MPED7
2 Marzo, 2020 04:07
1
Intenté descargar un juego desde una página que se llama gamezfull, el juego era Smackdown vs Raw 2007, se descargo un zip de 34kb algo así y lo descomprimi, apareció un instalador de Windows de unos 45kb se me hizo súper raro y se que estuvo muy mal pero decidí confiar y lo abrí.
Lo siguiente que ocurrió fue que se empezó a instalar un AutoIt con el nombre de Javi no sé que madre, el estado del mismo aparecía con en pausa pero al momento que esto sucede intento ejecutar Avast y no me dejaba abrirlo.
Windows Defender igual, no podía abrir absolutamente nada con respecto al tema de seguridad, fue hasta que cerré la aplicación “invisible” que pude abrir Avast, ejecute análisis y salía que todo está excelente.
Windows Defender se “actualizo” pero aparecía un error que no podía identificar la definición de protección y ahí fue que pensé que todo había valido, mi laptop abrió “windows Udpdate” y empezó a actualizarse, ahorita si la enciendo está a nada de continuar con la actualización porque ya se descargo, no sé que hacer.
Hola @MPED7
Por el momento solo Malwarebytes detecta y elimina esa infección.
Realiza lo siguiente:
1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.
2.- Descarga, instala y/o actualiza a las siguientes herramientas:
3.- Ejecutas respetando el orden los pasos con todos los programas cerrados incluido los navegadores
Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas Ejecutar como Administrador para TODOS los programas.
CCleaner
Usando su opción Limpiador de acuerdo su Manual :
Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Cuando lo instales destilda las casillas para no permitir la instalación de Ccleaner Browser/Avast Browser o similar…
NO necesitamos este reporte
AdwCleaner
Lo ejecutas.
Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar .
Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas .
Guarda el reporte que le aparecerá para copiarlo y pegarlo en tu próxima respuesta.
El informe también puede encontrarse en “C:\AdwCleaner\AdwCleaner.txt”
ZHPCleaner
Siguiendo su manual, lo instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.
Malwarebytes Versión 4
Lo ejecutas siguiendo los pasos de su Manual.
Realizas un Análisis de Amenazas
Revisa especialmente como salvar el reporte.
4.- Nota Importante:
En tu próxima respuesta debes pegar los reportes de AdwCleaner , ZHPCleaner y Malwarebytes.
Guía: ¿Como Pegar reportes en el Foro?
Nos comentas.
Salu2
MPED7
2 Marzo, 2020 07:38
3
# -------------------------------
# Malwarebytes AdwCleaner 8.0.2.0
# -------------------------------
# Build: 01-27-2020
# Database: 2020-02-26.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start: 03-01-2020
# Duration: 00:00:42
# OS: Windows 10 Home Single Language
# Cleaned: 50
# Failed: 1
***** [ Services ] *****
No malicious services cleaned.
***** [ Folders ] *****
Deleted C:\Program Files (x86)\Common Files\IObit\Advanced SystemCare
Deleted C:\ProgramData\BSD\DriverHive
Deleted C:\ProgramData\BSD\DriverHiveEngine
Deleted C:\ProgramData\IObit\Advanced SystemCare
Deleted C:\ProgramData\Solvusoft
Deleted C:\Users\Abimael\AppData\LocalLow\IObit\Advanced SystemCare
Deleted C:\Users\Abimael\AppData\Roaming\IObit\Advanced SystemCare
Deleted C:\Users\Public\Documents\Downloaded Installers
***** [ Files ] *****
No malicious files cleaned.
***** [ DLL ] *****
No malicious DLLs cleaned.
***** [ WMI ] *****
No malicious WMI cleaned.
***** [ Shortcuts ] *****
No malicious shortcuts cleaned.
***** [ Tasks ] *****
No malicious tasks cleaned.
