Disco al 100%

Buenas tardes, me encuentro creando este tema porque hace varios meses (casi 1 año) siempre que chequeo los procesos, mi disco se encuentra funcionando al 100%. Seguí la guía para eliminar malwares, solamente el adware cleaner me detecto una amenaza, que pude borrar, y la computadora empezó a funcionar mejor, antes tardaba mucho en abrir aplicaciones y prenderse. El malware no me detectó nada, tampoco el Rkill. Ahora puse a analizar la computadora el Eset Online Scanner, que aún no detectó nada. Leí de otros temas parecidos a este que recomendaban descargar el “Glary Utilities”, puede ser? Gracias!

Hola @tortillero_el

No siempre es a causa de Malwares el problema.

Pero de todas maneras unas consultas:

1.- Portátil o Sobremesa?

2.- Marca y Modelo de tu equipo? Años de la misma.

3.- Sistema Operativo - Versión?


Si los tienes peganos los reportes de AdwCleaner y Eset Online.

Salu2.

Hola @tortillero_el

Necesito que ahora realices lo siguiente, pero es muy importante que los realizas respetando el orden.

Ademas revisa especialmente como debes correr Malwarebytes.

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos:

CCleaner

Usando su opción Limpiador de acuerdo su Manual:

  • Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.

  • NO necesitamos este reporte

AdwCleaner

Lo ejecutas.

  • Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar.
  • Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas.
  • Guarda el reporte que le aparecerá para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también puede encontrarse en “C:\AdwCleaner\AdwCleaner.txt”

ZHPCleaner

  • Siguiendo su manual, lo instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

Malwarebytes

  • No olvides actualizarlo.
  • Lee detenidamente su Manual
  • Realiza un Análisis Personalizado marcando todas las unidades
  • Pulsa en “Eliminar Seleccionados” para enviar lo encontrado a la cuarentena.
  • Reinicias el Sistema.
  • En el apartado del manual “Historial” >> Registros de Aplicación >> Scan Log/Registro de Análisis encontrarás el informe del MBAM, que debes copiar y pegar en tu próxima respuesta.

4.- Nota Importante:

En tu próxima respuesta debes pegar los reportes de AdwCleaner , ZHPCleaner y Malwarebytes.

Guía: ¿Como Pegar reportes en el Foro?

Nos comentas.

Salu2

ZPH

~ ZHPCleaner v2019.6.29.91 by Nicolas Coolman (2019/06/29) ~ Run by ig_ (Administrator) (30/06/2019 16:30:05) ~ Web: https://www.nicolascoolman.com ~ Blog: https://nicolascoolman.eu/ ~ Facebook : https://www.facebook.com/nicolascoolman1 ~ State version : Version OK ~ Certificate ZHPCleaner: Legal ~ Type : Reparar ~ Report : C:\Users\ig_\Desktop\ZHPCleaner ®.txt ~ Quarantine : C:\Users\ig_\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt ~ UAC : Activate ~ Boot Mode : Normal (Normal boot) Windows 10 Home Single Language, 64-bit (Build 17763)

—\ Alternate Data Stream (ADS). (0) ~ No malintencionados o innecesarios artículos encontrados.

—\ Servicios (0) ~ No malintencionados o innecesarios artículos encontrados.

—\ Navegadores de Internet (0) ~ No malintencionados o innecesarios artículos encontrados.

—\ Hosts carpeta (1) ~ El archivo hosts es legítimo (28)

—\ Tareas automáticas programadas. (0) ~ No malintencionados o innecesarios artículos encontrados.

