¿Porque ya no me aparece el virus occamy.C?

JavierHF · 6 Marzo, 2020 15:50

Hola, perdona el retraso en contestar.

No te preocupes por Malwarebytes, cuando se termine el periodo de prueba podrás seguir usando el programa para hacer comprobaciones del equipo, lo que YA NO tendrás sera la protección activa del mismo.

Lo primero que tienes que hacer es desinstalar SpyHunter 5 de TU equipo, ese programa NO sirve para NADA.

Bien… y ahora sigue estos pasos, MUY Importante Realiza una copia de seguridad del registro :

Para hacerlo descarga DelFix.exe(en tu escritorio).
Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).
Atención, ahora marca/selecciona únicamente la casilla Create registry backup, las demás casillas NO.
Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Con los demás programas cerrados ve a Inicio Ejecutar y escribe Notepad.exe.

Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.

START
CREATERESTOREPOINT:
CLOSEPROCESSES:
SpyHunter 5 (HKLM-x32\...\SpyHunter5) (Version: 5.8.7.163 - EnigmaSoft Limited)
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [236]
HKLM-x32\...\RunOnce: [EsgInstallerResumeAction_711dcc5a4943a2a4fe93e8fa22a4cd1f] => C:\ProgramData\EsgInstallerResumeAction_711dcc5a4943a2a4fe93e8fa22a4cd1f.exe [6946736 2020-02-28] (EnigmaSoft Limited -> EnigmaSoft Limited)
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-3145500986-3124799838-2804663419-1001\...\Policies\system: [DisableChangePassword] 0
HKU\S-1-5-21-3145500986-3124799838-2804663419-1001\...\Policies\Explorer: [NoLogoff] 0
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\80.0.3987.122\Installer\chrmstp.exe [2020-02-26] (Google LLC -> Google LLC)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{AFE6A462-C574-4B8A-AF43-4CC60DF4563B}] -> C:\Program Files (x86)\BraveSoftware\Brave-Browser\Application\80.1.4.95\Installer\chrmstp.exe [2020-02-25] (Brave Software, Inc.) [Archivo no firmado]
Task: {030064AD-F4E4-40D0-BA1C-EB83FFAC05DD} - \Microsoft\Windows\UNP\RunCampaignManager -> Ningún archivo <==== ATENCIÓN
Task: {0A513A35-526B-4092-BFC0-5112C33EE307} - System32\Tasks\Microsoft\Windows\rempl\shell-usoscan => C:\Program Files\rempl\remsh.exe
S2 AdaptiveSleepService; "C:\Program Files\ATI Technologies\ATI.ACE\A4\AdaptiveSleepService.exe" [X]
S4 LMIRfsClientNP; no ImagePath
S3 EQU8_HELPER_tabg2; \??\C:\WINDOWS\system32\DRIVERS\EQU8_HELPER_tabg2.sys [X]
2020-02-28 15:28 - 2020-02-28 15:28 - 006946736 _____ (EnigmaSoft Limited) C:\ProgramData\EsgInstallerResumeAction_711dcc5a4943a2a4fe93e8fa22a4cd1f.exe
2020-02-28 15:28 - 2020-02-28 15:28 - 000001024 _____ C:\EsgInstallerResumeAction_711dcc5a4943a2a4fe93e8fa22a4cd1f
2020-02-22 11:53 - 2020-02-22 11:53 - 000000000 ____D C:\ProgramData\EnigmaSoft Limited
2020-02-22 11:51 - 2020-02-22 14:08 - 000000000 ____D C:\Program Files\EnigmaSoft
2018-03-24 18:58 - 2018-03-24 18:58 - 000000000 _____ () C:\Users\94395\AppData\Local\{F8DC3841-C2DC-4B8B-8A6D-74EE033E4D73}
HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Guárdalo bajo el nombre de FIXLIST.TXT en el escritorio Esto es muy importante.

Nota Es importante que la herramienta FRST.exe(Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.

Y ahora usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.

Ejecuta FRST.exe.(Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas -Ejecutar como Administrador-).
Presionar el botón FIX/Corregir y aguardar a que termine.
La Herramienta guardara el reporte de reparación en el escritorio (FIXLOG.TXT).

Pegar el contenido de este fichero en tu próxima respuesta.

Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.

Saludos.

