Creo que han hackeado mi pc

Muy buenas a [email protected]! :grinning: Hace unos días me di cuenta de que el led de mi camara webcam se enciende solo, hay un usuario de discord que me está acosando hace mucho tiempo, asi que me eso me preocupó, desconecté la cam e hice una busqueda en internet y encontré algunas formas para determinar si está siendo hackeada, entre ellas estaba el uso del comando netstat, encontré varias IP de estados unidos (yo estoy en Venezuela) así que investigué mas a fondo para saber si podia determinar a qué servicios corresponden esas IP, pero cuando daba boton derecho sobre CMD para abrirlo como administrador, no me lo permitia, dice que no encuentra la ruta, fui a la carpeta especifica de windows, busqué la aplicacion y el resultado fue el mismo, ahí ya empecé a entrar en pánico :scream: Yo tenia instalado el NOD32 pero no encontré licencias y estaba desactivado, así que sin duda alguien con experiencia pudo haber accedido a mi pc. Me descargué el CCleaner hice varios scans, limpió pero el problema continua, así que instalé el Avast, me costó mucho instalarlo porque daba errores, hasta que finalmente lo logré, hice un primer escaneo y detechtó algo que no pudo poner en cuarentena y luego volvió a colapsar el antivirus, reinicié en modo seguro, pasé el CCleaner, luego logré reparar el Avast y escanear, pero esta segunda ves no encontró nada, reinicié normalmente y encontré este icono en la barra de tareas que jamas habia visto y el nombre de la red no corresponde al de mi casa Captura

así que me decidi a buscar una ayuda mas especializada y llegué aquí :slightly_smiling_face:

Encontré que el primer paso es siempre escanear la computadora para estar seguros de que está limpia y me descargué los 4 programas recomendados, pero cuando doy boton derecho para instalarlo como administrador me da el mismo error que con el CMD. auxilio por favor! estoy aterrada :sob: Captura

Cuando intento instalar las aplicaciones recomendadas aquí para la desinfeccion del equipo y doy boton derecho para ejecutar como administrador me aparece este mensaje:

¿qué puedo hacer?

2 Me gusta

No puedo instalar ningun programa de deteccion y limpieza, así que me descargué el hijackthis, hice un scan y coloco aqui el log en espera de ayuda por favor:

Logfile of HiJackThis Fork by Alex Dragokas v.2.10.0.18

Platform:  x32 Windows 7 (Ultimate), 6.1.7601.24241, Service Pack: 1
Time:      27.06.2022 - 20:44 (UTC-04:00)
Language:  OS: Spanish (0xC0A). Display: Spanish (0xC0A). Non-Unicode: Spanish (0xC0A)
Elevated:  Yes
Ran by:    SOL	(group: Administrators) on SOL-PC, FirstRun: yes

Chrome:  102.0.5005.115
Firefox: 101.0.1.8194
Internet Explorer: 11.0.9600.19130
Default: "C:\Program Files\AVAST Software\Browser\Application\AvastBrowser.exe" --single-argument %1 (Avast Secure Browser)

Boot mode: Safe mode with network support

Running processes:
Number | Path
   1  C:\Users\SOL\Downloads\HiJackThis.exe
   1  C:\Windows\explorer.exe
   2  C:\Windows\System32\csrss.exe
   1  C:\Windows\System32\ctfmon.exe
   2  C:\Windows\System32\dllhost.exe
   1  C:\Windows\System32\lsass.exe
   1  C:\Windows\System32\lsm.exe
   1  C:\Windows\System32\services.exe
   1  C:\Windows\System32\smss.exe
   8  C:\Windows\System32\svchost.exe
   1  C:\Windows\System32\wininit.exe
   1  C:\Windows\System32\winlogon.exe

