Buenos días amigos, Mi Pc funciona creería yo bien, pero me salta una duda. Cada vez que reinicio el sistema operativo me sale una ventana con código de fuente, indicando que presine una tecla para continuar. Anexo un Printscreen de dicha mensaje.
Me gustaría saber si es algo malo y si fuera el caso como eliminarlo.
No puedo subir el Printscreen, les indico parte del mensaje:
c:\Program Flis (x86)\install>xlarig.exe --coin monero -o xmr.2miner…
Presione una tecla para continuar…
Como podras ver, el sistema de nuestro foro se basa en meritos, necesitas participar en el foro para conseguir algunos de ellos para poder subir imagenes o adjuntar archivos
Como estas seguro de que tu equipo esta infectado, deberíamos empezar con un procedimiento “básico” para detectar y eliminar malware en tu sistema. Dicho procedimiento se basa en nuestra guía de detección/eliminación con algunos ajustes
Tomando estas consideraciones en cuenta Por favor, realiza lo siguiente:
Conecta cualquier dispositivo extraíble como pendrives USB, tarjetas SD o discos duros externos que hayan tenido acceso al equipo. Debes mantenerlos conectados durante todo el procedimiento
Deshabilita tu Antivirus y toda protección residente que tengas para que no interfieran en la ejecución de las herramientas. Mantenlos deshabilitados durante todo el procedimiento
Descargue y ejecute la utilidad Rkill by Grinler(renombrada bajo el nombre de “iExplore.exe”) para evitar el bloqueo de los malwares. Una vez que esta fue ejecutada, es importante no reiniciar el sistema hasta que se le solicite.
Descargar Malwarebytes 4.xen el Escritorio. Lo instalas y ejecutas Realizas un Análisis Personalizado a tu equipo siguiendo las siguientes instrucciones
En tu próxima respuesta debes traernos el reporte de Malwarebytes Sigue las siguientes instrucciones para acceder a el y pegarlo en el foro
Realiza un Análisis Personalizado a tu equipo con Eset Online Scanner siguiendo las instrucciones del siguiente manual
Es muy importante que selecciones todo lo que Eset detecte y lo mandes todo a cuarentena Asegúrate de guardar su reporte Este deberas entregarlo junto con tus respuestas.
Cuando respondas:
Debes traer los reportes de las herramientas que logres ejecutar
Debes comentarnos cualquier problema que haya surgido antes, durante y después del procedimiento
Necesitamos saber si el o los problemas planteados en tu consulta se siguen presentando y con que frecuencia
Debes decirnos como esta funcionando el equipo y cualquier otro comportamiento extraño que observes
Te dejo estos enlaces, por si tienes alguna duda de como poner los reportes o necesitas agregar imágenes a tu consulta
Asi mismo anexo resumen del scan realizado con malwarebytes.
[code] Malwarebytes
-Detalles del registro-
Fecha del análisis: 4/9/23
Hora del análisis: 17:47
Archivo de registro: 091f4820-4b75-11ee-8d8c-b04f13043cd0.json
-Información del software-
Versión: 4.6.1.280
Versión de los componentes: 1.0.2117
Versión del paquete de actualización: 1.0.74863
Licencia: Prueba
-Información del sistema-
SO: Windows 11 (Build 22621.2215)
CPU: x64
Sistema de archivos: NTFS
Usuario: PAOLOJP-C\Paolo Jarrin
-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 1584582
Amenazas detectadas: 15
Amenazas en cuarentena: 10
Tiempo transcurrido: 42 min, 37 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)
Módulo: 0
(No hay elementos maliciosos detectados)
Clave del registro: 0
(No hay elementos maliciosos detectados)
Valor del registro: 0
(No hay elementos maliciosos detectados)
Datos del registro: 0
(No hay elementos maliciosos detectados)
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 0
(No hay elementos maliciosos detectados)
Archivo: 15
Trojan.MalPack, D:\NO BORRAR\FOXIT PHANTOM\CRACK\1\SETUP_32X_64X.EXE, En cuarentena, 161, 999100, 1.0.74863, , ame, , B3D8C50358A58ECC6214F7D66F70849A, 560A39FCBB3217BF366730DE5409F47737D4D2704D2A7E9B328C58981F8E9ADC
HackKMS.HackTool.RiskWare.DDS, D:\NO BORRAR\OFFICE 2019 ONLINE\2\MICROSOFT OFFICE 2019 + LICENCIA HVXPRESSPRO.RAR, Sin acciones por parte del usuario, 1000002, 0, 1.0.74863, 98CE24D8075D578D149D36D2, dds, 02459338, 837331BF502C8256EA7AD7D4B2C793E0, 499AA2600E6DC44FE8B595845AFF165034BC6E4AF978B6810FAA0633A120A2C7
HackKMS.HackTool.RiskWare.DDS, D:\NO BORRAR\OFFICE 2019 ONLINE\1\MICROSOFT OFFICE 2019 (ACTIVADO) [WWW.PCLIFETUTORIALES.COM].RAR, Sin acciones por parte del usuario, 1000002, 0, 1.0.74863, 673F37BAA4384E6673473D16, dds, 02459338, A44C93BFA1A0E7BA8627467C0F3055B9, 45165AEDC12A322E1A4D35FAA7077BA2299E69D20392E0C36526F5F892A20ACE
HackTool.KMS, D:\NO BORRAR\KMSAUTO\KMSAUTO-SETUP.EXE, Sin acciones por parte del usuario, 7109, 976682, 1.0.74863, , ame, , 24FDA4E7B61C1E33F4DF54BF9A4E511A, 2D69CA9BD99D8326423E14D50F40E8A1ABFB6D05F000F66B822F13723CCE4D2A
Trojan.BitCoinMiner, D:\NO BORRAR\POLYBOARD\INSTALER\POLYBOARD 7.02B FULL\POLYBOARD 7.02B FULL\POLYBOARD 7.02B.EXE, En cuarentena, 629, 1169373, 1.0.74863, , ame, , 1A7020E4321048CADD6EE982FCA0BDC4, B692928C9E5DF14A6435F5A966F846B3C7FF676789173A902B2A2E01952A0B12
Trojan.BitCoinMiner, D:\NO BORRAR\POLYBOARD\INSTALER\POLYBOARD 7.02B FULL\POLYBOARD 7.02B FULL.ZIP, En cuarentena, 629, 1169373, 1.0.74863, , ame, , D7E1DE4EBCAB581C3B704472CCB631D0, 729BC89AD58EB34F702F6E143919E3C78A6650D251309617C5343F4AEEF7646B
Trojan.BitCoinMiner, D:\NO BORRAR\POLYBOARD\POLYBOARD 7.02B FULL.RAR, En cuarentena, 629, 1169373, 1.0.74863, , ame, , 2DE7D14BFE29E4B8D4E2D2861F571C46, 39AC316EE197146A1B2E639E8FD0BDF273D97BD1713680F01F5B6F8CBCEF4750
HackKMS.HackTool.RiskWare.DDS, D:\NO BORRAR\OFFICE 2021\OINSTALL.EXE, Sin acciones por parte del usuario, 1000002, 0, 1.0.74863, 9CFE79C09CE12A1EFF09B640, dds, 02459338, EBC58647462AD9C76395EF451064D115, 414155BF11893EC64BA0F4FFB7DE92885090845A0761CF8F6743462AA5991D5E
Malware.AI.336108571, F:$RECYCLE.BIN\S-1-5-21-1154616555-4280824771-4063940557-1001$R2IBHK2.ZIP, En cuarentena, 1000000, 336108571, 1.0.74863, 1C71266F3CD1764214089C1B, dds, 02459338, E538FBF97CC61B5922DAFA84C6F92491, 409D4D1199D0D74FF5ABC99FEA1A286BBBF5D5CCE7AD7F29C2C6E3A44A65780C
HackKMS.HackTool.RiskWare.DDS, D:\NO BORRAR\OFFICE 2019 ONLINE\2\MICROSOFT OFFICE 2019 + LICENCIA HVXPRESSPRO\OFFICE\OINSTALL.EXE, En cuarentena, 1000002, 0, 1.0.74863, 673F37BAA4384E6673473D16, dds, 02459338, F71556138C9EB716330063156DB4A6BC, 41FF83C380B958E918C4061C02A6077590D7630A01D7F2F0F448DC1A6FBF284A
Generic.Malware.AI.DDS, D:\NO BORRAR\REVIT\CRACK\XF-2021\X-FORCE2021_64BIT\XF-2020_V2.EXE, En cuarentena, 1000002, 0, 1.0.74863, 53D41A8953B6FE923E076C66, dds, 02459338, 45051225E4E19832BDAB5C82F2B4ECCB, 586612D325F9D2D219DC0DFAA8CCDC38F73B13BCCAF1157CB191580DECEA3539
Generic.Malware.AI.DDS, F:\DOWNLOADS\AUTODESK.AUTOCAD.V2018-XFORCE.ZIP, Sin acciones por parte del usuario, 1000002, 0, 1.0.74863, 7F371EB90C7041F882355A10, dds, 02459338, FAB005E511EDD716DD1930F71F2DC8C3, 1B5C23F87D22ED82641CD9A05B89E5B5A50F56063FB6EA770D8146A6A27AE8C2
Malware.AI.336108571, F:$RECYCLE.BIN\S-1-5-21-1154616555-4280824771-4063940557-1001$RW5XWGJ.EXE, En cuarentena, 1000000, 336108571, 1.0.74863, 1C71266F3CD1764214089C1B, dds, 02459338, 3D85825C2ED18918B0D36DA4EBAAD16D, 317B0E27027ED107EAE51EA2D40819F1D0EC77AE6D937D2191CF6133F6DD5650
Generic.Malware.AI.DDS, F:\DOWNLOADS\KEYGEN_AUTODESK_2018_X64.ZIP, En cuarentena, 1000002, 0, 1.0.74863, 7F371EB90C7041F882355A10, dds, 02459338, BF3375E98C114431BD06AF876E3BFEBB, B33BC37CE50B72E6AB59E01149693AC88C330B0DC4E0BC370E4A2C78DBCCDB3D
Malware.AI.1652449506, F:\WINDOWS\KMSSERVERSERVICE\KMS SERVER SERVICE.EXE, En cuarentena, 1000000, 1652449506, 1.0.74863, 36127ED013EFA105627E60E2, dds, 02459338, 06FB32E8EAA643A61DBB90992329C6E5, 0C975455F67597E285B833785A88A544B1778BB7F923FF897AEDF36D694914F6
Sector físico: 0
(No hay elementos maliciosos detectados)
Estas líneas de tu reporte dicen Sin acciones por parte del usuario por lo que Has decidido conservar estos archivos
HackKMS.HackTool.RiskWare.DDS, D:\NO BORRAR\OFFICE 2019 ONLINE\2\MICROSOFT OFFICE 2019 + LICENCIA HVXPRESSPRO.RAR, Sin acciones por parte del usuario
HackKMS.HackTool.RiskWare.DDS, D:\NO BORRAR\OFFICE 2019 ONLINE\1\MICROSOFT OFFICE 2019 (ACTIVADO) [WWW.PCLIFETUTORIALES.COM].RAR, Sin acciones por parte del usuario
HackTool.KMS, D:\NO BORRAR\KMSAUTO\KMSAUTO-SETUP.EXE, Sin acciones por parte del usuario
HackKMS.HackTool.RiskWare.DDS, D:\NO BORRAR\OFFICE 2021\OINSTALL.EXE, Sin acciones por parte del usuario
Generic.Malware.AI.DDS, F:\DOWNLOADS\AUTODESK.AUTOCAD.V2018-XFORCE.ZIP, Sin acciones por parte del usuario
Estos seguiran siendo detectados por Malwarebytes Espero que ninguno de ellos Sobre todo los activadores de Windows y Office terminen infectando tu equipo con un ransomware
Espero que tu Office y Windows sean legales o Genuinos
El reporte que me dejaste de Malwarebytes muestra que eliminaste a un minero de criptomonedas. Nos falta el reporte de Eset Online Scanner y que nos comentes los siguientes puntos
De esa manera sabremos si la ventana de la que hablas sigue apareciendo o ya no
Si es correcto lo que indicas @JCTecn1cal y gracias nuevamente por el razonamiento que indicas, No hay necesidad de tener esos archivos, las versiones tienen licencia, ya con el scan de ESET quedaron eliminados.
Adjunto reporte,
[code] 4/9/2023 21:31:12
Archivos explorados: 1460657
Archivos detectados: 16
Archivos desinfectados: 16
Tiempo total de exploración 03:20:16
Estado de la exploración: Finalizado
C:\Users\Paolo Jarrin\Documents\UNIVERSIDAD\Tablas y programas\Sap2000 10.0.7 (Ingeniería estructural).rar Win32/HackTool.Patcher.A aplicación potencialmente no segura eliminado
C:\Users\Paolo Jarrin\Downloads\MovaviPhotoManagerSetupF_x64.exe una variante de Win32/Yandex.K aplicación potencialmente no deseada eliminado
D:\NO BORRAR\4C71V4R W1ND0W5 IO\Activación por licencia digital Windows 10\BIN\slc.dll Win32/HackTool.WinActivator.AL aplicación potencialmente no segura desinfectado por eliminación
D:\NO BORRAR\4C71V4R W1ND0W5 IO\Activación por licencia digital Windows 10\W10 Digital License Activation Script.cmd Win32/HackKMS.BK aplicación potencialmente no segura desinfectado por eliminación
D:\NO BORRAR\4C71V4R W1ND0W5 IO\Activación por licencia digital Windows 10 LTSB\BIN\slc.dll Win32/HackTool.WinActivator.AL aplicación potencialmente no segura desinfectado por eliminación
D:\NO BORRAR\OFFICE 2019 ONLINE\1\Microsoft Office 2019 (ACTIVADO) [www.pclifetutoriales.com].rar una variante de Win32/HackTool.KMSAuto.E aplicación potencialmente no segura eliminado
D:\NO BORRAR\OFFICE 2019 ONLINE\2\Microsoft Office 2019 + Licencia HvXpressPro.rar Win64/HackKMS.L aplicación potencialmente no segura,Win32/HackKMS.BA aplicación potencialmente no segura,una variante de Win32/HackTool.KMSAuto.E aplicación potencialmente no segura eliminado
D:\NO BORRAR\OFFICE 2021\OInstall.exe una variante de Win32/HackTool.KMSAuto.E aplicación potencialmente no segura desinfectado por eliminación
D:\NO BORRAR\polyboard\INSTALER\PolyBoard 7.02b Full\PolyBoard 7.02b Full\Q-Patch Activación.exe una variante de Win32/HackTool.Patcher.N aplicación potencialmente no segura desinfectado por eliminación
F:\Downloads\AUTODESK.AUTOCAD.V2018-XFORCE.zip una variante de Win32/Keygen.OX aplicación potencialmente no segura,una variante de Win32/Keygen.OJ aplicación potencialmente no segura contenía archivos infectados
F:\Program Files\KMSpico\scripts\AddExceptionsWD.reg Win32/HackKMS.AZ aplicación potencialmente no segura desinfectado por eliminación
F:\Program Files\KMSpico\scripts\Install_Service.cmd Win32/HackKMS.AZ aplicación potencialmente no segura desinfectado por eliminación
F:\Program Files\KMSpico\scripts\Install_Task.cmd Win32/HackKMS.AZ aplicación potencialmente no segura desinfectado por eliminación
F:\Program Files\KMSpico\scripts\Silent.cmd Win32/HackKMS.AZ aplicación potencialmente no segura desinfectado por eliminación
F:\Program Files (x86)\Panda Security\Panda Security Protection\Perdidos\KMS-QADhook.dll Win64/HackKMS.D aplicación potencialmente no segura desinfectado por eliminación
F:\Users\Flia. Jarrin\AppData\Roaming\BitTorrent Web\btweb.exe una variante de Win32/uTorrent.F aplicación potencialmente no deseada desinfectado por eliminación[/code]
Parece que Eset ya elimino otras cosas, solo te falta decirnos que ha pasado con esto
Recuerda que este “mensaje” es el que te hizó sospechar la presencia de algún malware activo en tu sistema. Necesitamos saber si dicho mensaje sigue apareciendo o ha habido algún cambio al respecto
Hola buenas noches,
Agradecerte nuevamente por estar atento a mi problema.
Es correcto Eset hizo el Analisis y eliminó todo archivo con problema.
Con respecto al la ventana, está sigue saliendo y simplemente lo que hago es cerrarla. Pero me da la impresión que aún se sigue ejecutando algún un archivo automáticamente.
Estaré atento a tus comentarios
Sobre la lista de programas:
Me llama la atención el programa Combo Cleaner que supuestamente es un optimizador además de antimalware
Como antimalware no vale la pena si se trata de alguno de esos programas que te hacen pagar para poder llevar a cabo la "desinfección. Deberias desinstalarlo a menos que desees conservarlo por las dos funciones gratuitas que ya he mencionado o hayas adquirido su versión premium
No veo ningún antivirus de renombre por lo que imagino que estas usando Windows Defender y el Firewall de Windows como suite de seguridad
Tengo que recordarte una pregunta que te hice
Asumiendo que esta ventana es la única cosa que te molesta.
Observa que el nombre de la ventana es start y El prompt del comando a ejecutar es C:\Program Files (x86)\Install>
Ahora nos vamos al contenido del archivo startup Entre los programas que inician junto al arranque aparece esta línea
Se llama start.lnk y trata de ejecutar un “comando” desde la misma carpeta que muestra la ventana.
Llego la hora de la prueba y error:
Para empezar nos vamos a CCleaner>>Herramientas>>Inicio
Localiza la entrada que se llame start.lnk y haces clic en el botón Desactivar
Reinicia el equipo y comprueba si la ventanita sigue apareciendo o surgen otros problemas al desactivar esta entrada.
No vayas a dar clic en Borrar hasta que hayas comprobado que la ventanita no aparece y no surge ningún otro problema en el equipo
Hola, buenas noches JC;
he desactivado la entrada start.lnk, he reiniciado y la ventana ya no aparece .
He seguido tu recomendación de eliminar la aplicación combocleaner, pero al hacerlo no tengo éxito, windows hace la pregunta que va a ejecutar el desinstalador pero queda ahí, no arranca ningun programa, y la aplicación aun esta.
Sobre el asunto de la ventana Si ya comprobaste que no aparece ningún problema al desactivarla
Repites los pasos que hicimos para desactivarla, pero esta vez haces clic en Borrar
Abre el explorador de Archivos y dirigete a esta ruta: C:\Program Files (x86)\Install\
Localiza el archivo starter.cmd y trata de borrarlo
En caso de que no lo veas Tendras que mostrar archivos y carpetas ocultos de la siguiente manera
Nos comentas si has podido eliminarlo o no, también puedes ponernos alguna captura con el contenido de dicha carpeta
Veamos si Revo Uninstaller puede con el
Para descargarlo, instalarlo y ejecutarlo
Localiza Combo Cleaner en esta lista de programas y seleccionalo
En la barra superior presiona “Desinstalar”
Durante el proceso de desinstalación estandar del programa pueden pasar algunas cosas:
La desinstalación se realiza “correctamente”
Como parte de la desinstalación se abre el navegador. Simplemente cierra el navegador
Puede pedirnos que reiniciemos el equipo para completar el proceso de desinstalación
Es muy importante que bajo ninguna circunstancia reiniciemos el equipo durante esta etapa y seguimos con los siguientes pasos
En caso de que Revo muestre un mensaje de que no puede eliminar algunas claves o archivos, también mostrara mensajes que estos se eliminaran en el próximo reinicio del equipo.
No debes reiniciar el equipo hasta que Revo haya terminado de eliminar todo lo que pueda del programa que quieres quitar
Hola buenas noches…
Te comento que el archivo starter.cmd no pudo ser borrado por el ccleaner, lo que hice fue ir a la ruta donde estaba el archivo y lo borre sin problema, ya no aparece en la lista de procesos de Inicio.
con respecto a al combo cleaner, el programa Revo Uninstaller, si lo puedo eliminar, al final del proceso avanzado en donde borro las carpetas residuales y demás archivos, el programa indico que había que reiniciar la PC.
Se reinicio la PC, el programa ya no esta aparece en la lista de programas instalados, pero al buscarlo todavía aparece y mas aun se puede ejecutar y corre normalmente :(.
Sobre Combo Cleaner, partiendo de la captura que pusiste, haces clic en Abrir la ubicación del archivo y trata de borrar directamente al programa o toda la carpeta
Si no puedes hacerlo Probemos con Unlocker Portable
Descargalo y guardalo en el escritorio es un archivo .zip
Lo descomprimes y abres la carpeta llamada UnlockerPortable
Dentro de esa carpeta encontraras la carpeta llamada App
En la carpeta llamada App se encuentran las carpetas Unlocker y Unlocker64 para Windows 32 Bits y Windows 64 Bits respectivamente.
Abre y Ejecuta la herramienta que le corresponda al sistema que tienes
Selecciona el archivo o la carpeta de Combo Cleaner y elige en el desplegable la opcion “delete”
Se ha borrado, lo intente en modo espía del programa Revo uninstaller.
Creo que podido sacar todos los bichos y posibles bichos de mi PC, después de todo lo que hemos hecho siento a la PC en su desarrollo un poco más fluido de lo habitual .
Con todo esto daría el tema cerrado, y otra vez agradeZco la guia y conocimientos que dan para poder tener un sistema informático totalmente seguro y limpio.