MR.PIKLE · 9 Marzo, 2020 23:27

Resultados de la corrección de Farbar Recovery Scan Tool (x64) Versión: 26-02-2020
Ejecutado por 94395 (09-03-2020 16:11:59) Run:1
Ejecutado desde C:\Users\94395\Desktop
Perfiles cargados: 94395 (Perfiles disponibles: defaultuser0 & 94395)
Modo de Inicio: Safe Mode (with Networking)
==============================================

fixlist contenido:
*****************
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
SpyHunter 5 (HKLM-x32\...\SpyHunter5) (Version: 5.8.7.163 - EnigmaSoft Limited)
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [236]
HKLM-x32\...\RunOnce: [EsgInstallerResumeAction_711dcc5a4943a2a4fe93e8fa22a4cd1f] => C:\ProgramData\EsgInstallerResumeAction_711dcc5a4943a2a4fe93e8fa22a4cd1f.exe [6946736 2020-02-28] (EnigmaSoft Limited -> EnigmaSoft Limited)
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-3145500986-3124799838-2804663419-1001\...\Policies\system: [DisableChangePassword] 0
HKU\S-1-5-21-3145500986-3124799838-2804663419-1001\...\Policies\Explorer: [NoLogoff] 0
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\80.0.3987.122\Installer\chrmstp.exe [2020-02-26] (Google LLC -> Google LLC)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{AFE6A462-C574-4B8A-AF43-4CC60DF4563B}] -> C:\Program Files (x86)\BraveSoftware\Brave-Browser\Application\80.1.4.95\Installer\chrmstp.exe [2020-02-25] (Brave Software, Inc.) [Archivo no firmado]
Task: {030064AD-F4E4-40D0-BA1C-EB83FFAC05DD} - \Microsoft\Windows\UNP\RunCampaignManager -> Ningún archivo <==== ATENCIÓN
Task: {0A513A35-526B-4092-BFC0-5112C33EE307} - System32\Tasks\Microsoft\Windows\rempl\shell-usoscan => C:\Program Files\rempl\remsh.exe
S2 AdaptiveSleepService; "C:\Program Files\ATI Technologies\ATI.ACE\A4\AdaptiveSleepService.exe" [X]
S4 LMIRfsClientNP; no ImagePath
S3 EQU8_HELPER_tabg2; \??\C:\WINDOWS\system32\DRIVERS\EQU8_HELPER_tabg2.sys [X]
2020-02-28 15:28 - 2020-02-28 15:28 - 006946736 _____ (EnigmaSoft Limited) C:\ProgramData\EsgInstallerResumeAction_711dcc5a4943a2a4fe93e8fa22a4cd1f.exe
2020-02-28 15:28 - 2020-02-28 15:28 - 000001024 _____ C:\EsgInstallerResumeAction_711dcc5a4943a2a4fe93e8fa22a4cd1f
2020-02-22 11:53 - 2020-02-22 11:53 - 000000000 ____D C:\ProgramData\EnigmaSoft Limited
2020-02-22 11:51 - 2020-02-22 14:08 - 000000000 ____D C:\Program Files\EnigmaSoft
2018-03-24 18:58 - 2018-03-24 18:58 - 000000000 _____ () C:\Users\94395\AppData\Local\{F8DC3841-C2DC-4B8B-8A6D-74EE033E4D73}
HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END
*****************

