      Amenazas detectadas: 0
      (No hay elementos maliciosos detectados)
      Amenazas en cuarentena: 0
      (No hay elementos maliciosos detectados)
      Tiempo transcurrido: 13 min, 21 seg

      -Opciones de análisis-
      Memoria: Activado
      Inicio: Activado
      Sistema de archivos: Activado
      Archivo: Activado
      Rootkits: Activado
      Heurística: Activado
      PUP: Detectar
      PUM: Detectar

      -Detalles del análisis-
      Proceso: 0
      (No hay elementos maliciosos detectados)

      Módulo: 0
      (No hay elementos maliciosos detectados)

      Clave del registro: 0
      (No hay elementos maliciosos detectados)

      Valor del registro: 0
      (No hay elementos maliciosos detectados)

      Datos del registro: 0
      (No hay elementos maliciosos detectados)

      Secuencia de datos: 0
      (No hay elementos maliciosos detectados)

      Carpeta: 0
      (No hay elementos maliciosos detectados)

      Archivo: 0
      (No hay elementos maliciosos detectados)

      Sector físico: 0
      (No hay elementos maliciosos detectados)


      (end)

      Una vez instalado de nuevo Google Chrome e importado los marcadores... voilé! aquí tenemos de vuelta a los 2 archivos infectados:

      Malwarebytes
      www.malwarebytes.com

      -Detalles del registro-
      Fecha del análisis: 1/12/17
      Hora del análisis: 20:15
      Archivo de registro: f29261b0-d6cb-11e7-8639-305a3a45b55a.json
      Administrador: Sí

      -Información del software-
      Versión: 3.3.1.2183
      Versión de los componentes: 1.0.236
      Versión del paquete de actualización: 1.0.3391
      Licencia: Gratis

      -Información del sistema-
      SO: Windows 10 (Build 16299.64)
      CPU: x64
      Sistema de archivos: NTFS
      Usuario: JOSI-W1N10\JoSi-Win10

      -Resumen del análisis-
      Tipo de análisis: Análisis de amenazas
      Resultado: Completado
      Objetos analizados: 323804
      Amenazas detectadas: 2
      Amenazas en cuarentena: 2
      Tiempo transcurrido: 17 min, 6 seg

      -Opciones de análisis-
      Memoria: Activado
      Inicio: Activado
      Sistema de archivos: Activado
      Archivo: Activado
      Rootkits: Activado
      Heurística: Activado
      PUP: Detectar
      PUM: Detectar

      -Detalles del análisis-
      Proceso: 0
      (No hay elementos maliciosos detectados)

      Módulo: 0
      (No hay elementos maliciosos detectados)

      Clave del registro: 0
      (No hay elementos maliciosos detectados)

      Valor del registro: 0
      (No hay elementos maliciosos detectados)

      Datos del registro: 0
      (No hay elementos maliciosos detectados)

      Secuencia de datos: 0
      (No hay elementos maliciosos detectados)

      Carpeta: 0
      (No hay elementos maliciosos detectados)

      Archivo: 2
      Adware.Elex.ShrtCln, C:\USERS\JOSI-WIN10.DESKTOP-CG8R3CA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [2096], [454748],1.0.3391
      Adware.Elex.ShrtCln, C:\USERS\JOSI-WIN10.DESKTOP-CG8R3CA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [2096], [454748],1.0.3391

      Sector físico: 0
      (No hay elementos maliciosos detectados)


      (end)

      Saludos y gracias!

    10. #20
      Moderadora Gral.
      Avatar de @Daniela
      Registrado
      abr 2011
      Ubicación
      España
      Mensajes
      24.351

      Re: Infectado con Adware.Elex.ShrtCln

      Hola

      Tienes algún usuario sincronizado en Chrome?

      Hiciste los pasos de exportación/importación con las indicaciones que te di o los hiciste con la sincronización?

      Hiciste la instalación limpia o aceptaste la opción de recuperarla como antes de desinstalar?

      Un saludo
      ✿◕‿◕✿ La impaciencia no es buena compañía ✿◕‿◕✿

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.