¿VIRUS? publicidad emergente repentina!

Por cierto ya he eliminado todo cn revo, y he adquirido la licencia, previamente a pasar el FRST y el USBFix, se acabó jjeeje, para hacerlo todo más seguro :smiley:

Hola @Marr0n

Perdona que te pregunte por aquí, pero me compré 2 memorias ram nuevas para el trabajo, y las quiero analizar puesto que me han salido más pantallones azules jugando desde su instalación, he pasado una vez el memtest incluído en WIndows pero es muy corto y simple, no ha detectado nada. La primera vez que me compré 2 hará un año una estaba mal y este no me las detectaba, creo que fue el memtest84 quien lo hizo, detectó que una estaba corrupta y la tuve que devolver.

Ya sé que no es el tema pero como me dijiste de no descargar nada es para que me digas si es seguro o no, o qué puedo hacer para analizarlas sin salir de los esquemas!

Si no me equivoco es este:

Gracias.

K.

Hola, buenas @SABOCEKIK

De nada.

OK. Perfecto. :+1:

Sí, lo suyo seria pasar memtest para verificarlas, pero de una forma muy concreta que te diré. Cuando acabemos (no falta mucho de este tema). Abres un nuevo tema en HardWare me citas con el @Marr0n y yo te indico.

:one: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKLM-x32\...\RunOnce: [] => [X]
Policies: C:\ProgramData\NTUSER.pol: Restricción <==== ATENCIÓN
2021-03-28 03:30 - 2020-06-11 14:57 - 000008192 ___SH C:\DumpStack.log.tmp
2021-03-15 18:27 - 2020-10-23 19:56 - 000000000 ____D C:\Users\kikec\AppData\Roaming\uTorrent
FirewallRules: [{A6452B86-2AE0-4286-9CE8-9140517E9E17}] => (Allow) C:\Users\kikec\AppData\Roaming\Zoom\bin\airhost.exe => Ningún archivo
FirewallRules: [{1C2EF1A1-59D4-4DC7-836C-15C680DB1AC2}] => (Allow) C:\Users\kikec\AppData\Roaming\Zoom\bin\airhost.exe => Ningún archivo
Folder: C:\JUEGOS
VirusTotal: C:\Users\kikec\Downloads\00.EDIT TEMPLATES.rar

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

Salu2.

1 me gusta

Fixlog.txt (942,3 KB)

Hola @Marr0n ,

Te adjunto el reporte en 2 partes: Era gigante, me Lo había divido en 3 y aún así me decía qu epasaba de muchísimo el máximo permitido! Lo he saparado en 2 con los nombres “FIXLOG” y “FIXLOG2”.

Me han salido más pantallas azules (diferentes encima) y ahora me va realmente lento el pc. Escribiendote esto solo tengo Chrome abierto y escribo con retardo de medio segundo aprox.

Gracias.

Aquí el otro:

FIXLOG2.txt (888,7 KB)

Abrazo.

Hola @SABOCEKIK

OK. Sí. Me lo imaginaba que sería tan largo.

Sube este archivo: 00.EDIT TEMPLATES.rar a VirusTotal como ya sabes y me traes el enlace.

Realizas un análisis con Dr Web CureIt siguiendo las instrucciones de su manual perfectamente explicadas. Eso sí, descarga Dr web Cure It de: Download Dr.Web CureIt! free of charge

Ok. No tendría que ser así con lo que hemos hecho. De todas formas dime que decían/ponía en esas pantallas azules. Para ello, haces lo que se indica en este manual:

Me pones/traes los reportes en texto de dichas pantallas azules.

Salu2.

1 me gusta

Buenas @Marr0n

No cabe en VirusTotal (tamaño máximo 650MB). El archivo es una carpeta para el trabajo, de organización de material. Lo he descargado hará menos de una semana y me lo ha pasado un compañero de trabajo que lleva 1 mes trabajando. Contiene carpetas vacías, alguna fuente, un proyecto de Adobe Premiere Pro, algunos PDF informativos para sobre X temas del trabajo a realizar… poco más… :open_mouth:

Luego te lo hago, no sé si tardará mucho pero voy a hacerlo algo más tarde por si a caso.

Al igual que lo de las pantallas azules. Hice fotos (luego te paso implícitamente lo que me pdies). Nombro por fotos:

IRQL_NOT_LESS_OR_EQUAL SYSTEM SERVICE EXCEPTION (failed: win32kbase.sys) SYSTEM SERVICE EXCEPTION SYSTEM SERVICE EXCEPTION (failed: dxgkrnl.sys)

Este último que creo que es algo del kernel me es familiar de hace tiempo cuándo tenía más Bluescreens…

Por cierto qué debería hacer si descargo algún archivo para comprobarlo? Pasarlo siempre por VirusTotal? Si como en este caso no cabe… ¿?

