TROJANO GRAVE AYUDA PORFAVOR

Cerrado
T3ID3
Novato
Novato
Mensajes: 9
Registrado: 19 Nov 2017, 00:38

TROJANO GRAVE AYUDA PORFAVOR

Mensaje por T3ID3 » 15 Mar 2018, 02:34

Hola, me bajé algo que me instaló unos troyanos o malwares y no paran de abrirse ventanas de la nada. Por favor qué puedo hacer para solucionarlo?Tampoco me deja abrir el windows defender ni ningún programa para quitar los virus. Es decir, abro por ejemplo el adw cleaner o el malwarebytes y no me deja abrirlo. gracias!!

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90657
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 15 Mar 2018, 09:09

Posiblemente se carga el malware al reiniciar en MODO NORMAL.

Prueba de arrancar en MODO SEGURO y lanza los antivirus a ver si lo conocen.

Sino, descarga nuestro SPROCES , tambien en MODO SEGURO y tras lanzarlo y pulsar SALIR, posteanos con un COPIAR Y PEGAR el contenido de C:\infosat.txt y lo analizaremos, a ver si vemos de qué se trata.

Tan pronto nos lo postees, como respuesta a este Tema, lo analizaremos e informaremos.

saludos

ms, 15/3/2018

T3ID3
Novato
Novato
Mensajes: 9
Registrado: 19 Nov 2017, 00:38

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por T3ID3 » 15 Mar 2018, 22:48

Saludos. Muchas gracias por responder. Me he bajado el Sproces de vuestra web y lo he lanzado en modo seguro. Tras hacerlo, me ha generado un archivo en la unidad C llamado SprocLog el cual pone lo siguiente :

(15-3-2018 21:38:05 GMT)
SProces v9.1 (c)2017 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Windows 10 Home (v6.3.16299) (64 bits)
Internet Explorer: (v11.248.16299.0) 0
Equipo: DESKTOP-MNDD2B3
Usuario: Administrador
Sesión de Usuario: Administrador

38 Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WININIT.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\FONTDRVHOST.EXE
C:\WINDOWS\SYSTEM32\FONTDRVHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\DWM.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\MBAMSERVICE.EXE
C:\WINDOWS\SYSTEM32\WMIPRVSE.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SIHOST.EXE
C:\WINDOWS\SYSTEM32\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\SHELLEXPERIENCEHOST.EXE
C:\WINDOWS\SYSTEM32\SEARCHUI.EXE
C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE
C:\WINDOWS\SYSTEM32\DLLHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE
C:\WINDOWS\SYSTEM32\HELPPANE.EXE
C:\WINDOWS\SYSTEM32\APPLICATIONFRAMEHOST.EXE
C:\WINDOWS\SYSTEM32\SMARTSCREEN.EXE
C:\WINDOWS\SYSTEM32\DLLHOST.EXE
C:\WINDOWS\SYSTEM32\WMIPRVSE.EXE
C:\USERS\ADMINISTRADOR\DESKTOP\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Usuario')
R0 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch (User 'Usuario')
R1 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0) (User 'Usuario')
O1 - Hosts: 127.0.0.1 b5
O4 - HKCU\..\Run: [OneDrive] "C:\Users\Administrador\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background (MD5: FBA45A873F7FF120280F4C53E6EA410D)
O4 - HKCU\..\RunOnce: [Application Restart #0] C:\Windows\RTFTrack.exe /RestartByRestartManager:387504AD-6795-4cfb-B376-020A0F1909FF (MD5: A1EB20340EC0AC7481F371C97B681E7F)
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\Run: [GoogleChromeAutoLaunch_CF0D12F859BF15DAB73FDD0B7E1E013D] "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-startup-window /prefetch:5 (User 'Usuario') (MD5: 410E6A1DF0EA9EDEA2E01B1030D300AE)
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (User 'Usuario') (MD5: 19737BEE3770597E9512D8DB9E1C93CE)
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\RunOnce: [Application Restart #0] C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --no-startup-window /prefetch:5 --flag-switches-begin --disable-quic --flag-switches-end --restore-last-session (User 'Usuario') (MD5: 410E6A1DF0EA9EDEA2E01B1030D300AE)
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\RunOnce: [Application Restart #1] C:\Windows\RTFTrack.exe /RestartByRestartManager:C1187EE5-354B-45a9-BE81-EB60C0B7CDB9 (User 'Usuario') (MD5: A1EB20340EC0AC7481F371C97B681E7F)
O4 - HKLM\..\Run: [SecurityHealth] %ProgramFiles%\Windows Defender\MSASCuiL.exe
O4 - HKLM\..\Run: [ForteConfig] "C:\Program Files\Conexant\ForteConfig\fmapp.exe" (MD5: 42361B4BD80768E82B80285851037665)
O4 - HKLM\..\Run: [cAudioFilterAgent] "C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe" (MD5: B58355B1B1C91433B4B119083C7F28B3)
O4 - HKLM\..\Run: [RtsFT] RTFTrack.exe
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" (MD5: 48515EEA1608ECD83FE26C7490460F59)
O4 - HKLM\..\Run: [SmartAudio] "C:\Program Files\CONEXANT\SAII\SACpl.exe" /t (MD5: 4F8B94EC4D4FFA0712CCADF8145F28D1)
O4 - HKLM\..\Run: [AdobeGCInvoker-1.0] "C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe" (MD5: FC53CA749AD9BA4D51192B4694421D55)
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvLaunch.exe" /gui (MD5: 263E9807048AE72598D1A2D1D2D93518)
O4 - HKLM\..\Wow6432Node\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" (MD5: 61E4289E91E88C90478D7F4BEB10DCF7)
O4 - HKLM\..\Wow6432Node\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime (MD5: 271B0D188430670509CB9943D5229205)
O4 - HKLM\..\Wow6432Node\..\Run: [Adobe Creative Cloud] "C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" --showwindow=false --onOSstartup=true (MD5: F5AF8520466AA191D58D03A01349883B)
O4 - HKLM\..\Wow6432Node\..\Run: [DSATray] C:\Program Files (x86)\Intel Driver and Support Assistant\DsaTray.exe (MD5: 14175BF4E313C54A6867337FB2A9E6AA)
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'Servicio Local') (MD5: 450FDD861FD582026BDCE55FCB2162C4)
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'Servicio de red') (MD5: 450FDD861FD582026BDCE55FCB2162C4)
O4 - User Startup: jsjgwdeu.lnk = C:\Windows\System32\cmd.exe /c start "" "C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe" (User 'Usuario')
O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\BONJOUR\MDNSNSP.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics (x86)
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\System32\tbauth.dll (MD5: 086762F17A4CF7E8D9B3272BC4933B66)
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\System32\tbauth.dll (MD5: 086762F17A4CF7E8D9B3272BC4933B66)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)
O21 - SSODL (x86): WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)
O22 - ShellExecuteHooks: - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\WINDOWS\system32\mcicda64.dll (MD5: B1B18CA3B2BF5D315F237BCE9B9B3BC5)