O4 - HKCU\..\Run: [AvastBrowserAutoLaunch_A457FA87DFB35FA2CBF1F50DCF5A1B31] = C:\Program Files\Avast Software\Browser\Application\AvastBrowser.exe --check-run=src=logon --auto-launch-at-startup --profile-directory="Default"
O4 - HKCU\..\Run: [CCleaner Smart Cleaning] = C:\Program Files\CCleaner\CCleaner.exe /MONITOR
O4 - HKLM\..\Run: [AvastUI.exe] = C:\Program Files\Avast Software\Avast\AvLaunch.exe /gui
O4 - HKLM\..\Run: [HDAudDeck] = C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [PAC7302_Monitor] = C:\Windows\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [StartCN] = C:\Program Files\AMD\CNext\CNext\cnext.exe atlogon
O4 - HKU\S-1-5-18\..\Run: [GoogleDriveFS] = C:\Program Files\Google\Drive File Stream\51.0.15.0\GoogleDriveFS.exe --startup_mode (file missing) (User 'LocalSystem')
O4 - HKU\S-1-5-19\..\Run: [GoogleDriveFS] = C:\Program Files\Google\Drive File Stream\51.0.15.0\GoogleDriveFS.exe --startup_mode (file missing) (User 'Local service')
O4 - HKU\S-1-5-20\..\Run: [GoogleDriveFS] = C:\Program Files\Google\Drive File Stream\51.0.15.0\GoogleDriveFS.exe --startup_mode (file missing) (User 'Network service')
O4 - MSConfig\startupreg: Bonus.SSR.FR12 [command] = C:\Program Files\ABBYY FineReader 12\Bonus.ScreenshotReader.exe /autorun (HKLM) (2020/03/07)
O4 - MSConfig\startupreg: Chromium [command] = c:\users\sol\appdata\local\chromium\application\chrome.exe --auto-launch-at-startup --profile-directory="Default" --restore-last-session (HKCU) (2020/03/07)
O4 - MSConfig\startupreg: ISUSPM Startup [command] = C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe -startup (HKCU) (2020/03/07)
O4 - MSConfig\startupreg: ISUSScheduler [command] = C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe -start (HKLM) (2020/03/07)
O4 - MSConfig\startupreg: utweb [command] = C:\Users\SOL\AppData\Roaming\uTorrent Web\utweb.exe /MINIMIZED (HKCU) (2020/03/07)
O4 - MSConfig\startupreg: VirtualCloneDrive [command] = C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe /s (HKLM) (2020/03/07) (file missing)
O4 - Startup Global: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Ralink Wireless Utility.lnk    ->    C:\Program Files\Ralink\Common\RaUI.exe -s
O5 - Applet: C:\Windows\System32\FlashPlayerCPLApp.cpl (Sign: 'Adobe Inc.')
O5 - Applet: C:\Windows\System32\ISUSPM.cpl (not signed)
O5 - Applet: C:\Windows\System32\PhysX.cpl (Sign: 'NVIDIA Corporation')
O17 - DHCP DNS 1: 192.168.1.1
O21 - HKLM\..\ShellIconOverlayIdentifiers\ - C:\Program Files\Avast Software\Avast\ashShell.dll
O21 - HKLM\..\ShellIconOverlayIdentifiers\ - C:\ProgramData\MEGAsync\ShellExtX32.dll
O22 - Task: (damaged) \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - C:\Windows\system32\CompatTelRunner.exe (Microsoft) (user missing)
O22 - Task: (damaged) ProtonVPN Update - C:\Program Files\Proton Technologies\ProtonVPN\ProtonVPN.UpdateService.exe update (user missing)
O22 - Task: (telemetry) \Microsoft\Office\OfficeTelemetryAgentFallBack2016 - C:\Program Files\Microsoft Office\root\Office16\msoia.exe scan upload mininterval:2880 (Microsoft)
O22 - Task: (telemetry) \Microsoft\Office\OfficeTelemetryAgentLogOn2016 - C:\Program Files\Microsoft Office\root\Office16\msoia.exe scan upload (Microsoft)
O22 - Task: (telemetry) \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - C:\Windows\system32\compattel\DiagTrackRunner.exe /UploadEtlFilesOnly (Microsoft)
O22 - Task: (telemetry) \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - C:\Windows\system32\CompatTelRunner.exe (Microsoft)
O22 - Task: (telemetry) \Microsoft\Windows\Application Experience\ProgramDataUpdater - C:\Windows\system32\compattelrunner.exe -maintenance (Microsoft)
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe /from_scheduler:1
O22 - Task: \Games\UpdateCheck_S-1-5-21-2912036556-3192700604-2687502568-1000 - {CA22F5B1-E06F-4A2B-94FC-21E87FE53781} - C:\Windows\System32\gameux.dll
O22 - Task: \MEGA\MEGAsync Update Task S-1-5-21-2912036556-3192700604-2687502568-1000 - C:\Users\SOL\AppData\Local\MEGAsync\MEGAupdater.exe
O22 - Task: \Microsoft\Office\Office Automatic Updates 2.0 - C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe /frequentupdate SCHEDULEDTASK displaylevel=False (Microsoft)
O22 - Task: \Microsoft\Office\Office ClickToRun Service Monitor - C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe /WatchService (Microsoft)
O22 - Task: \Microsoft\Office\Office Feature Updates - C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe (Microsoft)
O22 - Task: \Microsoft\Office\Office Feature Updates Logon - C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe /onlogon (Microsoft)
O22 - Task: \Mozilla\Firefox Background Update 308046B0AF4A39CB - C:\Program Files\Mozilla Firefox\firefox.exe --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
O22 - Task: \Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB - C:\Program Files\Mozilla Firefox\default-browser-agent.exe do-task "308046B0AF4A39CB"
O22 - Task: {1BA69EC7-F73B-45F5-93B8-12E595964CEB} - C:\Windows\system32\pcalua.exe -a D:\VGA_Win7(190.38)e\setup.exe -d D:\VGA_Win7(190.38)e
O22 - Task: {37A07019-CAEA-41B4-A66D-B8640DBE2CEF} - C:\Windows\system32\pcalua.exe -a "C:\Program Files\Common Files\DVDVideoSoft\lib\Uninstall.exe"
O22 - Task: {546B6493-32F3-4C69-8D94-DB8F220BD4EE} - C:\Program Files\Common Files\PAC7302\AMCap.exe
O22 - Task: {6C2E73C0-152A-4D36-BCF3-BDFAF47F7165} - C:\Program Files\Common Files\PAC7302\AMCap.exe
O22 - Task: {84494307-DCAA-4F71-9BC3-D16DA5ACF713} - C:\Windows\system32\pcalua.exe -a D:\lide20lide30n670un676un1240uvst7031a_xpes\SetupSG.exe -d D:\lide20lide30n670un676un1240uvst7031a_xpes
O22 - Task: Adobe Acrobat Update Task - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
O22 - Task: Adobe Flash Player NPAPI Notifier - C:\Windows\system32\Macromed\Flash\FlashUtil32_32_0_0_414_Plugin.exe -check plugin
O22 - Task: Adobe Flash Player Updater - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O22 - Task: Avast Emergency Update - C:\Program Files\Avast Software\Avast\AvEmUpdate.exe
O22 - Task: Avast Secure Browser Heartbeat Task (Hourly) - C:\Program Files\AVAST Software\Browser\Application\AvastBrowser.exe --type=heartbeat --hourly
O22 - Task: Avast Secure Browser Heartbeat Task (Logon) - C:\Program Files\AVAST Software\Browser\Application\AvastBrowser.exe --type=heartbeat --logon
O22 - Task: AvastUpdateTaskMachineCore - C:\Program Files\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /c
O22 - Task: AvastUpdateTaskMachineUA - C:\Program Files\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /ua /installsource scheduler
O22 - Task: BlueStacksHelper_nxt - C:\Program Files\BlueStacks_nxt\BlueStacksHelper.exe -sr
O22 - Task: BraveSoftwareUpdateTaskMachineCore - C:\Program Files\BraveSoftware\Update\BraveUpdate.exe /c
O22 - Task: BraveSoftwareUpdateTaskMachineUA - C:\Program Files\BraveSoftware\Update\BraveUpdate.exe /ua /installsource scheduler
O22 - Task: CCleaner Update - C:\Program Files\CCleaner\CCUpdate.exe
O22 - Task: CCleanerSkipUAC - SOL - C:\Program Files\CCleaner\CCleaner.exe $(Arg0)
O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files\Google\Update\GoogleUpdate.exe /c
O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
O22 - Task: ProtonVPN Update - C:\Program Files\Proton Technologies\ProtonVPN\ProtonVPN.UpdateService.exe update
O23 - Service S2: Adobe Acrobat Update Service - (AdobeARMservice) - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service S2: Avast Antivirus - (avast! Antivirus) - C:\Program Files\Avast Software\Avast\AvastSvc.exe /runassvc
O23 - Service S2: Avast Firewall Service - (avast! Firewall) - C:\Program Files\Avast Software\Avast\afwServ.exe
O23 - Service S2: Avast Tools - (avast! Tools) - C:\Program Files\Avast Software\Avast\aswToolsSvc.exe /runassvc
O23 - Service S2: AvastWscReporter - C:\Program Files\Avast Software\Avast\wsc_proxy.exe /runassvc /rpcserver
O23 - Service S2: NVIDIA Performance Driver Service - C:\Program Files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe
O23 - Service S2: NVIDIA Stereoscopic 3D Driver Service - (Stereo Service) - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service S2: Ralink UPnP Media Server - (RaMediaServer) - C:\Program Files\Ralink\Common\RaMediaServer.exe
O23 - Service S2: RalinkRegistryWriter - C:\Program Files\Ralink\Common\RaRegistry.exe
O23 - Service S2: RunSwUSB - C:\Windows\runSW.exe
O23 - Service S2: Servicio de Actualización de Microsoft Edge (edgeupdate) - (edgeupdate) - C:\Program Files\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /svc
O23 - Service S2: Servicio de Avast Browser Update (avast) - (avast) - C:\Program Files\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /svc
O23 - Service S2: Servicio de Brave Update (brave) - (brave) - C:\Program Files\BraveSoftware\Update\BraveUpdate.exe /svc
O23 - Service S2: Servicio de Google Update (gupdate) - (gupdate) - C:\Program Files\Google\Update\GoogleUpdate.exe /svc
O23 - Service S3: aswbIDSAgent - C:\Program Files\Avast Software\Avast\aswidsagent.exe
O23 - Service S3: Avast Secure Browser Elevation Service (AvastSecureBrowserElevationService) - (AvastSecureBrowserElevationService) - C:\Program Files\AVAST Software\Browser\Application\102.1.17189.115\elevation_service.exe
O23 - Service S3: Google Chrome Elevation Service (GoogleChromeElevationService) - (GoogleChromeElevationService) - C:\Program Files\Google\Chrome\Application\102.0.5005.115\elevation_service.exe
O23 - Service S3: Mozilla Maintenance Service - (MozillaMaintenance) - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service S3: Office  Source Engine - (ose) - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
O23 - Service S3: ProtonVPN Service - C:\Program Files\Proton Technologies\ProtonVPN\ProtonVPNService.exe
O23 - Service S3: ProtonVPN Update Service - C:\Program Files\Proton Technologies\ProtonVPN\ProtonVPN.UpdateService.exe
O23 - Service S3: Servicio de Actualización de Microsoft Edge (edgeupdatem) - (edgeupdatem) - C:\Program Files\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /medsvc
O23 - Service S3: Servicio de Avast Browser Update (avastm) - (avastm) - C:\Program Files\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /medsvc
O23 - Service S3: Servicio de Brave Update (bravem) - (bravem) - C:\Program Files\BraveSoftware\Update\BraveUpdate.exe /medsvc
O23 - Service S3: Servicio de Google Update (gupdatem) - (gupdatem) - C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc


--
End of file - Time spent: 16,7 sec. - 24522 bytes, CRC32: FFFFFFFF. Sign: 趄

:pensive: ayuda por favor, ahora mis apps se cierran solas y no puedo usar ningun ejecutable

1 me gusta

Hola buenas @fliparts

Actualmente tengo poquísimo tiempo para el foro. De forma excepcional intentaré atender tu caso pero no se sí con el paso de los días le podré dar continuidad. Pero se va a intentar.

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Inicia de nuevo el equipo desde el :arrow_forward: Modo Seguro – con funciones de Red, de Windows. Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando Red en lugar de Mínimo) y si no el 2 (también Red).

Una vez iniciado en este modo, empiezas haciendo todos los pasos que te pondré a continuación.

P.D.: Si el quipo no te arrancase en Modo seguro (cosa que puede pasar), me lo dices e intentaremos arreglar el sistema para que arranque en Modo Seguro. Pues hay malwares que ya se encargaran de que no puedas iniciar en Modo Seguro.

  1. Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es muy importante no reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.

Me explico, por ejemplo: has iniciado la máquina en Modo Seguro con funciones de Red, has ejecutado Rkill y seguidamente realizas un Análisis con Malwarebytes. Este te detecta infecciones y te pide reiniciar la máquina para poder finalizar exitosamente su desinfección. Seguidamente, yo te he indicado que ejecutes por ejemplo el ESET Online Scanner, pues bien como no hemos acabado de desinfectar la máquina y estamos realizando el proceso de desinfección, y has tenido que reiniciar, ya que te lo ha pedido Malwarebytes pues debes de ejecutar nuevamente Rkill y después acto seguido el ESET ONline.

¿Me entiendes?

Si por ejemplo, incluso con Rkill, Malwarebytes AntiMalware o la herramienta que sea que te he pedido que utilices, ves que se bloquea y que al cabo de un buen rato no responde. Pues pasas a la siguiente y me informas de ello. Y así con todas. ¿OK? ¿Se entiende?

Realizas lo siguiente:

  1. Manual Malwarebytes Anti-Rootkit Beta sigues las instrucciones de su manual y me traes sus correspondientes Informes de análisis: Mbar-log.txt y System-log.txt tal como se indica en su manual.