Abrazo.

K

Hola @SABOCEKIK

OK :+1: entonces no hace falta subirlo por todo lo que cuentas.

OK. Depende de toda la info que tengas… y cosas varias, pero seguro que 1 H 30 min tarda…

OK. De todas formas tendrás que abrir un tema aparte para que alguien te ayude con esas pantallas azules (puesto que este tema era de infecciones). De todas formas… cuanto me traigas este log de Dr Web haremos algunas cosas a nivel de sistema operativo que podrían solucionar alguna de esas pantallas azules NO HACE falta que pongas el resto de cosas que te he pedido de las pantallas azules… pues ya abrirás el tema concreto.

Pues depende del archivo… pero si puede ser pasarlo por VirusTotal o servicios similares, que la fuente de donde viene el archivo sea de confianza, descargar solo de sitios oficiales, tener un buen antivirus y activada la protección en tiempo real, si es el caso (sitio/lugar que descargas el FILE) comprobar que el hash del archivo descargado y el que te da el sitio que lo has descargado son iguales y un largo etc…

Lee esto de lo del hash que digo >> Verificar MD5, SHA-1 y SHA-256 Checksum en Windows 10 - Solvetic

Salu2.

1 me gusta

Buenas @Marr0n

No me caben los reportes, son demasiado grande y se satura hasta la pagina… Alguna idea??

Hola, buenas @SABOCEKIK primero de todo disculpa que haya tardado en responder. Llevo días muy ajetreados y complicados…

Entiendo que te refieres al log de Dr web Cure It bine, eso es porque estás intentando poner todo el log entero de este.

¿Seguiste el manual de este e hiciste esto exactamente? Lo de la imagen:

Pues debe de estar en Mínimo, ya que en caso contrario tendrás problemas para publicarlo en tu siguiente respuesta debido a su longitud. De todas formas también nos aportaría información inútil, con el mínimo sería más que suficiente.

Aparte, solo debes de poner la parte del informe (todo y siendo Mínimo) que dice Start Curing y desde allí hasta abajo. Como puedes ver en la imagen:

Respondes a las preguntas que te haya hecho y traes lo solicitado.

Salu2.

1 me gusta

Si lo puse en mínimo, aún así era inmenso… :frowning:

por supuesto.

Me costó bastante encontrar el log y cuando lo encontré ya no volvi al manual para ver qué hacer con el…fallo mio, perdona :’(

Aquí va:

-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------

C:\Program Files (x86)\UsbFix\UsbFix.exe - quarantined, reboot required
C:\Program Files (x86)\UsbFix\Un-UsbFix.exe - quarantined
C:\Users\kikec\Desktop\UsbFix_2020.exe - quarantined

Total 1060005654781 bytes in 753227 files scanned (838218 objects)
Total 753240 files (825936 objects) are clean
Total 3 files (4 objects) are infected
Total 3 files are neutralized
Total 182 files (12272 objects) are raised error condition
Scan time is 07:56:08.214

Un abrazo. Y muchas gracias de nuevo por tu paciencia, la verdad desbordo. Justo empecé ahora a trabajar y se me junto todo jajajaj he llegado a pensar de comprarme otro pc y mira que este es nuevo, no ha hecho más que darme dolores de cabeza desde que lo compré…

Hola @SABOCEKIK

Sí, ok es normal aún siendo en mínimo es superextenso por eso lo decía.

:+1:

Ok. No pasa nada.

Respecto a Dr Web >> son falsos positivos, ya que es el Usbfix que utilizamos en su momento. Todo y que por lo que veo dice:

Total 182 files (12272 objects) are raised error condition

Así que en todo el reporte que es super extenso, busca en alguna parte que diga: Total 182 files (12272 objects) are raised error condition o bien Total 182 files are raised error condition o algo aprecido y tendrían que acabar con la palabra read error.

Pues traes toda esa parte donde aparezcan los 182 archivos (será así o algo parecido en cuanto a los mensajes que indico).

:+1: no pasa nada.

Bueno cosas que pasan… pero por suerte casi todas estas cosas se pueden arreglar de una u otra forma.

Salu2.

1 me gusta

Buenas!

No he podido encontrar ninguna sección con todos los disc errors, al menos de momento jajajaja sigo scrolleando porque hay una cantidad de texto increíble.