Información Adicional:
----------------------
Acceso Rapido ('Administrador'): Google Chrome.lnk = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (MD5: 410E6A1DF0EA9EDEA2E01B1030D300AE)
Acceso Rapido ('Administrador'): Shows Desktop.lnk =
Acceso Rapido ('Administrador'): Window Switcher.lnk =
Acceso Rapido ('Usuario'): Google Chrome.lnk = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (MD5: 410E6A1DF0EA9EDEA2E01B1030D300AE)
Acceso Rapido ('Usuario'): Shows Desktop.lnk =
Acceso Rapido ('Usuario'): Window Switcher.lnk =
Ext.Google Chrome. ('Administrador') Id: aohghmighlieiainnegkcijnfilokake
Ext.Google Chrome. ('Administrador') Id: apdfllckaahabafndbhieahigkjlhalf
Ext.Google Chrome. ('Administrador') Id: blpcfgokakmgnkcojhhkbfbldkacnbeo
Ext.Google Chrome. ('Administrador') Id: efaidnbmnnnibpcajpcglclefindmkaj
Ext.Google Chrome. ('Administrador') Id: ghbmnnjooekpmoecnnnilnnbdlolhkhi
Ext.Google Chrome. ('Administrador') Id: nmmhkkegccagdldgiimedpiccmgmieda
Ext.Google Chrome. ('Administrador') Id: pjkljhegncpnkpknbcohdijeoejaedia
Ext.Google Chrome. ('Administrador') Id: pkedcjkdefgpdelpbcmbmeomcjbeemfm
Ext.Google Chrome. ('Usuario') Id: aapocclcgogkmnckokdopfmhonfmgoek
Ext.Google Chrome. ('Usuario') Id: aohghmighlieiainnegkcijnfilokake
Ext.Google Chrome. ('Usuario') Id: apdfllckaahabafndbhieahigkjlhalf
Ext.Google Chrome. ('Usuario') Id: blpcfgokakmgnkcojhhkbfbldkacnbeo
Ext.Google Chrome. ('Usuario') Id: efaidnbmnnnibpcajpcglclefindmkaj
Ext.Google Chrome. ('Usuario') Id: felcaaldnbdncclmgdcncolpebgiejap
Ext.Google Chrome. ('Usuario') Id: ghbmnnjooekpmoecnnnilnnbdlolhkhi
Ext.Google Chrome. ('Usuario') Id: gomekmidlodglbbmalcneegieacbdmki
Ext.Google Chrome. ('Usuario') Id: kaicbfmipfpfpjmlbpejaoaflfdnabnc
Ext.Google Chrome. ('Usuario') Id: mjpbijfgaajfmabmfnabchojdlpfnbbi
Ext.Google Chrome. ('Usuario') Id: nmeinlfojlcegblpogpjbhipmonclejh
Ext.Google Chrome. ('Usuario') Id: nmmhkkegccagdldgiimedpiccmgmieda
Ext.Google Chrome. ('Usuario') Id: pjkljhegncpnkpknbcohdijeoejaedia
Ext.Google Chrome. ('Usuario') Id: pkedcjkdefgpdelpbcmbmeomcjbeemfm
Ext.Google Chrome. ('Usuario') Id: Temp
DataBases Google Chrome. ('Administrador'): Databases.db
DataBases Google Chrome. ('Administrador'): Databases.db-journal
DataBases Google Chrome. ('Usuario'): Databases.db
DataBases Google Chrome. ('Usuario'): Databases.db-journal

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (MD5: CA805DA983594B01F3554464B2E5158F)
O23 - Service: AdobeUpdateService - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\Adobe Desktop Common\ElevationManager\AdobeUpdateService.exe (MD5: BA4D7EFDEA4603C52851F2FD872C3AF5)
O23 - Service: Adobe Genuine Software Integrity Service (AGSService) - Adobe Systems, Incorporated - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe (MD5: 58A5D48F16E89575C21C0B14A15D4383)
O23 - Service: aswMonFlt - AVAST Software - C:\WINDOWS\SYSTEM32\drivers\aswMonFlt.sys (MD5: 6B24EFD741C02480A7AFDD68A334EA4F)
O23 - Service: aswStm - AVAST Software - C:\WINDOWS\SYSTEM32\drivers\aswStm.sys (MD5: 95B840B4BEDA5DBCC60D7A5FEF0DAE54)
O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe (MD5: F50343C48BF48271171C9EFAD28B5A56)
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe (MD5: EBBCD5DFBB1DE70E8F4AF8FA59E401FD)
O23 - Service: @C:\WINDOWS\system32\CxAudMsg64.exe,-100 (CxAudMsg) - Conexant Systems Inc. - C:\WINDOWS\system32\CxAudMsg64.exe (MD5: 07F3534C07C5110E9A424C04634C4A8D)
O23 - Service: dahjService - Adobe Systems Incorporated - C:\ProgramData\dahjService\dahjService.exe (MD5: 2560534F7606C62BE760D15391FBB1CF)
O23 - Service: Intel(R) Driver & Support Assistant (DSAService) - Intel - C:\Program Files (x86)\Intel Driver and Support Assistant\DSAService.exe (MD5: 6B07569819ECA5770BAE048EBE982155)
O23 - Service: Energy Server Service queencreek (ESRV_SVC_QUEENCREEK) - Unknown owner - C:\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe (MD5: 8B240FED277E697D5C0CB83E4EB62CC1)
O23 - Service: Elan Service (ETDService) - ELAN Microelectronics Corp. - C:\Program Files\Elantech\ETDService.exe (MD5: 3ACAF81A77CEE0C55CE3A21FEBED608D)
O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (MD5: 2D8BBF6C7241AAD9EDE7708EBB7B43A4)
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService2.0.0.0) - Intel Corporation - C:\WINDOWS\system32\igfxCUIService.exe (MD5: 670F652C0738992BF94E0F2D1CF2DFF7)
**O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - I:\Anti-Malware\mbamservice.exe (MD5: A44B6F7B5F5BF9A73BF84D78876671EE)

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90657
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 16 Mar 2018, 07:33

El informe no está copiado totalmente, falta la mitad ...

Pero ya en lo enviado vemos una clave muy sospechosa:

O4 - User Startup: jsjgwdeu.lnk = C:\Windows\System32\cmd.exe /c start "" "C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe" (User 'Usuario')

Añade .vir a la extensión del fichero que lanza al final, y tras empaquetarlo en un ZIP o RAR con paswird virus, nos lo envias para analizar

Y dinos si este sttirueb.exe lo conoces o ha sido voluntariamente instalado por ti ???

Y tras reiniciar, dinos si se ha solucionado el problema, gracias.