  2. Descarga, instala y ejecuta TDSKiller de acuerdo a su Manual TDSKiller. Marca todas las casillas (Loaded Modules, Verify file digital signatures y Detect TDLFS file system). Sí te pide reiniciar lo haces, ejecutas de nuevo la herramienta y al marcar nuevamente las casillas que te he dicho, ya te dejara analizar.

  3. Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

    • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

    1. Analizar objetos en memoria

    2. Analizar configuracion de inicio y registro

    3. Analizar dentro de los archivos

    • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
    • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

EN TU PRÓXIMA RESPUESTA

  • Respondes a las preguntas que te haya realizado.
  • Traes los reportes de Malwarebytes Anti-Rootkit, TDSKiller y Malwarebytes.
  • Comentas el estado en general del ordenador respecto al problema inicial planteado.

Salu2.

Oooooh! muchisimas gracias por responder, intentaré hacerlo, pero ya tengo descargados todos o casi todos esos programas y ya no me permite ejecutar nada :sob: voy a volver a intentarlo en el orden que me indicas

1 me gusta

Haz EXACTAMENTE todo lo que te he dicho al pie de la letra.

Estoy convencido de que TODOS los programas que digo, hay alguno de que no lo tienes descargado.

Quita el resto de máquinas/dispositivos de la Red y deja solo este afectado.

Salu2.

1 me gusta

Mbar log

www.malwarebytes.org

Database version:
  main:    v2022.06.30.01
  rootkit: v2022.06.30.01

Windows 7 Service Pack 1 x86 NTFS (Safe Mode/Networking)
Internet Explorer 11.0.9600.19129
SOL :: SOL-PC [administrator]

29/06/2022 22:47:41
mbar-log-2022-06-29 (22-47-41).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 144204
Time elapsed: 29 minute(s), 

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 2
C:\Users\SOL\AppData\Roaming\Windows_Activator\Windows Activator.exe (RiskWare.WinActivator) -> Delete on reboot. [bcdd7a166194b086f6d3a489877c45bb]
C:\Program Files\DAEMON Tools Pro\2.exe (HackTool.FilePatch) -> Delete on reboot. [2673d3bdb1440f272f3d802cd233cb35]

Physical Sectors Detected: 0
(No malicious items detected)

(end)

System log MB

Malwarebytes Anti-Rootkit BETA 1.10.3.1001

(c) Malwarebytes Corporation 2011-2012

OS version: 6.1.7601 Windows 7 Service Pack 1 x86

System is currently in a safe mode

Account is Administrative

Internet Explorer version: 11.0.9600.19129

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED
CPU speed: 3.013000 GHz
Memory total: 3757367296, free: 2395955200

Downloaded database version: v2022.06.30.01
Host not found
Downloaded database version: v2022.06.30.01
Downloaded database version: v2022.06.30.01
Downloaded database version: v2018.01.20.01
=======================================
Initializing...
Driver version: 4.3.0.15
------------ Kernel report ------------
     06/29/2022 22:47:31
------------ Loaded modules -----------
\SystemRoot\system32\ntkrnlpa.exe
\SystemRoot\system32\halmacpi.dll
\SystemRoot\system32\kdcom.dll
\SystemRoot\system32\mcupdate_AuthenticAMD.dll
\SystemRoot\system32\PSHED.dll
\SystemRoot\system32\BOOTVID.dll
\SystemRoot\system32\CLFS.SYS
\SystemRoot\system32\CI.dll
\SystemRoot\system32\drivers\Wdf01000.sys
\SystemRoot\system32\drivers\WDFLDR.SYS
\SystemRoot\system32\DRIVERS\ACPI.sys
\SystemRoot\system32\DRIVERS\WMILIB.SYS
\SystemRoot\system32\DRIVERS\msisadrv.sys
\SystemRoot\system32\DRIVERS\pci.sys
\SystemRoot\system32\DRIVERS\vdrvroot.sys
\SystemRoot\System32\drivers\partmgr.sys
\SystemRoot\system32\DRIVERS\volmgr.sys
\SystemRoot\System32\drivers\volmgrx.sys
\SystemRoot\system32\DRIVERS\pciide.sys
\SystemRoot\system32\DRIVERS\PCIIDEX.SYS
\SystemRoot\System32\drivers\mountmgr.sys
\SystemRoot\system32\DRIVERS\atapi.sys
\SystemRoot\system32\DRIVERS\ataport.SYS
\SystemRoot\system32\drivers\nvstor.sys
\SystemRoot\system32\drivers\storport.sys
\SystemRoot\system32\DRIVERS\nvstor32.sys
\SystemRoot\system32\drivers\amdxata.sys
\SystemRoot\system32\drivers\fltmgr.sys
\SystemRoot\system32\drivers\fileinfo.sys
\SystemRoot\System32\Drivers\Ntfs.sys
\SystemRoot\System32\Drivers\msrpc.sys
\SystemRoot\System32\Drivers\ksecdd.sys
\SystemRoot\System32\Drivers\cng.sys
\SystemRoot\System32\drivers\pcw.sys
\SystemRoot\System32\Drivers\Fs_Rec.sys
\SystemRoot\system32\drivers\ndis.sys
\SystemRoot\system32\drivers\NETIO.SYS
\SystemRoot\System32\Drivers\ksecpkg.sys
\SystemRoot\System32\drivers\tcpip.sys
\SystemRoot\System32\drivers\fwpkclnt.sys
\SystemRoot\system32\DRIVERS\vmstorfl.sys
\SystemRoot\system32\DRIVERS\volsnap.sys
\SystemRoot\System32\drivers\rdyboost.sys
\SystemRoot\System32\Drivers\mup.sys
\SystemRoot\System32\drivers\hwpolicy.sys
\SystemRoot\System32\DRIVERS\fvevol.sys
\SystemRoot\system32\DRIVERS\disk.sys
\SystemRoot\system32\DRIVERS\CLASSPNP.SYS
\SystemRoot\system32\drivers\aswArDisk.sys
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\drivers\VIDEOPRT.SYS
\SystemRoot\System32\drivers\watchdog.sys
\SystemRoot\system32\drivers\rdpencdd.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\tdx.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\drivers\afd.sys
\SystemRoot\system32\drivers\aswRdr2.sys
\SystemRoot\System32\DRIVERS\netbt.sys
\SystemRoot\system32\DRIVERS\wfplwf.sys
\SystemRoot\system32\DRIVERS\pacer.sys
\SystemRoot\system32\DRIVERS\vpcnfltr.sys
\SystemRoot\system32\DRIVERS\vwififlt.sys
\SystemRoot\system32\drivers\aswNetHub.sys
\SystemRoot\system32\DRIVERS\aswNetNd6.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\drivers\nsiproxy.sys
\SystemRoot\system32\drivers\csc.sys
\SystemRoot\System32\Drivers\dfsc.sys
\SystemRoot\system32\DRIVERS\tunnel.sys
\SystemRoot\system32\DRIVERS\usbohci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\nvm62x32.sys
\SystemRoot\system32\DRIVERS\blbdrive.sys
\SystemRoot\system32\DRIVERS\CompositeBus.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\system32\DRIVERS\AgileVpn.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\rassstp.sys
\SystemRoot\system32\DRIVERS\rdpbus.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\umbus.sys
\SystemRoot\system32\DRIVERS\vpchbus.sys
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\mouhid.sys
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\kbdhid.sys
\SystemRoot\system32\drivers\aswKbd.sys
\SystemRoot\System32\Drivers\crashdmp.sys
\SystemRoot\System32\Drivers\dump_diskdump.sys
\SystemRoot\System32\Drivers\dump_nvstor32.sys
\SystemRoot\System32\Drivers\dump_dumpfve.sys
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\drivers\dxg.sys
\SystemRoot\System32\TSDDD.dll
\SystemRoot\System32\framebuf.dll
\SystemRoot\System32\ATMFD.DLL
\SystemRoot\system32\DRIVERS\nwifi.sys
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\system32\DRIVERS\bowser.sys
\SystemRoot\System32\drivers\mpsdrv.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\system32\DRIVERS\mrxsmb10.sys
\SystemRoot\system32\DRIVERS\mrxsmb20.sys
\??\C:\Windows\system32\drivers\mbamchameleon.sys
\??\C:\Windows\system32\drivers\6777731B.sys
\Windows\System32\ntdll.dll
\Windows\System32\smss.exe
\Windows\System32\apisetschema.dll
\Windows\System32\autochk.exe
----------- End -----------
Done!