Vale 2 he visto de las carpetas de “temp files” de Media Encoder y Premiere Pro, programas de edición.

Aunque acabo de encontrar estos!!!

C:\DumpStack.log.tmp - read error
C:\hiberfil.sys - read error
C:\pagefile.sys - read error
C:\swapfile.sys - read error

Me da que estos ya son otra cosa jejeje, sigo buscando y te voy a ir poniendo por bloques, pero creo que estos son bastante relevantes.

Abrazo.

Ok.

Estos que has puesto son de cosas varias del sistema no están infectados.

OK.

Por todo lo que dices y lo que me has enseñado no creo que haya nada sospechoso. Así que si puedes encontrar el resto, bien, de todas formas ponlo. Si llevas un rato buscando y no encuentras/aparecen más. Con lo que hemos hecho ya es más que suficiente para determinar que la máquina ya no está infectada y podríamos proseguir al paso de estabilización/reparación del sistema.

Ya me cuentas y si no saltamos a lo otro.

Salu2.

1 me gusta

Buenas, te adjunto alguno más que he encontrado, están algo liados con buenos, pero si te contase como he tenido que buscarlos… (no tengo word y se me ha ocurrido meterlos en un doc de drive, la cosa es que mucho texto peta la pagina entonces he tenido que ponerlo al 1 e ir pegando trozos de reportes, para usar el buscador ahi y ver donde estaban los erorres).

Ahí van máquina:

C:\Users\kikec\AppData\Local\Temp\com.adobe.dynamiclinkmanager15.0 - read error
C:\WINDOWS\system32\config\systemprofile\AppData\LoC:\WINDOWS\system32\config\BBI - read error
C:\WINDOWS\system32\bg-BG\quickassist.exe.mui - Ok
C:\WINDOWS\system32\config\BBI.LOG1 - read error
C:\WINDOWS\system32\config\BBI.LOG2 - read error
cal\Microsoft\Windows\Notifications\WPNPRMRY.tmp - read error
C:\WINDOWS\system32\config\DEFAULT - read error
C:\WINDOWS\system32\config\DEFAULT.LOG1 - read error
C:\WINDOWS\system32\config\COMPONENTS{53b39e63-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000001.regtrans-ms - Ok
C:\WINDOWS\system32\config\BBI{53b39ea0-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000002.regtrans-ms - Ok
C:\WINDOWS\system32\config\components{99f64201-ed3e-11ea-9eeb-b42e99cf4f17}.TM.blf - Ok
C:\WINDOWS\system32\config\components{99f64201-ed3e-11ea-9eeb-b42e99cf4f17}.TMContainer00000000000000000002.regtrans-ms - Ok
C:\WINDOWS\system32\config\DEFAULT.LOG2 - read error
C:\WINDOWS\system32\config\SAM - read error
C:\WINDOWS\system32\config\SAM.LOG1 - read error
C:\WINDOWS\system32\config\SAM.LOG2 - read error
C:\WINDOWS\system32\config\ELAM{53b39eac-18c4-11ea-a811-000d3aa4692b}.TM.blf - Ok
C:\WINDOWS\system32\config\drivers{99f641fa-ed3e-11ea-9eeb-b42e99cf4f17}.TMContainer00000000000000000001.regtrans-ms - Ok
C:\WINDOWS\system32\config\ELAM{53b39eac-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000001.regtrans-ms - Ok
C:\WINDOWS\system32\config\ELAM{53b39eac-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000002.regtrans-ms - Ok
C:\WINDOWS\system32\config\SECURITY - read error
C:\WINDOWS\system32\config\SECURITY.LOG2 - read error
C:\WINDOWS\system32\config\SECURITY.LOG1 - read error
C:\WINDOWS\system32\config\SAM{53b39e57-18c4-11ea-a811-000d3aa4692b}.TM.blf - Ok
C:\WINDOWS\system32\config\SAM{53b39e57-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000001.regtrans-ms - Ok
C:\WINDOWS\system32\config\SAM{53b39e57-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000002.regtrans-ms - Ok
C:\WINDOWS\system32\config\SOFTWARE - read error
C:\WINDOWS\system32\config\SOFTWARE.LOG1 - read error
C:\WINDOWS\system32\config\SOFTWARE.LOG2 - read error
C:\WINDOWS\system32\config\SECURITY{53b39e4b-18c4-11ea-a811-000d3aa4692b}.TM.blf - Ok
C:\WINDOWS\system32\config\SECURITY{53b39e4b-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000001.regtrans-ms - Ok
C:\WINDOWS\system32\config\SECURITY{53b39e4b-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000002.regtrans-ms - Ok
C:\WINDOWS\system32\config\SYSTEM - read error
C:\WINDOWS\system32\config\SYSTEM.LOG1 - read error
C:\WINDOWS\system32\config\SYSTEM.LOG2 - read error
C:\WINDOWS\system32\config\systemprofile\AppData\Local\D3DSCache\b3474141becdd6ac\F4EB2D6C-ED2B-4BDD-AD9D-F913287E6768.val - Ok
C:\WINDOWS\system32\config\systemprofile\AppData\Local\DataSharing\Storage\DSS.log - read error
C:\WINDOWS\system32\config\systemprofile\AppData\Local\DataSharing\Storage\DSS.chk - Ok
C:\WINDOWS\system32\config\systemprofile\AppData\Local\D3DSCache\b3474141becdd6ac\F4EB2D6C-ED2B-4BDD-AD9D-F913287E6768.idx - Ok
C:\WINDOWS\system32\config\systemprofile\AppData\Local\DataSharing\Storage\DSTokenDB2.jfm - read error
C:\WINDOWS\system32\config\systemprofile\AppData\Local\DataSharing\Storage\DSTokenDB2.dat - read error
C:\WINDOWS\system32\config\systemprofile\AppData\Local\DataSharing\Storage\DSSres00001.jrs - Ok