Saludos

ms, 16-3-2018

T3ID3
Novato
Novato
Mensajes: 9
Registrado: 19 Nov 2017, 00:38

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por T3ID3 » 17 Mar 2018, 02:44

Hola, gracias de nuevo por responderme. Tras volver a entrar en modo seguro y lanzar de nuevo el Sproces, me ha generado el archivo correspondiente Sproclog el cual pego a continuación. No pone nada más que lo que pego aquí así que no sé si falta más informe o no pero estoy seguro que uno de los principales problemas es lo que me has comentado:
O4 - User Startup: jsjgwdeu.lnk = C:\Windows\System32\cmd.exe /c start "" "C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe" (User 'Usuario') . De hecho, cuando inicio el ordenador y entro a windows, me sale una pantalla en negro como las de msdos típicas con un mensaje referente al tal "jsjgwdeu". Lo otro que me dijiste, lo del sttirueb.exe no tengo ni idea qué es y seguramente sea algo malicioso también. También se me siguen abriendo páginas webs extrañas y el avast no para de decirme que ha añadido un montón de amenazas al baúl de virus. A continuación pego el informe del Sproces y ya os mandé por correo este mismo archivo al cual le añadí .vir y lo metí en un rar. Gracias!

(17-3-2018 01:28:28 GMT)
SProces v9.1 (c)2017 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Windows 10 Home (v6.3.16299) (64 bits)
Internet Explorer: (v11.248.16299.0) 0
Equipo: DESKTOP-MNDD2B3
Usuario: Administrador
Sesión de Usuario: Usuario

58 Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WININIT.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\FONTDRVHOST.EXE
C:\WINDOWS\SYSTEM32\FONTDRVHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\DWM.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\MBAMSERVICE.EXE
C:\WINDOWS\SYSTEM32\WMIPRVSE.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SIHOST.EXE
C:\WINDOWS\SYSTEM32\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\SHELLEXPERIENCEHOST.EXE
C:\WINDOWS\SYSTEM32\SEARCHUI.EXE
C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE
C:\WINDOWS\SYSTEM32\DLLHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE
C:\WINDOWS\SYSTEM32\HELPPANE.EXE
C:\WINDOWS\SYSTEM32\APPLICATIONFRAMEHOST.EXE
C:\WINDOWS\SYSTEM32\SMARTSCREEN.EXE
C:\WINDOWS\SYSTEM32\DLLHOST.EXE
C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\FONTDRVHOST.EXE
C:\WINDOWS\SYSTEM32\DWM.EXE
C:\WINDOWS\SYSTEM32\SIHOST.EXE
C:\WINDOWS\SYSTEM32\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\DLLHOST.EXE
C:\WINDOWS\SYSTEM32\SHELLEXPERIENCEHOST.EXE
C:\WINDOWS\SYSTEM32\SEARCHUI.EXE
C:\WINDOWS\SYSTEM32\DLLHOST.EXE
C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE
C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE
C:\WINDOWS\SYSTEM32\HELPPANE.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\APPLICATIONFRAMEHOST.EXE
C:\WINDOWS\SYSTEM32\SMARTSCREEN.EXE
C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE
C:\WINDOWS\SYSTEM32\SPEECHRUNTIME.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
I:\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Usuario')
R0 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch (User 'Usuario')
R1 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0) (User 'Usuario')
O1 - Hosts: 127.0.0.1 b5
O4 - HKCU\..\Run: [OneDrive] "C:\Users\Administrador\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background (MD5: FBA45A873F7FF120280F4C53E6EA410D)
O4 - HKCU\..\RunOnce: [Application Restart #0] C:\Windows\HelpPane.exe -Home (MD5: CDC3893777C157B13897B8A9144C1A39)
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\Run: [GoogleChromeAutoLaunch_CF0D12F859BF15DAB73FDD0B7E1E013D] "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-startup-window /prefetch:5 (User 'Usuario') (MD5: 410E6A1DF0EA9EDEA2E01B1030D300AE)
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (User 'Usuario') (MD5: 19737BEE3770597E9512D8DB9E1C93CE)
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\RunOnce: [Application Restart #0] C:\Windows\RTFTrack.exe /RestartByRestartManager:1ACD1BD9-5E49-4aca-9F27-21EE47B9D35C (User 'Usuario') (MD5: A1EB20340EC0AC7481F371C97B681E7F)
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\RunOnce: [Application Restart #1] C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --no-startup-window /prefetch:5 --flag-switches-begin --disable-quic --flag-switches-end --restore-last-session (User 'Usuario') (MD5: 410E6A1DF0EA9EDEA2E01B1030D300AE)
O4 - HKLM\..\Run: [SecurityHealth] %ProgramFiles%\Windows Defender\MSASCuiL.exe
O4 - HKLM\..\Run: [ForteConfig] "C:\Program Files\Conexant\ForteConfig\fmapp.exe" (MD5: 42361B4BD80768E82B80285851037665)
O4 - HKLM\..\Run: [cAudioFilterAgent] "C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe" (MD5: B58355B1B1C91433B4B119083C7F28B3)
O4 - HKLM\..\Run: [RtsFT] RTFTrack.exe
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" (MD5: 48515EEA1608ECD83FE26C7490460F59)
O4 - HKLM\..\Run: [SmartAudio] "C:\Program Files\CONEXANT\SAII\SACpl.exe" /t (MD5: 4F8B94EC4D4FFA0712CCADF8145F28D1)
O4 - HKLM\..\Run: [AdobeGCInvoker-1.0] "C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe" (MD5: FC53CA749AD9BA4D51192B4694421D55)
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvLaunch.exe" /gui (MD5: 263E9807048AE72598D1A2D1D2D93518)
O4 - HKLM\..\Wow6432Node\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" (MD5: 61E4289E91E88C90478D7F4BEB10DCF7)
O4 - HKLM\..\Wow6432Node\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime (MD5: 271B0D188430670509CB9943D5229205)
O4 - HKLM\..\Wow6432Node\..\Run: [Adobe Creative Cloud] "C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" --showwindow=false --onOSstartup=true (MD5: F5AF8520466AA191D58D03A01349883B)
O4 - HKLM\..\Wow6432Node\..\Run: [DSATray] C:\Program Files (x86)\Intel Driver and Support Assistant\DsaTray.exe (MD5: 14175BF4E313C54A6867337FB2A9E6AA)
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'Servicio Local') (MD5: 450FDD861FD582026BDCE55FCB2162C4)
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'Servicio de red') (MD5: 450FDD861FD582026BDCE55FCB2162C4)
O4 - User Startup: jsjgwdeu.lnk = C:\Windows\System32\cmd.exe /c start "" "C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe" (User 'Usuario')
O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\BONJOUR\MDNSNSP.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics (x86)
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\System32\tbauth.dll (MD5: 086762F17A4CF7E8D9B3272BC4933B66)
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\System32\tbauth.dll (MD5: 086762F17A4CF7E8D9B3272BC4933B66)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)
O21 - SSODL (x86): WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)
O22 - ShellExecuteHooks: - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\WINDOWS\system32\mcicda64.dll (MD5: B1B18CA3B2BF5D315F237BCE9B9B3BC5)