—\ Explorador ( Archivos, Carpetas ) (40) MOVIDO carpeta: C:\Users\ig_\Desktop\µTorrent.lnk [Bad : C:\Users\ig_\AppData\Roaming\uTorrent\uTorrent.exe](.BitTorrent Inc…) =>BitTorrent (P2P) MOVIDO carpeta: C:\Users\ig_\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk [Bad : C:\Users\ig_\AppData\Roaming\uTorrent\uTorrent.exe](.BitTorrent Inc…) =>BitTorrent (P2P) MOVIDO carpeta: C:\Windows\Prefetch\KMSAUTO NET.EXE-6088C7F2.pf =>HackTool.WinActivator MOVIDO carpeta: C:\Windows\Installer\wix{1FD817A6-63E1-4519-BFD4-228DABB7AB6B}.SchedServiceConfig.rmi =>.SUP.Empty MOVIDO carpeta: C:\Windows\Installer\wix{55BB2110-FB43-49B3-93F4-945A0CFB0A6C}.SchedServiceConfig.rmi =>.SUP.Empty MOVIDO carpeta: C:\Windows\Installer\wix{5FA8C4BE-8C74-4B9C-9B49-EBF759230189}.SchedServiceConfig.rmi =>.SUP.Empty MOVIDO carpeta: C:\Windows\Installer\wix{7D84E343-A23D-451C-B123-0195B2D903A6}.SchedServiceConfig.rmi =>.SUP.Empty MOVIDO carpeta: C:\Windows\Installer\wix{9CBA860F-7437-4A75-941C-8EF559F2D145}.SchedServiceConfig.rmi =>.SUP.Empty MOVIDO carpeta: C:\Windows\Installer\wix{AB7F2792-2ED1-4C5C-9F28-680E5110BF72}.SchedServiceConfig.rmi =>.SUP.Empty MOVIDO carpeta: C:\Windows\Installer\wix{BDB50421-E961-42F3-B803-6DAC6F173834}.SchedServiceConfig.rmi =>.SUP.Empty MOVIDO carpeta: C:\Windows\Installer\wix{C5FDDED7-DEC7-48B4-AFD8-DFB8A0FD199A}.SchedServiceConfig.rmi =>.SUP.Empty MOVIDO carpeta: C:\Windows\Installer\wix{C99F4AFA-B32C-4063-865C-D7B5CC0A78FB}.SchedServiceConfig.rmi =>.SUP.Empty MOVIDO carpeta: C:\Windows\Installer\wix{F814D094-197F-43C8-87FA-3210BB780486}.SchedServiceConfig.rmi =>.SUP.Empty MOVIDO carpeta: C:\Users\ig_\Downloads\Popcorn-Time-0.3.10-Setup.exe [Popcorn Time - Popcorn-Time 0.3.10 Installer] =>.SUP.PopcornTime MOVIDO carpeta: C:\Users\ig_\AppData\Local\Temp\aria-debug-9876.log =>.SUP.Temporary.OneDrive MOVIDO archivo: C:\ProgramData\KMSAutoS =>HackTool.WinActivator MOVIDO archivo: C:\Users\ig_\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Popcorn-Time =>.SUP.PopcornTime MOVIDO archivo: C:\Users\ig_\AppData\Local\MSfree Inc =>HackTool.WinActivator MOVIDO archivo: C:\Users\ig_\AppData\Local\Popcorn-Time =>.SUP.PopcornTime MOVIDO archivo: C:\WINDOWS\Installer\MSI1597.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSI1A25.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSI1B36.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSI1EF9.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSI54E.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSI7D60.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSI7E69.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSI8F31.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSI942B.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSIA9A6.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSIC4DC.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSIC7F8.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSID1EC.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSID529.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSID643.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSID73E.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSIE7DC.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSIE8AC.tmp- =>.SUP.Empty MOVIDO archivo: C:\WINDOWS\Installer\MSIF1B0.tmp- =>.SUP.Empty MOVIDO archivo: C:\Users\ig_\AppData\LocalLow\Intel =>.SUP.Empty MOVIDO archivo: C:\Users\ig_\AppData\LocalLow\Sun =>.SUP.Empty

—\ Registro ( Claves, Valores, Datos) (10) BORRADOS clave*: HKEY_USERS\S-1-5-21-1024775671-315252889-1402477582-1001\SOFTWARE\PopcornTime [] =>.SUP.PopcornTime BORRADOS clave**: HKCU\Software\PopcornTime [] =>.SUP.PopcornTime BORRADOS clave*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Popcorn-Time [Popcorn Time] =>.SUP.PopcornTime BORRADOS clave*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent [BitTorrent Inc.] =>BitTorrent (P2P) BORRADOS valor: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store\C:\Program Files\WindowsApps\Microsoft.SkypeApp_14.46.60.0_x64__kzf8qxf38zg5c\SkypeBridge\SkypeBridge.exe [Binary Data] =>.SUP.Orphan.Compatibility BORRADOS valor: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store\C:\Users\ig_\Downloads\Popcorn-Time-0.3.10-Setup.exe [Binary Data] =>.SUP.PopcornTime BORRADOS valor: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store\C:\Users\ig_\AppData\Local\Popcorn-Time\Popcorn-Time.exe [Binary Data] =>.SUP.PopcornTime BORRADOS valor: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store\C:\Users\ig_\Desktop\gta sa\samp.exe [Binary Data] =>.SUP.Orphan.Compatibility BORRADOS valor: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store\C:\Program Files\WindowsApps\Microsoft.XboxGamingOverlay_3.30.12001.0_x64__8wekyb3d8bbwe\GameBarFT.exe [Binary Data] =>.SUP.Orphan.Compatibility BORRADOS valor: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store\C:\Users\i_\Desktop\gta sa\SAMPUninstall.exe [Binary Data] =>.SUP.Orphan.Compatibility