***** [ Registry ] *****
Deleted HKCU\Software\BSD
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\chatango.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\claro.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\dotomi.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\morphvox-voice-changer.softonic.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\reimageplus.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\s.thebrighttag.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\softonic.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\st.chatango.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\thebrighttag.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.reimageplus.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\chatango.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\claro.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\dotomi.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\reimageplus.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\s.thebrighttag.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\softonic.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\st.chatango.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\thebrighttag.com
Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.reimageplus.com
Deleted HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Advanced SystemCare 11
Deleted HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{3B65637D-8459-49EC-9B17-F34BFEB93787}
Deleted HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{CF1495B2-0CD0-42A4-8D80-9252DF281B2A}
Deleted HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{D7B6329B-147C-4956-82A1-B11C86D24F4A}
Deleted HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{EDD73325-24A5-427F-BD16-F376CD2F177F}
Deleted HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Reimage
Deleted HKLM\Software\Reimage
Deleted HKLM\Software\Wow6432Node\BSD
Deleted HKLM\Software\Wow6432Node\IOBIT\ASC
Deleted HKLM\Software\Wow6432Node\IObit\Advanced SystemCare
Deleted HKLM\Software\Wow6432Node\IObit\RealTimeProtector
Deleted HKLM\Software\Wow6432Node\SlimWare Utilities Inc
Deleted HKLM\Software\Wow6432Node\\Google\Chrome\NativeMessagingHosts\com.ascplugin.protect
Not Deleted HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\morphvox-voice-changer.softonic.com
***** [ Chromium (and derivatives) ] *****
No malicious Chromium entries cleaned.
***** [ Chromium URLs ] *****
No malicious Chromium URLs cleaned.
***** [ Firefox (and derivatives) ] *****
No malicious Firefox entries cleaned.
***** [ Firefox URLs ] *****
No malicious Firefox URLs cleaned.
***** [ Hosts File Entries ] *****
No malicious hosts file entries cleaned.
***** [ Preinstalled Software ] *****
Deleted Preinstalled.ASUSSmartGesture Folder C:\Program Files (x86)\ASUS\ASUS SMART GESTURE
Deleted Preinstalled.ASUSSmartGesture Registry HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{922022A7-373D-494A-A215-7BD6E2169066}
Deleted Preinstalled.ASUSSmartGesture Registry HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ASUS Smart Gesture Launcher
Deleted Preinstalled.ASUSSmartGesture Registry HKLM\Software\Classes\CLSID\{F31B5912-07D6-4895-B4BA-5486CF3B18B1}
Deleted Preinstalled.ASUSSmartGesture Registry HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{4D3286A6-F6AB-498A-82A4-E4F040529F3D}
Deleted Preinstalled.ASUSSmartGesture Task C:\Windows\System32\Tasks\ASUS SMART GESTURE LAUNCHER
Deleted Preinstalled.EpsonCustomerResearchParticipation Folder C:\Program Files\EPSON\EPSONCUSTOMERRESEARCHPARTICIPATION
Deleted Preinstalled.EpsonCustomerResearchParticipation Folder C:\ProgramData\EPSON\EPSONCUSTOMERRESEARCHPARTICIPATION
Deleted Preinstalled.EpsonCustomerResearchParticipation Registry HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{B26449A6-6007-4460-B4FE-C4776115BCEA}
*************************
[+] Delete Tracing Keys
[+] Reset Winsock
*************************
AdwCleaner[S00].txt - [9243 octets] - [01/03/2020 22:51:22]
########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
MPED7
2 Marzo, 2020 07:43
4
~ ZHPCleaner v2020.2.14.178 by Nicolas Coolman (2020/02/14)
~ Run by Abimael (Administrator) (01/03/2020 23:43:22)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Reparar
~ Report : C:\Users\Abimael\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Abimael\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home Single Language, 64-bit (Build 18363)
---\\ Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.
---\\ Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.
---\\ Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados.
---\\ Hosts carpeta (1)
~ El archivo hosts es legítimo (21)
---\\ Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.