Información Adicional:
----------------------
Acceso Rapido ('Administrador'): Google Chrome.lnk = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (MD5: 410E6A1DF0EA9EDEA2E01B1030D300AE)
Acceso Rapido ('Administrador'): Shows Desktop.lnk =
Acceso Rapido ('Administrador'): Window Switcher.lnk =
Acceso Rapido ('Usuario'): Google Chrome.lnk = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (MD5: 410E6A1DF0EA9EDEA2E01B1030D300AE)
Acceso Rapido ('Usuario'): Shows Desktop.lnk =
Acceso Rapido ('Usuario'): Window Switcher.lnk =
Ext.Google Chrome. ('Administrador') Id: aohghmighlieiainnegkcijnfilokake
Ext.Google Chrome. ('Administrador') Id: apdfllckaahabafndbhieahigkjlhalf
Ext.Google Chrome. ('Administrador') Id: blpcfgokakmgnkcojhhkbfbldkacnbeo
Ext.Google Chrome. ('Administrador') Id: efaidnbmnnnibpcajpcglclefindmkaj
Ext.Google Chrome. ('Administrador') Id: ghbmnnjooekpmoecnnnilnnbdlolhkhi
Ext.Google Chrome. ('Administrador') Id: nmmhkkegccagdldgiimedpiccmgmieda
Ext.Google Chrome. ('Administrador') Id: pjkljhegncpnkpknbcohdijeoejaedia
Ext.Google Chrome. ('Administrador') Id: pkedcjkdefgpdelpbcmbmeomcjbeemfm
Ext.Google Chrome. ('Usuario') Id: aapocclcgogkmnckokdopfmhonfmgoek
Ext.Google Chrome. ('Usuario') Id: aohghmighlieiainnegkcijnfilokake
Ext.Google Chrome. ('Usuario') Id: apdfllckaahabafndbhieahigkjlhalf
Ext.Google Chrome. ('Usuario') Id: blpcfgokakmgnkcojhhkbfbldkacnbeo
Ext.Google Chrome. ('Usuario') Id: efaidnbmnnnibpcajpcglclefindmkaj
Ext.Google Chrome. ('Usuario') Id: felcaaldnbdncclmgdcncolpebgiejap
Ext.Google Chrome. ('Usuario') Id: ghbmnnjooekpmoecnnnilnnbdlolhkhi
Ext.Google Chrome. ('Usuario') Id: gomekmidlodglbbmalcneegieacbdmki
Ext.Google Chrome. ('Usuario') Id: kaicbfmipfpfpjmlbpejaoaflfdnabnc
Ext.Google Chrome. ('Usuario') Id: mjpbijfgaajfmabmfnabchojdlpfnbbi
Ext.Google Chrome. ('Usuario') Id: nmeinlfojlcegblpogpjbhipmonclejh
Ext.Google Chrome. ('Usuario') Id: nmmhkkegccagdldgiimedpiccmgmieda
Ext.Google Chrome. ('Usuario') Id: pjkljhegncpnkpknbcohdijeoejaedia
Ext.Google Chrome. ('Usuario') Id: pkedcjkdefgpdelpbcmbmeomcjbeemfm
DataBases Google Chrome. ('Administrador'): Databases.db
DataBases Google Chrome. ('Administrador'): Databases.db-journal
DataBases Google Chrome. ('Usuario'): Databases.db
DataBases Google Chrome. ('Usuario'): Databases.db-journal

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (MD5: CA805DA983594B01F3554464B2E5158F)
O23 - Service: AdobeUpdateService - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\Adobe Desktop Common\ElevationManager\AdobeUpdateService.exe (MD5: BA4D7EFDEA4603C52851F2FD872C3AF5)
O23 - Service: Adobe Genuine Software Integrity Service (AGSService) - Adobe Systems, Incorporated - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe (MD5: 58A5D48F16E89575C21C0B14A15D4383)
O23 - Service: aswMonFlt - AVAST Software - C:\WINDOWS\SYSTEM32\drivers\aswMonFlt.sys (MD5: 6B24EFD741C02480A7AFDD68A334EA4F)
O23 - Service: aswStm - AVAST Software - C:\WINDOWS\SYSTEM32\drivers\aswStm.sys (MD5: 95B840B4BEDA5DBCC60D7A5FEF0DAE54)
O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe (MD5: F50343C48BF48271171C9EFAD28B5A56)
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe (MD5: EBBCD5DFBB1DE70E8F4AF8FA59E401FD)
O23 - Service: @C:\WINDOWS\system32\CxAudMsg64.exe,-100 (CxAudMsg) - Conexant Systems Inc. - C:\WINDOWS\system32\CxAudMsg64.exe (MD5: 07F3534C07C5110E9A424C04634C4A8D)
O23 - Service: dahjService - Adobe Systems Incorporated - C:\ProgramData\dahjService\dahjService.exe (MD5: 2560534F7606C62BE760D15391FBB1CF)
O23 - Service: Intel(R) Driver & Support Assistant (DSAService) - Intel - C:\Program Files (x86)\Intel Driver and Support Assistant\DSAService.exe (MD5: 6B07569819ECA5770BAE048EBE982155)
O23 - Service: Energy Server Service queencreek (ESRV_SVC_QUEENCREEK) - Unknown owner - C:\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe (MD5: 8B240FED277E697D5C0CB83E4EB62CC1)
O23 - Service: Elan Service (ETDService) - ELAN Microelectronics Corp. - C:\Program Files\Elantech\ETDService.exe (MD5: 3ACAF81A77CEE0C55CE3A21FEBED608D)
O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (MD5: 2D8BBF6C7241AAD9EDE7708EBB7B43A4)
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService2.0.0.0) - Intel Corporation - C:\WINDOWS\system32\igfxCUIService.exe (MD5: 670F652C0738992BF94E0F2D1CF2DFF7)
**O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - I:\Anti-Malware\mbamservice.exe (MD5: A44B6F7B5F5BF9A73BF84D78876671EE)

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90657
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 17 Mar 2018, 06:37

Debería ser mas largo, pero vamos a centrarnos en la clave que ya te indiqué:

O4 - User Startup: jsjgwdeu.lnk = C:\Windows\System32\cmd.exe /c start "" "C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe" (User 'Usuario')


Fijate que el link se llama jsjgwdeu.lnk y es el que abre una sesion de DOS, porque lanza el CMD, y desde allí ejecuta el dichoso sttirueb.exe al que ya debes haber añadido .vir a su extensión, y sea lo que sea, el lunes, cuando volvamos al trabajo, lo veremos y analizaremos.

Si vemos que es malicioso, como parece, eliminaremos la clave de marras con el nuevo ELISTARA que hagamos entonces.

Si quieres, pulsando SCAN en el SPROCES (en lugar de SALIR como haces para generar el informe), te aparecerán las claves para modificarlas. Es muy delicado dicho método, por lo cual siempre preferimos implementar la eliminación de dichas claves con nuestra utilidad ELISTARA, pero en este caso,y con mucho cuidado, puedes hacerlo y marcar la arriba indicada, y seleccionar ELIMINAR.

Si lo haces, comentanos el resultado (Tras reiniciar, claro)

En cualquier caso el lunes analizarems el fichero, pues puede ser que lance otras historias que tengamos que eliminar...

saludos

ms, 17-3-2018

T3ID3
Novato
Novato
Mensajes: 9
Registrado: 19 Nov 2017, 00:38

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por T3ID3 » 17 Mar 2018, 20:41

No he entendido muy bien qué archivo tengo que mandaros exactamente. Yo os mandé el Sproclog al cual le puse al final .vir . Es eso lo que tenía que hacer o mandaros el archivo sttirueb.exe al cual le tengo que poner después del .exe el.vir? No soy muy hábil en estos temas así que si me lo puedes especificar mejor cómo lo hago te lo agradezco mucho. De todas formas, estuve buscando ese archivo y no lo encuentro :s . Por otra parte, en cuanto al Sproces, lo que hago es entrar en modo seguro, abrirlo y darle a scan y no hace nada, se me cierra sólo y me genera el informe que pego a continuación. También me he dado cuenta de que, a parte de toda la basura que me entró, tengo un virus llamado xmrig.exe . Ojalá puedan ayudarme a solucionar esto ya que soy un poco torpe. Gracias por todo.

(17-3-2018 19:27:12 GMT)
SProces v9.1 (c)2017 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Windows 10 Home (v6.3.16299) (64 bits)
Internet Explorer: (v11.248.16299.0) 0
Equipo: DESKTOP-MNDD2B3
Usuario: Administrador
Sesión de Usuario: Usuario

40 Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WININIT.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\FONTDRVHOST.EXE
C:\WINDOWS\SYSTEM32\FONTDRVHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\DWM.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SIHOST.EXE
C:\WINDOWS\SYSTEM32\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\SHELLEXPERIENCEHOST.EXE
C:\WINDOWS\SYSTEM32\SEARCHUI.EXE
C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE
C:\WINDOWS\SYSTEM32\DLLHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE
C:\WINDOWS\SYSTEM32\WMIPRVSE.EXE
C:\WINDOWS\SYSTEM32\HELPPANE.EXE
C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE
C:\WINDOWS\SYSTEM32\APPLICATIONFRAMEHOST.EXE
C:\WINDOWS\SYSTEM32\SPEECHRUNTIME.EXE
C:\WINDOWS\SYSTEM32\DLLHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SMARTSCREEN.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\USERS\USUARIO\DESKTOP\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Usuario')
R0 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch (User 'Usuario')
R1 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0) (User 'Usuario')
O1 - Hosts: 127.0.0.1 b5
O4 - HKCU\..\Run: [OneDrive] "C:\Users\Administrador\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background (MD5: FBA45A873F7FF120280F4C53E6EA410D)
O4 - HKCU\..\RunOnce: [Application Restart #0] C:\Windows\HelpPane.exe -Home (MD5: CDC3893777C157B13897B8A9144C1A39)
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (User 'Usuario') (MD5: 19737BEE3770597E9512D8DB9E1C93CE)
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\RunOnce: [Application Restart #1] C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --flag-switches-begin --disable-quic --flag-switches-end --restore-last-session https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D?publisher=APSFBcnmonetize&co=ES&userid=472305fb-65d8-4ad8-ee9f-77a3d81f6f87&searchtype=sc&installDate=14/03/2018&barcodeid=51749003&channelid=3&av=windows (User 'Usuario')
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\RunOnce: [Application Restart #0] C:\Windows\RTFTrack.exe /RestartByRestartManager:F9A16978-CA4E-40cc-A3C3-0E32295A8F57 (User 'Usuario') (MD5: A1EB20340EC0AC7481F371C97B681E7F)
O4 - HKLM\..\Run: [SecurityHealth] %ProgramFiles%\Windows Defender\MSASCuiL.exe
O4 - HKLM\..\Run: [ForteConfig] "C:\Program Files\Conexant\ForteConfig\fmapp.exe" (MD5: 42361B4BD80768E82B80285851037665)
O4 - HKLM\..\Run: [cAudioFilterAgent] "C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe" (MD5: B58355B1B1C91433B4B119083C7F28B3)
O4 - HKLM\..\Run: [RtsFT] RTFTrack.exe
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" (MD5: 48515EEA1608ECD83FE26C7490460F59)
O4 - HKLM\..\Run: [SmartAudio] "C:\Program Files\CONEXANT\SAII\SACpl.exe" /t (MD5: 4F8B94EC4D4FFA0712CCADF8145F28D1)
O4 - HKLM\..\Run: [AdobeGCInvoker-1.0] "C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe" (MD5: FC53CA749AD9BA4D51192B4694421D55)
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvLaunch.exe" /gui (MD5: 263E9807048AE72598D1A2D1D2D93518)
O4 - HKLM\..\Wow6432Node\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" (MD5: 61E4289E91E88C90478D7F4BEB10DCF7)
O4 - HKLM\..\Wow6432Node\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime (MD5: 271B0D188430670509CB9943D5229205)
O4 - HKLM\..\Wow6432Node\..\Run: [Adobe Creative Cloud] "C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" --showwindow=false --onOSstartup=true (MD5: F5AF8520466AA191D58D03A01349883B)
O4 - HKLM\..\Wow6432Node\..\Run: [DSATray] C:\Program Files (x86)\Intel Driver and Support Assistant\DsaTray.exe (MD5: 14175BF4E313C54A6867337FB2A9E6AA)
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'Servicio Local') (MD5: 450FDD861FD582026BDCE55FCB2162C4)
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'Servicio de red') (MD5: 450FDD861FD582026BDCE55FCB2162C4)
O4 - User Startup: jsjgwdeu.lnk = C:\Windows\System32\cmd.exe /c start "" "C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe" (User 'Usuario')
O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\BONJOUR\MDNSNSP.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics (x86)
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\System32\tbauth.dll (MD5: 086762F17A4CF7E8D9B3272BC4933B66)
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\System32\tbauth.dll (MD5: 086762F17A4CF7E8D9B3272BC4933B66)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)
O21 - SSODL (x86): WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)
O22 - ShellExecuteHooks: - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\WINDOWS\system32\mcicda64.dll (MD5: B1B18CA3B2BF5D315F237BCE9B9B3BC5)