Scan started
Database versions:
  main:    v2022.06.30.01
  rootkit: v2022.06.30.01

<<<2>>>
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffffffff8635c030, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff8635ce48, DeviceName: Unknown, DriverName: \Driver\aswArDisk\
DevicePointer: 0xffffffff8635b360, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xffffffff8635c030, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xffffffff85348af0, DeviceName: Unknown, DriverName: \Driver\ACPI\
DevicePointer: 0xffffffff8534ab38, DeviceName: \Device\00000065\, DriverName: \Driver\nvstor32\
------------ End ----------
Alternate DeviceName: Unknown, DriverName: \Driver\partmgr\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning drivers directory: C:\WINDOWS\SYSTEM32\drivers...
Done!
Drive 0
This is a System drive
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: F3F7EA96

Partition information:

    Partition 0 type is Primary (0x7)
    Partition is ACTIVE.
    Partition starts at LBA: 63  Numsec = 976751937
    Partition is bootable
    Partition file system is NTFS

    Partition 1 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0
    Partition is not bootable

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0
    Partition is not bootable

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0
    Partition is not bootable

Disk Size: 500107862016 bytes
Sector size: 512 bytes

Done!
Infected: C:\Users\SOL\AppData\Roaming\Windows_Activator\Windows Activator.exe --> [RiskWare.WinActivator]
Infected: C:\Program Files\DAEMON Tools Pro\2.exe --> [HackTool.FilePatch]
Scan finished
Creating System Restore point...
Could not create restore point...
Cleaning up...
Removal scheduling successful. System shutdown needed.
System shutdown occurred
=======================================


Removal queue found; removal started
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\VBR-0-0-63-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-r.mbam...
Removal finished

No me di cuenta del reporte de RKill, lo pongo aquí

http://www.bleepingcomputer.com/
Copyright 2008-2022 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 06/30/2022 01:29:27 AM in x86 mode. (Safe Mode)
Windows Version: Windows 7 Ultimate Service Pack 1

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * Windows Defender Disabled

   [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender]
   "DisableAntiSpyware" = dword:00000001

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 06/30/2022 01:29:58 AM
Execution time: 0 hours(s), 0 minute(s), and 31 seconds(s)

Descargué todos los programas, reinicié en modo seguro y los pasé en el orden indicado. El RKill no encontró nada, el Malwarebytes Anti-Rootkit Beta encontró 2 malware y los puso en cuarentena, me pidió reiniciar y lo hice para volver a entrar en modos seguro y continuar con el proceso. El TDSKiller no encontró nada y el Malwarebytes no puedo utilizarlo, en modo seguro me dice que necesito actualizar los modulos de seguridad de windows, despliega una ventana que pregunta si quiero saber mas al respecto, digo que si y en resumen dice que debo instalar el service pack1 de windows 7 que es el sistema operativo que tengo, intento instalarlo y me dice que no porque ya lo tengo instalado, probé dar boton derecho en el simbolo de sistema y sí me permitió entrar como administrador, reinicié la computadora en modo normal y al iniciar windows el TDSKiller hizo un scan automatico y tampoco detectó nada, tengo el informe del TDSKiller, pero no lo subí porque es muy largo y tendria que dividirlo en 4 respuestas porque supera el numero de caracteres permitidos y no se si valga la pena en virtud de que no encontró nada. Intenté usar el Malwarebytes y tampoco puedo, salta el mensaje de error de mi primer post y tampoco me deja ejecutar el simbolo de sistema o cualquier programa como administrador. El sujeto que me acosa ha entrado en mi discord y obtuvo informacion personal que ahora está publicando en el servidor, afortunadamente no es nada delicado, pero no deja de preocuparme porque puede tener las claves de mis redes sociales tambien… Cambié unicamente las de mis correos elecronicos porque ya es muy tarde, mañana continuaré cambiando claves, muchas gracias por tu ayuda @Marr0n :slightly_smiling_face:

1 me gusta

Todo esto OK.