C:\DumpStack.log.tmp - read error
C:\hiberfil.sys - read error
C:\Install.log - Ok
C:\pagefile.sys - read error
C:\swapfile.sys - read error

F:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
F:\System Volume Information\{70d6ca38-8e80-11eb-9fb3-b42e99cf4f17}{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
F:\System Volume Information\{70d6ca58-8e80-11eb-9fb3-b42e99cf4f17}{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
F:\System Volume Information\{70d6ca6c-8e80-11eb-9fb3-b42e99cf4f17}{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
F:\System Volume Information\{70d6ca87-8e80-11eb-9fb3-b42e99cf4f17}{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
F:\System Volume Information\{70d6caa1-8e80-11eb-9fb3-b42e99cf4f17}{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
F:\System Volume Information\{70d6cab6-8e80-11eb-9fb3-b42e99cf4f17}{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
F:\System Volume Information\{70d6cacb-8e80-11eb-9fb3-b42e99cf4f17}{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
F:\System Volume Information\{70d6cadf-8e80-11eb-9fb3-b42e99cf4f17}{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
F:\System Volume Information\{d1ac02f3-90d7-11eb-9fb8-b42e99cf4f17}{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
F:\System Volume Information\{f1790d48-9143-11eb-9fbc-b42e99cf4f17}{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
E:\Boot\BCD.LOG - read error
E:\Boot\BCD - read error

creo que hay 5 cortos que son los de antes jeje.

Si no hace falta que busque más podemos seguir si quieres. :smiley: si me dices busco más

Ok. No hay nada interesante de que preocuparse… así que no hace falta que busques más, ya que los síntomas de infección tampoco los tienes.

Así que:

0) Ve al cuadro de búsqueda de Inicio de Windows y escribe cmd clic derecho sobre este y seleccionas Ejecutar como administrador. Allí escribes: sfc /scannow y presionas ENTER. Esperas a que finalice (puede tardar un buen rato), mientras se esté ejecutando, no hagas nada de nada con el PC.

Cuando finalice me traes el log que generará. Como este puede llegar a ser muy largo, lo adjuntas como fichero de texto. Mírate: Adjuntar archivos en un tema

Normalmente suele estar en:

Captura de pantalla de 2021-02-11 01-33-56

También traes una captura de pantalla del cmd cuando el comando haya acabado de ejecutarse.

¿Tu disco duro es HDD o SSD?

Salu2.

1 me gusta

El archivo no me cabe @Marr0n son 8.364 KB de espacio… :frowning: locura

Te paso captura y nose, alguna manera de enviar el archivo?? te lo subo a un drive y te lo comparto? No sé que hacer, estoy intentandolo dividir pero no sé si igual borro algo o lo que sea… en 9 partes debería dividirlo. Ya me dices.

Te pego los reportes de los últimos fragmentos y me dices si te sirven o como podemos hacer con todo!! CBS - 4.txt (983,5 KB) CBS - 4.txt (983,5 KB)

Maldita sea, las pantallas azules son de las ram. O de las ranuras de la placa base… he entrado a jugar y pantallón. Quito las nuevas… 0 problemas… te lo digo pro que estabas al tanto! JEJE SEGUIMOSS eso ya será otro tema! :smiley: