Ayuda urgente troyano

Buenas, hoy tuve un pequeño problema al instalar unos programas para limpiar la pc, al principio estaba con driver boster actualizando cosas cuando de repente el windows defender detecto un par de cosas, al principio pensé que era lo normal, luego de desactivo el windows defender y el firewall, usando el revo uninstaller borre ambos programas y baje el malwarebytes para limpiar, pero el firewall sigue sin corregirse y aparece publicidad en mi explorador de windows, en teoria el virus fue removido pero quiero ver si alguien me ayuda a eliminarlo totalmente. Desde ya muchas gracias

actualización, no puedo iniciar el firewall de windows de ninguna manera

Hola @Fran_rod47

Que pogramas?

Nos pegas su reporte?

Te dejo su Manual para que sepas encontrarlo.


Realiza lo siguiente respetando el orden de los pasos:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos con todos los programas cerrados incluido los navegadores

CCleaner

Usando su opción Limpiador de acuerdo su Manual:

  • Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
  • Cuando lo instales destilda las casillas para no permitir la instalación de Ccleaner Browser/Avast Browser o similar…
  • NO necesitamos este reporte

AdwCleaner

Lo ejecutas.

  • Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar.
  • Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas.
  • Guarda el reporte que le aparecerá para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también puede encontrarse en “C:\AdwCleaner\AdwCleaner.txt”

ZHPCleaner

  • Siguiendo su manual, lo instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

Malwarebytes Versión 4

  • Lo ejecutas siguiendo los pasos de su Manual.
  • Realizas un Análisis Personalizado
  • Revisa especialmente como salvar el reporte.

4.- Luego de finalizar todo lo anterior y reiniciar vuelve a desactiva temporalmente tu antivirus y cualquier programa de seguridad.

5.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan/Analizar y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio, debes adjuntar ambos

Guía: Como Ejecutar FRST

6.- En tu próxima respuesta, pegas todos los reportes generados, si no entran en un Post, revisa el Método 4 de la Guía o utilizas mas mensajes.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2

Los programas que había instalado fueron Driver Boster y Advance system care, ambos de Iobit en lo que hago los reportes le adjunto una imagen del problema actual que presenta el firewall

Hola @Fran_rod47

Por el momento no es necesario, una vez que limpiemos tu equipo ya veremos que pasa.

Solo esperamos los reportes.

Salu2

Adjunto los archivos, el malwarebytes detecto amenazas cuando se estaba ejecutando. malwarebytes.txt (1,9 KB) FRST.txt (171,7 KB) Addition.txt (43,5 KB) AdwCleaner[C00].txt (2,2 KB)

Hola:

Faltaría ese reporte.

En realidad se detecto pirateado, detecto tu Host Modificado

Lo que detecto:

DontStealOurSoftware = No robar nuestro software

Salu2

Ya le adjunto el reporte, es algo muy grave? se puede solucionar?

Hola @Fran_rod47

Lo esperamos.

No tienes nada grave,

Si ya lo lograremos.:+1:

Salu2

1 me gusta

Aquí esta

`~ ZHPCleaner v2020.8.23.225 by Nicolas Coolman (2020/08/23)
~ Run by Usuario (Administrator)  (25/08/2020 02:24:36)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Certificate ZHPCleaner: Legal
~ Type : Scanner
~ Report : C:\Users\Usuario\Desktop\ZHPCleaner (S).txt
~ Quarantine : C:\Users\Usuario\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Deactivate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit  (Build 19041)

---\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados. (ADS)

---\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados. (Servicio)

---\  Navegadores de Internet (2)
MOVIDO carpeta: C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Preferences
MOVIDO carpeta: C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences

---\  Hosts carpeta (1)
~ El archivo hosts es legítimo (25)

---\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados. (Tarea)

---\  Explorador ( Archivos, Carpetas ) (1)
ENCONTRADOS archivo: C:\ProgramData\IObit\ASCDownloader  =>SUP.Optional.AdvancedSystemCare

---\  Registro ( Claves, Valores, Datos) (1)
ENCONTRADOS clave: [X64] HKLM\SOFTWARE\Classes\CLSID\{63005CD0-8541-439c-A66A-617F4B1F2BCB} [TVWizard Class]  =>Adware.TVWizard

---\  Resumen de elementos en su estación de trabajo (2)
https://nicolascoolman.eu/wp-content/uploads/2017/12/26/sup-advancedsystemcare/  =>SUP.Optional.AdvancedSystemCare
https://nicolascoolman.eu/forum/Topic/tvwizard-logiciel-publicitaire-adware/  =>Adware.TVWizard

---\ Resultado de la reparación.
~ ninguna reparación hecha
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK

---\ STATISTIQUES
~ Items escaneado : 104648
~ Items encontrado : 3
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 8/15

---\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto

~ End of search in 00h06mn20s

---\  Reporte (0)
ZHPCleaner-[S]-25082020-02_30_56.txt

`

Disculpe la insistencia, es seguro que apague la computadora, la necesito para estudiar y asistir a clases, hay riesgo de que le suceda algo? la mantengo prendida? disculpen, es que estoy algo nervioso por la situación

Hola @Fran_rod47

No va a explotar no te preocupes la usas normal, lo único que no debes hacer es instalar programas hasta que terminemos,

Ademas como abras notado los reportes de FRST son bastante largos y lleva su tiempo el analisis.

Paso 1:

Ejecutaste FRST desde un lugar incorrecto:

  • Ejecutado desde C:\Users\Usuario\Downloads

Corta el ejecutable y pegalo en tu escritorio <<< Esto es Muy Importante.

Paso 2:

Con mucha atención:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga/Ejecuta DelFix desde el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego ve a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start::
CloseProcesses:
HKU\S-1-5-21-1885811733-1463807422-3263087107-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\84.0.4147.135\Installer\chrmstp.exe [2020-08-19] (Google LLC -> Google LLC)
GroupPolicy: Restricción ? <==== ATENCIÓN
Task: {D9F3C4F2-03A8-4BA3-B6F9-6E778C82AD12} - \Driver Booster SkipUAC (Usuario) -> Ningún archivo <==== ATENCIÓN
FF user.js: detected! => C:\Users\Usuario\AppData\Roaming\Mozilla\Firefox\Profiles\hq0ntybc.default\user.js [2020-08-24]
FF user.js: detected! => C:\Users\Usuario\AppData\Roaming\Mozilla\Firefox\Profiles\rfm0yorf.default-release\user.js [2020-08-24]
U4 ekrn; no ImagePath
2020-08-25 00:03 - 2020-08-25 00:03 - 000000482 _____ C:\Program Files (x86)\shfscp.dat
2020-08-25 00:02 - 2020-08-25 00:02 - 000000098 _____ C:\Program Files (x86)\nscf.dat
2020-08-25 00:02 - 2020-08-25 00:02 - 000000007 _____ C:\Program Files (x86)\ncncf.dat
2020-08-24 22:57 - 2020-08-25 01:33 - 000000000 ____D C:\Program Files\IObit
2020-08-24 22:56 - 2020-08-23 22:36 - 000000001 _____ C:\WINDOWS\y.txt
2020-08-24 22:55 - 2020-08-24 23:32 - 000000000 ____D C:\WINDOWS\w
2020-08-24 22:55 - 2020-08-24 23:32 - 000000000 ____D C:\WINDOWS\c
2020-08-25 01:33 - 2020-03-25 02:55 - 000000000 ____D C:\Program Files (x86)\IObit
2020-08-24 22:53 - 2020-03-16 03:22 - 000000000 ____D C:\ProgramData\IObit
2020-08-24 22:51 - 2020-03-16 03:23 - 000000000 ____D C:\Users\Usuario\AppData\LocalLow\IObit
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
HKU\S-1-5-21-1885811733-1463807422-3263087107-1000\...\StartupApproved\Run: => "Advanced SystemCare"
C:\Program Files (x86)\RelevantKnowledge

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
End::
  • Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.- Inicie su ordenador en >>> Modo Seguro >>> Aplicable a Windows 10. o Windows 7.

  • Ejecute Frst.exe o Frst64.exe. según el caso.
  • Presione el botón Fix/Corregir y aguarde a que termine.
  • La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
  • Reinicia y lo pega en su próxima respuesta.

Nos comentas.

Salu2

1 me gusta

Aquí está

========= Final de CMD: =========


========= netsh int ipv4 reset =========

No hay valores configurados por el usuario para restablecer.


========= Final de CMD: =========


========= netsh int ipv6 reset =========

No hay valores configurados por el usuario para restablecer.


========= Final de CMD: =========


========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => eliminado correctamente
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-21-1885811733-1463807422-3263087107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-1885811733-1463807422-3263087107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente


========= Final de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => movido correctamente
Hosts restaurado correctamente.

=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 25364206 B
Java, Flash, Steam htmlcache => 374543267 B
Windows/system/drivers => 1780128 B
Edge => 26 B
Chrome => 291614055 B
Firefox => 29374623 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 10744 B
NetworkService => 15022 B
Usuario => 11674269 B

RecycleBin => 19468 B
EmptyTemp: => 710.4 MB datos temporales eliminados.

================================


El sistema necesita reiniciarse.

==== Final de Fixlog 05:07:34 ====

Hola @Fran_rod47

Edito pegaste la mitad del Fixlog, falta una parte importante, ademas faltaría que comentes como sigue el problema?

Salu2

Disculpame, mala mía, lo adjunto directamente. El windows defender arrancó, ahora si está activado como el antivirus oficia, pase de nuevo el adw y el malwarebytes y ninguno detecta amenaza, el WD tampoco, sin embargo, sigo sin poder prender el firewall, el servicio esta deshabilitado, no me reconoce los comandos, no aparece en configuración, es como si no lo tuviera. Fixlog.txt (7,6 KB)

también pasa esto

Hola @Fran_rod47

Una consulta tienes en el AV de Defender, la opción de protección de carpetas (Anti Ransomware) activada?


Realizas lo siguiente:

Descargas >>> FixWin10.

  • Lo extraes, das doble clic sobre el Icono del programa.

No lleva Instalación. Eso si esta en Ingles.

  • En su Ventana Welcome, crearás un Punto de Restauración, dar clic en Create System Restore Point, tal como esta en su Manual.

Posteriormente vas a su Ventana: Conectividad e Internet.

Das Fix en :

Clic en Aceptar.



Siguiente vas a su Ventana: Herramientas del Sistema - Pestaña System Tools

Das Fix en :

8) Reparar Windows Defender. Restablecer todas las configuraciones de Windows Defender a las predeterminadas.

10) Restablecer la Configuración de Seguridad de Windows.

Clic en Aceptar.


En todos los casos, deberás seleccionar la corrección presionando en “Fix” (Ir uno a la vez), una ventana se abrirá informándote “Has aplicado con éxito esta solución. Un reinicio es requerido para ver los cambios”

Al finalizar todos los Fix reinicias el equipo, y compruebas si se soluciono el problema referido al Firewall.

Nos comentas…

Salu2.

1 me gusta

Si, tengo esa opción activada en WD ya le paso los informes

Cuando en la pestaña “Reparar Windows defender” apriesto fix figura lo siguiente image

Hola @Fran_rod47

Sigues con el siguiente hasta terminar.

Salu2

Aun sin firewall

Hola @Fran_rod47

Desactiva la Protección a Carpetas. Ver >>> (6) Administrar la protección contra rasomware.

Luego inicia el ordenador en**>>>** Modo Seguro >>> Aplicable a Windows 10. o Windows 7.

Ejecutas nuevamente FixWin y realizas los pasos.

Salu2

1 me gusta