Súbelo, pero solo en 2 mensajes. Subes en el primer mensaje la parte inicial del reporte hasta el máximo de caracteres permitidos que te deje. Lo mismo para la parte final del informe.

OK.

Más que cambiarlas, denúncialo en las correspondientes plataformas afectadas de estas cuentas. De momento desvincula todas estas cuentas de la máquina infectada y cambia las credenciales desde una máquina segura y totalmente ajena a la máquina infectada y también a esta red. También activa el 2FA para todas esas cuentas siempre que esté permitido.

OK :+1: @fliparts de nada.

EN BUSCA / ELIMINACIÓN DE MALWARE

:one: Desactivas tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?

:warning: Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

:two: Farbar Recovery Scan Tool

  1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

  2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

  3. En la ventana principal del programa presionas sobre Analizar/Scan y esperas a que finalice el análisis.

  4. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

:three: Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

:four: PRÓXIMA RESPUESTA

Pegas los reportes de FRST.txt y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

2 Me gusta

Addition.txt (43,0 KB)

FRST.txt (42,2 KB)

@Marr0n creo que lo he vuelto a hacer mal :sweat_smile:

Lo estoy haciendo como me dices y queda igual que el anterior, así que le quité los corchetes y ahora está para descargar :see_no_evil:

Captura

@Marr0n abri el administrador de archivos y encontré que CMD estaba activo y yo no puedo usarlo, así que maté el proceso e inmediatamente maté todos los procesos que me parecieron sospechosos. Unos minutos despues habia un proceso con el nombre de msoia.exe, que dice que es de office y yo no estoy usando nada de office, así que lo maté tambien.

Crees que sea mejor formatear la computadora?

1 me gusta

Hola buenas @fliparts

No hagas absolutamente nada que Yo no te indiqué. Estamos realizando un proceso complejo, no tomes acciones por tu cuenta de forma independiente.

En principio NO.

Salu2.

1 me gusta

Hola, buenas @fliparts

:zero: PREGUNTAS

De todo este Listado:

ABBYY FineReader 12 Corporate (HKLM\...\{F12000CE-0001-0000-0000-074957833700}) (Version: 12.1.609 - ABBYY Production LLC)
[email protected] ISO Burner 4 (HKLM\...\{3B756F35-2504-429A-B36C-EA0961B6A2C0}_is1) (Version: 4 - LSoft Technologies Inc)
AVS Audio Converter 8.3.2 (HKLM\...\AVS Audio Converter_is1) (Version: 8.3.2.575 - Online Media Technologies Ltd.)
AVS Audio Editor 8.3.2 (HKLM\...\AVS Audio Editor_is1) (Version: 8.3.2.515 - Online Media Technologies Ltd.)
AVS Disc Creator 5.2.8 (HKLM\...\AVS Disc Creator_is1) (Version: 5.2.8.542 - Online Media Technologies Ltd.)
AVS Document Converter 3.1.2 (HKLM\...\AVS Document Converter_is1) (Version: 3.1.2.247 - Online Media Technologies Ltd.)
AVS Image Converter 4.1.2 (HKLM\...\AVS Image Converter_is1) (Version: 4.1.2.287 - Online Media Technologies Ltd.)
AVS Media Player 4.4.1 (HKLM\...\AVS Media Player_is1) (Version: 4.4.1.119 - Online Media Technologies Ltd.)
AVS Photo Editor 2.3.6 (HKLM\...\AVS Photo Editor_is1) (Version: 2.3.6.152 - Online Media Technologies Ltd.)
AVS Registry Cleaner 3.0.5 (HKLM\...\AVS Registry Cleaner_is1) (Version: 3.0.5.275 - Online Media Technologies Ltd.)
AVS Video Converter 9.5.1 (HKLM\...\AVS4YOU Video Converter 7_is1) (Version: 9.5.1.600 - Online Media Technologies Ltd.)
AVS Video Editor 7.5.1 (HKLM\...\AVS Video Editor_is1) (Version: 7.5.1.288 - Online Media Technologies Ltd.)
AVS Video ReMaker 5.1.1 (HKLM\...\AVS Video ReMaker_is1) (Version: 5.1.1.187 - Online Media Technologies Ltd.)
Cisco EAP-FAST Module (HKLM\...\{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}) (Version: 2.2.14 - Cisco Systems, Inc.)
Cisco LEAP Module (HKLM\...\{AF312B06-5C5C-468E-89B3-BE6DE2645722}) (Version: 1.0.19 - Cisco Systems, Inc.)
Cisco PEAP Module (HKLM\...\{0A4EF0E6-A912-4CDE-A7F3-6E56E7C13A2F}) (Version: 1.1.6 - Cisco Systems, Inc.)
ES (HKLM\...\{CBFAD664-763E-4A7D-BF92-BB0E493F3C66}) (Version: 13.0 - Corel Corporation) Hidden
FontLab 7 (32-bit) (HKLM\...\FontLab 7_is1) (Version: 7.0.0.0 - FontLab)
FontNav (HKLM\...\{4E98F23B-1328-4322-A6EC-2EDC8FC3A4FE}) (Version: 5.0 - Corel Corporation) Hidden
Free AVI Video Converter version 5.0.26.628 (HKLM\...\Free AVI Video Converter_is1) (Version: 5.0.26.628 - DVDVideoSoft Ltd.)
HDD Regenerator (HKLM\...\{2445981B-A23B-4A0E-AD15-3D391BDAEC3E}) (Version: 1.71.0012 - Abstradrome)
JDownloader 2 (HKLM\...\jdownloader2) (Version: 2.0 - AppWork GmbH)
LINE (HKU\S-1-5-21-2912036556-3192700604-2687502568-1000\...\LINE) (Version: 6.7.4.2508 - LINE Corporation)
MPC-HC 1.7.13 (HKLM\...\{2624B969-7135-4EB1-B0F6-2D8C397B45F7}_is1) (Version: 1.7.13 - MPC-HC Team)
MSVCRT Redists (HKLM\...\{0B973521-269F-11E1-8ED3-F04DA23A5C58}) (Version: 1.0 - Sony Creative Software Inc.) Hidden
PC VGA [email protected] Plus (HKLM\...\{A59AB961-BE82-41E0-B0FB-648DFA6DDEA4}) (Version: 1.0.0.19 - Aecotech)
ProtonVPN (HKLM\...\{CC56589D-2FE8-4B38-9024-0ABCD9F3CB0E}) (Version: 1.16.1 - Proton Technologies AG) Hidden
ProtonVPN (HKLM\...\ProtonVPN 1.16.1) (Version: 1.16.1 - Proton Technologies AG)
ProtonVPNTap (HKLM\...\{BCB82CD9-F514-4F93-A6D9-F898494DC927}) (Version: 1.1.0 - Proton Technologies AG)
Python 2.7.17 (HKLM\...\{9255D53C-6C21-4664-AAF3-6EAC50F867D9}) (Version: 2.7.17150 - Python Software Foundation)
Ralink RT2870 Wireless LAN Card (HKLM\...\{28DA7D8B-F9A4-4F18-8AA0-551B1E084D0D}) (Version: 1.5.31.3 - Ralink)
REALTEK Wireless LAN Driver (HKLM\...\{B63CCD1C-A133-4DF8-8306-DA0387231152}) (Version: 1.00.0262 - REALTEK Semiconductor Corp.)
Speccy (HKLM\...\Speccy) (Version: 1.32 - Piriform)
Total Video Converter 3.71 100812 (HKLM\...\Total Video Converter 3.71_is1) (Version:  - EffectMatrix Inc.)
UltraISO Premium V9.72 (HKLM\...\UltraISO_is1) (Version:  - )
Update Manager (HKLM\...\{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}) (Version: 4.60 - Corel Corporation) Hidden
uTorrent Web (HKU\S-1-5-21-2912036556-3192700604-2687502568-1000\...\utweb) (Version: 1.0.8 - BitTorrent, Inc.)
VBA (HKLM\...\{C94E45B0-6AA6-4FB9-9AAE-22085F631880}) (Version: 6.2 - Corel Corporation) Hidden
VIA Administrador de dispositivos de plataforma (HKLM\...\InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}) (Version: 1.34 - VIA Technologies, Inc.)
WebView2 Runtime de Microsoft Edge (HKLM\...\Microsoft EdgeWebView) (Version: 103.0.1264.37 - Microsoft Corporation)
Windows XP Mode (HKLM\...\{1374CC63-B520-4f3f-98E8-E9020BF01CFF}) (Version: 1.3.7600.16422 - Microsoft Corporation)
ZBrush 4R7 (HKLM\...\ZBrush 4R7 4R7) (Version: 4R7 - Pixologic)