Información Adicional:
----------------------
Acceso Rapido ('Administrador'): Google Chrome.lnk = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (MD5: 410E6A1DF0EA9EDEA2E01B1030D300AE)
Acceso Rapido ('Administrador'): Shows Desktop.lnk =
Acceso Rapido ('Administrador'): Window Switcher.lnk =
Acceso Rapido ('Usuario'): Google Chrome.lnk = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (MD5: 410E6A1DF0EA9EDEA2E01B1030D300AE)
Acceso Rapido ('Usuario'): Shows Desktop.lnk =
Acceso Rapido ('Usuario'): Window Switcher.lnk =
Ext.Google Chrome. ('Administrador') Id: aohghmighlieiainnegkcijnfilokake
Ext.Google Chrome. ('Administrador') Id: apdfllckaahabafndbhieahigkjlhalf
Ext.Google Chrome. ('Administrador') Id: blpcfgokakmgnkcojhhkbfbldkacnbeo
Ext.Google Chrome. ('Administrador') Id: efaidnbmnnnibpcajpcglclefindmkaj
Ext.Google Chrome. ('Administrador') Id: ghbmnnjooekpmoecnnnilnnbdlolhkhi
Ext.Google Chrome. ('Administrador') Id: nmmhkkegccagdldgiimedpiccmgmieda
Ext.Google Chrome. ('Administrador') Id: pjkljhegncpnkpknbcohdijeoejaedia
Ext.Google Chrome. ('Administrador') Id: pkedcjkdefgpdelpbcmbmeomcjbeemfm
Ext.Google Chrome. ('Usuario') Id: aapocclcgogkmnckokdopfmhonfmgoek
Ext.Google Chrome. ('Usuario') Id: aohghmighlieiainnegkcijnfilokake
Ext.Google Chrome. ('Usuario') Id: apdfllckaahabafndbhieahigkjlhalf
Ext.Google Chrome. ('Usuario') Id: blpcfgokakmgnkcojhhkbfbldkacnbeo
Ext.Google Chrome. ('Usuario') Id: efaidnbmnnnibpcajpcglclefindmkaj
Ext.Google Chrome. ('Usuario') Id: felcaaldnbdncclmgdcncolpebgiejap
Ext.Google Chrome. ('Usuario') Id: ghbmnnjooekpmoecnnnilnnbdlolhkhi
Ext.Google Chrome. ('Usuario') Id: gomekmidlodglbbmalcneegieacbdmki
Ext.Google Chrome. ('Usuario') Id: mjpbijfgaajfmabmfnabchojdlpfnbbi
Ext.Google Chrome. ('Usuario') Id: nmmhkkegccagdldgiimedpiccmgmieda
Ext.Google Chrome. ('Usuario') Id: pjkljhegncpnkpknbcohdijeoejaedia
Ext.Google Chrome. ('Usuario') Id: pkedcjkdefgpdelpbcmbmeomcjbeemfm
DataBases Google Chrome. ('Administrador'): Databases.db
DataBases Google Chrome. ('Administrador'): Databases.db-journal
DataBases Google Chrome. ('Usuario'): Databases.db
DataBases Google Chrome. ('Usuario'): Databases.db-journal

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (MD5: CA805DA983594B01F3554464B2E5158F)
O23 - Service: AdobeUpdateService - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\Adobe Desktop Common\ElevationManager\AdobeUpdateService.exe (MD5: BA4D7EFDEA4603C52851F2FD872C3AF5)
O23 - Service: Adobe Genuine Software Integrity Service (AGSService) - Adobe Systems, Incorporated - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe (MD5: 58A5D48F16E89575C21C0B14A15D4383)
O23 - Service: aswMonFlt - AVAST Software - C:\WINDOWS\SYSTEM32\drivers\aswMonFlt.sys (MD5: 6B24EFD741C02480A7AFDD68A334EA4F)
O23 - Service: aswStm - AVAST Software - C:\WINDOWS\SYSTEM32\drivers\aswStm.sys (MD5: 95B840B4BEDA5DBCC60D7A5FEF0DAE54)
O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe (MD5: F50343C48BF48271171C9EFAD28B5A56)
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe (MD5: EBBCD5DFBB1DE70E8F4AF8FA59E401FD)
O23 - Service: @C:\WINDOWS\system32\CxAudMsg64.exe,-100 (CxAudMsg) - Conexant Systems Inc. - C:\WINDOWS\system32\CxAudMsg64.exe (MD5: 07F3534C07C5110E9A424C04634C4A8D)
O23 - Service: Intel(R) Driver & Support Assistant (DSAService) - Intel - C:\Program Files (x86)\Intel Driver and Support Assistant\DSAService.exe (MD5: 6B07569819ECA5770BAE048EBE982155)
O23 - Service: Energy Server Service queencreek (ESRV_SVC_QUEENCREEK) - Unknown owner - C:\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe (MD5: 8B240FED277E697D5C0CB83E4EB62CC1)
O23 - Service: Elan Service (ETDService) - ELAN Microelectronics Corp. - C:\Program Files\Elantech\ETDService.exe (MD5: 3ACAF81A77CEE0C55CE3A21FEBED608D)
O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (MD5: 2D8BBF6C7241AAD9EDE7708EBB7B43A4)
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService2.0.0.0) - Intel Corporation - C:\WINDOWS\system32\igfxCUIService.exe (MD5: 670F652C0738992BF94E0F2D1CF2DFF7)
**O23 - Service: Malwarebytes Service (MBAMService) - Unknown owner - I:\Anti-Malware\mbamservice.exe (file missing)

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90657
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 18 Mar 2018, 08:24

No deciamos nada de pulsar SCAN tras ejecutar el SPROCES, solo pulsar SALIR !!!

Y del fichero de marras, deciamos:

"Fijate que el link se llama jsjgwdeu.lnk y es el que abre una sesion de DOS, porque lanza el CMD, y desde allí ejecuta el dichoso sttirueb.exe al que ya debes haber añadido .vir a su extensión, y sea lo que sea, el lunes, cuando volvamos al trabajo, lo veremos y analizaremos."

Creo que está claro que el fichero que necesitamos que nos envies es el sttirueb.exe, y la manera de enviarlo lo indicamos en:

viewtopic.php?f=2&t=45334

Si lo recibimos lo analizaremos y si es malware como pensamos, lo añadiremos al control del ELISTARA, de lo cual informaremos.

saludos

ms, 18-3-2018

T3ID3
Novato
Novato
Mensajes: 9
Registrado: 19 Nov 2017, 00:38

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por T3ID3 » 19 Mar 2018, 05:35

El problema es que no encuentro el archivo sttirueb.exe o no sé cómo buscarlo bien. Pongo ese link (C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe) en el buscador de direcciones y me lleva hasta la carpeta jsjgwdeu el cual debería de contener el sttirueb. exe pero no está y cuando enciendo el ordenador, siempre me aparece el mensaje que adjunto en la imagen. [ external image ]
. Por otro lado, pensé que al escribirme esto "Si quieres, pulsando SCAN en el SPROCES (en lugar de SALIR como haces para generar el informe), te aparecerán las claves para modificarlas." debía de darle a SCAN que era justamente lo que venía haciendo hasta ahora pero al decirme en el último mensaje que no era así y que le diese a SALIR, he hecho eso. He entrado en modo seguro, he ejecutado el Sproces y le he dado a salir y a continuación adjunto el informe generado. Si me puedes explicar cómo encontrar el archivo que me pides, te lo envío lo más rápido que pueda. Muchas gracias por tu ayuda. Tengo el ordenador lleno de virus y malwares y estoy un poco nervioso.