---\\ Explorador ( Archivos, Carpetas ) (11)
MOVIDO carpeta: C:\Users\Abimael\Desktop\µTorrent.lnk [Bad : C:\Users\Abimael\AppData\Roaming\uTorrent\uTorrent.exe](.BitTorrent Inc..) =>BitTorrent (P2P)
MOVIDO carpeta: C:\Users\Abimael\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk [Bad : C:\Users\Abimael\AppData\Roaming\uTorrent\uTorrent.exe](.BitTorrent Inc..) =>BitTorrent (P2P)
MOVIDO carpeta: C:\Windows\Prefetch\REIMAGE.EXE-02B30964.pf =>SUP.Optional.ReimageRepair
MOVIDO carpeta: C:\Windows\Prefetch\REIMAGEAPP.EXE-E3111B2C.pf =>SUP.Optional.ReimageRepair
MOVIDO carpeta: C:\Windows\Prefetch\REIMAGEPACKAGE.EXE-44BFFE23.pf =>SUP.Optional.ReimageRepair
MOVIDO carpeta: C:\Windows\Prefetch\REIMAGEREMINDER.EXE-A9DA5B12.pf =>SUP.Optional.ReimageRepair
MOVIDO carpeta: C:\Windows\Prefetch\REIMAGEREPAIR (1).EXE-FEAB2C66.pf =>SUP.Optional.ReimageRepair
MOVIDO archivo: C:\Users\Abimael\AppData\Roaming\IOBIT\Driver Booster =>.SUP.Energize
MOVIDO archivo: C:\ProgramData\IOBIT\Driver Booster =>.SUP.Energize
MOVIDO archivo: C:\ProgramData\Application Data\IObit\ASCDownloader =>SUP.Optional.AdvancedSystemCare
MOVIDO archivo: C:\ProgramData\IObit\ASCDownloader =>SUP.Optional.AdvancedSystemCare
---\\ Registro ( Claves, Valores, Datos) (8)
BORRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e28087b0-ff92-4f69-88e2-1e6b43fd6f9f}\\NameServer [Bad : 100.120.104.1] =>Hijacker.Browser
BORRADOS clave*: HKLM\SOFTWARE\Wow6432Node\IObit\Driver Booster [AdditionalScan 287] =>.SUP.DriverBoost
BORRADOS clave*: HKEY_USERS\S-1-5-21-640144903-1270033635-3116370024-1001\SOFTWARE\Popcorn Time [] =>.SUP.PopcornTime
BORRADOS clave*: HKEY_USERS\S-1-5-21-640144903-1270033635-3116370024-1001\SOFTWARE\PopcornTime [] =>.SUP.PopcornTime
BORRADOS clave**: HKCU\Software\Popcorn Time [] =>.SUP.PopcornTime
BORRADOS clave**: HKCU\Software\PopcornTime [] =>.SUP.PopcornTime
BORRADOS clave*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent [BitTorrent Inc.] =>BitTorrent (P2P)
BORRADOS clave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0882F77BF40F7795899358006AEBD8AE [C:\Program Files (x86)\Microsoft Visual Studio 14.0\VC\atlmfc\include\Aqua\PopupBar\ResizeBar.png] =>Adware.Sambreel
---\\ Resumen de elementos en su estación de trabajo (8)
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/ =>BitTorrent (P2P)
https://nicolascoolman.eu/2017/01/27/superfluous-reimagerepair/ =>SUP.Optional.ReimageRepair
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Energize
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/ =>SUP.Optional.AdvancedSystemCare
https://nicolascoolman.eu/2017/11/10/hijacker-browser-3/ =>Hijacker.Browser
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.DriverBoost
https://nicolascoolman.eu/2017/02/26/superfluous-popcorntime/ =>.SUP.PopcornTime
https://nicolascoolman.eu/2017/09/24/adware-sambreel/ =>Adware.Sambreel
---\\ Limpieza adicional. (7)
~ Clave de registro Tracing borrados (7)
~ Quitar los antiguos informes de ZHPCleaner. (0)
---\\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ Google Chrome OK
~ Internet Explorer OK
---\\ STATISTIQUES
~ Items escaneado : 2124
~ Items encontrado : 0
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 9/16
---\\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto
~ End of clean in 00h00mn27s
---\\ Reporte (2)
ZHPCleaner-[S]-01032020-23_38_18.txt