Dime por cada software/programa si lo reconoces, si tiene sentido que este instalado en tu máquina o si por el contrario no sabes que es y tu nunca lo instalaste en esta.

También dime ambsolutamente todos los programas que sean piratas :pirate_flag: o de dudosa procedencia.

POR COSAS QUE HE VISTO, DEDUZCO QUE TU WINDOWS ES PIRATA :pirate_flag: ¿CIERTO?

:one: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
Folder: C:\$AV_ASW
Folder: C:\Users\SOL\AppData\Roaming\Windows_Activator
Folder: C:\Users\SOL\AppData\Roaming\MPC-HC
Folder: C:\Windows\system32\Tasks\{546B6493-32F3-4C69-8D94-DB8F220BD4EE}
Folder: C:\Windows\system32\Tasks\{6C2E73C0-152A-4D36-BCF3-BDFAF47F7165}
Folder: C:\Windows\system32\Tasks\{37A07019-CAEA-41B4-A66D-B8640DBE2CEF}
Folder: C:\Windows\system32\Tasks\cointiplay noche
Folder: C:\Windows\system32\Tasks\cointiplay
Folder: C:\Windows\system32\Tasks\{1BA69EC7-F73B-45F5-93B8-12E595964CEB}
Folder: C:\Windows\system32\Tasks\{84494307-DCAA-4F71-9BC3-D16DA5ACF713}
File: C:\Windows\system32\rtp.db

HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-2912036556-3192700604-2687502568-1000\...\Run: [] => [X]
HKU\S-1-5-21-2912036556-3192700604-2687502568-1000\...\MountPoints2: {8601d4af-2b4a-11ea-b9c0-002522eef938} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2912036556-3192700604-2687502568-1000\...\MountPoints2: {e585f1a7-7f4a-11eb-9fee-002522eef938} - D:\HiSuiteDownLoader.exe
GroupPolicy: Restricción ? <==== ATENCIÓN
GroupPolicy-Firefox: Restricción <==== ATENCIÓN
Policies: C:\ProgramData\NTUSER.pol: Restricción <==== ATENCIÓN
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
GroupPolicy: Restricción ? <==== ATENCIÓN
GroupPolicy-Firefox: Restricción <==== ATENCIÓN
Policies: C:\ProgramData\NTUSER.pol: Restricción <==== ATENCIÓN
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
Winsock: Catalog5 01 %SystemRoot%\system32\NLAapi.dll => Ningún archivo  ATENCIÓN: LibraryPath debería ser "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 02 %SystemRoot%\system32\napinsp.dll => Ningún archivo  ATENCIÓN: LibraryPath debería ser "%SystemRoot%\system32\napinsp.dll"
Winsock: Catalog5 03 %SystemRoot%\system32\pnrpnsp.dll => Ningún archivo  ATENCIÓN: LibraryPath debería ser "%SystemRoot%\system32\pnrpnsp.dll"
Winsock: Catalog5 04 %SystemRoot%\system32\pnrpnsp.dll => Ningún archivo  ATENCIÓN: LibraryPath debería ser "%SystemRoot%\system32\pnrpnsp.dll"
Winsock: Catalog5 05 %SystemRoot%\System32\mswsock.dll => Ningún archivo  ATENCIÓN: LibraryPath debería ser "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5 06 %SystemRoot%\System32\winrnr.dll => Ningún archivo  ATENCIÓN: LibraryPath debería ser "%SystemRoot%\System32\winrnr.dll"
Winsock: Catalog5 07 %SystemRoot%\system32\wshbth.dll => Ningún archivo 
U1 aswbdisk; no ImagePath
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2022-06-29 23:28 - 2018-10-02 16:43 - 000000000 ____D C:\Users\SOL\AppData\Roaming\Windows_Activator
ContextMenuHandlers1: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Ningún archivo
ContextMenuHandlers4: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Ningún archivo
ContextMenuHandlers5: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Ningún archivo
AlternateDataStreams: C:\ProgramData\TEMP:1AAB2E68 [183]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\93692790.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\93692790.sys => ""="Driver"

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

Salu2.

Hola, sí, reconozco todos los programas, los instalé yo, pero hace mas de un año que no instalo nada a excepción del line y ese es de la web oficial, la gran mayoria son pirateados, incluido el windows, los descargo hace muchos años de una web con la que nunca he tenido problemas.

No sé si sea importante, pero te comento que mi sesion de discord se cerraba sola cuando yo estaba AFK, obviamente cada vez que se cerraba yo cambié la contraseña y no permití que el navegador la guardara pero continuaba ocurriendo, discord tambien me pedia constantemente switchear a otro dispositivo de sonido despues de que desenchufé la cam, pero es que yo no tengo mas dispositivos de sonido (la cam tiene microfono y es el unico que tengo), así que le daba a cancelar, se lo comenté a mi hijo y él me sugirió que usara la APP para pc en lugar del navegador, seguí su consejo y no volvió a cerrase la sesion ni a saltar el mensaje de audio.

Todo esto incluido lo del CDM y no poder ejecutar programas como administrador empezó hace cosa de un mes, fue paulatino, quizá yo esté paranoica, pero tengo la sensacion de que en la medida en que yo fui notando irregularidades, se fueron capando funciones e incrementandose los eventos extraños.

Seguiré tus instrucciones al pie de la letra y publicaré los reportes, gracias por tu atencion y tiempo @Marr0n :blush:

Buenos días @Marr0n no he podido hacer nada porque estoy sin internet desde ayer :s en cuanto tenga me pongo manos a la obra y posteo los informes.

Ya pude descargar el Delfix, pero no puedo ejecutarlo de ninguna forma, ni con botón derecho en modo administrador, ni con doble click :woozy_face: pasa lo de siempre, salta el mensaje que publiqué en mi primer post, dice que Windows no puede encontrar el archivo que me asegure de que el nombre esté escrito correctamente y que lo intente de nuevo…

1 me gusta

Hola buenas @fliparts

Primero de todo disculpa que haya tardado en responder.

OK, perfecto.

OK.

OK.

OK.

Ok, :+1: pues inicias el equipo en modo seguro con funciones de red. Ejecutas el rkill, después DelFix y sigues posteriormente con el FRST. En definitiva, realizas el mismo procedimiento que realizaste para ejecutar el TDSKILLER y el mbar pero en este caso DelFix + FRST, pero utilizando el rkill.

Me comentas.

Salu2.

2 Me gusta

Hola, hice todo lo indicado, aquí está el reporte:

Fixlog.txt (13,6 KB)

El CMD se sigue ejecutando automaticamente en segundo plano y continuo sin poder usar el modo administrador ni tampoco ejecutar la mayoria de programas aunque sea con doble click

1 me gusta

Ok :+1:

Sigamos pues…

:zero: Inicias el ordenador en Modo Seguro.

Seguidamente, TE ASEGURAS DE QUE TODOS LOS PROGRAMAS ESTÉN CERRADOS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CMD: sfc /scannow
CMD: findstr /c:"[SR]" %windir%\logs\cbs\cbs.log > "%userprofile%\desktop\sfcdetails.txt"

END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal y traes el reporte (FIXLOG.TXT). También necesitaré el log que se encuentra en: %userprofile%\desktop\sfcdetails.txt.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

Salu2.

P.D.: Si no puedes iniciar FRST, primero rkill y después FRST. Por cierto, tráeme también el anterior log de rkill antes de cuando ejecutaste el FRST para generar el Fixlog.

1 me gusta

Voy a eso :blush: :+1: dejo el Log de Rkill mientras

Rkill.txt (1,9 KB)

@Marr0n creo que descubrí algo importante, el CMD está anclado al navegador, es decir, si yo abro el navegador se inicia el CMD y hay otro proceso que siempre mato y que tambien está anclado al navegador, es el unsecapp.exe. :woozy_face:

aquí estan los reportes:

Fixlog.txt (8,2 KB)

sfcdetails.txt (29,7 KB)

cuando lo hago así queda mal, no sé por qué, copio la sintaxis tal cual me la escribes, así que simplemente lo estoy arrastrando y se copia automaticamente.

1 me gusta

Hola buenas @fliparts

Ok, perfecto.

Ok.

Ok, ha reparado correctamente.

Tenías problemas de integridad o de estabilidad en tu sistema. En principio los ha reparado correctamente, pero aún no hemos acabado. Pero vamos avanzando y por buen camino.

Ok, también es otra opción totalmente válida. Así que sí, a ti te va :+1:, pues ami también, perfecto.

Quiero ver de nuevo el Estado Actual de la Máquina después de las dos intervenciones que hemos hecho con FARBAR. Así que:

EN BUSCA / ELIMINACIÓN DE MALWARE

:one: Desactivas tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?

:warning: Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

:two: Farbar Recovery Scan Tool

  1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

  2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

  3. En la ventana principal del programa presionas sobre Analizar/Scan y esperas a que finalice el análisis.

  4. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

:three: Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

:four: PRÓXIMA RESPUESTA

Pegas los reportes de FRST.txt y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

1 me gusta

Hola buenas @fliparts

¿Pudiste realizar algún avance acerca de las instrucciones que te dije?

Salu2.