Error: El punto de restauración solamente puede ser creado en modo normal.
Procesos cerrados correctamente.
SpyHunter 5 (HKLM-x32\...\SpyHunter5) (Version: 5.8.7.163 - EnigmaSoft Limited) => Error: Ninguna corrección automática encontrada para esta entrada.
C:\Users\Public\Shared Files => ":VersionCache" ADS eliminado correctamente
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\\EsgInstallerResumeAction_711dcc5a4943a2a4fe93e8fa22a4cd1f" => no encontrado
"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\EnableShellExecuteHooks" => eliminado correctamente
"HKU\S-1-5-21-3145500986-3124799838-2804663419-1001\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableChangePassword" => eliminado correctamente
"HKU\S-1-5-21-3145500986-3124799838-2804663419-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoLogoff" => eliminado correctamente
HKLM\Software\Microsoft\Active Setup\Installed Components\{8A69D345-D564-463c-AFF1-A69D9E530F96} => eliminado correctamente
HKLM\Software\Microsoft\Active Setup\Installed Components\{AFE6A462-C574-4B8A-AF43-4CC60DF4563B} => eliminado correctamente
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{030064AD-F4E4-40D0-BA1C-EB83FFAC05DD} => no pudo ser eliminado. Acceso Denegado.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{030064AD-F4E4-40D0-BA1C-EB83FFAC05DD} => no pudo ser eliminado. Acceso Denegado.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager" => no encontrado
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0A513A35-526B-4092-BFC0-5112C33EE307} => no pudo ser eliminado. Acceso Denegado.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0A513A35-526B-4092-BFC0-5112C33EE307} => no pudo ser eliminado. Acceso Denegado.
C:\WINDOWS\System32\Tasks\Microsoft\Windows\rempl\shell-usoscan => movido correctamente
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\rempl\shell-usoscan => no pudo ser eliminado. Acceso Denegado.
HKLM\System\CurrentControlSet\Services\AdaptiveSleepService => eliminado correctamente
AdaptiveSleepService => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\LMIRfsClientNP => eliminado correctamente
LMIRfsClientNP => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\EQU8_HELPER_tabg2 => eliminado correctamente
EQU8_HELPER_tabg2 => servicio eliminado correctamente
C:\ProgramData\EsgInstallerResumeAction_711dcc5a4943a2a4fe93e8fa22a4cd1f.exe => movido correctamente
C:\EsgInstallerResumeAction_711dcc5a4943a2a4fe93e8fa22a4cd1f => movido correctamente
C:\ProgramData\EnigmaSoft Limited => movido correctamente
C:\Program Files\EnigmaSoft => movido correctamente
C:\Users\94395\AppData\Local\{F8DC3841-C2DC-4B8B-8A6D-74EE033E4D73} => movido correctamente
C:\Windows\System32\Drivers\etc\hosts => movido correctamente
Hosts restaurado correctamente.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-21-3145500986-3124799838-2804663419-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-3145500986-3124799838-2804663419-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente


========= Final de RemoveProxy: =========


========= netsh winsock reset =========


El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.


========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows

No se puede realizar ninguna operaci¢n en Ethernet mientras los medios
est‚n desconectados.

========= Final de CMD: =========


========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= Final de CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

Unable to connect to BITS - 0x8007043c

========= Final de CMD: =========


========= netsh advfirewall reset =========

Aceptar


========= Final de CMD: =========


========= netsh advfirewall set allprofiles state ON =========

Aceptar


========= Final de CMD: =========


========= netsh int ipv4 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


========= netsh int ipv6 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 472028035 B
Java, Flash, Steam htmlcache => 95983010 B
Windows/system/drivers => 2174678 B
Edge => 38890583 B
Chrome => 543499756 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 6656 B
Users => 6656 B
ProgramData => 6656 B
Public => 6656 B
systemprofile => 6656 B
systemprofile32 => 6656 B
LocalService => 70038 B
NetworkService => 503166 B
defaultuser0 => 510334 B
94395 => 42214433 B

RecycleBin => 0 B
EmptyTemp: => 1.1 GB datos temporales eliminados.

================================

Resultado de los archivos programados para mover (Modo de Inicio: Normal) (Fecha y Hora: 09-03-2020 16:21:17)


Resultado de las claves programadas para eliminar después de reiniciar:

"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{030064AD-F4E4-40D0-BA1C-EB83FFAC05DD}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{030064AD-F4E4-40D0-BA1C-EB83FFAC05DD}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0A513A35-526B-4092-BFC0-5112C33EE307}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0A513A35-526B-4092-BFC0-5112C33EE307}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\rempl\shell-usoscan" => eliminado correctamente

==== Final  Fixlog 16:21:18 ====

JavierHF · 9 Marzo, 2020 23:44

Perfecto.

Te faltaría comentar como sigue tu equipo en relación al problema planteado inicialmente…??

Saludos.

MR.PIKLE · 10 Marzo, 2020 00:04

Esta mejor mas rápido.

pero como se si ya esta eliminado el virus?

JavierHF · 10 Marzo, 2020 00:41

Hola.

Pues que YO sepa YA NO te sale desde que pasaste el primer análisis de Malwarebytes según indicaste :

El resto de pasos/procesos se han realizado para dejar tu equipo completamente limpio y a pleno rendimiento.

Perfecto, y como ya está el problema inicial completamente arreglado, ahora solo queda eliminar las herramientas usadas.

Para hacerlo descarga >> DelFix.exe en tu escritorio.

Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
Marca todas las casillas, y pulsas en Run

Se abrirá el informe (DelFix.txt), puedes cerrarlo.

Para cualquier otro problema, no dudes en volver a postear., ya sabes dónde estamos.

Tema Solucionado.

Saludos, Javier.