(19-3-2018 04:17:01 GMT)
SProces v9.1 (c)2017 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Windows 10 Home (v6.3.16299) (64 bits)
Internet Explorer: (v11.248.16299.0) 0
Equipo: DESKTOP-MNDD2B3
Usuario: Administrador
Sesión de Usuario: Administrador

35 Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WININIT.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\FONTDRVHOST.EXE
C:\WINDOWS\SYSTEM32\FONTDRVHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\DWM.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SIHOST.EXE
C:\WINDOWS\SYSTEM32\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\SHELLEXPERIENCEHOST.EXE
C:\WINDOWS\SYSTEM32\SEARCHUI.EXE
C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE
C:\WINDOWS\SYSTEM32\DLLHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE
C:\WINDOWS\SYSTEM32\HELPPANE.EXE
C:\WINDOWS\SYSTEM32\WMIPRVSE.EXE
C:\WINDOWS\SYSTEM32\APPLICATIONFRAMEHOST.EXE
C:\WINDOWS\SYSTEM32\SMARTSCREEN.EXE
C:\USERS\ADMINISTRADOR\DESKTOP\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Usuario')
R0 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch (User 'Usuario')
R1 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0) (User 'Usuario')
O1 - Hosts: 127.0.0.1 b5
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
...
O4 - HKCU\..\Run: [OneDrive] "C:\Users\Administrador\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background (MD5: FBA45A873F7FF120280F4C53E6EA410D)
O4 - HKCU\..\RunOnce: [Application Restart #0] C:\Windows\RTFTrack.exe /RestartByRestartManager:F5D43D99-7743-44a8-AE57-5BB982DC7E33 (MD5: A1EB20340EC0AC7481F371C97B681E7F)
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (User 'Usuario') (MD5: 19737BEE3770597E9512D8DB9E1C93CE)
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\RunOnce: [Application Restart #0] C:\Windows\RTFTrack.exe /RestartByRestartManager:D9C4D235-4C38-4116-A347-CCC4D212BC90 (User 'Usuario') (MD5: A1EB20340EC0AC7481F371C97B681E7F)
O4 - HKUS\S-1-5-21-1629116729-2250721750-492143299-1001\..\RunOnce: [Application Restart #1] C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --flag-switches-begin --disable-quic --flag-switches-end --restore-last-session (User 'Usuario') (MD5: 410E6A1DF0EA9EDEA2E01B1030D300AE)
O4 - HKLM\..\Run: [SecurityHealth] %ProgramFiles%\Windows Defender\MSASCuiL.exe
O4 - HKLM\..\Run: [ForteConfig] "C:\Program Files\Conexant\ForteConfig\fmapp.exe" (MD5: 42361B4BD80768E82B80285851037665)
O4 - HKLM\..\Run: [cAudioFilterAgent] "C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe" (MD5: B58355B1B1C91433B4B119083C7F28B3)
O4 - HKLM\..\Run: [RtsFT] RTFTrack.exe
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" (MD5: 48515EEA1608ECD83FE26C7490460F59)
O4 - HKLM\..\Run: [SmartAudio] "C:\Program Files\CONEXANT\SAII\SACpl.exe" /t (MD5: 4F8B94EC4D4FFA0712CCADF8145F28D1)
O4 - HKLM\..\Run: [AdobeGCInvoker-1.0] "C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe" (MD5: FC53CA749AD9BA4D51192B4694421D55)
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvLaunch.exe" /gui (MD5: 263E9807048AE72598D1A2D1D2D93518)
O4 - HKLM\..\Wow6432Node\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" (MD5: 61E4289E91E88C90478D7F4BEB10DCF7)
O4 - HKLM\..\Wow6432Node\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime (MD5: 271B0D188430670509CB9943D5229205)
O4 - HKLM\..\Wow6432Node\..\Run: [Adobe Creative Cloud] "C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" --showwindow=false --onOSstartup=true (MD5: F5AF8520466AA191D58D03A01349883B)
O4 - HKLM\..\Wow6432Node\..\Run: [DSATray] C:\Program Files (x86)\Intel Driver and Support Assistant\DsaTray.exe (MD5: 14175BF4E313C54A6867337FB2A9E6AA)
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'Servicio Local') (MD5: 450FDD861FD582026BDCE55FCB2162C4)
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'Servicio de red') (MD5: 450FDD861FD582026BDCE55FCB2162C4)
O4 - User Startup: jsjgwdeu.lnk = C:\Windows\System32\cmd.exe /c start "" "C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe" (User 'Usuario')
O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\BONJOUR\MDNSNSP.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics (x86)
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\System32\tbauth.dll (MD5: 086762F17A4CF7E8D9B3272BC4933B66)
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\System32\tbauth.dll (MD5: 086762F17A4CF7E8D9B3272BC4933B66)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)
O21 - SSODL (x86): WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)
O22 - ShellExecuteHooks: - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\WINDOWS\system32\mcicda64.dll (MD5: B1B18CA3B2BF5D315F237BCE9B9B3BC5)