ZHPCleaner-[R]-01032020-23_43_49.txt
MPED7
2 Marzo, 2020 07:44
5
Malwarebytes
www.malwarebytes.com
-Detalles del registro-
Fecha del análisis: 1/3/20
Hora del análisis: 23:46
Archivo de registro: 36d3f320-5c49-11ea-84eb-2c4d54375002.json
-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.835
Versión del paquete de actualización: 1.0.20092
Licencia: Prueba
-Información del sistema-
SO: Windows 10 (Build 18362.657)
CPU: x64
Sistema de archivos: NTFS
Usuario: ABIMAEL\Abimael
-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 315162
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 3 min, 27 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)
Módulo: 0
(No hay elementos maliciosos detectados)
Clave del registro: 0
(No hay elementos maliciosos detectados)
Valor del registro: 0
(No hay elementos maliciosos detectados)
Datos del registro: 0
(No hay elementos maliciosos detectados)
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 0
(No hay elementos maliciosos detectados)
Archivo: 0
(No hay elementos maliciosos detectados)
Sector físico: 0
(No hay elementos maliciosos detectados)
WMI: 0
(No hay elementos maliciosos detectados)
(end)
MPED7
2 Marzo, 2020 07:54
6
Disculpa la tardanza pero estaba tratando de hacer las cosas bien y en orden, esos fueron los resultados que me lanzo la última prueba que realice en el orden que me indicaste, se realizaron algunos movimientos en la pc y pude notar que ya no existían varios errores que aparecieron en los análisis.
Checando un análisis que hice con FRST vi un par de archivos que se crearon al momento de abrir el archivo que instalo el AutoIt, llevan por nombre A.vbs, B, B_ y Bx
MPED7
2 Marzo, 2020 08:38
9
Ya no inicia absolutamente nada, ahora qué puedo hacer?
MPED7
2 Marzo, 2020 08:41
10
Está fue la.pagina de dónde obtuve la madre esa que descargue e instale le de en el Google Drive y se descargo un zip y de ahí un instalador de Windows y todo se fue al carajo.
Hola, solo aclarar una cosita. Descargaste el archivo incorrecto, de las publicidades.
Esto pasa por no estar atentlo puesto que en la misma pagina te dice Tamaño: 382MB (ISO)
Cosa que NO se corresponde a lo que tú haz descargado.
El Enlace de Google drive , lo más chistoso es que no está disponible
Saludos y continúen en paz.
MPED7
2 Marzo, 2020 13:19
12
Pues chistoso, chistoso no es jaja o sea si sé que tuve que estar más atento pero espero tenga solución esto, si no pues estaré muy triste
1 me gusta
Ahora sí, pongamosnos serios:
En la pantalla azul de reparación automática ponle opciones avanzadas > solución de problemas > reparación de inicio.
Saludos
Hola chicos:
@MPED7
Esto paso inmediatamente luego de los análisis o hiciste tu algo por tu cuenta ??
Realiza los pasos que te comenta @DarkGhost haciendo la reparación de Inicio y nos comentas si funciono.
Si aun no te inicia dinos si tienes acceso a otro equipo y a un Usb limpio.
Nos comentas.
Salu2
MPED7
2 Marzo, 2020 18:28
15
Hice los pasos tal cual y en el orden que me indicaste, después de eso Windows Udpdate actualizo algo del NET Frame e intento actualizar la última versión del Windows 1909, creo, que salió el 28 de febrero o algo así y ya después de eso, reinicio porque terminó de descargar el NET Frame y se fue, ya se quedó así como lo muestro en las imágenes
Hola:
Pero seguiste los pasos para realizar la reparación de Inicio???
Salu2