—\ Resumen de elementos en su estación de trabajo (6) https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/ =>BitTorrent (P2P) https://nicolascoolman.eu/2017/01/13/hacktool-winactivator/ =>HackTool.WinActivator https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Empty https://nicolascoolman.eu/2017/02/26/superfluous-popcorntime/ =>.SUP.PopcornTime https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Temporary.OneDrive https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Orphan.Compatibility

—\ Limpieza adicional. (14) ~ Clave de registro Tracing borrados (14) ~ Quitar los antiguos informes de ZHPCleaner. (0)

—\ Resultado de la reparación. ~ Reparación llevada a cabo con éxito ~ falta este navegador! (Opera Software)

—\ STATISTIQUES ~ Items escaneado : 2155 ~ Items encontrado : 0 ~ artículos cancelados : 0 ~ Items opciones : 12/12 ~ Ahorro de espacio (bytes) : 1806

~ End of clean in 00h01mn52s

—\ Reporte (2) ZHPCleaner-[S]-30062019-16_27_13.txt ZHPCleaner-[R]-30062019-16_31_57.txt

Hola @tortillero_el

Revisa el Manual de Malwarebytes, por que menciona sin acciones por parte del Usuario

Lo enviaste todo a cuarentena?


Cuando pegues los reportes debes hacerlo con el signo </> y NO con el de (") Comillas <<< con ese NO.


Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2

Cuando paso el malware, ese troyano que me detecta, lo paso a cuarentena. Pero cuando me pide reiniciar, se queda trabado y no lo elimina, qué puedo hacer? Pasé el malware como dice en el manual.

Hola @tortillero_el

Has leído mi respuesta anterior?

Suspende los pasos con Malwarebytes y sigue con los pasos que te deje con FRST.

Salu2

Hola @tortillero_el

Editaste los reportes?

Esto no es un juego, si preparo un script y no esta correcto, podrías cargarte tu Sistema:

FRST dice que corrió de:

Running from C:\Users\ownloads

Con un error ortográfico que la herramienta no tiene.

Y el Addition menciona que corrió de:

Running from C:\Users\igna_\Downloads

Lo cual es imposible porque es la misma herramienta.

Nos comentas que mas editaste, o si no no puedo continuar.

Salu2

Sí, porque sobrepasaba los caracteres máximos. lo adjunto FRST.txt (64,4 KB)

Hola @tortillero_el

Puedes dividir el reporte en dos cuando te diga que es muy largo, por que sino podemos hacer lió.

Corta el ejecutable de FRST de tu carpeta descargas y lo pegas en el escritorio.

Running from C:\Users\igna_\Downloads


Realiza lo siguiente:

Abre un nuevo archivo Notepad y copia y pega este contenido:


Start
CloseProcesses:
CreateRestorePoint:
GroupPolicyScripts: Restriction <==== ATTENTION
Task: {08669B1F-968C-4C4D-8F92-2DCD03548230} - System32\Tasks\EOSv3 Scheduler onLogOn => C:\Users\igna_\Downloads\esetonlinescanner_esn.exe [7982616 2019-06-29] (ESET, spol. s r.o. -> ESET spol. s r.o.)
Task: {86E037C2-B7B4-4F77-9721-AA59E93C3424} - no filepath
Task: {C71098FB-498D-4D34-BFD5-5CD9E6C5DE3D} - no filepath
Task: {D9E71BA4-08A7-4143-9365-CB0781FE409A} - no filepath
Task: {F4CC94F3-412B-4117-AD53-8F0B563379B5} - System32\Tasks\EOSv3 Scheduler onTime => C:\Users\igna_\Downloads\esetonlinescanner_esn.exe [7982616 2019-06-29] (ESET, spol. s r.o. -> ESET spol. s r.o.)
HKU\S-1-5-21-1024775671-315252889-1402477582-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://dell15.msn.com/?pc=DCTE
HKU\S-1-5-21-1024775671-315252889-1402477582-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell15.msn.com/?pc=DCTE
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> No File
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> No File
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Nos comentas como sigue el problema.

Salu2.