Información Adicional:
----------------------
Acceso Rapido ('Administrador'): Google Chrome.lnk = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (MD5: 410E6A1DF0EA9EDEA2E01B1030D300AE)
Acceso Rapido ('Administrador'): Shows Desktop.lnk =
Acceso Rapido ('Administrador'): Window Switcher.lnk =
Acceso Rapido ('Usuario'): Google Chrome.lnk = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (MD5: 410E6A1DF0EA9EDEA2E01B1030D300AE)
Acceso Rapido ('Usuario'): Shows Desktop.lnk =
Acceso Rapido ('Usuario'): Window Switcher.lnk =
Ext.Google Chrome. ('Administrador') Id: aohghmighlieiainnegkcijnfilokake
Ext.Google Chrome. ('Administrador') Id: apdfllckaahabafndbhieahigkjlhalf
Ext.Google Chrome. ('Administrador') Id: blpcfgokakmgnkcojhhkbfbldkacnbeo
Ext.Google Chrome. ('Administrador') Id: efaidnbmnnnibpcajpcglclefindmkaj
Ext.Google Chrome. ('Administrador') Id: ghbmnnjooekpmoecnnnilnnbdlolhkhi
Ext.Google Chrome. ('Administrador') Id: gomekmidlodglbbmalcneegieacbdmki
Ext.Google Chrome. ('Administrador') Id: nmmhkkegccagdldgiimedpiccmgmieda
Ext.Google Chrome. ('Administrador') Id: pjkljhegncpnkpknbcohdijeoejaedia
Ext.Google Chrome. ('Administrador') Id: pkedcjkdefgpdelpbcmbmeomcjbeemfm
Ext.Google Chrome. ('Usuario') Id: aapocclcgogkmnckokdopfmhonfmgoek
Ext.Google Chrome. ('Usuario') Id: aohghmighlieiainnegkcijnfilokake
Ext.Google Chrome. ('Usuario') Id: apdfllckaahabafndbhieahigkjlhalf
Ext.Google Chrome. ('Usuario') Id: blpcfgokakmgnkcojhhkbfbldkacnbeo
Ext.Google Chrome. ('Usuario') Id: efaidnbmnnnibpcajpcglclefindmkaj
Ext.Google Chrome. ('Usuario') Id: felcaaldnbdncclmgdcncolpebgiejap
Ext.Google Chrome. ('Usuario') Id: ghbmnnjooekpmoecnnnilnnbdlolhkhi
Ext.Google Chrome. ('Usuario') Id: gomekmidlodglbbmalcneegieacbdmki
Ext.Google Chrome. ('Usuario') Id: mjpbijfgaajfmabmfnabchojdlpfnbbi
Ext.Google Chrome. ('Usuario') Id: nmmhkkegccagdldgiimedpiccmgmieda
Ext.Google Chrome. ('Usuario') Id: pjkljhegncpnkpknbcohdijeoejaedia
Ext.Google Chrome. ('Usuario') Id: pkedcjkdefgpdelpbcmbmeomcjbeemfm
DataBases Google Chrome. ('Administrador'): Databases.db
DataBases Google Chrome. ('Administrador'): Databases.db-journal
DataBases Google Chrome. ('Usuario'): Databases.db
DataBases Google Chrome. ('Usuario'): Databases.db-journal

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (MD5: CA805DA983594B01F3554464B2E5158F)
O23 - Service: AdobeUpdateService - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\Adobe Desktop Common\ElevationManager\AdobeUpdateService.exe (MD5: BA4D7EFDEA4603C52851F2FD872C3AF5)
O23 - Service: Adobe Genuine Software Integrity Service (AGSService) - Adobe Systems, Incorporated - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe (MD5: 58A5D48F16E89575C21C0B14A15D4383)
O23 - Service: aswMonFlt - AVAST Software - C:\WINDOWS\SYSTEM32\drivers\aswMonFlt.sys (MD5: 6B24EFD741C02480A7AFDD68A334EA4F)
O23 - Service: aswStm - AVAST Software - C:\WINDOWS\SYSTEM32\drivers\aswStm.sys (MD5: 95B840B4BEDA5DBCC60D7A5FEF0DAE54)
O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe (MD5: F50343C48BF48271171C9EFAD28B5A56)
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe (MD5: EBBCD5DFBB1DE70E8F4AF8FA59E401FD)
O23 - Service: @C:\WINDOWS\system32\CxAudMsg64.exe,-100 (CxAudMsg) - Conexant Systems Inc. - C:\WINDOWS\system32\CxAudMsg64.exe (MD5: 07F3534C07C5110E9A424C04634C4A8D)
O23 - Service: Intel(R) Driver & Support Assistant (DSAService) - Intel - C:\Program Files (x86)\Intel Driver and Support Assistant\DSAService.exe (MD5: 6B07569819ECA5770BAE048EBE982155)
O23 - Service: Energy Server Service queencreek (ESRV_SVC_QUEENCREEK) - Unknown owner - C:\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe (MD5: 8B240FED277E697D5C0CB83E4EB62CC1)
O23 - Service: Elan Service (ETDService) - ELAN Microelectronics Corp. - C:\Program Files\Elantech\ETDService.exe (MD5: 3ACAF81A77CEE0C55CE3A21FEBED608D)
O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (MD5: 2D8BBF6C7241AAD9EDE7708EBB7B43A4)
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService2.0.0.0) - Intel Corporation - C:\WINDOWS\system32\igfxCUIService.exe (MD5: 670F652C0738992BF94E0F2D1CF2DFF7)

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90657
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 19 Mar 2018, 07:39

Pues si no encuentra el fichero, pulsa SCAN en el SPROCES y selecciona la clave donde carga el fichero en cuestión , y le das a ELIMINAR.

Si hiciera falta, se podría restaurar la clave con la copia de seguridad que hace el SPROCES de las claves eliminadas

Tras ello, reinicia y cuentanos el resultado

Saludos

ms, 19-3-2018

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90657
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 19 Mar 2018, 07:39

Pues si no encuentra el fichero, pulsa SCAN en el SPROCES y selecciona la clave donde carga el fichero en cuestión , y le das a ELIMINAR.

O4 - User Startup: jsjgwdeu.lnk = C:\Windows\System32\cmd.exe /c start "" "C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe" (User 'Usuario')

Si hiciera falta, se podría restaurar la clave con la copia de seguridad que hace el SPROCES de las claves eliminadas

Tras ello, reinicia y cuentanos el resultado

Saludos

ms, 19-3-2018

T3ID3
Novato
Novato
Mensajes: 9
Registrado: 19 Nov 2017, 00:38

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por T3ID3 » 19 Mar 2018, 07:55

El problema es que se me cierra el Sproces cuando le doy a SCAN y no me aparece nada. Se me cierra y me genera el Sproclog en la unidad C y no hace nada más. :(

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90657
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 19 Mar 2018, 11:01

Acabo de ejecutarlo bajo Windows 10 de mi equipo y en menos de 1 minuto me ha ofrecido un listado de claves y debajo tres pestañas, Restaurar, Eliminar y Salir, asi que si en tu equipo no va, pudiera ser por el dichoso fichero"sttirueb.exe" que el mismo SPROCES indica que se lanza desde:

C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe

Vuelve a mirar si lo encuentras, y si es asi y nos lo envias, lo analizaremos para ver lo que es y controlarlo en lo posible.

Por si fuera que estuviera oculto, recuerda que debes ir a Explorador de Archivos, Vista y alli seleccionar Elementos ocultos (Dentro de Marcar u Ocultar)

Suerte !

saludos

ms, 19-3-2018

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90657
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 19 Mar 2018, 12:12

Y segun http://greatis.com/blog/howto/remove-mc ... orever.htm
tambien visto que esta DLL podría ser parte de un BiTCOINMINER, aunque no siempre , pero envianosla para analizar:

O22 - ShellExecuteHooks: - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\WINDOWS\system32\mcicda64.dll

A su recepción , la analizaremos e informaremos

saludos

ms, 19-3-2018

T3ID3
Novato
Novato
Mensajes: 9
Registrado: 19 Nov 2017, 00:38

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por T3ID3 » 20 Mar 2018, 04:16

Al final ya lo he solucionado por medio de otras vías. Muchas gracias por vuestra ayuda igualmente. Saludos.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90657
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 20 Mar 2018, 06:57

Buen está lo que bien acaba !

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo

Saludos

ms, 20-3-2018

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”